Flere medier har satt fokus på studenters såkalte «AI-juks», det vil si bruk av ChatGPT og annen programvare basert på kunstig intelligens (AI) ved innlevering av oppgaver og besvarelser. Det er enighet om at slik bruk av kunstig intelligens er definert som juks eller plagiat i dagens regelverk.
En utfordring er at teknologien ser ut til å ha løpt fra plagiatkontrollene. Frykten er derfor at studenter leverer oppgaver som de har fått AI til å produsere, og at dette ikke blir oppdaget.
Universiteter og høyskoler arbeider med å forstå hvordan studenters bruk av AI-basert programvare påvirker eksamensformer. NTNU skal ha opprettet en ekspertgruppe for å løse utfordringer med studenters bruk av ChatGPT. Marit Reitan, prorektor for utdanning ved NTNU, uttalte til VG den 21. januar at deres plagiatkontroll ikke er god nok til å avsløre bruken.
Begrensning og kontroll
Det diskuteres mange typer tiltak. Ett alternativ er å innføre flere skoleeksamener med begrenset tilgang til internett generelt og AI-basert programvare spesielt. Et annet alternativ kan være programmatisk kontroll av oppgaver, slik at bruk av kunstig intelligens automatisk vil kunne gjenkjennes og at studenter som bruker ChatGPT eller tilsvarende AI-baserte løsninger, i siste instans vil kunne identifiseres. Det siste vil kreve at læringsinstitusjonene mest sannsynlig må ta i bruk programvare levert av eksterne leverandører.
I en artikkel i VG 20. mars står det at «en av utfordringene til universitetene er at de grunnet personvernet ikke kan dele besvarelser med eksterne selskaper for å finne ut hvor stor grad roboter er benyttet» (vår understrekning).
Vi mener den siterte teksten viser en unyansert forståelse av personvernreglene. I henhold til norsk rett vil universitetet eller høyskolen som «behandlingsansvarlig» kunne utpeke en ekstern «databehandler». Sistnevnte kan være nettopp en leverandør av analysetjeneste som, ved hjelp av dedikert programvare, kverner gjennom hundrevis av besvarelser for å avsløre om studentene har brukt ChatGPT eller annen AI-baserte løsninger.
Personvernregelverket forutsetter at utdanningsinstitusjonenes bruk av en slik leverandør reguleres av en egen databehandleravtale. Ytterligere personverntiltak bør også vurderes. Eksempelvis kan utdanningsinstitusjonene pseudonymisere personopplysningene, slik at databehandleren aldri «ser» identiteten til studentene i klartekst. Hvis leverandøren får «AI-treff» på en besvarelse, kan leverandør gi beskjed til utdanningsinstitusjonen, som foretar selve identifiseringen og følger opp saken med student.
Muligheter som bør utforskes
I prinsippet skiller ikke vurderingen seg fra enhver annen bruk av eksterne databehandlere. Utdanningsinstitusjonen må derfor vurdere prinsipper for behandlingen og behandlingens lovlighet etter GDPR art. 5 og 6, herunder bruk av tekniske og organisatoriske tiltak, blant annet utføre risikovurdering etter GDPR art. 24 og 32.
Videre må utdanningsinstitusjonen sikre at studenter blir informert i samsvar med GDPR art. 12 – 14. Hvis det skal brukes en leverandør utenfor EU, må det vurderes om behandlingen vil kunne medføre overføring av personopplysninger til såkalte tredjeland (i så fall bør det gjøres vurderinger knyttet til «Schrems II»-tematikk blant annet utarbeidelse av såkalt «Transfer Impact Assessment»).
I tillegg må det som nevnt inngås databehandleravtale i samsvar med GDPR art. 28.
Vi mener at universiteter og høyskoler bør utforske mulighetene i personvernregelverket ved avveining av de ulike alternativene knyttet til håndtering av AI-juks.