Vuonna 2023 Samsung-insinöörit liittivät luottamuksellista lähdekoodia ChatGPT:hen kolmessa erillisessä tapauksessa muutaman viikon sisällä. Tieto päätyi OpenAI:n palvelimille, ja Samsung kielsi generatiivisten tekoälytyökalujen käytön yritysverkossaan välittömästi. Tapaus ei ole poikkeus: Salesforcen tutkimuksen (2024) mukaan 55 prosenttia tekoälytyökaluja käyttävistä työntekijöistä syöttää järjestelmiin asiakastietoja, ja vain 21 prosenttia kertoo työnantajansa määritelleen selkeät pelisäännöt sille, mitä tietoja voi jakaa. Tekoälytyökalujen tietoturva koskettaa jo jokaista organisaatiota ja yksityishenkilöä.
Miksi tekoälytyökalujen tietoturva on kriittinen kysymys nyt
Tekoälytyökalut, kuten ChatGPT, Google Gemini, Microsoft Copilot ja Anthropicin Claude, ovat levinneet työ- ja yksityiselämään ennennäkemättömällä nopeudella. Mukana tulee kuitenkin joukko tietoturva- ja yksityisyyshaasteita, jotka ovat jääneet monilla organisaatioilla puutteellisesti huomioiduiksi. Tekoälytyökalut yrityskäytössä ovat jo arkipäivää, mutta turvallisuusstrategiat laahaa perässä.
IBM:n Cost of a Data Breach -raportin (2024) mukaan tekoälyyn liittyvän tietomurron keskimääräinen hinta on 5,72 miljoonaa dollaria, mikä ylittää yleisen tietomurtojen keskiarvon (4,88 miljoonaa dollaria). ISACA:n kyselytutkimuksessa (2024) 38 prosenttia tietoturva-ammattilaisista kertoi organisaationsa kokeneen tekoälyyn liittyvän tietoturvapoikkeaman edeltäneen vuoden aikana.

Tausta: miten tekoälytyökalut käsittelevät tietojasi
Ymmärtääksesi tietoturvariskit, on tärkeää tietää, mitä tekoälypalveluille tapahtuu syöttämällesi tiedolle. Tekoälytyökalujen toimintaperiaatteet perustuvat suuriin kielimalleihin (LLM), jotka on koulutettu valtaisilla datamäärillä. Kun käytät palvelua, syöttämäsi teksti lähetetään palveluntarjoajan pilvipalvelimille, käsitellään siellä ja vastaus palautetaan sinulle.
Tiedonkäsittely vaihtelee merkittävästi eri palveluiden välillä. OpenAI:n ChatGPT säilyttää keskustelulokit oletuksena 30 päivää turvallisuusseurantaa varten, vaikka käyttäjä poistaisi oman historian. Google Gemini voi tallentaa keskusteluja jopa 18 kuukaudeksi ja ihmisarvioijat voivat lukea niitä mallin kehittämiseksi. Microsoft Copilot taas lupaa, ettei 365-ympäristön dataa käytetä perusmallien kouluttamiseen. Anthropicin Claude säilyttää tietoja 90 päivää turvallisuustarkoituksiin, mutta API- ja yritysasiakkaille lupaa, ettei dataa käytetä mallien kouluttamiseen.
Tekoälypalveluun syöttämäsi tieto ei aina pysy omana tietonasi – se voi päätyä palveluntarjoajan palvelimille, ihmisarvioijien luettavaksi tai jopa mallin koulutusaineistoksi.
Vuonna 2021 tietoturvayritys Carlini ja kollegat osoittivat tutkimuksessaan, että GPT-2-kielimallilta pystyi kaivamaan sanasta sanaan sen koulutusaineistosta peräisin olevia tekstejä, mukaan lukien henkilökohtaisia tietoja. Tutkimus julkaistiin arXiv-palvelussa (Carlini et al. 2021), ja se herätteli alan toimijoita ymmärtämään koulutusaineiston yksityisyysriskit.
Yleisimmät tekoälytyökaluihin liittyvät tietoturvauhat
OWASP (Open Web Application Security Project) julkaisi vuonna 2023 listan kielimalleihin kohdistuvista kymmenestä suurimmasta tietoturvariskistä. Listaa päivitettiin vuonna 2025 ja se on alan keskeinen viitestandardi.
Prompt injection on listan kärjessä (LLM01). Hyökkäys perustuu siihen, että pahantahtoinen käyttäjä syöttää tekoälylle ohjeita, jotka saavat mallin ohittamaan alkuperäiset turvallisuusohjeet. Suora prompt injection tapahtuu, kun käyttäjä kirjoittaa ohjeet suoraan. Epäsuora prompt injection on vaarallisempi: haittaohjateksti piiloutuu verkkosivulle, sähköpostiin tai dokumenttiin, jonka tekoäly hakee, ja malli noudattaa piilotettua käskyä tietämättä toimivansa vaarantuneesti. Tutkijat Greshake ja kollegat osoittivat 2023, miten Bing Chatin web-selausominaisuus voitiin altistaa tällaiselle epäsuoralle prompt injection -hyökkäykselle.
Tietovuodot ovat toiseksi suurin uhka. Käyttäjät syöttävät tekoälytyökaluihin tiedostoja, sähköposteja ja muistiinpanoja, joissa on arkaluonteisia tietoja – usein tiedostamatta siirtävänsä niitä kolmannelle osapuolelle. Cyberhaven-tietoturvayrityksen seuranta-aineisto (2024) kattoi 4,2 miljoonaa työntekijää ja paljasti, että 8,6 prosenttia heistä oli liittänyt yritystietoja ChatGPT:hen.
Shadow AI eli luvaton tekoälykäyttö on vakava ongelma organisaatioille. Microsoftin Work Trend Index (2024) osoitti, että 78 prosenttia tekoälytyökaluja käyttävistä tuo ne omasta aloitteestaan töihin ilman työnantajan hyväksyntää. Salesforcen tutkimuksessa (2024) 28 prosenttia kertoi käyttävänsä yrityksen hyväksymättömiä tekoälypalveluja. Tämä merkitsee, että organisaatioilla ei ole näkyvyyttä siihen, mitä dataa käsitellään ja missä.
Mallin inversio- ja jäsenyysseurantahyökkäykset ovat edistyneempiä uhkia. Inversioiskussa hyökkääjä tekee järjestelmällisiä kyselyitä mallille ja pyrkii rekonstruoimaan sen koulutusaineistoa. Jäsenyysseuranta puolestaan selvittää, onko jokin tietty tietue sisältynyt koulutusaineistoon – mikä voi paljastaa arkaluonteisia terveystietoja tai muita salattavaksi tarkoitettuja tietoja.
Sääntelykehys: GDPR, EU:n tekoälylaki ja muut säädökset
Euroopassa tekoälytyökalujen tietoturvaa ohjaa ennen kaikkea kaksi keskeistä säädöstä: GDPR (Yleinen tietosuoja-asetus) ja EU:n tekoälylaki (AI Act, Asetus (EU) 2024/1689).
GDPR edellyttää, että henkilötietoja käsitellään lainmukaisella perusteella, läpinäkyvästi ja tarkoituksenmukaisesti. Tekoälypalvelu, joka kerää käyttäjien keskusteluhistoriaa mallien kouluttamiseen ilman selkeää suostumusta tai muuta laillista perustetta, rikkoo GDPR:ää. Italian tietosuojaviranomainen Garante osoitti tämän käytännössä kieltämällä ChatGPT:n väliaikaisesti maaliskuussa 2023 ja langettamalla OpenAI:lle 15 miljoonan euron sakon joulukuussa 2024.
EU:n tekoälylaki astui voimaan 1. elokuuta 2024 ja soveltuu vaiheittain. Helmikuussa 2025 kiellettiin kaikkein vahingollisin tekoälykäyttö, kuten sosiaalinen pisteytys ja reaaliaikainen biometrinen tunnistaminen julkisissa tiloissa. Korkean riskin tekoälyjärjestelmiä koskevat vaatimukset, kuten pakollinen riskinarviointi, ihmisvalvonta ja tietoturvatestaus, astuvat täysimääräisesti voimaan elokuussa 2026. Rikkomuksista voidaan määrätä sakko, joka voi olla enimmillään 35 miljoonaa euroa tai 7 prosenttia yrityksen globaalista liikevaihdosta.
Euroopan tietosuojaneuvosto (EDPB) käynnisti vuonna 2024 ensimmäisen tekoälyyn erityisesti kohdistuvan koordinoidun valvontatoimenpiteen. Tekoälyjärjestelmiä käyttäville organisaatioille EDPB:n linjauksissa korostuu velvollisuus tehdä tietosuojan vaikutustenarviointi (DPIA) ennen henkilötietojen käsittelyä tekoälypalveluissa. Myös rekisteröidyn oikeudet – kuten oikeus poistoon – pätevät tilanteissa, joissa tietoja on käytetty mallin kouluttamiseen, siltä osin kuin se on teknisesti toteutettavissa.
Suurten tekoälypalveluiden tietosuojakäytännöt vertailussa
Ennen kuin käytät mitä tahansa tekoälytyökalua arkaluonteisiin tehtäviin, on syytä perehtyä palveluntarjoajan tietosuojakäytäntöihin. Alla oleva vertailutaulukko kokoaa keskeisimmät tiedot neljästä johtavasta palvelusta.
| Palvelu | Tiedon säilytysaika | Käytetäänkö koulutukseen (maksutön taso) | Yritystaso / API |
|---|---|---|---|
| ChatGPT (OpenAI) | 30 pv (turvallisuusseuranta) | Kyllä, ellei käyttäjä kieltäydy | Ei käytetä koulutukseen oletuksena (maaliskuusta 2023) |
| Google Gemini | 18 kk oletuksena; Workspace 72 h | Kyllä, ihmisarvioijat voivat lukea | Workspace Enterprise – ei koulutuskäyttöön |
| Microsoft Copilot | 30 pv (väärinkäytösvalvonta) | Ei käytetä perusmallien koulutukseen | Azure OpenAI: ei koulutukseen, data pysyy tenantissa |
| Anthropic Claude | 90 pv (turvallisuus) | Kyllä, voit kieltäytyä asetuksista | API / Enterprise: ei koulutukseen oletuksena |
Käytännössä paras tietosuoja saavutetaan yleensä yritystason tai API-sopimuksilla. Maksuttomissa versioissa käyttäjän tulee aktiivisesti kieltäytyä tiedon käyttämisestä koulutukseen – ja silloinkaan dataa ei välttämättä poisteta välittömästi palvelimelta.
Esimerkkejä tekoälyyn liittyvistä tietoturvatapauksista
Konkreettiset tapaukset auttavat hahmottamaan riskien mittakaavaa. Samsungin tapauksen lisäksi useita merkittäviä tapauksia on tullut julkisuuteen viime vuosina.
Clearview AI sai kasaan useita EU:n tietosuojaviranomaisten sakkoja tekoälypohjaisen kasvontunnistuspalvelunsa vuoksi: Italia langetti 20 miljoonan euron sakon (2022), Ranska 20 miljoonaa euroa (2022) ja Kreikka 20 miljoonaa euroa (2022). Kaikissa tapauksissa rikottiin GDPR:n mukaista lainmukaista perustetta henkilötietojen käsittelylle. Irlannin tietosuojavaltuutettu langetti Metalle 1,2 miljardin euron sakon toukokuussa 2023 Facebookin käyttäjätietojen laittomasta siirrosta Yhdysvaltoihin tekoälymallien harjoitustarkoituksiin.
Maaliskuussa 2023 ChatGPT:ssä havaittiin haavoittuvuus, jonka seurauksena osa käyttäjistä näki toisten käyttäjien keskusteluotsikot ja maksukorttien osia. OpenAI sulki palvelun tilapäisesti ja korjasi virheen. Tapaukset osoittavat, että myös palveluntarjoajan omat tekniset puutteet voivat altistaa käyttäjädatan.
GDPR-sakot tekoälyyrityksille ovat kasvaneet räjähdysmäisesti: Meta, OpenAI ja Clearview AI ovat saaneet yhteensä yli 1,3 miljardin euron seuraamuksia muutamassa vuodessa.
Keskeisten viranomaisten tietoturvasuositukset
Maailman johtavat kyberturvallisuusviranomaiset ovat julkaisseet yhteisiä suosituksia tekoälytyökalujen turvalliseen käyttöön. NCSC (Iso-Britannia), CISA (Yhdysvallat) ja 16 muun maan viranomaiset allekirjoittivat marraskuussa 2023 yhteiset tekoälyjärjestelmien kehitysohjeet. Ohjeistus kattaa neljä vaihetta: turvallinen suunnittelu, kehitys, käyttöönotto sekä operointi ja ylläpito.
NIST (Yhdysvaltain kansallinen standardilaitos) julkaisi tammikuussa 2023 AI Risk Management Framework 1.0 -kehyksen, joka rakentuu neljästä ydintoiminnosta: GOVERN (hallinto), MAP (kartoitus), MEASURE (mittaaminen) ja MANAGE (hallinta). Heinäkuussa 2024 julkaistu NIST AI 600-1 käsittelee erityisesti generatiivisen tekoälyn riskejä, mukaan lukien hallusinaatiot, tietovuodot, tekijänoikeudet ja prompt injection.
ENISA (EU:n kyberturvallisuusvirasto) julkaisi kesäkuussa 2023 tekoälyn uhkamaiseman raportin, joka tunnistaa 12 pääuhkakategoriaa. Raportin mukaan 76 prosenttia tekoälyyn kohdistuvista tietoturvapoikkeamista kohdistui datakerrokseen – koulutusaineiston myrkytykseen tai tietovuotoon – ei itse malliin.

Käytännön tietoturvatoimet: näin suojaat itsesi ja organisaatiosi
Tietoturvariskit eivät tarkoita, että tekoälytyökaluja pitäisi välttää. Parhaat tekoälytyökalut 2026 tarjoavat merkittävää tuottavuushyötyä, kun niitä käytetään hallitusti. Sekä yksityishenkilöille että yrityksille on selkeitä toimenpiteitä riskien hallitsemiseksi.
Ensimmäinen ja tärkein periaate on tietominimisaatio: syötä tekoälypalveluihin vain se tieto, jonka sinun on pakko antaa. Poista nimet, henkilötunnukset, tilinumerot ja muut tunnisteet ennen kuin liität tekstin tai asiakirjan tekoälypalveluun. Jos tarvitset kontekstin, anonymisoi aineisto ensin.
Organisaatioille kriittisin ensiaskel on luoda selkeä tekoälypolitiikka, jossa määritellään hyväksytyt palvelut, käyttötapaukset ja kiellot. ISACA:n tutkimuksen (2024) mukaan 57 prosentilla organisaatioista ei ole tällaista politiikkaa, mikä altistaa ne sekä tietoturvariskeille että sääntelyseuraamuksille. Tässä voi hyödyntää yrityskohtaisia tekoälytyökaluratkaisuja, jotka mahdollistavat tarkemman tiedonhallinnan.
Alla oleva taulukko kokoaa keskeiset suojaustoimenpiteet niin yksityishenkilöille kuin yrityksille:
| Toimenpide | Yksityishenkilö | Yritys / organisaatio |
|---|---|---|
| Tietominimisaatio | Älä syötä henkilötietoja tai salasanoja | Anonymisoi data ennen käsittelyä, DPIA arkaluonteiselle datalle |
| Palvelun valinta | Valitse EU:ssa toimiva tai tietosuoja-asettelultaan selkeä palvelu | Hanki yritystaso sopimuksella (Copilot for M365, ChatGPT Enterprise, Claude for Enterprise) |
| Asetukset | Kieltäydy tiedon käyttämisestä koulutukseen palvelun asetuksista | Kytke pois päältä tekoälykoulutusoptiot, ota käyttöön lokitus |
| Politiikka | Selvitä palvelun tietosuojaseloste ennen käyttöä | Laadi selkeä tekoälypolitiikka ja kouluta henkilöstö |
| Tekniset suojaukset | Käytä VPN:ää julkisissa verkoissa | DLP-ratkaisut, nollaluottamusarkkitehtuuri (Zero Trust), API-gatewayt |
| Valvonta | Tarkista mitä palveluja käytät säännöllisesti | Shadow AI -valvonta, turvallinen käyttöönottoprosessi uusille tekoälypalveluille |
Prompt injection -hyökkäyksiltä suojautuminen on erityisen tärkeää, kun tekoälyjärjestelmä toimii automaattisesti tai käsittelee ulkoisia aineistoja. Käytännön keinoja ovat syötteiden validointi ennen mallille toimittamista, mallille annettavien oikeuksien rajaaminen minimaalisiksi sekä tekoälyn tuotosten tarkistaminen ennen toimien suorittamista. Tekoälyä ei pidä antaa toimia täysin autonomisesti tilanteissa, joissa virheellinen toiminta voi aiheuttaa peruuttamatonta haittaa.
Tekoälytyökalujen tietoturva julkishallinnossa
Julkishallinnon organisaatiot käsittelevät erityisen arkaluonteisia tietoja – kansalaisten henkilötietoja, turvallisuusluokiteltuja asiakirjoja ja yhteiskunnallisesti kriittisiä prosesseja. Tekoäly julkishallinnossa tuo suuria mahdollisuuksia, mutta myös erityisiä tietoturvavelvoitteita.
EU:n tekoälylaki luokittelee monet julkishallinnon tekoälysovellukset korkean riskin kategoriaan, mikä tarkoittaa pakollista riskinarviointi-, dokumentaatio- ja valvontavelvoitetta. Tähän sisältyvät muun muassa biometrinen tunnistaminen, kriittisen infrastruktuurin hallinta, koulutus- ja työnhakupäätökset sekä lainvalvontaan liittyvä tekoäly.
Suomessa Tietosuojavaltuutetun toimisto (tietosuoja.fi) vastaa GDPR:n valvonnasta ja on antanut ohjeistusta tekoälypalveluiden käytöstä henkilötietojen käsittelyssä. Organisaatioiden on varmistettava, että tekoälypalvelun käyttö perustuu GDPR:n mukaiseen lailliseen perusteeseen ja että tietojen siirrot EU:n ulkopuolelle noudattavat soveltuvaa siirtomekanismia.
Usein kysytyt kysymykset (FAQ)
Onko ChatGPT:n käyttö GDPR:n mukaista?
ChatGPT:n käyttö voi olla GDPR:n mukaista, mutta se edellyttää huolellista harkintaa. Maksuttomassa versiossa käyttäjän syöttämät tiedot voidaan käyttää mallin kouluttamiseen, mikä vaatii selkeän suostumuksen henkilötietojen osalta. Yritystason ChatGPT Enterprise -sopimuksessa OpenAI lupaa, ettei dataa käytetä koulutukseen. Italian Garante-viranomainen katsoi, että ChatGPT:llä ei alun perin ollut riittävää laillista perustetta käsitellä italialaisten käyttäjien tietoja – tämä johti väliaikaiseen kieltoon 2023 ja 15 miljoonan euron sakkoon 2024. Ennen henkilötietojen syöttämistä on aina tarkistettava palvelun tietosuojaseloste ja hankittava lainmukainen peruste käsittelylle.
Mitä tietoja ei saa syöttää tekoälytyökaluihin?
Tekoälytyökaluihin ei pidä syöttää henkilötunnuksia, tilinumeroita, salasanoja tai muita tunnistetietoja. Arkaluonteisten henkilötietoryhmien – kuten terveys-, rotu-, uskonto- tai seksuaalisuustietojen – käsittely tekoälypalveluissa ilman asianmukaisia suojatoimia on GDPR:n vastaista. Yrityksissä erityisen kielletyltä alueelta ovat liikesalaisuudet, tulevat tuotesuunnitelmat, patenttihakemukset ennen julkistamista, asiakassopimukset ja talousraportit ennen julkistamista. Samsung-tapaus vuonna 2023 osoitti konkreettisesti, mitä tapahtuu, kun näitä rajoja ei kunnioiteta: insinöörit syöttivät lähdekoodia ja kokousmuistioita ChatGPT:hen, ja tieto siirtyi OpenAI:n palvelimille.
Mikä on prompt injection ja miten siltä suojautuu?
Prompt injection on hyökkäys, jossa pahantahtoinen teksti manipuloi tekoälymallia ohittamaan alkuperäiset turvaohjeet ja toimimaan hyökkääjän tarkoituksen mukaisesti. Suora muoto tapahtuu käyttäjän syötteessä; epäsuora muoto piilottaa ohjeet ulkoiseen dokumenttiin, verkkosivuun tai sähköpostiin, jonka tekoäly hakee ja käsittelee. Suojautumiskeinoja ovat syötteiden sanitointi ennen mallille toimittamista, tekoälyn oikeuksien rajoittaminen vähimpään tarpeelliseen, ihmisvalvonnan pitäminen kriittisissä päätöspisteissä sekä tekoälyn tuotosten tarkistaminen ennen automaattisia toimintoja. OWASP listaa prompt injectionin kielimallien suurimmaksi tietoturvariskiksi, ja NCSC varoittaa erityisesti siitä agenttiset tekoälyt ovat haavoittuvaisia.
Mitä EU:n tekoälylaki tarkoittaa käytännössä yrityksille?
EU:n tekoälylaki (AI Act, Asetus (EU) 2024/1689) tarkoittaa käytännössä, että yritysten on luokiteltava käyttämänsä tekoälysovellukset riskikategorioihin ja noudatettava kutakin kategoriaa koskevia vaatimuksia. Korkean riskin tekoälyjärjestelmät – kuten rekrytointia, luottoluokittelua tai turvallisuuskriittisiä prosesseja palvelevat järjestelmät – edellyttävät pakollista riskinarviointia, teknistä dokumentaatiota, ihmisvalvontaa ja rekisteröintiä EU:n tietokantaan. Kielletty tekoälykäyttö, kuten sosiaalinen pisteytys tai tiettyjen manipulatiivisten tekniikoiden hyödyntäminen, on ollut kiellettyä helmikuusta 2025. Korkean riskin vaatimukset tulevat täysimääräisesti voimaan elokuussa 2026. Maksimisakot voivat olla 35 miljoonaa euroa tai 7 prosenttia globaalista liikevaihdosta.
Voivatko tekoälymallit vuotaa käyttäjätietoja?
Teknisesti on mahdollista, että kielimallit vuotavat koulutusaineistostaan peräisin olevia tietoja, jos ne ovat muistaneet arkaluonteista sisältöä koulutuksen aikana. Carlinin ja kollegoiden tutkimus (USENIX Security 2021) osoitti, että GPT-2:lta pystyi kaivamaan sanasta sanaan sen koulutusaineistoa, mukaan lukien henkilökohtaisia tietoja. Toisaalta myös käyttäjien itsensä syöttämät tiedot voivat päätyä ihmisarvioijille, näkyä muille käyttäjille teknisen virheen johdosta (kuten ChatGPT-vuoto maaliskuussa 2023) tai jäädä palveluntarjoajan palvelimille. Palveluntarjoajan tietosuojaseloste ja palvelutaso (maksullinen vs. yritystaso) vaikuttavat merkittävästi tähän riskiin.
Mikä on shadow AI ja miksi se on ongelma?
Shadow AI tarkoittaa tekoälytyökalujen käyttöä työnantajan tietämättä tai organisaation tietoturvapolitiikan vastaisesti. Microsoftin Work Trend Index (2024) havaitsi, että 78 prosenttia tekoälytyökaluja käyttävistä tuo ne oma-aloitteisesti töihin ilman työnantajan hyväksyntää. Tämä on ongelma, koska organisaatiolla ei ole näkyvyyttä siihen, mitä tietoja jaetaan ja mihin palveluihin. Luvattomilla palveluilla ei välttämättä ole yritystason tietosuojasopimuksia, mikä tarkoittaa, että yrityksen arkaluonteiset tiedot saattavat päätyä koulutusaineistoksi tai jäädä ulkoisen palveluntarjoajan palvelimille ilman asianmukaisia suojaustoimia. Ratkaisu on selkeä tekoälypolitiikka yhdistettynä hyväksyttyjen palveluiden tarjoamiseen työntekijöille.
Miten valitsen tietoturvan kannalta paremman tekoälytyökalun?
Tietoturvan kannalta hyvän tekoälytyökalun tunnistaa useista piirteistä. Palveluntarjoajan tulee olla läpinäkyvä tiedonkäsittelyn osalta: yritystason sopimuksissa dataa ei käytetä koulutukseen ja se pysyy määritellyn alueen sisällä. Palvelun tulee olla GDPR:n mukainen, jos käsittelet EU:n kansalaisten tietoja. Kannattaa selvittää, missä palvelimet sijaitsevat ja minkä maan lainsäädäntö niihin soveltuu. EU-alueella toimivat vaihtoehdot, kuten jotkut Mistral AI:n palvelut tai Microsoft Azure EU -datacentereillä, tarjoavat helpomman GDPR-vaatimustenmukaisuuden. Testattu vertailu parhaista tekoälytyökaluista auttaa hahmottamaan eri vaihtoehtojen ominaisuudet.
Pitääkö tekoälyn käytöstä tehdä tietosuojan vaikutustenarviointi (DPIA)?
DPIA on pakollinen, kun tekoälyn käyttö todennäköisesti aiheuttaa korkean riskin rekisteröidyille. Tämä koskee erityisesti laajamittaista arkaluonteisten tietojen käsittelyä, automaattista päätöksentekoa, jolla on oikeudellisia tai vastaavia seurauksia, sekä tilanteita, joissa käyttäjät eivät voi kohtuudella odottaa käsittelyä. EDPB:n linjausten mukaan tekoälypalveluita harkitsevien organisaatioiden tulee ennen käyttöönottoa arvioida riskit järjestelmällisesti. Käytännössä tämä tarkoittaa, että rekisterinpitäjä arvioi käsittelyn tarpeellisuuden, oikeasuhtaisuuden, riskit rekisteröidyille ja suunniteltujen suojaustoimien riittävyyden. Suomessa Tietosuojavaltuutetun toimisto tarjoaa tähän ohjeistusta osoitteessa tietosuoja.fi.
Aiheeseen liittyvät artikkelit
- Parhaat tekoälytyökalut 2026 – testattu vertailu (Pääartikkeli)
- Ilmaiset tekoälytyökalut: 20 parasta vaihtoehtoa
- Mitä ovat tekoälytyökalut? Selkeä opas aloittelijalle
- Miten tekoälytyökalut toimivat? Tekniikka selitettynä
- Parhaat tekoälytyökalut 2026: testattu ja vertailtu
- Tekoälytyökalujen hinnat: mitä palvelut maksavat 2026
- Tekoälytyökalut markkinointiin: opas tehokkaaseen käyttöön
- Tekoälytyökalut sisällöntuotantoon: tekstistä videoon
- Tekoälytyökalut yrityksille: käyttötapaukset ja hyödyt
Lähteet
- NIST, "Artificial Intelligence Risk Management Framework (AI RMF 1.0)," tammikuu 2023 – nist.gov
- NIST, "AI 600-1: Generative Artificial Intelligence Profile," heinäkuu 2024 – airc.nist.gov
- EU AI Act (Asetus (EU) 2024/1689), Euroopan unionin virallinen lehti, heinäkuu 2024 – eur-lex.europa.eu
- ENISA, "Threat Landscape for Artificial Intelligence," kesäkuu 2023 – enisa.europa.eu
- NCSC / CISA ym., "Guidelines for Secure AI System Development," marraskuu 2023 – ncsc.gov.uk
- OWASP, "Top 10 for Large Language Model Applications," 2023/2025 – owasp.org
- Garante per la Protezione dei Dati Personali, päätös ChatGPT-asiassa, joulukuu 2024 – garanteprivacy.it
- Irish Data Protection Commission, Meta-päätös, toukokuu 2023 – dataprotection.ie
- IBM Security, "Cost of a Data Breach Report 2024" – ibm.com
- Microsoft, "Work Trend Index Annual Report 2024" – microsoft.com
- Carlini, N. ym., "Extracting Training Data from Large Language Models," USENIX Security 2021 – arxiv.org
- Greshake, K. ym., "Not What You've Signed Up For: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection," AISec 2023 – arxiv.org
- Salesforce, "Generative AI Snapshot Research Series," 2024 – salesforce.com
- Suomen Tietosuojavaltuutetun toimisto – tietosuoja.fi