GDPR ja tekoäly — tietosuoja AI-puheluissa

GDPR ja tekoäly eivät ole erillisiä keskusteluja, jos tekoäly puhuu asiakkaan tai työntekijän kanssa puhelimessa. AI-puhelu voi käsitellä nimeä, puhelinnumeroa, asiakasnumeroa, tilaustietoa, ajanvarausta, reklamaatiota, terveystietoon viittaavaa tietoa tai työntekijän poissaoloa. Se on henkilötietojen käsittelyä, vaikka keskustelu kuulostaisi arkiselta.

Hyvä uutinen: GDPR ei kiellä AI-puheluita. Huono uutinen, jos sellaista kaipasi: se ei myöskään anna lupaa tehdä mitä sattuu, kunhan puhelun alussa sanotaan "tämä on tekoäly". Tietosuojan pitää näkyä toteutuksessa: mitä tietoja kerätään, miksi niitä kerätään, mihin ne tallennetaan, kuka niitä käyttää ja milloin ne poistetaan.

Tämä artikkeli käy läpi AI-puheluiden tietosuojan perusasiat yrityksen näkökulmasta. Tämä ei ole juridinen lausunto. Lopulliset ratkaisut kannattaa varmistaa oman tietosuojavastaavan tai juristin kanssa, etenkin jos käsitellään erityisiä henkilötietoryhmiä tai toimialasääntelyä.

Aloita tarkoituksesta ja käsittelyperusteesta

GDPR-ajattelu alkaa tarkoituksesta. Miksi AI-puhelu tehdään? Vasta sen jälkeen päätetään, mitä tietoja saa käsitellä.

Esimerkiksi:

• asiakaspalvelupuhelu: tilauksen tai palvelupyynnön hoitaminen
• ajanvaraus: varauksen luonti, muutos tai peruutus
• myyntipuhelu: liidin käsittely ja yhteydenoton dokumentointi
• HR FAQ -puhelu: työntekijän yleisen kysymyksen käsittely
• sairauspoissaoloilmoitus: poissaolotiedon vastaanotto ja ohjaus
• tapahtumamuistutus: ilmoittautumisen vahvistus

Jokaiselle tarkoitukselle tarvitaan käsittelyperuste. Se voi olla sopimus, oikeutettu etu, lakisääteinen velvoite, suostumus tai jokin muu GDPR:n mukainen peruste. Markkinointipuheluissa mukaan tulee myös sähköisen viestinnän ja suoramarkkinoinnin sääntely. HR- ja terveydenhuollon tilanteissa vaatimukset voivat olla tiukemmat.

Yleinen virhe on kerätä tietoa "varmuuden vuoksi". AI-puhelussa se tarkoittaa usein pitkää transkriptiota, automaattista analyysiä ja tunteiden tulkintaa, vaikka alkuperäinen tehtävä olisi ollut vain ajanvarauksen siirto. Jos tieto ei ole tarpeellinen, sitä ei pitäisi kerätä.

Kerro ihmiselle, että hän puhuu tekoälyn kanssa

Läpinäkyvyys on AI-puheluissa sekä tietosuoja- että luottamuskysymys. Ihmiselle pitää kertoa ymmärrettävästi, että puhelussa käytetään tekoälyä ja kuka vastaa palvelusta.

Hyvä aloitus on lyhyt:

Hei, olet yhteydessä Yritys Oy:n AI-puhelinpalveluun. Voin auttaa ajanvarauksissa ja yleisissä kysymyksissä. Puhelu voidaan tallentaa palvelun hoitamiseksi. Jos haluat puhua ihmiselle, sano "asiakaspalvelija".

Aloitus ei saa olla lakitekstin pituinen. Jos ensimmäiset 45 sekuntia menevät selosteeseen, asiakas ehtii jo katua soittamista. Tarvittavat tiedot voi jakaa järkevästi: puhelun alussa olennaiset asiat, verkkosivulla laajempi tietosuojaseloste ja tarvittaessa linkki vahvistusviestissä.

Tärkeää on, ettei AI teeskentele ihmistä. Äänen luonnollisuus on hyvä asia, harhauttaminen ei. Asiakas saa tietää, että kyseessä on automaatio ja miten hän pääsee ihmisen puheille.

Minimoi data: kaikkea ei tarvitse tallentaa

Puhe-AI pystyy tallentamaan paljon: äänen, transkription, yhteenvedon, tunnisteet, aikaleimat, sentimentin, luokittelun ja jatkotoimet. Se ei tarkoita, että kaikki kannattaa tallentaa.

Tietojen minimointi tarkoittaa käytännössä sitä, että tallennetaan vain se, mitä tarvitaan sovittuun tarkoitukseen. Ajanvarauksessa tämä voi olla nimi, yhteystieto, varauksen aika ja mahdollinen lisätieto. Koko puhelun äänitallenne ei välttämättä ole tarpeellinen. Reklamaatiossa yhteenveto ja tiketin numero voivat riittää. Myyntipuhelussa CRM-muistiinpano voi olla perusteltu, mutta jokainen sana ei ehkä ole.

Minimointia kannattaa miettiä tasoittain:

• tallennetaanko ääni lainkaan
• tallennetaanko transkriptio vai vain yhteenveto
• poistetaanko raakadata määräajan jälkeen
• erotetaanko tunnistetiedot analytiikasta
• anonymisoidaanko raportit
• rajataanko pääsy vain niille, jotka tarvitsevat tiedon

Tämä on myös riskienhallintaa. Mitä vähemmän tarpeetonta dataa kertyy, sitä vähemmän vahinkoa syntyy, jos järjestelmässä on virhe, väärä käyttöoikeus tai tietopyyntö, johon pitää vastata kiireessä.

Rekisterinpitäjä, käsittelijä ja sopimukset

AI-puhelinpalvelussa on yleensä useita osapuolia. Yritys, jonka asiakkaat tai työntekijät soittavat, on usein rekisterinpitäjä. Palveluntarjoaja, joka toteuttaa puhe-AI:n, toimii henkilötietojen käsittelijänä. Lisäksi taustalla voi olla puhesynteesin, puheentunnistuksen, kielimallin, pilvipalvelun ja puhelinoperaattorin tarjoajia.

Tämä pitää kuvata sopimuksissa. Tarvitaan vähintään henkilötietojen käsittelysopimus eli DPA, jossa määritellään:

• käsittelyn kohde ja kesto
• käsiteltävät henkilötiedot
• rekisteröityjen ryhmät
• käsittelijän velvollisuudet
• alikäsittelijät
• tietoturvatoimet
• tietojen poistaminen tai palauttaminen
• avustaminen rekisteröityjen oikeuksissa
• auditointi ja poikkeamien ilmoittaminen

Alikäsittelijät ovat käytännössä tärkeä kohta. Jos AI-puhelu käyttää esimerkiksi puheentunnistusta, puhesynteesiä ja kielimallia eri palveluista, yrityksen pitää tietää tämä. Myös datan sijainti ja siirrot EU/ETA-alueen ulkopuolelle pitää arvioida.

Aisterin kaltaisessa toteutuksessa nämä asiat kannattaa käydä läpi jo suunnitteluvaiheessa, ei vasta sopimusneuvottelun lopussa. Tietosuojan jälkiasennus on kallis harrastus.

Rekisteröidyn oikeudet AI-puheluissa

GDPR antaa ihmiselle oikeuksia omiin tietoihinsa. AI-puhelu ei poista niitä. Asiakkaalla tai työntekijällä voi olla oikeus saada pääsy tietoihin, pyytää oikaisua, poistamista, käsittelyn rajoittamista tai vastustaa käsittelyä tilanteesta riippuen.

Toteutuksessa tämä tarkoittaa, että puheludata pitää löytää. Jos asiakas kysyy, mitä tietoja hänestä on tallennettu, yrityksen pitää pystyä hakemaan ne järkevästi. Jos data on hajallaan äänitallenteissa, transkriptioissa, analytiikkatyökaluissa ja CRM-muistiinpanoissa ilman yhteistä tunnistetta, tietopyyntö muuttuu aarteenetsinnäksi. Huono sellainen.

Siksi jokaiselle puhelulle kannattaa tallentaa selkeät metatiedot:

• puhelun aika
• puhelun tarkoitus
• asiakas- tai työntekijätunniste, jos tarpeen
• mitä dataa tallennettiin
• missä järjestelmissä data on
• säilytysaika
• mahdollinen poistopyynnön tila

Tätä ei tarvitse näyttää kaikille. Mutta järjestelmän pitää mahdollistaa hallittu haku ja poisto, jos laki sitä edellyttää.

Tietoturva: salaus, pääsynhallinta ja lokitus

Tietosuoja ilman tietoturvaa on paperiharjoitus. AI-puheluiden osalta kannattaa varmistaa ainakin nämä perusasiat:

• yhteydet salataan
• tallennettu data salataan levossa
• käyttöoikeudet rajataan roolin mukaan
• pääsy henkilötietoihin lokitetaan
• ylläpitäjillä on vahva tunnistautuminen
• tuotanto- ja testiympäristöt erotetaan
• salaisuuksia ei tallenneta koodiin tai lokiin
• poikkeamista on ilmoitusprosessi

Lokitus on erityisen tärkeää. Jos joku katsoo puhelutietoja, siitä pitää jäädä jälki. Jos AI tekee virheellisen kirjauksen, pitää pystyä selvittämään, mistä vastaus tuli ja mihin se tallennettiin.

Myös mallien käyttö pitää ymmärtää. Käytetäänkö puheludataa palveluntarjoajan mallien kouluttamiseen? Saako alikäsittelijä säilyttää raakadataa? Millä ehdoilla? Nämä eivät ole pieniä pränttejä, vaan ostajan peruskysymyksiä.

Erityiset henkilötiedot ja korkeamman riskin tilanteet

Kaikki AI-puhelut eivät ole saman riskisiä. Aukioloaikojen kysyminen on eri asia kuin terveysoireiden kuvaaminen. HR:n yleinen etuohje on eri asia kuin sairauspoissaolon syyn käsittely.

Erityisiä henkilötietoryhmiä ovat esimerkiksi terveystiedot, ammattiliiton jäsenyys, uskonnollinen vakaumus ja biometriset tiedot tunnistamista varten. Jos AI-puhelu voi käsitellä tällaisia tietoja, tarvitaan tarkempi arvio. Joissain tapauksissa tarvitaan vaikutustenarviointi eli DPIA.

Käytännön rajaus voi olla esimerkiksi se, että AI ei kysy sairauden syytä, vaan kirjaa vain poissaolon alkamisen, arvioidun keston ja ohjeistaa työterveyden prosessin. Terveydenhuollossa AI voi hoitaa ajanvarauksen, mutta hoidon tarpeen arviointi vaatii erilliset säännöt, vastuut ja valvonnan.

Käytännön tarkistuslista ennen käyttöönottoa

Ennen AI-puhelinpalvelun avaamista kannattaa käydä läpi ainakin tämä lista:

• Onko puhelun tarkoitus määritelty?
• Onko käsittelyperuste dokumentoitu?
• Kerrotaanko ihmiselle selvästi, että käytössä on AI?
• Onko tietosuojaseloste päivitetty?
• Tallennetaanko vain tarpeellinen data?
• Onko säilytysaika määritelty?
• Onko DPA tehty palveluntarjoajan kanssa?
• Onko alikäsittelijät kuvattu?
• Onko pääsynhallinta ja lokitus kunnossa?
• Onko rekisteröidyn oikeuksiin vastaaminen mahdollista?
• Onko ihmiseen siirto helppo?
• Onko riskit arvioitu korkeamman riskin käyttötapauksissa?

Jos näistä useaan vastaus on "ei vielä", käyttöönotto ei ole valmis. Se ei tarkoita, että hanke pitää haudata. Se tarkoittaa, että tietosuojatyö pitää tehdä ennen tuotantoa.

Automaattinen päätöksenteko ja ihmisen rooli

GDPR:n kannalta yksi olennainen kysymys on, tekeekö AI päätöksiä ihmisestä vai avustaako se prosessia. Ajanvarauksen vahvistaminen on yleensä eri asia kuin päätös korvauksesta, luotosta, työvuorosta tai palvelun epäämisestä. Mitä suurempi vaikutus päätöksellä on ihmiseen, sitä varovaisempi pitää olla.

AI-puhelinpalvelu kannattaa suunnitella niin, että se kerää tiedon, antaa hyväksytyt ohjeet ja valmistelee asian ihmiselle, jos päätöksellä on merkittävä vaikutus. Esimerkiksi vakuutusyhtiön AI voi ottaa vastaan vahinkoilmoituksen ja kysyä tarvittavat lisätiedot. Varsinainen korvauspäätös kuuluu sovittuun päätösprosessiin. HR-palvelu voi kirjata poissaoloilmoituksen, mutta se ei tee työkykyarviota.

Tämä raja kannattaa kirjoittaa auki jo määrittelyssä. Mitä AI saa päättää itse? Mitä se saa suositella? Mitä se ei saa tehdä? Jos rajaa ei tehdä, se syntyy vahingossa tuotannossa. Se on huono paikka tehdä tietosuojapolitiikkaa.

Testaa myös virhetilanteet

Tietosuojan kannalta kiinnostavimmat tilanteet eivät ole niitä, joissa asiakas kysyy juuri odotetun kysymyksen. Ne ovat niitä, joissa asiakas kertoo liikaa, käyttää väärää kanavaa, antaa toisen henkilön tietoja tai pyytää jotain, mitä AI ei saa tehdä.

Ennen tuotantoa kannattaa testata ainakin nämä:

• asiakas kertoo terveystietoja tavallisessa asiakaspalvelupuhelussa
• työntekijä antaa toisen työntekijän henkilötietoja
• soittaja pyytää poistamaan kaikki tietonsa
• soittaja kysyy, mitä hänestä on tallennettu
• soittaja pyytää päätöstä, jota AI ei saa tehdä
• soittaja kieltää tallentamisen
• soittaja haluaa ihmisen

Näissä tilanteissa oikea vastaus ei ole luova improvisaatio. AI:n pitää käyttää ennalta hyväksyttyä toimintatapaa. Usein se tarkoittaa tietojen minimointia, puhelun ohjaamista ihmiselle ja lyhyttä merkintää siitä, että jatkokäsittelyä tarvitaan.

Säilytysajat ja poistot käytännössä

Moni tietosuojariski syntyy vasta kuukausien päästä, kun dataa on kertynyt. Puhelun raakadata tallentuu yhteen paikkaan, transkriptio toiseen, yhteenveto CRM:ään ja lokit kolmanteen järjestelmään. Jos säilytysaikoja ei määritellä, mikään ei poistu.

Säilytys kannattaa määritellä datatyypeittäin. Äänitallenne voidaan poistaa nopeasti, jos sitä tarvitaan vain laadunvarmistukseen. Yhteenveto voidaan säilyttää asiakaspalvelutapahtuman ajan. Laskutukseen tai sopimukseen liittyvät tiedot voivat vaatia pidempää säilytystä. Analytiikka kannattaa anonymisoida niin aikaisin kuin mahdollista.

Poistojen pitää myös toimia teknisesti. Ei riitä, että tietosuojaselosteessa lukee kaunis säilytysaika. Jonkun pitää varmistaa, että järjestelmä poistaa tai anonymisoi tiedot ajallaan ja että poisto kattaa myös alikäsittelijät silloin, kun se kuuluu sopimukseen.

Yhteenveto

GDPR-yhteensopiva AI-puhelu ei synny yhdellä lauseella puhelun alussa. Se syntyy siitä, että tarkoitus, data, sopimukset, tietoturva ja vastuut on suunniteltu etukäteen.

Yrityksen kannattaa aloittaa rajatusta käyttötapauksesta, jossa henkilötiedot ovat vähäisiä ja prosessi selkeä. Kun perusmalli toimii, sitä voi laajentaa vaativampiin tilanteisiin. Aisteri auttaa suunnittelemaan puhe-AI:n niin, että tietosuojakysymykset eivät jää viimeiseksi yllätykseksi. Kysy lisää: visa.valkonen@aisteri.fi.