chore(privacy): scrub real-org references from plugin internals (phase 2)
Same bulk replacement applied to plugin-internal KB, examples, fixtures, tests, and docs. Real organization names, persona names, internal system identifiers, and domain-specific terms replaced with fictional generic public-sector entity (DDT) and generic terminology. Scope: - okr/ — examples, governance, framework, integrations, sources - ms-ai-architect/ — KB references (engineering, governance, security, infrastructure, advisor), tests/fixtures, agents, docs - linkedin-thought-leadership/ — voice samples, network-builder, examples (genericized identifying headlines to "[your organization]") - llm-security/ — research notes, scan report Manual genericization beyond bulk replace: - okr SKILL.md "Primary user / Domain" — generic Norwegian public sector - linkedin-voice SKILL.md headline placeholder - network-builder.md headline placeholder - high-engagement-posts.md voice sample employer line + hashtag Phase 3 (factual-attribution review) remains: a few KB files attribute publicly known transport-sector docs/datasets (e.g. håndbok V440, NVDB) to the fictional DDT after bulk replace. Needs manual semantic review to either remove or restore correct citation without re-introducing affiliation references. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
This commit is contained in:
Kjell Tore Guttormsen
parent
f95cc4b13d
commit
9ea5a2e6c6
76 changed files with 191 additions and 191 deletions
|
|
@ -121,7 +121,7 @@ Er AI-systemet oppført i Annex I / Art. 5 (forbudte praksiser)?
|
|||
|
||||
**Norsk kontekst:**
|
||||
- Statnett: AI for lastbalansering i strømnett: Høyrisiko
|
||||
- Statens vegvesen: AI-styrt trafikksignal: Høyrisiko
|
||||
- Direktoratet for digital tjenesteutvikling: AI-styrt trafikksignal: Høyrisiko
|
||||
- Kommune: AI for overvåking av vannkvalitet med automatisk stans: Høyrisiko
|
||||
- Kommune: AI-chatbot for feilmelding på vann: IKKE høyrisiko (ingen sikkerhetskomponent)
|
||||
|
||||
|
|
@ -413,7 +413,7 @@ Den nye forvaltningsloven (vedtatt 3. juni 2025, Prop. 79 L (2024-2025)) innehol
|
|||
| Domstol: AI for juridisk forskning | 8a | Nei | (d) Forberedende | Grensetilfelle — konservativt HØYRISIKO |
|
||||
| UDI: AI-oversettelse av dokumenter | — | Nei | (a) Smal prosedyre | **IKKE HØYRISIKO** |
|
||||
| Kommune: AI for dokumentklassifisering | — | Nei | (a) Smal prosedyre | **IKKE HØYRISIKO** |
|
||||
| Statens vegvesen: AI-styrt trafikklys | 2a | Nei | Nei (sikkerhetskomponent) | **HØYRISIKO** |
|
||||
| Direktoratet for digital tjenesteutvikling: AI-styrt trafikklys | 2a | Nei | Nei (sikkerhetskomponent) | **HØYRISIKO** |
|
||||
| Politiet: Prediktiv policing | 6d/6e | Ja | Nei | **HØYRISIKO** |
|
||||
| Universitet: AI-karakter på essay | 3b | Ja | Nei | **HØYRISIKO** |
|
||||
| Universitet: AI stavekontroll på oppgave | — | Nei | (b) Forbedring | **IKKE HØYRISIKO** |
|
||||
|
|
|
|||
|
|
@ -165,24 +165,24 @@ Offentlig sektor er typisk **deployer** — de kjøper og tar i bruk AI-systemer
|
|||
2. De setter navn på systemet og markedsfører det utad (Art. 25(1)(a))
|
||||
3. De integrerer et high-risk AI-system som endrer opprinnelig tiltenkt formål vesentlig
|
||||
|
||||
Statens vegvesen eksempel: Kjøper Microsoft Copilot Studio → **Deployer**. Bygger eget prediksjonsverktøy basert på Azure OpenAI med tilpasset sikkerhetsdomenetrening → vurder om → **Provider**.
|
||||
Direktoratet for digital tjenesteutvikling eksempel: Kjøper Microsoft Copilot Studio → **Deployer**. Bygger eget prediksjonsverktøy basert på Azure OpenAI med tilpasset sikkerhetsdomenetrening → vurder om → **Provider**.
|
||||
|
||||
---
|
||||
|
||||
## Transport-sektoreksempler
|
||||
|
||||
### Eksempel 1: FartsPrediksjonsagent (Statens vegvesen)
|
||||
### Eksempel 1: FartsPrediksjonsagent (Direktoratet for digital tjenesteutvikling)
|
||||
- Formål: Predikerer trafikkflyt og anbefaler fartsgrenser på variabelt oppsatte skilt
|
||||
- Steg 1: Ingen forbudte praksiser → NEI
|
||||
- Steg 2: Kritisk infrastruktur (Annex III, pkt. 2)? Påvirker trafikksikkerhet → JA, men kun dersom det tar **bindende** beslutninger. Dersom det kun er et beslutningsstøtteverktøy med menneskelig godkjenning → vurder Art. 6(2) unntak
|
||||
- Klassifisering: **Minimal risiko** (beslutningsstøtte) eller **Høyrisiko** (autonomt bindende)
|
||||
|
||||
### Eksempel 2: AutomatiskSaksbehandler for førerkortvurdering
|
||||
- Formål: Vurderer automatisk om en søker oppfyller helsekrav for førerkort
|
||||
### Eksempel 2: AutomatiskSaksbehandler for saksbehandlingvurdering
|
||||
- Formål: Vurderer automatisk om en søker oppfyller helsekrav for saksbehandling
|
||||
- Steg 1: NEI til alle forbudte praksiser
|
||||
- Steg 2: Kategori 4 (viktige offentlige tjenester) → JA, tilgang til offentlig tjeneste
|
||||
- Klassifisering: **HØYRISIKO** (Annex III, pkt. 5)
|
||||
- Rolle: Statens vegvesen = **Deployer**
|
||||
- Rolle: Direktoratet for digital tjenesteutvikling = **Deployer**
|
||||
- Krav: FRIA (Art. 27), logging 6 mnd, samsvarsvurdering fra provider
|
||||
|
||||
### Eksempel 3: Trafikkstyringsagent
|
||||
|
|
@ -269,7 +269,7 @@ Bruk denne filen når brukeren trenger å klassifisere et AI-system under EU AI
|
|||
1. Gå gjennom steg 1-4 systematisk — hopp ikke over steg
|
||||
2. Still vurderingsspørsmålene eksplisitt for brukerens system
|
||||
3. Dokumenter hvert steg i klassifiseringsrapporten (anbefalt vedlegg til FRIA)
|
||||
4. Bruk transport-sektoreksemplene som analogi når Statens vegvesen er deployer
|
||||
4. Bruk transport-sektoreksemplene som analogi når Direktoratet for digital tjenesteutvikling er deployer
|
||||
5. Flagg grensetilfeller og anbefal konsultasjon med tilsynsmyndighet
|
||||
|
||||
**Kobling til andre KB-filer:**
|
||||
|
|
|
|||
|
|
@ -213,7 +213,7 @@ START: Har du et AI-system?
|
|||
|----------|-----------|-------------|
|
||||
| NAV: AI-assistert søknadsbehandling for uføretrygd | **JA** | Annex III (velferdsytelser) + profiling av søkere |
|
||||
| Helsedirektoratet: AI for pasientdiagnostikk | **JA** | Annex III (helsevesen) + sikkerhetskomponent i medisinsk utstyr |
|
||||
| Statens vegvesen: Chatbot for førerkortspørsmål | **NEI** | Begrenset risiko (transparenskrav, men ikke høyrisiko) |
|
||||
| Direktoratet for digital tjenesteutvikling: Chatbot for saksbehandlingspørsmål | **NEI** | Begrenset risiko (transparenskrav, men ikke høyrisiko) |
|
||||
| Kommune: AI-drevet dokumentklassifisering (kun metadata) | **NEI** | Smal prosedyreoppgave uten profiling |
|
||||
| Politiet: Prediktiv policing (risikovurdering) | **JA** | Annex III (rettshåndhevelse) + høy menneskerettighetsimpakt |
|
||||
|
||||
|
|
|
|||
|
|
@ -25,7 +25,7 @@ Annex IV spesifiserer hvilken teknisk dokumentasjon som kreves. Under følger hv
|
|||
- Overordnet beskrivelse av funksjonalitet
|
||||
|
||||
**Eksempel:**
|
||||
> "VegvAI-Saksbehandler v2.1 er et beslutningsstøttesystem for saksbehandlere i Statens vegvesen (Annex III, punkt 5a). Systemet analyserer søknader om dispensasjon fra veitrafikklovgivningen og genererer et begrunnet utkast til vedtak. Endelig vedtak fattes alltid av autorisert saksbehandler."
|
||||
> "VegvAI-Saksbehandler v2.1 er et beslutningsstøttesystem for saksbehandlere i Direktoratet for digital tjenesteutvikling (Annex III, punkt 5a). Systemet analyserer søknader om dispensasjon fra veitrafikklovgivningen og genererer et begrunnet utkast til vedtak. Endelig vedtak fattes alltid av autorisert saksbehandler."
|
||||
|
||||
**Typiske mangler:**
|
||||
- Annex III-kategorien er ikke spesifisert
|
||||
|
|
@ -135,7 +135,7 @@ Annex IV spesifiserer hvilken teknisk dokumentasjon som kreves. Under følger hv
|
|||
- Dokumentstyring
|
||||
|
||||
**Eksempel:**
|
||||
> "Statens vegvesen følger ISO 9001:2015. AI-spesifikke tilleggsprosedyrer: SVV-AI-P01 (Anskaffelse av AI-systemer), SVV-AI-P02 (Samsvarsvurdering), SVV-AI-P03 (Incident management). AI-ansvarlig (rolle) er utpekt og har gjennomført EU AI Act Foundation-sertifisering (IAPP, 2025)."
|
||||
> "Direktoratet for digital tjenesteutvikling følger ISO 9001:2015. AI-spesifikke tilleggsprosedyrer: DDT-AI-P01 (Anskaffelse av AI-systemer), DDT-AI-P02 (Samsvarsvurdering), DDT-AI-P03 (Incident management). AI-ansvarlig (rolle) er utpekt og har gjennomført EU AI Act Foundation-sertifisering (IAPP, 2025)."
|
||||
|
||||
**Typiske mangler:**
|
||||
- QMS er referert uten AI-spesifikke prosedyrer
|
||||
|
|
@ -224,7 +224,7 @@ Attestnummer: [Attestnummer fra notified body]
|
|||
**6. Teknisk dokumentasjon**
|
||||
|
||||
Teknisk dokumentasjon utarbeidet i henhold til Annex IV er tilgjengelig hos tilbyderen og kan fremlegges for relevante myndigheter på forespørsel.
|
||||
Dokumentreferanse: [Intern dokumentkode, f.eks. SVV-AI-TD-001 v2.1]
|
||||
Dokumentreferanse: [Intern dokumentkode, f.eks. DDT-AI-TD-001 v2.1]
|
||||
|
||||
**7. EU-databaseregistrering**
|
||||
|
||||
|
|
|
|||
|
|
@ -217,4 +217,4 @@ Bruk denne filen når brukeren er **deployer** av et høyrisiko-AI-system — ty
|
|||
- Provider-krav for leverandørvurdering → `ai-act-provider-obligations.md`
|
||||
- DPIA kobling → `../norwegian-public-sector-governance/`
|
||||
|
||||
**Norsk kontekst:** Statens vegvesen, Skatteetaten og kommuner er typisk deployers. Innkjøp gjennom Statens standardavtaler (SSA) — spesielt SSA-D (driftsavtale) bør suppleres med AI Act-spesifikke vedlegg fra 2026.
|
||||
**Norsk kontekst:** Direktoratet for digital tjenesteutvikling, Skatteetaten og kommuner er typisk deployers. Innkjøp gjennom Statens standardavtaler (SSA) — spesielt SSA-D (driftsavtale) bør suppleres med AI Act-spesifikke vedlegg fra 2026.
|
||||
|
|
|
|||
|
|
@ -205,12 +205,12 @@ Lenker til relaterte dokumenter som bør arkiveres sammen med FRIA:
|
|||
|
||||
---
|
||||
|
||||
## Eksempel: FRIA for AutomatiskSaksbehandler Førerkort (Statens vegvesen)
|
||||
## Eksempel: FRIA for AutomatiskSaksbehandler (Direktoratet for digital tjenesteutvikling)
|
||||
|
||||
Illustrativt eksempel for å vise utfylt mal:
|
||||
|
||||
**Seksjon 1 (utdrag):**
|
||||
- Systemnavn: AutomatiskSaksbehandler Førerkort v2.0
|
||||
- Systemnavn: AutomatiskSaksbehandler v2.0
|
||||
- Provider: [Leverandørnavn]
|
||||
- Klassifisering: Høyrisiko — Annex III, kategori 5 (viktige offentlige tjenester)
|
||||
- Beslutningstype: Beslutningsstøtte — AI anbefaler, saksbehandler godkjenner
|
||||
|
|
|
|||
|
|
@ -107,7 +107,7 @@ Teknisk dokumentasjon skal utarbeides **før** systemet settes på markedet og h
|
|||
### 9 påkrevde elementer med eksempler
|
||||
|
||||
**Element 1: Generell systembeskrivelse**
|
||||
Eksempel: "AutomatiskSaksbehandlerFørerkort v2.1 — AI-system for automatisk vurdering av helsekrav ved søknad om førerkort. Deployer: Statens vegvesen. Provider: [Leverandørnavn]. Tiltenkt formål: Behandling av klasse B og BE søknader."
|
||||
Eksempel: "AutomatiskSaksbehandler v2.1 — AI-system for automatisk vurdering av helsekrav ved søknad om saksbehandling. Deployer: Direktoratet for digital tjenesteutvikling. Provider: [Leverandørnavn]. Tiltenkt formål: Behandling av ulike søknadskategorier."
|
||||
|
||||
**Element 2: Design-spesifikasjoner og utviklingsprosess**
|
||||
- Systemarkitektur og komponentoversikt
|
||||
|
|
|
|||
|
|
@ -20,16 +20,16 @@ Art. 13(3) spesifiserer hva bruksinstruksjoner for høyrisiko-AI-systemer skal i
|
|||
|
||||
| Nr. | Punkt | Hva som kreves | Eksempel |
|
||||
|-----|-------|----------------|---------|
|
||||
| a | Identitet og kontaktinformasjon | Tilbyderens navn, adresse og kontaktpunkt for henvendelser om systemet | "Levert av Statens vegvesen, Vegdirektoratet. Kontakt: ai-support@vegvesen.no" |
|
||||
| a | Identitet og kontaktinformasjon | Tilbyderens navn, adresse og kontaktpunkt for henvendelser om systemet | "Levert av Direktoratet for digital tjenesteutvikling, Vegdirektoratet. Kontakt: ai-support@ddt.no" |
|
||||
| b | Systemets egenskaper og ytelse | Nøyaktighetsmetrikker, kjente begrensninger, sannsynlige feilmønstre | "Systemet har 94% presisjon på standardsaker. Sjeldne dispensasjonstyper håndteres dårligere." |
|
||||
| c | Tiltenkt formål | Spesifikk brukskontekst systemet er designet og validert for | "Beslutningsstøtte for saksbehandlere ved søknader om dispensasjon fra veitrafikkloven §X" |
|
||||
| d | Systemnivå av nøyaktighet | Kvantitative mål, konfidensintervaller, ytelse på ulike undergrupper | "F1-score: 0,915 på valideringsett (500 historiske saker, 2023–2024)" |
|
||||
| e | Forventede brukere | Hvem systemet er designet for (kompetanse, rolle, opplæringskrav) | "Autoriserte saksbehandlere med gjennomført e-læring (SVV-AI-L01, 2 timer)" |
|
||||
| e | Forventede brukere | Hvem systemet er designet for (kompetanse, rolle, opplæringskrav) | "Autoriserte saksbehandlere med gjennomført e-læring (DDT-AI-L01, 2 timer)" |
|
||||
| f | Forhåndsbehandlet inndata | Spesifikasjoner for inndata systemet forventer | "Søknadsskjema PDF. Bilder: maks 10 MB, JPEG/PNG. Ikke støttet: håndskrevne dokumenter" |
|
||||
| g | Mål og begrensninger | Hva systemet er designet for å oppnå og kjente begrensninger | "Genererer vedtaksutkast — erstatter ikke juridisk vurdering. Bør ikke brukes alene for saker med > 500 000 NOK konsekvens" |
|
||||
| h | Kjente og forutsigbare bivirkninger | Risikosituasjoner som kan oppstå ved tiltenkt bruk | "Kan overrepresentere avslag for søkere fra bestemte regioner (bias-kartlagt, se vedlegg B)" |
|
||||
| i | Human-in-the-loop | Grad av menneskelig tilsyn som kreves og beskrivelse av mekanismer | "Saksbehandler må aktivt godkjenne hvert vedtaksutkast. Systemet kan ikke sende vedtak automatisk." |
|
||||
| j | Forventede levetid og vedlikehold | Planlagt levetid, oppdateringsfrekvens, prosedyre for å melde feil | "Levetid: 3 år (2026–2029). Kvartalsvis modellgjennomgang. Feilmelding: ai-incident@vegvesen.no" |
|
||||
| j | Forventede levetid og vedlikehold | Planlagt levetid, oppdateringsfrekvens, prosedyre for å melde feil | "Levetid: 3 år (2026–2029). Kvartalsvis modellgjennomgang. Feilmelding: ai-incident@ddt.no" |
|
||||
| k | Datakvalitetskrav | Egenskaper ved inndata som påvirker ytelsen | "Søknadsdokumenter må være maskinlesbare PDF-er. Skannet tekst (OCR-konvertert) reduserer nøyaktighet med ca. 8%" |
|
||||
|
||||
### Mal for bruksinstruksjon-dokument
|
||||
|
|
@ -176,7 +176,7 @@ Art. 50(4) krever merking av syntetiske bilde-, lyd- og videoopptak av virkelige
|
|||
|
||||
### Mal 1: Borgermøtende chatbot-notis
|
||||
|
||||
**Kontekst:** Offentlig chatbot på nav.no, vegvesen.no, skatteetaten.no o.l.
|
||||
**Kontekst:** Offentlig chatbot på nav.no, ddt.no, skatteetaten.no o.l.
|
||||
|
||||
**Anbefalt plassering:** Øverst i chat-vinduet, alltid synlig
|
||||
|
||||
|
|
|
|||
|
|
@ -507,7 +507,7 @@ Executive sponsorship tilgjengelig? ──No──> Ikke etabler CoE nå
|
|||
| **Personvernombud involvement** | PVO må være involvert i AI-prosjekter | CoE etablerer fast møtepunkt med PVO. Personvernkonsekvensvurdering (DPIA) for AI. |
|
||||
| **Sikkerhetslov og Beskyttelsesinstruksen** | Høyere sikkerhetskrav for sensitive data | CoE definerer sikkerhetsnivåer (åpen, begrenset, konfidensielt). Separate environments per sikkerhetsnivå. |
|
||||
|
||||
### Case: AI CoE i Statens vegvesen (hypotetisk eksempel)
|
||||
### Case: AI CoE i Direktoratet for digital tjenesteutvikling (hypotetisk eksempel)
|
||||
|
||||
**Struktur:** Unified CoE
|
||||
- Core team (3 FTEs): CoE Lead, AI Architect, AI Security Specialist (KI-seksjonen)
|
||||
|
|
@ -515,7 +515,7 @@ Executive sponsorship tilgjengelig? ──No──> Ikke etabler CoE nå
|
|||
|
||||
**Ansvarsområder:**
|
||||
- Strategi: AI-strategi alignet med "Nasjonal transportplan"
|
||||
- Kompetanse: Opplæring i Power Platform AI for saksbehandlere (Copilot Studio for førerkort-chatbot)
|
||||
- Kompetanse: Opplæring i Power Platform AI for saksbehandlere (Copilot Studio for saksbehandling-chatbot)
|
||||
- Standarder: Governance for bruk av kamera-AI i trafikkovervåkning (GDPR, Politiregisterloven)
|
||||
- Pilots: AI for vegvedlikehold (prediktiv analyse av asfaltslitasje via computer vision)
|
||||
|
||||
|
|
|
|||
|
|
@ -284,7 +284,7 @@ Root Management Group
|
|||
| **AI observability** | Microsoft Agent 365, Defender for Cloud | Custom dashboards | Agent 365 når tilgjengelig (GA), ellers Defender + Log Analytics |
|
||||
| **Cost management** | Azure Cost Management + Budgets | FinOps-verktøy | Azure Cost Management (gratis, native) |
|
||||
|
||||
### Eksempel: Governance-struktur for Statens vegvesen (SVV)
|
||||
### Eksempel: Governance-struktur for norske offentlige etater
|
||||
|
||||
**Kontekst:** Offentlig virksomhet, regulert, flere AI-pilotprosjekter (chatbot, dokument-analyse, prediktive modeller for vegvedlikehold).
|
||||
|
||||
|
|
@ -292,7 +292,7 @@ Root Management Group
|
|||
|
||||
```
|
||||
┌─────────────────────────────────────────┐
|
||||
│ SVV Direktør (Executive Sponsor) │
|
||||
│ DDT Direktør (Executive Sponsor) │
|
||||
└──────────────┬──────────────────────────┘
|
||||
│
|
||||
┌──────────┴────────┐
|
||||
|
|
|
|||
|
|
@ -359,11 +359,11 @@ jobs:
|
|||
|
||||
**Konfidensmarkør:** ⚠️ MEDIUM — EU AI Act er under implementering (tredde i kraft 2024), norske myndigheter utvikler veiledning.
|
||||
|
||||
### Statens vegvesen-spesifikke vurderinger
|
||||
### Direktoratet for digital tjenesteutvikling-spesifikke vurderinger
|
||||
|
||||
**Use cases med mandatory red teaming:**
|
||||
- AI-systemer som påvirker trafikksikkerhet (autonomous systems, traffic prediction)
|
||||
- Chatbots som håndterer sensitive brukerdata (kjøretøyregistrering, førerkortinformasjon)
|
||||
- Chatbots som håndterer sensitive brukerdata (kjøretøyregistrering, saksbehandlinginformasjon)
|
||||
- Decision-support systems for inspeksjon eller enforcement
|
||||
|
||||
**Data sovereignty:**
|
||||
|
|
@ -372,7 +372,7 @@ jobs:
|
|||
|
||||
**Cross-functional red teaming teams:**
|
||||
- AI-utviklere (teknisk exploit)
|
||||
- Domeneeksperter (Statens vegvesen domain knowledge)
|
||||
- Domeneeksperter (Direktoratet for digital tjenesteutvikling domain knowledge)
|
||||
- Sikkerhetsteam (threat modeling)
|
||||
- Juridisk (compliance vurdering)
|
||||
|
||||
|
|
|
|||
Loading…
Add table
Add a link
Reference in a new issue