Miért fontos az AI governance, és hogyan építhetünk jó AI irányítási rendszert? 1. rész.

A mesterséges intelligencia modellek fejlődése és az ezt kísérő technológiai fejlődés felgyorsulása soha nem látott kihívások elé állítja a törvényhozókat, cégeket, compliance és biztonsági szakembereket egyaránt. Az egyre inkább az autonómia, azaz a legmagasabb szintű automatizáltság irányába elmozduló ügynöki (agentic) AI megoldások csak tovább fokozzák az ilyen megoldásokat fejlesztő, vagy használó cégek aktuális kitettségét. Miközben a technológiai hátteret kevéssé ismerő cégtulajdonosok és ügyvezetés teljes erővel az aktuális piaci trendek követésére, és a munkafolyamatok mesterséges intelligenciával történő automatizálására és kiváltására fókuszálnak, sokszor kevés figyelem jut az ehhez szükséges személyi, szervezeti és jogi keretrendszer kialakítására. Márpedig mostanra több tucat olyan konkrét példát ismerünk, ahol a kellően át nem gondolt és nem megfelelően előkészített AI-projektek korábban ismeretlen mértékű jogi, etikai, reputációs, információ-, és kiberbiztonsági kockázatokat és károkat eredményeztek, amelyek nem egy esetben az adott cég bedőlését, vagy a nagy várakozásokkal beharangozott AI-alapú szolgáltatások megszüntetését eredményezték. Egyre több esetben merül fel a kérdés, hogy hogyan biztosítható az innovációs folyamatok zavartalansága jogilag, informatikai és kiberbiztonsági, valamint etikai szempontból biztonságos, kiszámítható és kontrollált módon. Erre a kérdésre ad választ az AI governance.

Az AI governance fogalma és elemei

Ha definiálni szeretnénk, hogy pontosan mit is értünk AI governance alatt, nincs egyszerű dolgunk, ugyanis nem egy sima, jogszabály által definiált fogalomról van szó, és a szó hétköznapi jelentéstartalma alapján mindenki egy kicsit mást ért alatta.

Governance = szabályzatok?

Van, akinek a governance - legyen az információbiztonsági, adatvédelmi, AI vagy egyéb fókuszú - elsősorban egy szabályzatot, esetleg szabályzatokat jelent. Ezek kidolgozását sok esetben komoly munka és proaktív gondolkodás, illetve tervezés előzi meg, de számos cégnél ez általában kimerül abban, hogy a kapcsolódó jogszabályszövegeket beidézve megpróbálnak folyamatokat, illetve feladatokat meghatározni és felelősöket kinevezni azzal, hogy ezek a feladatok és felelősségi körök sokszor bizony köszönőviszonyban sincsenek az adott munkavállalók képzettségével, szakértelmével, vagy éppen skill-set-jével, és nem reflektálnak megfelelően az adott cég tényleges tevékenységére. Egy ilyen szabályozástól sok jót nem várhatunk, cserébe viszont a megfelelés hamis látszatát keltheti, ami rosszabb, mintha semmit nem csináltunk volna.

A dokumentumcsomagok hasznosságáról, illetve haszontalanságáról

Az általános adatvédelmi rendeletnek való megfelelés kapcsán rengeteg olyan céggel találkoztam, ahol az ügyvezetés annyival tudta le a jogszabályoknak való megfelelést, hogy megvettek egy dokumentumcsomagot, kitöltötték és minimálisan testreszabták (általában rosszul), majd kihirdették, és ezt követően nem igazán foglalkoztak vele. Ha az ügyfelek vagy munkavállalók részéről felmerült érintetti kérelmeket vagy panaszt a belső folyamatok rendezetlensége miatt nem tudták megfelelően vagy határidőben kezelni, vagy adatvédelmi incidenst szenvedtek el, az ügy általában a hatóságnál kötött ki, aki szerencsés esetben figyelmeztetést, rosszabb esetben bírságot szabott ki a cégre. Az utólag megteremtett compliance mindig drágább, mint a proaktív módon kialakított szabályozás, és ez az AI rendszerek világában fokozottan igaz (lesz).

Az AI felhasználói szabályzat jelentősége és szerepe

Az EU Mesterséges Intelligencia Rendeletének való megfelelés biztosítása során több helyen még egy sima AI felhasználási szabályzat elfogadása is akadályokba ütközhet, mert a döntéshozók általában nincsenek tisztában az általuk bevezetni kívánt AI-megoldás kockázati profiljával, és az ehhez kapcsolódó szabályozási szükséglettel. Pedig már egy sima vállalati Copilot vagy ChatGPT felhasználás is eredményezhet komoly kockázatokat, ha a szervezet nem megfelelően használja ezeket az eszközöket.

Ha például a HR a toborzás során önéletrajzok szűrésére, álláshirdetésekhez profilok kialakítására, munkahelyi teljesítmény értékelésére, a munkavállaló elégedettségének vagy távozási hajlandóságának felmérésére használja ezeket az AI-megoldásokat, az egyből ún. magas kockázatú AI rendszer szolgáltatójává minősítheti át a céget egy mezei felhasználóból. Ha pedig mondjuk még érzelemfelismerő kamerákat is használ a cég, akkor már tiltott AI gyakorlatot is megvalósíthatnak, ami viszont nagyon komoly, akár 13 milliárd forintos bírságot is eredményezhet a Rendelet hazai végrehajtásáról szóló kormányrendelet alapján.

Ha az AI felhasználási szabályzat egyértelműen, az adott cég tevékenységének figyelembevételével meghatározza a kiválasztott AI megoldás engedélyezett használati eseteit és azok korlátait, korlátozza, vagy kizárja a jogszabályok alapján magasabb kockázatú felhasználási eseteket és a gyakorlat nyelvére lefordítja a jogszabályi tilalmakat, megtiltja a cég által kifejezetten nem engedélyezett (shadow) AI eszközök használatát, előírja az egyes engedélyezett use case-ikre vonatkozó emberi felügyelet megvalósítási módjait, illetve mindez kiegészül egy a gyakorlati kérdésekre is kiterjedő oktatással, akkor az a cég már jobban felkészült az AI megfelelő hasznosítására, mint a piacon lévő szervezetek nagy többsége.

Egy ilyen szabályzat ugyanakkor legfeljebb az alapjait jelentheti egy hatékony governance rendszernek, de önmagában nem elégséges. Különösen igaz ez az állítás, ha az adott cég saját AI-alapú megoldásokat is fejleszt a használat mellett.

Szervezetrendszer és jól körülhatárolt szerepek, mint az AI governance szerves része

Szervezeti és személyi felelősség

Egy gazdasági társaságot, mint önálló jogi személyt terhelő jogszabályokból, szabványokból, hatósági előírásokból fakadó kötelezettségek teljesítése és az azoknak való megfelelés (compliance), és a kötelezettségek intézkedésekké alakítása és végrehajtásának biztosítása, valamint az ehhez szükséges erőforrások, folyamatok és jó gyakorlatok biztosítása (governance) végső soron a cég képviseletében eljáró természetes személyek munkáján múlik. A cég csak annyiban fog tudni megfelelni a rá irányadó szabályoknak és kezelni a működési kockázatait, amennyire jól és hatékonyan működik az erre a célra kialakított szervezetrendszere, azaz ahogyan az egyes személyek ellátják a feladataikat.

A technológiához illeszkedő szervezeti felelősség fontossága

Az AI korában nagyon nagy teher nyugszik az üzleti döntéshozók és a tulajdonosok vállán, mivel a pár éve még a sci-fi kategóriába tartozó és napi szinten változó technológiai képességek governance nélkül csak kockázatot, és magánjogi (kártérítési), valamint közjogi (a hatóságok irányába fennálló, bírságok és egyéb hátrányok formájában megjelenő) kitettséget jelentenek, amely - amint erről a múltkor is írtam -, általában nehezen terhelhető át másokra, többek között a biztosítókra.

A governance komplexitásának és összetettségének változói

Mivel egy AI rendszer építése, használata, és a működés során jelentkező incidensek kezelése sokféle tudást és tapasztalatot igényel, elengedhetetlen, hogy egy AI governance rendszer is a hozzáértő és felelősséget vállalni tudó személyek, a jogi, műszaki, operatív, stratégiai és üzleti döntéshozók hatékony és interdiszciplináris koordinációjára, illetve együttműködésére épüljön.

Az, hogy ez a szervezeti keretrendszer mennyire érett, komplex, integrált (esetleg még irányítási rendszerekkel), hány rétegből áll, állandó és/vagy ad-hoc jellegű, milyen szerepeket foglal magában, az többek között az adott szervezet konkrét tevékenységétől, az üzleti tevékenységének kontextusától, szabályozási környezetétől, és a felső vezetés elkötelezettségének mértékétől, valamint a cég rendelkezésére álló erőforrások mennyiségétől is függ.

Ha csak használjuk az AI-t

Amennyiben egy cég csak egy a piacon elérhető generatív AI megoldást használ magas kockázatúnak nem minősülő felhasználási esetekre nem szabályozott területen (pl. munkafolyamatok javítása, automatizálása, marketing), ott a kiválasztási folyamat, a use case-k befogadása, elbírálása és kategorizálása megengedett, korlátozott és tiltott kategóriák szerint általában csak a jog, informatikai, kiberbiztonság és a risk/compliance szerepkörök részéről igényel közreműködést, de a használat monitorozása és felügyelete use case-től függően már kockázatkezelési szabályrendszer megalkotását és kockázatkezelési intézkedések foganatosítását is szükségessé teheti. Ilyen esetben a meglévő funkciók mellett már egy helyben kinevezett AI champion vagy AI officer kijelölése is elégséges lehet, aki a fenti funkciók munkáját össze tudja fogni és szintetizálni képes. Fontos, hogy a GDPR-ral, és a kiberbiztonsági szabályokat tartalmazó NIS2 irányelvvel ellentétben az EU Mesterséges Intelligencia Rendelete nem írja elő konkrét tisztviselő és felelős kinevezését; a megfeleléshez szükséges szerepkörök azonosítása, kiválasztása és betöltése a cégek kizárólagos feladata és felelőssége.

Fejlesztés és szolgáltatásnyújtás: magasabb elvárások

Egy önálló modellt fejlesztő, vagy mások modelljét felhasználó AI rendszert építő vagy használó cégnél minden bizonnyal már több, a megfeleléssel kapcsolatos kérdés és feladat merülhet fel.

Szükség lesz mérnökökre, akik értik és tudják, hogy hogyan épül fel és működik egy ilyen megoldás, a modell tanításához teszteléséhez és validálásához felhasznált adatok kiválasztásához, tisztításához és elemzéséhez, valamint a modell teljesítményének értékeléséhez be kell vonni megfelelő szakértelemmel rendelkező data scientist-eket, és a fejlesztés irányának és céljainak meghatározásában konstruktív párbeszéd alapján jobban be kell vonódnia az üzleti döntéshozóknak is.

Nem prompt, és kontextus, hanem legal engineering

Az irányítási rendszer részeként szükség lesz természetesen a belsősként funkcionáló, vagy külső tanácsadóként megjelenő jogászokra is, akik ismerik és értik az adott cég működését, üzleti környezetét, a tevékenységére irányadó jogszabályi környezetet, szakértő módon tudják véleményezni és minősíteni/kategorizálni az egyes felhasználási eseteket, és adott esetben a use case-k felülvizsgálata révén kedvezőbb jogi helyzetet tudnak kidolgozni a cég számára.

A praxisom során többször is előfordult, hogy egy felhasználási esetet az üzleti cél szem előtt tartásával sikerült úgy "eltérítenem" a jogi design és solution engineering eszközeinek felhasználásával, hogy az adott cég ezzel kikerült a magas kockázatú kötelezettségek hatálya alól, és ezzel sok időt, pénzt és energiát takarítottak meg. Arra is volt példa viszont, hogy egy cég marketing osztálya az EU Mesterséges Intelligencia Rendeletében meghatározott, a tudatalatti reklámokra vonatkozó, a hazainál enyhébb szabályozásban rejlő lehetőségeket kívánta volna meglovagolni, de ott a hazai jogszabályok egyértelmű tiltó rendelkezése felülírta ezt.

Az AI jogi szaktudás fontosságát nem lehet eléggé kihangsúlyozni egy olyan összetett jogszabályi környezetben, ahol a szakirányú tanácsadás alapvető termékbiztonsági, technológiai, adat-, és platformjogi ismereteket és tapasztalatot is feltételez.

Etikai szempontok

Sok ügyfelem ragaszkodik ahhoz, hogy ők csak a jogszabályok alapján kötelező minimumot szeretnék és hajlandóak megvalósítani, és nincs szükségük olyan, ún. "nice to have" rendelkezésekre a szerződésekben és szabályzatokban, amelyek nem egyértelműen ezt a célt szolgálják. Ebből a nézőpontból szemlélve különösen érdekes kérdés, hogy a normatív, mindenkire nézve kötelező jogszabályok mellett vajon milye szerepe lehet az opcionálisan alkalmazható etikának, és az ehhez kapcsolódó morális megfontolásoknak az AI technológiák használata és fejlesztése kapcsán?

Tapasztalataim szerint az etikai megfontolások leginkább ott játszhatnak szerepet, ahol a jogszabályok rendelkezései hiányosak, alkalmazásuk az adott megoldásra és/vagy felhasználási esetre nem egyértelmű, vagy a kötelezettség eleve etikai vonásokkal is bír - ez különösen olyan esetekben fordulhat elő, amikor egy döntés (például egy use case engedélyezése, korlátozása vagy tiltása) nem hozható meg egyértelműen egy bináris válasz mentén, hanem kontextus-függő elemzés szükséges. Tipikusan ilyenek az alapjogi védelmet célzó, például a diszkriminációmentesség, vagy a tisztességesség követelményeinek biztosítására vonatkozó megfontolások és üzleti döntések. Hasznos lehet az etikai szempontok figyelembevétele ott is, ahol az üzleti driverek és a monetizáció túlzott mértékben érvényesülő szempontrendszerével szemben ellensúlyt kívánnak képezni. A társadalmi felelősségvállalás (ESG), a gyermekek, ügyfelek vagy munkavállalók érdekeinek fokozott tiszteletben tartása és egyéb etikai szempontoknak a döntéshozatali mechanizmusa történő integrációja végső soron az adott cég reputációját és ázsióját is emelheti, versenyelőnyt és piaci pozitív megkülönböztetést is eredményezhet. Kérdés persze, hogy a kötelező minimum elvét szem előtt tartó cégek milyen rugalmasságot mutatnak ezen témában.

Azt - kötelező jogszabályi előírás hiányában - mindegyik cég maga dönti el, hogy az adott cégnél egyáltalán teret kívánnak-e adni ezeknek a megfontolásoknak, és ha igen, akkor milyen súllyal és formában, és az etikai szempontokat a szervezeti rendszerben milyen bizottság vagy egyéb szerepkör milyen döntési, jóváhagyási, konzultációs vagy tájékoztatási joggal csatornázzák be a döntéshozatali és operatív folyamatokba.

RACI-mátrixok

A projekt management egyik fontos eszközét alkotják az egyes szerepköröket, feladatukat és felelősségük mértékét jól körülhatároló, ún. RACI-táblázatok, és ezek használata az AI governance keretrendszerekben sem kerülhető el, sőt! Talán még soha nem volt ennyire fontos az, hogy a szervezet egyértelműen rögzítse s meghatározza a kulcsfontosságú folyamatokért való felelősség és elszámoltathatóság szabályait, például az AI incidensek esetén követendő eljárásrendet, felelősöket, eszkalációs, döntéshozatali, tájékoztatási, konzultációs, jóváhagyási és végrehajtási folyamatokat és szerepköröket. Ennek hiánya, és ellenőrzött működése ugyanis katasztrofális következményekkel járhat.

2023-ban működött San Francisco-ban Cruise néven egy jelentős piaci értékkel bíró és gazdag perspektívával és jövőképpel rendelkező robotaxi szolgáltatás. Egy sajnálatos balesetben egy másik autó által elütött gyalogos az AI technológiával vezérelt, vezető nélküli Cruise autó útjába került, amely ahelyett, hogy azonnal megállt volna, az úton hosszan maga alá gyűrve húzta maga alatt a szerencsétlenül járt gyalogost. A Cruise először igyekezett elterelni a figyelmet a saját felelősségéről, nem kommunikált egyértelműen és koordinált módon, nem tárta fel az ügy összes körülményét a közlekedési hatóság részére, valószínűleg azért sem, mert nem volt tisztában az eset jelentőségével és a saját szolgáltatása meghibásodásának részleteivel, illetve nem számolt azzal sem, hogy ebben a mediatizált világban egy ilyen hír hihetetlen gyorsan képes egy akármilyen jó nevű cég hírnevének megtépázására. Az ügy következményeként a cég jelentős bírságot kapott, felfüggesztették az engedélyét és végül kihátrált mögülük a finanszírozásért felelős General Motors is, ami a szolgáltatás végét jelentette. Esetleg ha a cégnek lett volna egy jól működő belső governance struktúrája, ahol preventív jelleggel megfelelő tervezéssel felkészülhettek volna egy ilyen típusú balesetre, ahol mindenki egyértelműen tisztában van a saját feladatával, a döntéshozók és a kommunikációs csapat időben és egyértelmű tájékoztatást kapnak a baleset körülményeiről, és a hatóságokkal proaktívan együttműködve gyors és hatékony korrekciós intézkedéseket hoztak volna az incidenskezelési eljárásrendjüknek megfelelően, akkor talán másképp alakulhatott volna a cég sorsa is.

Ez az eset egyértelműen rávilágít arra, hogy egy jól működő governance rendszernek nemcsak a kockázatok megelőzésére, de az azokra való felkészüléssel azok gyors és hatékony kezelésére is alkalmasnak kell lennie. Ez persze elengedhetetlen egy az AI rendszerek és modellek sajátosságaira is kiterjedő kockázatkezelési rendszer bevezetése nélkül, amelynek szerves részét képezi az adott szervezetet érintő AI-specifikus kockázatok felmérése, azonosítása, értékelése és kezelése is. De hogy is néz ki ez a gyakorlatban?

A kockázatkezelés szerepe az AI governance-ben

A kockázat csak negatív lehet?

Az AI irányítási rendszerekkel foglalkozó ISO/IEC 42001:2023 szabványban a kockázat érdekes módon eltérő, bővebb jelentést hordoz, mint a hagyományos kockázatkezelésről szóló szabványok és egyéb előírások.

Míg a kockázat általában valamilyen negatív következménnyel, bekövetkezésével és a fenyegető kitettség mértékével foglalkozik, az említett szabványban ez a fogalom egyaránt jelenthet hátrányos jövőbeni következményt, amit megfelelő eszközökkel csökkenthetünk, elkerülhetünk, transzferálhatunk, vagy éppen elfogadhatunk, illetve pozitív eseményt is, ami lehetőségként jelenik meg az AI technológiával foglalkozó cégek számára, és amelynek a kihasználására ugyanúgy alkalmas lehet az AI irányítási rendszerünk.

Az AI kockázatok tipológiája

Mint azt korábban már említettem az EU Mesterséges Intelligencia Rendeletéről szóló cikksorozatom első részében, az AI rendszerek egyik alapvető megkülönböztető jellemzője a hagyományos szoftverektől az a gépi tanulás alapú kikövetkeztetési képességük, amely újszerű kockázatokat teremt az ilyen rendszereket használó és fejlesztők részére egyaránt. Ha egy cég AI rendszert használ a munkafolyamatai során, vagy ilyen megoldásokat fejleszt, akkor érdemes egy komplett stratégiát kidolgozni ezeknek a kockázatoknak a menedzselésére.

A fejlesztés és a használat során problémát okozhatnak az olyan működési kockázatok, mint például a használt modell nem megfelelő működése, a tanítóadatokhoz képest az időközben bekövetkezett életbeli változások miatt jelentkező model drift néven ismert rendellenesség, a tanítóadatok nem megfelelősége (underfitting vagy overfitting), a benne lévő, és a gyakorlati használat során a jogszerű és etikus használatát akadályozó torzítások (bias), vagy az AI döntési szempontrendszerének alapvetően átláthatatlan működése (black box).

Az önálló AI-ügynökök, és az ügynöki (agentic) AI rohamos elterjedésével párhuzamosan leginkább és legszélesebb körben figyelmen kívül hagyott veszély a kiberbiztonsági kockázatok széles köre. A felhasználó által nem észlelhető, rosszindulatú prompt injection-ök, az adatmérgezések, a vállalati és/vagy személyes adatok illetéktelen kezelte jutása (adatszivárgás, vagy adatvédelmi incidens), a vállalati chatbotok feltörése mind komoly anyagi, jogi és reputációs kitettséget eredményezhetnek megfelelő felkészültség hiányában.

Ugyanez igaz a jogi kockázatokra is, hiszen az AI megoldásokat nem egy szabályozói vákuumban használjuk; azok ugyanúgy alá vannak vetve nemcsak az AI jogi előírásoknak, de például a HR-ben történő használat esetén a munkajogi szabályoknak is, az ügyfelekkel való kapcsolattartásba integrált AI-chatbot esetén figyelemmel kell lenni a fogyasztóvédelmi és egyéb kötelezettségekre, személyes adatok felhasználása esetén be kell tartanunk a GDPR előírásait, és ezek megszegése esetén pénzbeli bírságot is kiszabhatnak ránk a hatóságok.

Kockázatkezelési stratégiák

Érdekes, hogy az EU Mesterséges Intelligencia Rendelete elvileg csak az ún. magas kockázatú AI rendszerek szolgáltatóit (termékbiztonsági értelemben: gyártóit), és közvetetten az ilyen rendszerek felhasználóit kötelezi kockázatkezelési rendszer létrehozatalára és működtetésére.

Mivel azonban - amint azt korábban bemutattuk - egy "sima" általános célú AI rendszer felhasználója is könnyen válhat magas kockázatú AI rendszer szolgáltatójává, és az AI rendszerek gyakori adaptivitása miatt egy adott cég kockázati és szabályozási profilja is gyorsan megváltozhat, megfontolandó, hogy a nem magas kockázatú (a köznyelvben alacsony kockázatúnak titulált, vagy csak transzparencia-követelményekhez kötött) AI rendszerek szolgáltatói és felhasználói is bevezessenek és működtessenek egy életciklus-alapú, folyamatos iteráción, és a több ISO-standard működési elvét képező "plan-do-check-act" megközelítésre felhúzott kockázatkezelési rendszert. Ehhez egyébként az ISO/IEC 42001:2023 szabvány, kiegészülve a klasszikus kockázatkezelési ISO-szabályrendszert AI specifikus rendelkezésekkel kiegészítő ISO/IEC 23894:2023, és az AI rendszerek hatásvizsgálatának szabályait tartalmazó, viszonylag friss, ISO/IEC 42005:2025 szabványokkal kiváló alapot, szabályozási és operatív keretet biztosítanak.

Hogyan működik az AI kockázatkezelés a gyakorlatban?

Egy magára valamit is adó AI kockázatkezelési rendszer lényege az adott cég által a tevékenységük figyelembevételével azonosított, az egészségre, biztonságra és az alapvető jogokra jelentő kockázatok beazonosítása (lásd többek között a fenti listát), az egyes károk bekövetkezési valószínűségének és a bekövetkezésük esetén fenyegető veszély/kár megbecsülése (kvantitatív elemzés) és a kockázat kategorizálása (kvalitatív értékelés), az adott kockázattal kapcsolatos stratégia (lépések, kontrollok és döntési pontok) meghatározása, és mindennek egy karbantartott, és folyamatok, szerepek (és RACI) szintjén a vállalat meglévő irányítási rendszereibe integrált módon történő működtetését jelenti.

A cég többek között dönthet úgy, hogy egy előre meghatározott szempontrendszer szerint beazonosított, alacsony kockázatú és kisebb kitettséggel járó veszélyeket elfogadja, például tisztában van azzal, hogy az AI rendszer segítségével hozott döntéseket az AI modellek fekete doboz-szerű működése miatt nem fogja tudni megmagyarázni. Az AI rendszerek pontatlan, vagy megbízhatatlan eredményeinek kedvezőtlen hatásait a cég ellensúlyozhatja azzal, hogy az AI felhasználói szabályzatban kötelezi a munkavállalókat arra, hogy az AI által kiadott eredményeket megfelelően validálják a felhasználásuk előtt, és a jól ismert "human in the loop" megoldást alkalmazva egyértelműen elhatárolják egymástól a technológia működését, és az emberi döntéshozatalt. A magasabb kitettséggel, például hatósági bírsággal fenyegető eseteket a cég megpróbálhatja áthárítani szolgáltató esetén a felhasználókra, és/vagy a cég szakmai felelősségbiztosításáért felelős biztosító társaságra, bár ez utóbbi elképzelhető, hogy sikertelen lesz. A bátrabb, az ügynöki AI megoldásokat a vállalati környezetben is bevezető ügyvezetés risk treatment címén valószínűleg kénytelen lesz nagyon szigorú szervezeti, személyi, kiberbiztonsági korlátokat, és egyéb, például a modell és az általa felhívott alkalmazások közötti kommunikációra és az utóbbi autoritására vonatkozó technológiai intézkedéseket meghatározni a kockázatkezelési rendszerében.

Ha szükséged van jogi, és/vagy szabvány alapú tanácsadásra vagy támogatásra AI irányítási rendszer kialakításában, AI kockázatelemzési rendszer kiépítésében, ISO/IEC 42001:2023, ISO/IEC 23894:2023, vagy más szabvány bevezetésében, gyakorlati alkalmazásában, vagy éppen auditálásában, AI-szakjogászként, Lead Auditor-ként és certified AI Risk Specialist-ként szívesen segítek a folyamat bármelyik, vagy akár mindegyik részében is. Az elérhetőségeimet itt találod.

Ha pedig a jelen cikkben foglaltaknál mélyebben is érdekel az AI governance, akkor jelentkezz a Mestersége(s) Ügyvéd és az Arsboni közös szervezésében megrendezésre kerülő gyakorlati AI jogi megfeleléssel foglalkozó rendezvénysorozatára, amelynek utolsó részében az AI governance megoldásokról tartok részletes előadást.