Neden politika gereklidir?
Politikasız AI kullanımının üç ana riski vardır:
- Veri sızıntısı: Hassas iç bilgi, sözleşme, kişisel veri AI eğitim setine girebilir.
- Uyum riski: KVKK, GDPR, sektörel düzenlemeler AI ile çelişen davranışları cezalandırır.
- Fikrî mülkiyet: AI'a girilen kurum verisi, hukuki olarak kuruma ait olmayabilir.
İyi bir politika bu üç riski yönetir, AI kullanımını yasaklamaz.
Politikanın temel bileşenleri
1. Onaylı araç listesi
Kurumda hangi AI araçlarının kullanılabileceği açıkça tanımlanmalı. "Her şey serbest" politikası kontrol kaybıdır; "her şey yasak" politikası uygulanamaz. Tipik onaylı liste:
- Kurumsal hesap üzerinden Microsoft Copilot
- Kurumsal hesap üzerinden ChatGPT Team / Enterprise
- Onaylı SaaS uygulamalardaki entegre AI özellikleri
Bireysel ücretsiz hesaplarla kurum verisi girmek tipik olarak yasaktır.
2. Veri sınıflandırması
Kurumdaki veriyi 3-4 kategoriye ayırın ve her kategori için AI'a girme yetkisi belirleyin:
- Kamuya açık veri: Sınırsız AI kullanımı serbesttir.
- İç kullanım verisi: Sadece kurumsal hesap ile onaylı araçlarda.
- Hassas / kişisel veri: Önce anonimleştirme, sonra kullanım.
- Gizli / stratejik veri: AI araçlarına girilemez; sadece on-prem çözümler.
3. Kullanım kuralları
- AI çıktısı doğrulanmadan dış paydaşa iletilmez.
- AI ile üretilen içerik kayıt altına alınır; AI'ın kullanıldığı belirtilir.
- Karar destek aracı olarak kullanılır, karar verici değildir.
- KVKK kapsamında kişisel veri içeren talepler için ek onay süreci geçerlidir.
4. Eğitim ve farkındalık
Politika tek başına işe yaramaz; çalışanın anlamadığı kural uygulanmaz. Politikanın yayınlanmasıyla birlikte:
- Tüm çalışanlara 1 saatlik temel eğitim
- Yöneticilere 2 saatlik derin eğitim
- Yıllık tekrar oturumları
5. İzin alma ve istisna yönetimi
Politika dışı bir araç kullanmak isteyen ekip için resmi başvuru süreci tanımlanmalı: gerekçe, veri sınıfı, alternatifler değerlendirildi mi. Karar mekanizması net olmalı.
KVKK ile uyum
AI araçlarına kişisel veri girildiğinde, veri sorumlusu olarak kurum aşağıdaki yükümlülükleri taşır:
- Veri işleme amacına uygunluk
- Açık rıza veya hukuki dayanak
- Veri minimizasyonu
- Yurt dışına aktarım kuralları
Pratik tavsiye: ChatGPT, Claude, Gemini gibi araçlar yurt dışında veri işliyor. Kurumsal sürümlerinde "veri eğitimde kullanılmaz" garantisi vardır ancak yurt dışına aktarım kapsamında ayrıca değerlendirme gerekir.
Politika belgesinin yapısı
- Amaç ve kapsam
- Tanımlar ve onaylı araçlar
- Veri sınıflandırması ve kullanım izinleri
- Kullanım kuralları
- Eğitim ve farkındalık
- İhlal yönetimi ve sorumluluk
- İzleme ve gözden geçirme
Politika belgesi 4-6 sayfayı geçmemelidir. Uzun belgeler okunmaz.
İyi politika sadece yazıldığı anda değil, her 6 ayda bir gözden geçirildiği zaman işe yarar. AI ekosistemi 6 ayda değişiyor; politikanız da değişmelidir.
Arai Teknoloji desteği
Kurumlara güvenli AI politikası oluşturmak için 2-4 haftalık atölye programı sunuyoruz: kurum içi durum analizi, çalışan farkındalık eğitimi, politika belgesi taslağı, yönetici bilgilendirme. Talepleriniz için iletişime geçebilirsiniz.