Agustos 2026 Son Tarihi: Ek III Yapay Zeka Ajanlari Icin Ne Anlama Geliyor
AB Yapay Zeka Yasasi 1 Agustos 2024'te yururluge girdi. Hukumleri uc yil icinde asamali olarak uygulanmaktadir, ancak kurumsal yapay zeka devreye almalari icin en onemli tarih 2 Agustos 2026'dir — Ek III kapsamindaki yuksek riskli yapay zeka sistemleri icin yukumluluklerin uygulanabilir hale geldigi tarih. Bu yumusak bir son tarih degildir. Uyumsuzluk, hangisi daha yuksekse 35 milyon EUR veya yillik kuresel cironun %7'sine kadar para cezalari tasimaktadir.
Ek III, yuksek riskli yapay zeka sistemlerinin sekiz kategorisini tanimlar. Bircok kategori dogrudan yaygin kurumsal yapay zeka ajan kullanim alanlarina eslenir. Kategori 1 (Biyometri): Musteri katiliminda veya erisim kontrolunde kimlik dogrulama icin kullanilan yapay zeka sistemleri. Kategori 3 (Egitim ve mesleki egitim): Ogrencileri degerlendiren veya egitim programlarina erisimi belirleyen yapay zeka sistemleri. Kategori 4 (Istihdam, calisan yonetimi ve serbest meslek erisimi): Ise alim taramasi, calisan performans degerlendirmesi, gorev tahsisi veya isten cikarma kararlari icin kullanilan yapay zeka sistemleri. Kategori 5 (Temel ozel ve kamu hizmetlerine erisim): Kredi puanlamasi, sigorta fiyatlandirmasi veya kamu yardinlarina uygunluk belirleme icin kullanilan yapay zeka sistemleri. Kategori 6 (Kolluk): Suc analitigi veya risk degerlendirmesinde kullanilan yapay zeka sistemleri. Kategori 8 (Adalet yonetimi ve demokratik surecler): Hukuki arastirma veya yargisal yardimda kullanilan yapay zeka sistemleri.
Cogu kurumsal yapay zeka ajani devreye almasi icin Kategori 4 (Istihdam) ve Kategori 5 (Temel hizmetler) kritik olanlardir. Yapay zeka ajaniniz ozgecmisleri tariyorsa, musteri hizmet taleplerini hesap degerine gore yonlendiriyorsa, garanti uygunlugunu belirliyorsa veya kredi basvuru kararlarina yardimci oluyorsa, buyuk olasilikla Ek III kapsaminda yuksek riskli bir sistemi isletiyorsunuz demektir.
Madde 8-15 kapsamindaki yuksek riskli sistem gereksinimleri kapsamlidir: risk yonetim sistemi (Madde 9), veri yonetisimi (Madde 10), teknik dokumantasyon (Madde 11), kayit tutma (Madde 12), seffaflik (Madde 13), insan gozetimi (Madde 14) ve dogruluk, saglamlik ve siber guvenlik (Madde 15). Bu makale bu gereksinimleri uygulamak icin operasyonel yol haritasini sunmaktadir.
Yuksek riskli olmayan ne oldugunu belirtmek gerekir. Urun SSS'lerini yanitlayan, belgeleri ozetleyen, rapor olusturan veya dahili arastirmaya yardimci olan yapay zeka ajanlari, bireylerin hizmetlere, istihdama veya haklara erisimi hakkindaki kararlari onemli olcude etkilmedikce genellikle Ek III'un disinda kalir. Siniflandirma ajanin amacina ve etkisine baglidir, altta yatan teknolojisine degil. GPT-4 destekli bir ajan dogasi geregi yuksek riskli degildir; is basvurularini tarayan GPT-4 destekli bir ajan yuksek risklidir.
Zaman baskisi gercektir. Bir yonetisim cercevesi olusturmak, denetim izleri uygulamak, gozetim mekanizmalari kurmak ve her seyi belgelemek orta olcekli bir kurulus icin 3-6 ay surer. Agustos 2026 uygulamasiyla, Mart 2026'ya kadar baslamayan kuruluslar ciddi uyumsuzluk riskiyle karsi karsiyadir. Simdi harekete gecenler, tepkisel degil dusunceli bir sekilde uygulamak icin zamana sahiptir.
Yapay Zeka Sistemi Envanterinizi Olusturmak
Var oldugunu bilmediginiz seyi yonetemezsiniz. Herhangi bir yapay zeka yonetisim programinin ilk adimi, organizasyon genelinde devreye alinmis veya gelistirme asamasindaki tum yapay zeka sistemlerinin kapsamli bir envanteridir. Bu gorundugundan daha zordur — yapay zeka merkezi BT'nin goruurlugu otesinde cogalma egilimindedir.
Neyi kataloglamali. Her yapay zeka sistemi, modeli veya yapay zeka destekli ozellik, su dahil: uretim yapay zeka ajanlari ve otonom sistemler, uretimde ML modelleri (oneri motorlari, dolandiricilik tespiti, tahminleme), ucuncu taraf yazilima gomulu yapay zeka ozellikleri (CRM'inizin potansiyel musteri puanlamasi, IK platformunuzun ozgecmis taramasi, ERP'nizin talep tahmini), LLM API'leri kullanan dahili araclar ("yalnizca verimlilik icin" olsa bile) ve gercek veri isleyen pilot projeler ve kavram kanitlari.
Ucuncu kategori — ucuncu taraf yazilima gomulu yapay zeka — cogu kurulusun kor noktasinin oldugu yerdir. Salesforce Einstein potansiyel musterilerinizi puanladiginda, bu ortaminizda bir yapay zeka sistemidir. SAP talep planlamasi icin ML kullandiginda, bu isletnmenizi etkileyen kararlar alan bir yapay zeka sistemidir. Envanteriniz bunlari icermelidir, cunku AB Yapay Zeka Yasasi kapsaminda yuksek riskli sistemler icin sadece saglayicilarin degil devreye alan kuruluslarin da yukumlulukleri vardir.
Envanter sablonu her sistem icin su bilgileri yakalamalidirr: benzersiz tanimlayici, sistem adi ve aciklamasi, kullanilan yapay zeka teknikleri (LLM, ML modeli, kural tabanli hibrit), saglayici (dahili, satici adi), destekledigi is sureci, isledigi veriler (kategoriler, hacim, hassasiyet), etkiledigi veya aldigi kararlar, etkilenen bireyler (calisanlar, musteriler, kamu), mevcut risk siniflandirmasi (degerlendirilecek), sistem sahibi (is birimi ve adlandirilmis kisi), devreye alma tarihi ve son inceleme tarihi.
Envanteri nasil yapmali. BT sistem kayitlari ve tedarik verileriyle baslayin — yapay zeka, ML veya analitik saticilariyla herhangi bir sozlesme. Ardindan is birimi liderlerine standart bir anketle sormaca yapin. ML/yapay zeka entegrasyonlarini gayr resmi olarak devreye almis olabilecek teknik ekiplerle takip edin. Yapay zekayla ilgili API ucretleri icin bulut faturalandirmasini kontrol edin (OpenAI, Anthropic, Google AI, AWS Bedrock, Azure OpenAI). Dahili gelistirme depolarini ML/yapay zeka projeleri icin inceleyin.
Korvus Labs'taki deneyimimizde envanter sureci, orta olcekli bir kurulus (500-5.000 calisan) icin 2-3 hafta surer ve yonetiimin baslangicta tahmin ettginden %40-60 daha fazla yapay zeka sistemi ortaya cikarir. Bu boyuttaki tipik kurulus, tum ucuncu taraf yapay zeka ozellikleri sayildiginda 15-35 ayri yapay zeka sistemine sahiptir.
Envanteri surdurmek olusturmak kadar onemlidir. Mevcut satici yazilimindaki yeni ozellikler dahil herhangi bir yeni yapay zeka sistemi devreye almasinin yayina gecmeden once envantere kaydedilmesi gerektiren bir politika olusturun. Envanteri guncel tutmaktan sorumlu merkezi bir sahip (genellikle Yapay Zeka Risk Sorumlsu veya DPO) atayin. Eksiksiz envanteri uc ayda bir inceleyin.
Bu envanter, bundan sonra gelen her seyin temelini olusturur: risk siniflandirmasi, denetim izi gereksinimleri, gozetim mekanizmalari ve dokumantasyon yukumlulukleri. Onsuz yonetisim teoriktir. Onunla yonetisim operasyoneldir.
Ajansal Yapay Zeka Sistemleri Icin Risk Siniflandirmasi
Envanteriniz tamamlandiginda, her yapay zeka sistemi AB Yapay Zeka Yasasi'nin risk kategorilerine siniflandirilmalidir. Siniflandirma hangi yukumluluklerin gecerli oldugunu ve yonetisimin ne kadar yogun olmasi gerektigini belirler.
AB Yapay Zeka Yasasi kapsamindaki dort risk duzeyi sunlardir: Yasakli (Madde 5) — toplumsal puanlama, gercek zamanli biyometrik gozetim (istisnalar dahilinde) ve manipulatif yapay zeka dahil tamamen yasaklanmis yapay zeka sistemleri. Yuksek risk (Ek III, Madde 6-7) — yukarida listelenen sekiz kategorideki yapay zeka sistemleri, Madde 8-15'in tam gereksinimlerine tabi. Sinirli risk (Madde 50) — esas olarak yapay zeka dogalarini aciklamasi gereken sohbet robotlari ve deepfake uretecleri olmak uzere seffaflik yukumlulukleri olan yapay zeka sistemleri. Minimum risk — gonullu uygulama kurallari disinda spesifik yukumlulugu olmayan diger her sey.
Yapay zeka ajanlari icin siniflandirma zorrlugu, ayni altta yatan teknolojinin uygulamasina bagli olarak farkli risk kategorilerine girebilmesidir. GPT-4o kullanan bir yapay zeka ajani, toplanti notlarini ozetlediginde minimum risklidir. Musterilerle etkilestiginde sinirli risklidir (yapay zeka dogasini aciklama yukumlulugu). Is basvurularini taradiginda veya kredi uygunlugunu belilerlediginde yuksek riskli olur.
Oneridgimiz siniflandirma karar cercevesinin bes sorusu vardir:
- Yapay zeka sistemi herhangi bir Ek III kategorisine giriyor mu? Evetse, varsayimsal olarak yuksek risklidir. 2. soruya devam edin.
- Yapay zeka sisteminin ciktisi, bireylerin istihdama, hizmetlere, egitime veya haklara erisimiyle ilgili kararlari onemli olcude etkiliyor mu? Evetse, yuksek risk siniflandirmasini dogrulayin.
- Yapay zeka sisteminin rolu tamamen yardimci mi — bir insan karar vericinin harekete gecmeden once bagimsiz olarak degerlendirdigi bilgiler mi sagliyor? Evet ise ve insan gercek takdir hakki ve gecersiz kilma yetkinligine sahipse, sistem Madde 6(3) kapsaminda yuksek riskin disinda kalabilir; bu madde dar prosedurel gorevleri yerine getiren, daha once tamamlanmis insan faaliyetlerinin sonucunu iyilestiren veya insan degerlendirmesini degistirmeden karar alma kaliplarini tespit eden yapay zeka sistemlerini muaf tutar.
- Yapay zeka sistemi bireylerle (musteriler, calisanlar, kamu) dogrudan etkilesime giriyor mu? Evetse, en azindan sinirli risk seffaflik yukumlulukleri gecerlidir.
- Yapay zeka sistemi kisisel veri isliyor mu? Evetse, AB Yapay Zeka Yasasi gereksinimlerine ek olarak KVKK/GDPR yukumlulukleri gecerlidir.
Yapay zeka ajanlari icin ozellikle, ajanlar yalnizca bilgi saglamaz — eylem alir — oldugu icin siniflandirma genellikle yuksek risktir. Otomatik olarak iadeleri isleyen, musteri hesaplarini degistiren, destek taleplerini eskale eden veya oncelisini dusuren ya da calisanlara gorev atayan bir ajan, bireyleri etkileyen operasyonel kararlar almaktadir. Madde 6(3) kapsamindaki "tamamen yardimci" muafiyeti, tam olarak harekete gecmek icin tasarlandiklari icin otonom ajan sistemlerine genellikle uygulanmaz.
Onerimiz: tutucu siniflandirin. Bir yapay zeka ajaninin yuksek riskli olup olmadigi konusunda herhangi bir suphe varsa, yuksek riskli olarak ele alin. Asiri siniflandirmanin maliyeti ek yonetisim yukudur (yonetilebilir). Eksik siniflandirmanin maliyeti regulasyon uyumsuzlugudur (potansiyel olarak felaket). Baslangic degerlendirmesinde 8 sistemi yuksek riskli olarak siniflandiran, ardindan daha derin hukuki analizden sonra 5'e inceltenn kuruluslarla calistik. Yuksekten baslayip daraltmak, tersinden daha guvenlidir.
Her sistem icin siniflandirma kararini su bilgilerle belgeleyin: degerlendirmecinin adi ve nitelikleri, degerlendirme tarihi, degerlendirilen Ek III kategorisi, siniflandirma kararinin geekcelsi, elde edilen harici hukuki gorusler ve sonraki planli inceleme tarihi (yillik yeniden siniflandirma veya sistemin islevselliginde onemli bir degisiklik oldugunda oneririz).
Belirleyici Olmayan Sistemler Icin Denetim Izleri Tasarlamak
Geleneksel kurumsal denetim izleri belirleyici sistemleri varsayar: ayni girdi her zaman ayni ciktiyi uretir ve sistemin karar mantigi yapilandimasindan yeniden olusturulabilir. Yapay zeka ajanlari her iki varsayimi da ihlal eder. Ayni girdi, modelin durumuna, baglam penceresi iceriklerine ve cikarsama zamani orneklemesine bagli olarak farkli ciktilar uretebilir. Karar mantigi, insanin okuyabilecegi kurallar yerine milyarlarca sinir agi parametresinde kodlanmistir.
Bu, denetim izlerinin imkansiz oldugu anlamina gelmez — farkli sekilde tasarlanmasi gerektigini anlamina gelir. AB Yapay Zeka Yasasi'nin Madde 12'si, yuksek riskli yapay zeka sistemlerinin risklerin belirlenmesini, pazarlama sonrasi izlemeyi kolaylastirmak ve sistemin operasyonlarinin izlenebilirligini saglayan ilgili olaylarin kaydedilmesini ("kayitlar") mumkun kilan kayit yeteneklerine sahip olmasini gerektirir.
Katman 1: Girdi Kaydi. Yapay zeka sistemine eksiksiz girdiyi yakalamak: kullanicinin istegi, sistem promptu (versiyonlanmis), RAG veya arac cagirlari araciligiyla enjekte edilen tum baglam, model tanimlayici ve versiyonu ve herhangi bir yapilandirma parametresi (sicaklik, maksimum token, vb.). Girdi kayitlari degismez sekilde depolanmalidir — yazildiktan sonra saklama suresi boyunca degistirilemez veya silinemez. Her girisi, senkronize saat kaynagindan UTC zamaniyla zaman damgalayin.
Katman 2: Akil Yurutme Izi Yakalama. Ajan denetim izlerinin geleneksel sistemlerden en keskin sekilde ayristigid yer burasiddir. Bir ajanin akil yurutme sureci birden fazla adim icerir: istegin ilk yorumlanmasi, hangi araclarin kullanilacaginin planlanmasi, arac cagrilarinin yurtulmesi, sonuclarin alinmasi, yeniden degerlendirme ve yanit olusturma. Her adim yakalanmalidir. LangChain/LangGraph tabanli ajanlar icin bu, graftaki her dugum yurtmesini, her arac cagrisini parametreleri ve sonuclariyla ve her ara LLM cagrisini promptu ve yantiyla kaydetmek anlamina gelir. Akil yurutme izi, yapay zekanin isinizi gosterme karsiligidirr — incelemecilerin ajanin yalnizca ne karar verdigini degil, o karara nasil ulastigini anlamasina olanak tanir.
Katman 3: Eylem Kaydi. Ajanin harici sistemler uzerinde gerceklestirdigi her eylem, ajanin kendi kayitlarindan bagimsiz olarak kaydedilmelidir. Ajan bir musteri kaydini degistirdiginde, CRM degisikligi ajanin hizmet hesabiyla aktior olarak kaydetmelidir. Ajan bir e-posta gonderdiginde, e-posta sistemi gonderim olayini kaydetmelidir. Bu, ajanin akil yurutme iziyle capraz referans yapilabilecek dogrulyici bir kayit olusturur. Ajanin yaptigini rapor ettikleri ile sistem kayitlarinin gercekte yaptigini gosterdikleri arasindaki tutarsizliklar, derhal sorusturma gerektiren ciddi bir sorunu isaret eder.
Katman 4: Cikti Kaydi. Kullaniciya veya alt sisteme sunulan eksiksiz ciktiyi yakalamak: yanit metni, olusturulan yapilandrilmis veriler, guven puanlari ve otonom yanit verme karari ile eskalasyon karari. Ayrica LLM yanitini olusturduktan sonra uygulanan cikti filtreleme veya degisikliklarini (kisisel veri redaksionu, icerik politikasi filtrelemesi, format donusumu) kaydedin.
Katman 5: Guven ve Belirsizlik Puanlamasi. Ajanin aldigi her karar icin bir guven puani kaydedin. Bu iki amaca hizmet eder: denetim icin nicel bir temel saglar ("ajan bu siniflandirmada 0,94 guven duzeyindeydi") ve toplu analiz mumkun kilar ("dusuk guven puanli kararlar ne siklikla yanlis cikiyor?"). Guven puanlari kalibre edilmelidir — 0,9 puani ajanin yaklasik %90 dogrulukla dogru oldugu anlamina gelmelidir. Kalibrasyon, Madde 15 kapsamindaki sistemin dogruluk gereksinimlerinin bir parcasi olarak test edilmeli ve belgelenmelidir.
Depolama ve saklama. Yuksek riskli yapay zeka sistemleri icin denetim kayitlari, Ek IV kapsamindaki teknik dokumantasyon icin genel gereksinimlere uygun olarak sistemin omru arti en az 10 yil saklanmalidir. Pratikte, kayitlari uc katmanda yapilandirmanizi oneririz: sicak depolama (30 gun, tam cozunurluk, aninda sorgulanabilir) Elasticsearch veya emsalinde, ilik depolama (1 yil, tam cozunurluk, dakikalar icinde sorgulanabilir) sikistirilmis nesne depolamada ve soguk depolama (10+ yil, arsivlenmis, saatler icinde alinabilir) degismez arsiv depolamada. Orta hacimli bir ajan (gunluk 10.000 etkilesim) icin toplam depolama maliyetleri tum katmanlar arasinda yaklasik ayda 200-500 EUR civarindadir.
Pratik uygulama. Denetim izlerini dagitilmis izleme icin (hizmet sinirlari arasinda akil yurutme izini yakalayan) OpenTelemetry, merkezi bir kayit toplayicisina JSON olaylari ureten yapilandirilmis bir kayit cercevesi ve birlesik bes katmanli kaydi degistirilemez, sahtecilige dayanikli bir formatta depolayan ayri bir denetim veritabani kullanarak uyguluyoruz. Bu kayit altyapisinin teknik mimarisi, olusturudugumuz her ajan devreye almasinin standart bir bilesendir.
Gercekten Calisan Insan Gozetim Mekanizmalari
AB Yapay Zeka Yasasi'nin Madde 14'u, yuksek riskli yapay zeka sistemlerinin etkili insan gotetimine olanak verecek sekilde tasarlanmasini gerektirir. Madde, gozetimin insana su imkanlari saglmasini belirtir: sistemin yeteneklerini ve sinirlamalarini tam olarak anlamak, isleyisi duzgun izlemek, anomalileri ve arizalari tespit etmek, ciktilari dogru yorumlamak ve sistemi kullanmama veya ciktisini gecersiz kilma karari vermek.
Pratikte, cogu kuruuls insan gozetimini kutu isaretleme uygulamasi olarak hayata gecirir — kimsenin bakmadigi bir kontrol paneli, lastik muhure donusen bir onay is akisi veya bireysel kararlari incelemeden toplu istatistikleri inceleyen uc aylik bir inceleme. Bu Madde 14'u karsilamaz ve daha da onemlisi yapay zeka sistemini fiilen yonetmez.
Etkili gozetim dort mekanizma gerektirir:
Mekanizma 1: Guven Tabanli Onay Is Akislari. Ajani, altindaki otonom olarak hareket edemeyecegi bir guven esiigiyle yapilandirin. Yuksek riskli kararlar (kredi onay, calisan degerlendirmesi, hizmet uygunlugu) icin bu esigi agresif olarak — 0,95 veya daha yuksek — ayarlayin. Ajanin guveni esigin altina dustugunde, yurutmeyi duraklatir ve karari eksiksiz akil yurutme iziyle nitelikli bir insan incelemeciye yonlendirir. Incelemeci su bilgileri gorur: ajanin onerilen eylemi, guven puani, akil yurutme zinciri, basurdugu veriler ve belirlediigi celiskili bilgiler. Incelemeci ardindan onerilen eylemi onaylar, degistirir veya reddeder. Bu ikili onayla/reddet degildir — incelemecinin yururluge girmeden once ajanin ciktisini degistirme yetkisine sahip olmasi gerekir.
Mekanizma 2: Istatistiksel Ornekleme Incelemesi. Ajan guven esiginin uzerinde calistiginda bile, kararlarin rastgele bir orneklemi insanlar tarafindan incelenmelidir. Yuksek riskli sistemler icin haftalik olarak incelenen %5 rastgele orneklem oneririz. Incelemeci her ornekleennmis karari dogruluk, adalet ve uygunluk acisindan degerlendirir. Bulgular ajanin sistem promptuna, bilgi tabanina ve esik kalibrasyonuna geri beslenir. Bu, bireysel guven puanlarinin kacirdigi sistematik hatalari yakalar — ornegin, surekli guveni yuksek ancak belirli bir yonde ince bir sekilde onyargili olan bir ajan.
Mekanizma 3: Anomali Tespiti ve Uyari. Otomatik izleme olagan disi kaliplari isaretlemelidir: ajan kararlarinin dagilimnda ani degisiklikler (ornegin, onay oranlarinin haftadan haftaya %5'ten fazla kaymasi), belirli bir kategoride dusuk guven kararlari kumeleri, olagan disi hata kaliplari ve bilinen test vakalari uzerinde beklenen davranistan onemli sapmalar. Uyarilar, tanimli yanit prosedrurleri ve zaman cizelgeleriyle sistem sahibine ve Yapay Zeka Risk Sorunlusuna gitmmelidir. Onerilen uyari cercevemiz uc ciddiyet duzeyi icerir: bilgilendirici (5 is gunu icinde inceleme), uyari (24 saat icinde inceleme) ve kritik (derhal inceleme, cozulene kadar ajan durdurulur).
Mekanizma 4: Gecersiz Kilma ve Acil Durdurma Anahtari. Her yapay zeka ajaninin derhal kapatma icin belgelenmis bir proseduru olmalidir. Bu yalnizca bir acil durum dummesi degildir — operasyon ekibinin 5 dakikadan kisa surede yuruttebilecegi test edilmis, prova edilmis bir prosedurdur. Acil durdurma anahtari su islemleri yapmalidir: ajanin yeni eylemler almasini durdurmak, tum devam eden etkilesimleri korumak, bekleyen kararlari insan temsilcilere yonlendirmek, kapatma olayini tetikleyici nedenle kaydetmek ve tum ilgili paydlslara bildirim gondermek. Acil durdurma anahtarini uc ayda bir duyurulmus bir tatbikatla test edin.
Bu dort mekanizmanin otesinde, gozetim yapan insanlar nitelikli olmalidir. Madde 14(4) acikca insan gotetimine atanan bireylerin rollerini yerine getirmek icin "gerekli yetkinlik, egitim ve yetkiye" sahip olmasini gerektirir. Ajan kararlarini lastik muhurleyen gencc bir destek temsilcisi bu gereksinimi karsilamaz. Gozetim personeli yapay zeka sisteminin yeteneklerini ve sinirlamalarini anlamali, incelenen kararlar konusunda alan uzmaninlgi olmali ve sistemi gecersiz kilma veya kapatma organizasyonel yetkisine sahip olmalidir. Niteliklerini ve egitimlerini yonetisim kayitlarinizin bir parcasi olarak belgeleyin.
Insan gozetimi tasarim kaliplari hakkinda daha derinlemesine bir inceleme icin, uygulama detaylariyla dort uretim test edilmis kalibi kapsayan insan gozetimi mimarisi makalemize bakin.
Yapay Zeka Ajanlari Icin Onyargi Testi ve Adalet Denetimleri
AB Yapay Zeka Yasasi Madde 10(2)(f), ayrimciliga yol acabilecek olasi onyargilar icin verilerin incelenmesini gerektirir. Yuksek riskli yapay zeka sistemleri icin bu istege bagli ve belirsiz degildir — spesifik metodolojiler ve sonuclarla belgelenmis test gerektirir.
Yapay zeka ajanlarinda onyargi neye benzer. Ajan onyargisi her zaman belirgin degildir. Bir musteri destek ajani, resmi Ingilizce ile yazilan sorgulara resmi olmayan veya ana dili Ingilizce olmayan dille yazilanlara kiyasla surekli olarak daha hizli ve daha ayrintili yanitlar verebilir. Bir ise alim tarama ajani, belirli kulturel baglamlarda yaygin olan biclendirme konvansiyonlarini kullanan adaylarin ozgecmislerini kayirabilir. Bir sigorta talep ajani, belirli posta kodu bolgelerindeki talep sahiplerinden daha fazla belge isteyebilir. Bu kaliplar egitim verilerindeki onyargilardan kaynaklanir ve ajanin odullendirme sinyalleri ile sistem prompt tasarimi tarafindan pekistirilir.
Kurumsal yapay zeka ajanlari icin test metodolojisi:
Adim 1: Korunan ozellikleri tanimlayin. AB hukuku (Istihdam Esitligi Yonergesi 2000/78/EC, Irk Esitligi Yonergesi 2000/43/EC ve GDPR Madde 9) kapsaminda korunan ozellikler sunlari icerir: irk ve etnik koken, cinsiyet ve cinsiyet kimligi, yas, engelliilik, cinsel yonelim, din veya inanca ve siyasi gorus. Onyargi testiniz en azindan ajaninizin alanina ilgili ozellikleri kapsamalidir.
Adim 2: Cesitli test veri setleri olusturun. Diger tum degiskenleri sabit tutarken korunan ozellikleri sistematik olarak degistiren test girdileri olusturun. Bir musteri destek ajani icin bu, ayni destek isteklerini olusturmak ancak musteri adini (farkli etnik kookenleri yansitan), dil kayit duzeyini (resmi vs. resmi olmayan) ve iletisim tarzini degistirmek anlamina gelir. Bir ise alim ajani icin, ayni niteliklere sahip ancak demografik ozelliklerle korelasyon gosteren isimleri, universite konumlarini ve ders disi faaliyetleri degistiren sentetik ozgecmisler kullanin. Korunan ozellik basina en az 200 test vakasi, her ozellik icindeki alt grup basina en az 50 oneririz.
Adim 3: Sonuc esitsizliklerini olcun. Test veri setini ajandan gecirin ve gruplar arasinda sonuclari olcun. Temel metrikler sunlardir: demografik eslik (sonuclar gruplar arasinda esit dagiliyor mu?), esitlenmis oranlar (dogru pozitif ve yanlis pozitif oranlari gruplar arasinda esit mi?), bireysel adalet (benzer bireyler benzer sonuclar aliyor mu?) ve islem kalitesi esitligi (destek ajanlari icin: yanit uzunlugu, ayrintisi, yardimci olmasi ve tonu gruplar arasinda tutarli mi?). AB Yapay Zeka Yasasi kesin esikler belirtmemektedir, ancak regulasyon rehberligi ve icetihat, korunan gruplar arasinda %5-10'u asan sonuc esitsizliklerinin sorusturma ve azaltma gerektirdigini ima etmektedir.
Adim 4: Temel neden analizi. Esitsizlikler belirlendiginde, bunlari kaynaklarina kadar izleyin. Yaygin nedenler sunlardir: onyargili egitim verileri (altindaki LLM toplumsal onyargilari yansitir), onyargili sistem promptu (belirli iletisim tarzlarini farkinda olmadan kayiran talimatlar), onyargili bilgi tabani (cesitlilik eksigi olan referans materyalleri) ve onyargili degerlendirme kriterleri (korunan ozelliklerle korelasyon gosteren metrikler). Temel neden azaltmayi belirler: yeniden egitim, prompt muhendisligi, bilgi tabani cesitlendirmesi veya metrik yeniden tasarimi.
Adim 5: Azaltma ve yeniden test. Hedefli azaltmalari uygulayin ve yeniden test edin. Yaygin azaltma stratejileri sunlardir: acikca adaleti talimatlayan sistem prompt degisiklikleri ("dil tarzi veya isimden bagimsiz olarak tum musterilere esit kapsamlilikla davranin"), tespit edilen onyargilari ayarlayan cikti kalibrasyonu, bilgi tabaninin belirli gruplari sistematik olarak kayirmadgini saglayan aliim cesitlendirmesi ve onyargi tespit edilen kategorilerde kararlar icin insan inceleme gereksinimleri.
Adim 6: Dokumantasyon. Tum sureci belgeleyin: test metodolojisi, test veri setleri (gerekirse anonimlestirilmis), sonuclar, belirlenen esitsizlikler, temel nedenler, uygulanan azaltmalar, yeniden test sonuclari ve degerlendirmecinin sonuclari. Bu dokumantasyon Madde 11 ve Ek IV kapsaminda gereklidir ve regulasyon makamlari veya denetciler tarafindan incelenen birincil kanit olacaktir.
Siklik: Tam onyargi denetimlerini ilk devreye almadan once, onemli model guncellemesi veya sistem prompt degisikliginden sonra, yuksek riskli sistemler icin uc ayda bir ve minimum olarak tum yapay zeka sistemleri icin yilda bir yapin. Resmi denetimler arasinda, istatistiksel ornekleme incelemesi (gozetim bolumunde aciklanan) surekli bir bilesen olarak onyargiyla ilgili kontrolleri icermelidir.
Yonetisim Isletim Modeli: Roller, Komiteler ve Kadensler
Isletim modeli olmayan bir yonetisim cercevesi rafta duran bir belgedir. Cercevenizi surekli organizasyonel pratige donusurmek, tanimlanmis roller, bir komite yapisi ve duzenli kadensler gerektirir.
Rol 1: Yapay Zeka Risk Sorumlusu. Bu, yonetisim isletim modelinizdeki merkezi roldur. Yapay Zeka Risk Sorumlusu, yapay zeka sistemi envanterine sahip olur, risk siniflandirmalarinin guncel olmasini saglar, denetim ve uyumluluk faaliyetlerini koordine eder, ust yonetime ve yonetim kuruluna rapor verir ve regulasyon makamlariyla birincil irtibat gorevini gorur. Daha kucuk organizasyonlarda bu rol DPO roluyle birlestiilebilir. Daha buyuk organizasyonlarda CRO'ya veya hukuk musavirine rapor veren ozel bir pozisyon olmalidir. Gereken yetkinlikler: yapay zeka teknolojisi, AB regulasyon ortami, risk yonetim cerceveleri ve kurumsal yonetisim anlayisi.
Rol 2: Model Sahipleri. Envanterdeki her yapay zeka sisteminin belirli bir Model Sahibi olmalidir — genellikle sistemin is amacifndan sorumlu is birimi lideri veya urun yoneticisi. Model Sahibi su konulardan sorumludur: sistemin onaylanmis kapsami icinde calismasini saglamak, gozetim raporlarini incelemek ve bulgulara gore harekete gecmek, sistemin yapilandirmasindaki degisiklikleri onaylamak ve sorunlari Yapay Zeka Risk Sorumslusuna eskale etmek. Model Sahiplerinin derin teknik yapay zeka uzmaninliga ihtiyaci yoktur, ancak sistemlerinin yeteneklerini, sinirlamalarini ve risk profilini anlamalari gerekir.
Rol 3: Yapay Zeka Muhendisleri / MLOps Ekibi. Yonetisim altyapisini uygulayan ve surduuren teknik ekip: denetim izi sistemleri, izleme kontrol panelleri, onyargi testi hatlari ve acil durdurma prosedrleri. Yonetisim gereksinimlerini teknik kontrollere donusturulur. Madde 11 ve Ek IV kapsaminda gereken dokumantasyonu surduruler. Izleme anomalileri tespit ettiginde ilk mudahalecilerdir.
Rol 4: Veri Sorumlulari. Madde 10 kapsamindaki veri yonetisim gereksinimlerinden sorumlu: veri kalitesi, veri soy aaci, veri erisim kontrolleri ve veri onyargi degerlendirmesi. Mevcut veri yonetisim programlarina sahip kuruluslarda bu roller zaten mevcuttur ve genisletilmis sorumluluklar gerektirir. Onlari olmayan kuruluslarda veri sorumlluugu olusturmak, yapay zeka yonetisimi icin bir on kosuldur.
Yapay Zeka Yonetisim Komitesi, yapay zeka yonetisimi icin stratejik yon ve ust duzey gozetim saglayan organizasyonel organdir. Kompozisyon su sekilde olmalidir: Yapay Zeka Risk Sorumlusu (baskan), DPO, CISO veya BT Guvenlik lideri, en yuksek riskli sistemleri temsil eden 2-3 Model Sahibi, bir hukuk temsilcisi ve bir dis danisman (istege bagli ancak ilk 12-18 ay icin onerilen). Komite su surekli gundemle uc ayda bir toplanir: yapay zeka sistemi envanterinin incelenmesi (eklemeler, kaldirimlar, yeniden siniflandirmalar), tum yuksek riskli sistemler arasinda denetim ve gozetim bulgularinin incelenmesi, onyargi testi sonuclarinin incelenmesi, olay veya olay atic durumlarinin incelenmesi, regulasyon guncellemeleri ve etkileri ve yeni yuksek riskli yapay zeka sistemi devreye almalarinin onaylanmasi.
Organizasyon genelinde kadans yapisi:
- Gunluk: Otomatik izleme kontrolleri; tanimli SLA'lara gore uyari yaniti.
- Haftalik: Yuksek riskli ajan kararlarinin istatistiksel ornekleme incelemesi (%5 orneklem). Model Sahibinin kendi sisteminin temel metrik kontrol panelini incelemesi.
- Aylik: Yapay Zeka Risk Sorunlusunun tum yapay zeka sistemleri arasinda toplu metrikleri incelemesi. Onceki aydaki sorunlar icin olay incelemesi. Bilgi tabani ve sistem prompt degisikligi incelemesi.
- Uc Aylik: Yapay Zeka Yonetisim Komitesi toplantisi (tam surekli gundem). Yuksek riskli sistemler icin onyargi testi dongusu. Acil durdurma tatbikati. Regulasyon ortami incelemesi.
- Yillik: Tam yapay zeka sistemi envanter yenilemesi. Tum sistemler icin yeniden siniflandirma degerlendirmesi. Yonetisim cercevesi incelemesi ve guncellemesi. Dis denetim (yuksek riskli sistemler icin onerilen). Yonetim kurulu duzeyinde yapay zeka risk raporu.
Olay mudahalesi. Yonetisim isletim modeliniz bir yapay zeka olay mudahalesi proseduru icermelidir. Bir seyler ters gittiginde — onyargili bir sonuc, bir veri ihlali, kapsami disinda hareket eden bir ajan, yapay zeka tarafindan uretilen icerhik hakkinda bir musteri sikayeti — mudahale proseduru su konulari tanilamalidir: kimin bilgilendirilecegi (ve hangi zaman dilimi icinde), kimin sistemi duraklatma veya kapatma yetkisine sahip oldugu, sorusturmanin nasil yuruutulecegi, etkilenen bireylerin nasil bilgilendirilecegi, olaayin nasil belgeleneceigi ve sistem calismaya devam etmeden once hangi duzeltici eylemlerin gerekli oldugu. Yapay zeka olay mudahalenizi, yapay zekaya ozgu senaryolara uyarlanmis mevcut siber guvenlik olay mudahale proseddurunuzu model alarak olusturmanizi oneririz.
Butce gercekligi. Bir yapay zeka yonetisim programi olusturmak ve surdurmek gercek paraya mal olur. 15-25 yapay zeka sistemine sahip orta olcekli bir kurulus icin su dahil yillik yonetisim maliyetleri 150.000-350.000 EUR bekleyin: Yapay Zeka Risk Sorumlusu icin kismi FTE tahsisi (80.000-120.000 EUR), denetim izleri ve izleme icin teknik altyapi (yillik 20.000-40.000 EUR), onyargi testi araclari ve dis denetim destegi (25.000-50.000 EUR), komite zamani ve idari destek (15.000-30.000 EUR) ve egitim ve farkindalik programlari (10.000-25.000 EUR). Bu onemlidir ancak uyumsuzluk maliyetine (kuresel cironun %7'sine kadar) veya yuksek profilli bir yapay zeka yonetisim basarisizliginin itibar hasarina kiyasla mutevazdir.
Pratik Cerceve Sablonu: Ilk 90 Gununuz
Bu 90 gunluk uygulama plani, sinirli yapay zeka yonetisim olgunluguna sahip bir noktadan basladiginizia varsayar — ki bugun cogu Avrupa kurulusunun oldugu yer budur. Plan, 3. ayin sonunda minimum uygulanabilir uyumluluk elde etmek, ardindan surekli iyilestirme saglamak icin tasarlanmistir.
1. Ay (Gun 1-30): Envanter, Siniflandirma ve Temel
Hafta 1-2: Yapay Zeka Sistemi Envanteri. Daha once aciklanan kapsamli envanter surecini yuruutun. BT, tedarik ve is birimi liderlerini dahil edin. Ucuncu taraf yapay zeka ozellikleri dahil tum yapay zeka sistemlerini belirleyin. Hedef: temel meta verilerle (ad, sahip, amac, islenen veri, etkilenen bireyler) tum yapay zeka sistemlerinin eksiksiz envanteri.
Hafta 3: Risk Siniflandirmasi. Envanterdeki her sisteme bes soruluk siniflandirma cercevesini uygulayin. Belirsiz durumlar icin hukuk danismanini dahil edin. Hedef: belgelenmis gerekceyle her sistem yasakli, yuksek risk, sinirli risk veya minimum risk olarak siniflandirilmis.
Hafta 4: Bosluk Analizi ve Onceliklendirme. Her yuksek riskli sistem icin Madde 8-15 gereksinimlerine karsi mevcut uyumlulugu degerlendirin. En buyuk bosluklari belirleyin. Risk maruziyeti ve uygulama karmasikligina dayali iyilestirme cabalarini onceliklendirin. Hedef: her kalem icin tahmini cabali onceliklendirilmis iyilestirme listesi.
30. Gune Kadar Teslimatlar: Eksiksiz yapay zeka sistemi envanteri. Tum sistemler icin risk siniflandirmasi. Bosluk analizi raporu. Onceliklendirilmis iyilestirme plani. Ust yonetim brifing belgesi.
2. Ay (Gun 31-60): Denetim Izleri, Izleme ve Gozetim
Hafta 5-6: Denetim Izi Uygulamasi. En yuksek riskli 2-3 yapay zeka sistemi icin bes katmanli denetim izi mimarisini uygulayin. Kayit altyapisini devreye alin (OpenTelemetry, yapilandirilmis kayit, degismez depolama). Girdi, akil yurutme, eylem, cikti ve guven kayitlarinin dogru yakalandigini dogrulayin. Hedef: oncelikli sistemler icin calisir durumda uretim denetim izleri.
Hafta 7: Izleme ve Uyari. Her yapay zeka sistemi icin temel metrikleri gosteren izleme kontrol panellerini devreye alin: karar dagilimi, guven puanlari, hata oranlari ve eskalasyon oranlari. Uc katmanli uyariyi (bilgilendirici, uyari, kritik) yapilandirin. Uyari yonlendirmesini ve yanit prosedurlerini test edin. Hedef: test edilmis uyarili calisir durumdda izleme.
Hafta 8: Insan Gozetim Mekanizmalari. Yuksek riskli kararlar icin guven tabanli onay is akislarini uygulayin. Istatistiksel ornekleme inceleme surecini (haftalik %5 orneklem) olusturun. Her yuksek riskli sistem icin acil durdurma prosedurunu belgeledyn ve test edin. Belgelenmis niteliklerle gozetim personelini atayin. Hedef: oncelikli sistemler icin dort gozetim mekanizmasinin tumuu calisir durumda.
60. Gune Kadar Teslimatlar: Oncelikli sistemler icin calisir durumdda denetim izleri. Izleme kontrol panelleri ve uyari. Belgelenmis ve test edilmis gozetim mekanizmalari. Acil durdurma prosedurlerinin test edilip dogrulanmasi.
3. Ay (Gun 61-90): Yonetisim Organi, Ilk Inceleme ve Dokumantasyon
Hafta 9-10: Yonetisim Organi Kurulumu. Yapay Zeka Risk Sorunlusunu atayin veya resmi olarak belirleyin. Her yapay zeka sistemi icin Model Sahiplerini belirleyin ve dahil edin. Tanimli uyel ve tuzuk ile Yapay Zeka Yonetisim Komitesini olusturun. Komite tuzugunu, toplanti kadensini ve surekli gundemi hazirlayin. Hedef: ilk toplantisi planlanan resmi olarak kurulmus yonetisim organi.
Hafta 11: Ilk Onyargi Testi. En yuksek riskli yapay zeka sistemi icin ilk onyargi testi dongusunu gerceklestirin. Test veri setleri olusturun, testleri calstirin, sonuclari belgeleyin ve acil azaltmalari uygulayin. Bu, devam eden testler icin metodolojiyi ve taban cizgisini olusturur. Hedef: en az bir yuksek riskli sistem icin tamamlanmis onyargi denetimi.
Hafta 12: Ilk Yonetisim Incelemesi ve Dokumantasyon. Acilis Yapay Zeka Yonetisim Komitesi toplantisini yapin. Envanter, siniflandirmalar, denetim izi durumu, gozetim mekanizmalari ve onyargi testi sonuclarini inceleyin. Bosluklari belirleyin ve iyilestirme eylemlerini atayin. Tum dokumantasyonu yapilandirilmis bir yonetisim dosyasinda derleyin. Hedef: ilk komite toplantisi tamamlanmis; yonetisim dosyasi derlenmes.
90. Gune Kadar Teslimatlar: Tuzuk ve kadenslii resmi yapay zeka yonetisim organi. Ilk onyargi testi raporu. Ilk yonetisim inceleme toplantisi tutanaklari. Kapsamli yonetisim dosyasi. 4-12. aylar icin devam eden iyilestirme yol haritasi.
90 gunun ardinda ne gelir. 90 gunluk plan temeli olusturur. 4-6. aylar denetim izlerini ve gozetimi tum yuksek riskli sistemlere genisletmeye, tum yuksek riskli sistemler arasinda onyargi testi yapmaya, tum Model Sahiplerini ve gozetim personelini egitmeye ve dis denetim hazirligina odaklanmalidir. 7-12. aylar yonetisim programini olgunlastirmaya odaklanmalidir: alinan derslere dayali surecleri iyilestirmek, rutin uyumluluk kontrollerini otomatiklestirmek, kurumsal bilgi birikmsi olusturmak ve yillik yonetisim raporunu hazirlamak.
Kurulusunuz bu uygulama icin yapiliandrilmis destege ihtiyac duyuyorsa, Korvus Labs yapay zeka yonetisim programinizi ayaga kaldirmak icin teknik altyapi, surec tasarimi ve uygulamali destek saglayan 90 gunluk bir yonetisim uygulama calisması sunmaktadir. Finansal hizmetler, saglik ve kamu sektoru baglamlarinda kuruluslari bu surecte yonlendirdik ve yaygin tuzaklarin nerede oldugunu biliyoruz.