ISO 42001 Yapay Zeka Politikası Nasıl Yazılır?
Yapay zekâ politikası, ISO 42001 yönetim sisteminin temel taşıdır. Standart, Madde 5.2 ile üst yönetimin bir AI politikası oluşturmasını şart koşar. Bu belge, kuruluşunuzun yapay zekâyı nasıl ve hangi ilkelerle kullandığını üst düzeyde tanımlar. Bu yazı, politikanın içermesi gereken bölümleri, etik ilkeleri ve kullanabileceğiniz bir iskeleti adım adım verir.
AI politikası nedir, neden gerekli?
Politika, ayrıntılı bir prosedür değil, bir niyet ve çerçeve belgesidir. Denetçiye liderlik taahhüdünü, çalışana davranış sınırlarını, müşteriye güven sinyalini gösterir. Madde 5.2 gereği üst yönetim tarafından onaylanmalı ve kuruluş içinde duyurulmalıdır.
Politikada bulunması gereken 8 bölüm
Sağlam bir AI politikası şu bölümleri içerir:
- Amaç ve kapsam: Politika neyi, hangi sistemleri kapsıyor?
- AI kullanım ilkeleri: Kuruluş yapay zekâyı hangi değerlerle kullanır?
- Etik taahhütler: Şeffaflık, açıklanabilirlik, insan gözetimi, önyargısızlık.
- Roller ve sorumluluklar: AI sahibi, risk sahibi, gözetim sorumluları (Madde 5.3).
- Risk yönetimi taahhüdü: Risklerin nasıl ele alınacağına dair üst düzey söz.
- Yasal ve düzenleyici uyum: KVKK, EU AI Act ve ilgili yükümlülüklere bağlılık.
- İnsan gözetimi ilkesi: İnsanın devrede kalacağı durumlar.
- Gözden geçirme ve iyileştirme: Politikanın güncellenme sıklığı.
Etik ilkeler: politikanın kalbi
Dört ilke neredeyse her AI politikasında yer almalı: şeffaflık (AI kullanımının açıkça bildirilmesi), açıklanabilirlik (kararların gerekçelendirilebilmesi), insan gözetimi (kritik kararlarda insanın devrede kalması) ve önyargısızlık (ayrımcı sonuçların önlenmesi). Bu ilkeleri soyut bırakmayın; her birini firmanızda ne anlama geldiğiyle somutlaştırın.
Örnek iskelet
1. Amaç ve Kapsam
2. Tanımlar
3. AI Kullanım İlkelerimiz
4. Etik Taahhütlerimiz (şeffaflık, açıklanabilirlik, gözetim, adalet)
5. Roller ve Sorumluluklar
6. Risk Yönetimi Yaklaşımımız
7. Yasal Uyum (KVKK, AI Act)
8. İnsan Gözetimi
9. Gözden Geçirme ve Yürürlük
Bu iskeleti firmanızın gerçek AI kullanımına ve risk profiline göre doldurun.
Sık yapılan hatalar
- Genel bir şablonu kopyalayıp firma gerçeğine uyarlamamak.
- Politikayı üst yönetim onayı olmadan yayımlamak.
- Risk metodolojisiyle bağını kurmamak — politika, AI risk değerlendirmenizle tutarlı olmalı.
- Belgeyi bir kez yazıp rafa kaldırmak.
Politikayı yaşatmak
Politika, yılda en az bir kez ve her önemli değişiklikte gözden geçirilmelidir. Yaşayan bir belge, denetimde de gerçek uygulamada da fark yaratır.
Politikanızın ISO 42001 gereklerini ne ölçüde karşıladığını görmek için ücretsiz gap analizi aracımızı kullanın. Firmanıza özel politika ve doküman seti için teklif alın — hazır Türkçe şablonlarımızla süreci kısaltıyoruz.