ATEST 3/2025

Przyszłość sztucznej inteligencji w normach i przepisach: AI-ACT oraz ISO 42001

Sztuczna inteligencja (AI) coraz śmielej wkracza w obszar bezpieczeństwa i higieny pracy, wspierając specjalistów oraz całe przedsiębiorstwa w identyfikowaniu zagrożeń, analizie ryzyka oraz zapewnianiu zgodności z przepisami. AI staje się integralnym elementem zarządzania bezpieczeństwem. Natomiast przy eliminacji zagrożenia czy wprowadzaniu rozwiązań musimy wziąć pod uwagę, czy nie spowoduje to innych lub dodatkowych zagrożeń dla naszego systemu, pracy i środowiska.

tekst: Robert Tracz
specjalizuje się w analizie danych,
metaanalizach, zarządzaniu ryzykiem,
tworzy narzędzia do wykorzystania SI w bhp

Jeśli chodzi o sztuczną inteligencję, to pojawiają się nowe wyzwania - zarówno natury prawnej, organizacyjnej, jak i etycznej. Aby zbudować zaufanie do nowoczesnych narzędzi opartych na AI, konieczne jest opracowanie spójnych ram regulacyjno- normatywnych.

W odpowiedzi na te potrzeby pojawiły się dwie istotne inicjatywy:

European AI Act (AI-ACT) - przygotowywany przez Unię Europejską akt prawny, który ma zapewnić transparentność, bezpieczeństwo i odpowiedzialność wdrażania sztucznej inteligencji.

ISO 42001 - nowa norma standaryzująca systemy zarządzania AI, uwzględniająca aspekty techniczne, organizacyjne, etyczne i regulacyjne.

Celem niniejszego artykułu jest przybliżenie podstawowych założeń AI-ACT i ISO 42001 oraz pokazanie, jak te dwie inicjatywy mogą wpływać na wprowadzanie sztucznej inteligencji w firmach, a także przyczynić się do bezpiecznego i odpowiedzialnego wdrażania rozwiązań z zakresu SI/AI do bezpieczeństwa pracy.

Na przykładzie dwóch projektów - SIFR-AI i BHP-AI - zostanie pokazane, w jaki sposób nowe regulacje oraz normy mogą zostać wykorzystane w praktyce, aby skutecznie i odpowiedzialnie zarządzać systemami AI w środowisku pracy.

Rola sztucznej inteligencji w biznesie i zarządzaniu ryzykiem

Wzrost znaczenia AI jest napędzany rosnącą dostępnością danych, postępem w dziedzinie uczenia maszynowego, głębokiego uczenia oraz coraz łatwiejszym dostępem do mocy obliczeniowej. Firmy stosują AI, by automatyzować procesy, poprawiać jakość usług, redukować koszty czy identyfikować zagrożenia - zarówno natury ekonomicznej, jak i te związane z bhp.

W miarę upowszechniania się AI pojawiają się jednak istotne pytania o sposób jej wykorzystania. Czy systemy AI działają zgodnie z prawem i normami etycznymi? Czy są wystarczająco przejrzyste i odpowiedzialne, by podmioty zewnętrzne mogły je kontrolować i rozliczać z podejmowanych decyzji czy sugestii?

Jak skutecznie chronić dane osobowe i prywatność, skoro AI często przetwarza wrażliwe informacje o pracownikach i klientach? W odpowiedzi na te pytania i wątpliwości powstały inicjatywy, które mają zapewnić solidne ramy regulacyjne oraz standaryzacyjne - takie jak European AI Act (AI-ACT) oraz norma ISO 42001.

European AI Act (AI-ACT) - nowe ramy prawne w Unii Europejskiej

European AI Act (AI-ACT) to inicjatywa legislacyjna Komisji Europejskiej, mająca na celu ustanowienie kompleksowego i zharmonizowanego zestawu zasad regulujących wykorzystanie sztucznej inteligencji na terenie Unii Europejskiej. Nie odwołuje się ona jedynie do tematów związanych z bezpieczeństwem pracy, ale także ogólnego wykorzystywania sztucznej inteligencji.

Główną motywacją do stworzenia AI-ACT była chęć wsparcia innowacji, przy jednoczesnym zapewnieniu ochrony interesów obywateli. W praktyce oznacza to, że rozwój technologii AI ma przebiegać w sposób zrównoważony, etyczny, a także respektować prawa człowieka, w tym prywatność i bezpieczeństwo. Niestety odnosząc się choćby do tematu etyczności, większość z nas doświadczyła, a co najmniej widziała nieetyczne zachowania różnych firm na przykładzie tworzenia tak zwanych deep fake (wykradanie osobowości na podstawie zdjęć, podkładanie wykradzionych zdjęć twarzy do filmów video itp.). Jest to jedynie jeden z wielu powodów, dla których takie rozwiązania są nam potrzebne.

W ostatnich latach UE kładzie coraz większy nacisk na ujednolicanie standardów dotyczących nowych technologii. Sukces ogólnego rozporządzenia o ochronie danych osobowych (RODO) pokazał, że wspólny rynek potrzebuje jasnych i jednolitych reguł postępowania.

W kontekście AI, gdzie innowacje rozwijają się bardzo dynamicznie, istnieje ryzyko wystąpienia luk prawnych, braku przejrzystości oraz nieodpowiedzialnego wykorzystywania technologii, co na bardzo szeroką skalę jest zauważalne poza granicami naszego kraju.

Celem AI-ACT jest więc stworzenie środowiska, w którym przedsiębiorstwa i organizacje będą rozwijać AI, kierując się przejrzystymi i uczciwymi zasadami, a użytkownicy rozwiązań AI - w tym pracownicy i klienci - będą mieli pewność, że ich dane i prawa są chronione.

Hierarchia ryzyka i kategorie systemów AI

Jednym z kluczowych elementów AI-ACT jest podejście oparte na analizie ryzyka. Proponowany akt prawny, podobnie jak dobrze nam znane oceny ryzyka, dzieli systemy AI na cztery kategorie ryzyka: niskie, ograniczone, wysokie oraz niedopuszczalne.

Systemy o niedopuszczalnym ryzyku: takie, które naruszają prawa podstawowe, np. systemy manipulujące ludzkimi zachowaniami w sposób podstępny lub systemy dystopijne typu "social scoring" (ocenianie obywateli na wzór tzw. "chińskiego systemu punktowego"). Ich stosowanie ma być zakazane.

Systemy wysokiego ryzyka: dotyczą obszarów istotnych dla zdrowia, bezpieczeństwa i praw człowieka. Mogą to być np. systemy stosowane w medycynie, zarządzaniu infrastrukturą krytyczną, rekrutacji pracowników czy zapewnianiu bezpieczeństwa w miejscu pracy. Tego typu systemy będą podlegać szczególnie surowym wymogom dokumentacyjnym, jakościowym oraz dotyczącym audytowalności. I to właśnie w tym obszarze znajdują się wszystkie rozwiązania i narzędzia, które są tworzone dla poprawy bezpieczeństwa pracy.

Systemy o ograniczonym ryzyku: mogą wymagać pewnych dodatkowych obowiązków, np. ujawnienia, że komunikujemy się z chatbotem, a nie człowiekiem, lub zapewnienia odpowiedniej przejrzystości algorytmu.

Systemy o niskim ryzyku: to zdecydowana większość systemów AI, która nie wymaga istotnych interwencji regulacyjnych poza ogólnymi zasadami etyki i ochrony danych.

To hierarchiczne podejście umożliwia koncentrację uwagi i zasobów na tych obszarach, w których AI może mieć największy wpływ na życie i zdrowie ludzi, a także na ich prawa i wolności obywatelskie.

W praktyce oznacza to, że firmy wdrażające systemy AI w obszarze bhp, analizy ryzyka pracy na wysokości czy zarządzania bezpieczeństwem maszyn będą musiały stosować się do rygorystycznych wymogów, jeśli ich rozwiązania zostaną uznane za wysokiego ryzyka. Dodatkową kwestią, którą warto zaznaczyć, jest to, w jaki sposób te systemy pracują. Czy są to systemy podejmujące decyzję, czy sugerujące. A to dwa całkowicie różne tematy.

Wymogi przejrzystości, dokumentacji i audytu

Dla systemów o wysokim ryzyku AI-ACT nakłada wiele obowiązków:

Dokumentacja i rejestracja: twórcy i wdrażający systemy AI będą musieli prowadzić szczegółową dokumentację, umożliwiającą organom nadzoru ocenę zgodności z przepisami.

Przejrzystość i możliwość wyjaśnienia decyzji: twórcy będą musieli opisać procesy w taki sposób, żeby były zrozumiałe dla organów kontrolnych, szczególnie w obszarze tego jak AI podejmuje decyzje.

Minimalizacja stronniczości i dyskryminacji: twórcy systemów będą musieli zadbać, aby dane treningowe (czyli znane nam dane wsadowe) i logika algorytmu nie prowadziły do systematycznej dyskryminacji określonych grup. Tutaj idealnie pasują rozwiązania Microsoft (AI principles).

Nadzór człowieka nad AI: w niektórych przypadkach konieczne może być umożliwienie ingerencji człowieka w działanie systemu, szczególnie gdy AI podejmuje decyzje wpływające na bezpieczeństwo i zdrowie pracowników. Powinniśmy być w stanie wpływać na to, jaką informację zwracają systemy przez zmiany parametrów itp.

Implementacja AI-ACT w przedsiębiorstwach

Aby skutecznie wdrożyć wymogi AI-ACT, firmy będą musiały zorganizować oraz zmapować odpowiednie procesy wewnętrzne:

Przeprowadzać okresowe audyty i przeglądy jakości danych wejściowych (tutaj na pewno pomoże wdrożenie ISO 42001).

Zapewnić odpowiednie szkolenia personelu odpowiedzialnego za rozwój, wdrażanie oraz nadzorowanie systemów AI.

Tworzyć procedury reagowania na nieprawidłowości, w tym możliwość wycofania systemu z użycia czy jego rekonfiguracji.

Te ostatnie działania mogą wymagać dużego zaangażowania, natomiast w dłuższej perspektywie odpowiednie zarządzanie przyniesie korzyści i pozwoli na dalszy rozwój rozwiązań.

ISO 42001 - norma do systemowego zarządzania AI/SI

Spójne i przejrzyste praktyki - to stwierdzenia towarzyszące takim organizacjom jak ISO. Przykładem są normy zarządzania jakością (ISO 9001), zarządzania bezpieczeństwem i higieną pracy (ISO 45001), czy zarządzania bezpieczeństwem informacji (ISO/IEC 27001).

Normy te co prawda nie są obowiązkowe, ale ich stosowanie stało się standardem w branży, a także wyznacznikiem jakości, wiarygodności i zaufania. Często też już na etapie ofertowania czy ubiegania się o projekt, umowę współpracy wymóg certyfikowanego systemu zarządzania jest jednym z kluczowych elementów formularza.

Teraz gdy sztuczna inteligencja wielkimi krokami wkracza we wszystkie sfery biznesu, nie oszczędzając przy tym bezpieczeństwa, pojawiła się potrzeba wprowadzenia normy, która z jednej strony zdefiniuje wymagania dotyczące procesów i procedur zarządzania AI, a z drugiej zapewni kompatybilność z przepisami prawnymi - takimi jak wspomniany już AI-ACT - oraz innymi wytycznymi etycznymi i branżowymi.

Podobnie jak inne wspomniane normy, ISO 42001 ma na celu stworzenie ram systemu zarządzania AI w organizacji, opierając się na idei ciągłego doskonalenia (cykl PDCA: Plan-Do-Check- -Act). Norma ta definiuje wymagania i dobre praktyki w zakresie:

1. Planowania wdrożeń AI: ustalanie celów, ról i odpowiedzialności, a także identyfikowanie zagrożeń i szans związanych z wdrożeniem AI. Występuje tu jasne odniesienie do poziomów ryzyka określanych w AI-ACT.

2. Projektowania i rozwoju AI: określanie wymagań dotyczących jakości danych, etycznych standardów, a także mechanizmów nadzoru nad algorytmami. Czyli co, jak i dzięki komu będzie przetwarzane.

3. Zarządzania danymi i bezpieczeństwem informacji: zapewnienie zgodności z RODO oraz innymi regulacjami dotyczącymi ochrony danych, a także stosowanie środków zabezpieczających integralność i poufność informacji. Mówimy tutaj zarówno o danych wsadowych do trenowania modeli, jak i danych, które podają użytkownicy, dodając je do znanych nam chatów.

4. Monitorowania, pomiarów i ocen: stałe monitorowanie wydajności systemów AI, identyfikacja odchyleń oraz podejmowanie działań korygujących i zapobiegawczych.

5. Audytowalności i rozliczalności: czyli w jaki sposób śledzimy, jak nasz model podejmuje decyzję, ewentualne aktualizacje i jak przejrzyste jest nasze rozwiązanie.

6. Kompetencji i szkoleń: definiowanie wymagań wobec personelu odpowiedzialnego za AI oraz planowanie działań rozwojowych i edukacyjnych. Na szczęście na rynku pojawia się coraz więcej szkoleń z podstaw sztucznej inteligencji, ale radzimy wybierać tylko te prowadzone przez doświadczone osoby!

AI-ACT ustanawia ramy prawne i minimalne wymagania w dziedzinie AI, podczas gdy ISO 42001 dostarcza konkretnych narzędzi i metod, które ułatwiają spełnienie tych wymagań.

Mówiąc wprost, procesowe przejście przez ISO 42001 pozwoli nam na spełnienie wymagań nakładanych przez AI-ACT

Przyjęcie ISO 42001 może znacząco pomóc w:

Ułożeniu procesów i podprocesów wewnętrznych tak, aby spełnić wymogi audytowalności i przejrzystości w kontekście AI-ACT.

Przygotowaniu organizacji do bardziej zaawansowanych ocen zgodności oraz kontroli organów nadzoru, a także firm zewnętrznych czy po prostu klientów wymagających systemów zarządzania.

Zbudowaniu kultury organizacyjnej nastawionej na odpowiedzialne i etyczne wykorzystanie AI, co z czasem może wpłynąć na większe zaufanie klientów, partnerów i pracowników.

Dobrze ułożone, przejrzyste procesy wpłyną także na wizerunek organizacji oraz budowanie pozytywnej kultury bezpieczeństwa.

Przykłady praktycznego zastosowania: SIFR-AI i BHP-AI

Choć głównym tematem niniejszego artykułu jest AI-ACT i ISO 42001, warto zasygnalizować, jak tego typu inicjatywy i normy mogą wpłynąć na konkretne rozwiązania w praktyce. Dla przykładu:

SIFR-AI (Serious Injury and Fatality Reduction using AI) to platforma służąca do analizy danych bezpieczeństwa w miejscu pracy oraz predykcji zdarzeń o potencjalnie ciężkim i śmiertelnym charakterze. Integracja z AI-ACT i ISO 42001 wymagać będzie m.in. szczegółowego dokumentowania źródeł danych, weryfikacji ich jakości i anonimizacji, a także zapewnienia, że model można audytować pod względem trafności i braku uprzedzeń. Jest to jedynie część działań, które należy wdrożyć, ale już te wspomniane ukazują skalę przedsięwzięcia.

BHP-AI to aplikacja oparta na AI, która wspiera firmy i specjalistów ds. bhp w zarządzaniu ryzykiem, wymogami prawnymi i nie tylko. Dzięki wdrożeniu procedur zgodnych z ISO 42001 organizacja będzie mogła systematycznie oceniać jakość wiedzy przetwarzanej przez system, a przy wejściu w życie AI-ACT - potwierdzić zgodność z wymogami prawnymi dotyczącymi transparentności, rozliczalności oraz ochrony danych. W tym przypadku istotne też będzie przetwarzanie danych przesłanych przez klientów, gdzie bazy danych klientów będą zawierały dane wrażliwe. W tym kontekście ich odpowiednie, wysokiej jakości zabezpieczenie będzie kluczowym elementem.

W obu przykładach AI-ACT wyznaczy minimalne standardy prawne, a ISO 42001 dostarczy instrumentów do ich osiągnięcia i utrzymania. W rezultacie projekty te, mimo że wciąż rozwijane, będą mogły łatwiej zyskać zaufanie klientów, zarówno tych mniejszych, jak i większych.

Perspektywy na przyszłość

AI-ACT i ISO 42001 to dopiero początek drogi do kompleksowego uregulowania i ustandaryzowania wykorzystania sztucznej inteligencji. W przyszłości możemy spodziewać się szeroko zakrojonego wsparcia zarówno w spełnieniu wymagań norm, jak i przepisów prawnych. Na naszych oczach tworzą się nowe stanowiska pracy, najlepsze praktyki i rozwiązania w projektowaniu, testowaniu i wdrażaniu sztucznej inteligencji.

Kwestią czasu jest integracja systemów zarządzania bezpieczeństwem (np. ISO 45001) z systemami zarządzania sztuczną inteligencją. W pojęciu długofalowym wymogi odnośnie do zgodności prawnej z AI-ACT i wymagania klientów, takie jak np. wdrożony system ISO 42001, pozwolą na stopniowe wyeliminowanie z rynku produktów, które wykradają dane lub co gorsza wykorzystują nasze dane do tworzenia deep fake (oszustw) oraz innych niegodziwych celów.

W efekcie wszyscy, od firm oferujących rozwiązania dotyczące bezpośrednio lub pośrednio AI do klientów i regulatorów, będą odnosić korzyści z racjonalnie i odpowiedzialnie wprowadzanych innowacji w zakresie bhp i nie tylko.

Literatura

1. eur-lex.europa.eu

2. digital-strategy.ec.europa.eu

3. www.europarl.europa.eu

4. artificialintelligenceact.eu

5. www.iso.org

6. artificialintelligenceact.eu

7. www.dnv.pl

8. www.ai-hseq.com

Brak komentarzy

Dodaj swój komentarz