Yapay zekâ sistemleri artık yalnızca teknoloji şirketlerinin kullandığı araçlar değildir. Bugün birçok işletme; metin hazırlama, çeviri, müşteri iletişimi, raporlama, analiz, pazarlama, insan kaynakları, operasyon yönetimi, rezervasyon, destek hizmetleri ve otomasyon süreçlerinde AI destekli araçlardan yararlanmaktadır.
Bu yaygın kullanım, işletmelere hız, verimlilik ve kolaylık sağlarken aynı zamanda yeni sorumluluklar da getirmektedir. Çünkü AI sistemleri her zaman doğru, eksiksiz veya güncel sonuç üretmeyebilir. AI çıktıları hatalı olabilir, bağlamı yanlış yorumlayabilir, gerçeğe uygun olmayan bilgiler üretebilir veya işletmeye ait gizli verilerin farkında olmadan dış sistemlerle paylaşılmasına neden olabilir.
Bu nedenle AI kullanımı yalnızca teknolojik bir tercih değil; aynı zamanda yönetim, veri güvenliği, çalışan farkındalığı, insan gözetimi ve kurumsal sorumluluk konusudur.
AB AI Yasası ve AI Okuryazarlığı Yükümlülüğü
Avrupa Birliği Yapay Zekâ Yasası, yani EU AI Act, yapay zekâ sistemlerinin güvenli, şeffaf ve insan odaklı şekilde kullanılmasını amaçlayan kapsamlı bir düzenlemedir. Bu düzenleme, yalnızca AI sistemlerini geliştiren şirketleri değil, bu sistemleri iş süreçlerinde kullanan işletmeleri de ilgilendirir.
EU AI Act kapsamında “provider” yani sağlayıcı ve “deployer” yani AI sistemini kendi faaliyetleri içinde kullanan işletmeler için çeşitli yükümlülükler öngörülmektedir. Bu yükümlülüklerden biri de AI okuryazarlığıdır.
AI Act Article 4’e göre, AI sistemlerinin sağlayıcıları ve kullanıcı işletmeleri, kendi personellerinin ve kendi adlarına AI sistemlerinin kullanımı veya işletilmesiyle ilgilenen kişilerin yeterli düzeyde AI okuryazarlığına sahip olması için uygun önlemleri almakla yükümlüdür. Bu önlemler belirlenirken kişilerin teknik bilgisi, deneyimi, eğitimi, AI sistemlerinin hangi bağlamda kullanıldığı ve bu sistemlerden etkilenebilecek kişi veya gruplar dikkate alınmalıdır.
Bu yaklaşım, işletmeler açısından önemli bir mesaj verir: AI kullanımı “çalışan kendi bildiği gibi kullansın” denilebilecek bir alan olmaktan çıkmıştır. İşletmelerin AI kullanımını anlaması, sınıflandırması, çalışanları bilgilendirmesi ve riskli kullanım alanlarını yönetmesi beklenmektedir.
Neden Sadece AI Aracı Kullanmak Yeterli Değildir?
Bir işletmenin AI aracına erişimi olması, o işletmenin AI’yi güvenli kullandığı anlamına gelmez. AI araçları güçlü olabilir; ancak yanlış veriyle, yanlış amaçla veya kontrolsüz şekilde kullanıldığında ciddi riskler oluşturabilir.
Örneğin bir çalışan, müşteri bilgilerini AI aracına kopyalayabilir. Bir başka çalışan, finansal tabloyu veya sözleşme metnini AI’ye yükleyebilir. Operasyon ekibi, gerçek kişi bilgileri içeren listeyi analiz ettirmek isteyebilir. Müşteri hizmetleri ekibi, AI tarafından oluşturulan hatalı bir mesajı kontrol etmeden müşteriye gönderebilir.
Bu örneklerin çoğu kötü niyetli davranışlardan değil, farkındalık eksikliğinden kaynaklanır. Bu nedenle işletmeler açısından temel ihtiyaç, AI kullanımını tamamen yasaklamak değil; hangi kullanımın güvenli, hangi kullanımın dikkatli ve hangi kullanımın yasak olduğunu açık şekilde belirlemektir.
İşletmelerin Yapması Gerekenler
AI okuryazarlığı ve güvenli AI kullanımı kapsamında işletmelerin atması gereken adımlar yalnızca bir eğitim düzenlemekten ibaret değildir. Eğitim önemli bir parçadır; ancak tek başına yeterli değildir. İşletmelerin AI kullanımını yönetilebilir hale getirmesi gerekir.
Bu kapsamda işletmelerin genel olarak şu başlıklarda hazırlık yapması beklenir:
- AI kullanım alanlarını belirlemek
İşletme içinde AI hangi departmanlarda, hangi amaçlarla ve hangi araçlarla kullanılıyor belirlenmelidir. - AI araç envanteri oluşturmak
Kullanılan AI araçları, kullanım amacı, kullanan ekipler, veri işleme durumu ve onay seviyesi kayıt altına alınmalıdır. - Riskli veri alanlarını tanımlamak
Kişisel veriler, müşteri bilgileri, çalışan bilgileri, finansal veriler, sözleşmeler, sistem bilgileri, şifreler, operasyon kayıtları ve gizli şirket bilgileri gibi alanlar net şekilde sınıflandırılmalıdır. - AI’ye girilmemesi gereken bilgileri belirlemek
Çalışanların hangi verileri AI araçlarına yazmaması, yüklememesi veya kopyalamaması gerektiği açıkça belirtilmelidir. - Güvenli, dikkatli ve yasak kullanım ayrımı yapmak
Genel metin taslağı hazırlamak gibi düşük riskli kullanımlar ile müşteri verisi işlemek, finansal bilgi yüklemek veya AI’ye karar aldırmak gibi yüksek riskli kullanımlar birbirinden ayrılmalıdır. - İnsan gözetimi mekanizması kurmak
AI çıktıları, özellikle dış tarafa gönderilecekse veya müşteri, çalışan, iş ortağı, finans, operasyon ya da hukuki sonuç doğurabilecekse insan kontrolünden geçirilmelidir. - Çalışanlara AI okuryazarlığı kazandırmak
Çalışanlar AI’nin ne olduğunu, sınırlarını, risklerini, hatalı çıktı üretebileceğini ve hangi bilgilerin AI’ye girilmemesi gerektiğini bilmelidir. - Şüpheli veya hatalı kullanımı bildirme süreci oluşturmak
Yanlışlıkla veri paylaşımı, onaysız AI aracı kullanımı, hatalı AI çıktısı veya riskli otomasyon durumlarında çalışanların kime ve nasıl bildirim yapacağı net olmalıdır. - Tedarikçi, chatbot ve agent sistemlerini değerlendirmek
İşletme adına çalışan chatbotlar, AI agent sistemleri veya dış tedarikçi AI çözümleri devreye alınmadan önce veri, güvenlik, insan gözetimi ve sorumluluk açısından değerlendirilmelidir. - Kayıt ve kanıt dosyası tutmak
Eğitimler, katılım kayıtları, çalışan beyanları, AI araç envanteri, risk değerlendirmeleri, onaylar, istisnalar ve ihlal bildirimleri belgelenmelidir.
AI Okuryazarlığı Neden Kurumsal Bir Konudur?
AI okuryazarlığı yalnızca “AI nasıl kullanılır?” sorusunun cevabı değildir. Daha geniş anlamda şu sorulara cevap verir:
- İşletmemizde hangi AI araçları kullanılıyor?
- Bu araçlar hangi verilerle çalışıyor?
- Çalışanlarımız AI’nin sınırlarını biliyor mu?
- AI çıktıları kontrol ediliyor mu?
- Müşteri veya çalışan verileri korunuyor mu?
- Riskli kullanım durumunda bildirim süreci var mı?
- Yeni bir AI aracı alınmadan önce değerlendirme yapılıyor mu?
- AI kullanımına ilişkin kayıt tutuluyor mu?
Bu sorular, AI kullanımının artık sadece bireysel çalışan tercihi değil, kurumsal yönetim konusu olduğunu gösterir.
İnsan Gözetimi ve Sorumluluk
AI sistemleri destekleyici araçlar olabilir; ancak işletmelerde nihai sorumluluğun insanda kalması gerekir. AI tarafından oluşturulan bir metin, analiz, öneri veya otomasyon çıktısı doğrudan doğru kabul edilmemelidir.
Özellikle müşteri iletişimi, fiyat bilgisi, şikayet yanıtı, çalışan değerlendirmesi, operasyon kararı, finansal bilgi, hukuki değerlendirme veya iş ortağı iletişimi gibi alanlarda AI çıktıları mutlaka kontrol edilmelidir.
İnsan gözetimi, yalnızca sonradan kontrol etmek anlamına gelmez. Aynı zamanda AI’nin hangi amaçla kullanılacağını belirlemek, riskli verileri dışarıda bırakmak, çıktıların doğruluğunu değerlendirmek ve gerektiğinde AI kullanımını durdurmak anlamına gelir.
Veri Güvenliği Açısından Önemi
AI kullanımındaki en önemli risklerden biri, işletme verilerinin farkında olmadan AI araçlarına aktarılmasıdır. Çalışanlar bazen hız kazanmak amacıyla gerçek müşteri yazışmalarını, listeleri, sözleşmeleri, fiyat tablolarını, ekran görüntülerini veya operasyon kayıtlarını AI’ye yükleyebilir.
Bu durum kişisel verilerin korunması, ticari sırların korunması, müşteri güveni ve işletme itibarı açısından önemli riskler doğurabilir. Bu nedenle işletmelerin çalışanlarına yalnızca “AI kullanabilirsiniz” demesi yeterli değildir. Aynı zamanda “hangi verilerle kullanamazsınız” sorusunun cevabı da verilmelidir.
Küçük ve Orta Ölçekli İşletmeler İçin Önemi
AI okuryazarlığı yalnızca büyük şirketlerin konusu değildir. Küçük ve orta ölçekli işletmeler de günlük işlerinde AI araçlarını kullanmaktadır. Hatta çoğu zaman çalışanlar bireysel hesaplarla, ücretsiz araçlarla veya kontrolsüz uygulamalarla AI kullanmaya başlayabilir.
Bu durum, küçük işletmeler için de temel bir yönetim ihtiyacı doğurur. En azından işletme içinde kullanılan AI araçlarının bilinmesi, çalışanlara temel kuralların anlatılması, riskli verilerin belirlenmesi ve AI çıktılarının kontrol edilmesi gerekir.
Basit ama düzenli bir AI kullanım politikası, çalışan farkındalığı, envanter, risk listesi ve kanıt dosyası küçük işletmeler için de uygulanabilir ve faydalı bir başlangıçtır.
Sonuç
Yapay zekâ araçları işletmeler için önemli fırsatlar sunmaktadır. Ancak bu fırsatlardan güvenli şekilde yararlanabilmek için AI kullanımının bilinçli, kontrollü ve belgelenebilir hale getirilmesi gerekir.
AB AI Yasası’nın AI okuryazarlığına ilişkin yaklaşımı, işletmelere açık bir sorumluluk alanı göstermektedir: AI sistemlerini kullanan kişiler bu sistemlerin temel mantığını, sınırlarını, risklerini ve güvenli kullanım kurallarını bilmelidir.
Bu nedenle işletmelerin AI okuryazarlığı ve güvenli AI kullanımı konusunda adım atması yalnızca hukuki bir hazırlık değil; aynı zamanda veri güvenliği, müşteri güveni, çalışan farkındalığı, operasyonel kalite ve kurumsal sorumluluk açısından da gereklidir.
Temel ilke şudur:
AI destek aracıdır; nihai kontrol, değerlendirme ve sorumluluk insandadır.
İşletmeler için doğru yaklaşım, AI kullanımını tamamen yasaklamak değil; onu anlaşılır kurallar, eğitim, insan gözetimi, risk değerlendirmesi ve kayıt sistemiyle güvenli hale getirmektir.
