Kurumsal Dünyada Yeni Bir Risk Olarak Gölge Yapay Zeka (Shadow AI)

Son dönemde iş dünyasında üretken yapay zeka kullanımının hızla yaygınlaştığını görüyoruz. Ancak kurumların büyük kısmında tartışma artık yapay zekayı kullanalım mı sorusunun ötesine geçmiş durumda. Asıl mesele bu teknolojiyi nasıl yöneteceğiz? sorusu. KVKK’nın yeni yayımladığı doküman da tam olarak bu noktaya odaklanıyor ve özellikle kurumların farkında olmadan karşı karşıya kaldığı “Gölge Yapay Zeka (Shadow AI)” riskine dikkat çekiyor. Basitçe ifade etmek gerekirse gölge yapay zeka; çalışanların, kurumun resmi bilgi işlem veya uyum süreçlerine dahil olmadan, kendi inisiyatifleriyle ChatGPT benzeri üretken yapay zeka araçlarını iş süreçlerinde kullanması anlamına geliyor.

Bu durum ilk bakışta masum görünebilir. Bir çalışan toplantı notlarını özetletmek, bir raporu dil açısından iyileştirmek ya da uzun bir dokümanı analiz ettirmek için üretken yapay zekadan yardım alabilir. Ancak sorun tam da burada başlıyor. Çünkü bu süreçte çoğu zaman hangi verinin sisteme yüklendiği, bu verinin nerede işlendiği, model tarafından nasıl kullanıldığı ve çıktının kurum içinde nasıl dolaşıma girdiği konusunda hiçbir kurumsal kayıt oluşmuyor. Başka bir ifadeyle veriler, çoğu zaman farkında olmadan kurum dışındaki sistemlere aktarılmış oluyor.

KVKK’nın özellikle dikkat çektiği noktalardan biri de kişisel verilerin kontrolsüz şekilde sistemlere aktarılması riski. Bir müşteri listesi, çalışan verisi, sözleşme taslağı veya dava dosyasına ilişkin bir metin; sadece dil düzeltmesi amacıyla bile olsa bu sistemlere girildiğinde, aslında bir kişisel veri işleme ve potansiyel olarak yurt dışına veri aktarımı söz konusu olabiliyor. Bu durum KVKK bakımından hem hukuki dayanak hem de veri güvenliği açısından ciddi sonuçlar doğurabilir.

Bunun yanında genellikle gözden kaçan bir başka boyut da ticari sır ve kurumsal bilgi güvenliği meselesi. Şirket stratejileri, yatırım planları, sözleşme müzakereleri, teknik dokümanlar veya iç yazışmalar üretken yapay zeka araçlarına girdi olarak verildiğinde, kurumun en değerli varlıklarından biri olan bilgi de potansiyel olarak kontrolsüz bir dijital ortama taşınmış oluyor.

Bu nedenle birçok kurum artık üretken yapay zeka kullanımını yasaklamak yerine yönetişim mekanizmaları kurmaya yöneliyor. Kurumsal yapay zeka politikalarının hazırlanması, hangi verilerin yapay zeka araçlarına girilemeyeceğinin belirlenmesi, çalışanlara eğitim verilmesi, veri anonimleştirme yöntemlerinin kullanılması ve kurum içi denetlenebilir yapay zeka araçlarının tercih edilmesi bu yaklaşımın temel unsurları arasında yer alıyor. Kısacası mesele kontrollü, şeffaf ve hukuka uyumlu bir kullanım modeli oluşturmak.

Önümüzdeki dönemde üretken yapay zekaya ilişkin tartışmaların aynı zamanda veri koruma, kurumsal yönetişim, siber güvenlik ve rekabet hukuku ekseninde daha da yoğunlaşacağını düşünüyorum. Kurumların bu süreci proaktif şekilde ele alması aynı zamanda kurumsal güven ve sürdürülebilir dijital dönüşüm için de kritik görünüyor.

Doküman: https://www.kvkk.gov.tr/Icerik/8674/is-yerlerinde-uretken-yapay-zeka-araclarinin-kullanimi