Skip to content

Kuidas koostada tehisintellektiregister 90 minutiga (ELi tehisintellektimäärus)

Viiesammuline 90-minutiline juhend tehisintellektiregistri jaoks, mida Euroopa VKEd vajavad ELi tehisintellektimääruse artikli 26 ja ICO juhiste alusel. Põhiveerud, lõksud ja vastutaja määramine.

Kuidas koostada tehisintellektiregister 90 minutiga (ELi tehisintellektimäärus)
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

Enamik Euroopa VKEsid suhtub tehisintellektiregistrisse kui mahukasse väljatöösse, mille nad koostavad alles siis, kui surve kasvab ja ELi tehisintellektimääruse jõustamine hakkab pihta. See on mõtteviga. Toimiv esimene versioon valmib üheksakümne minutiga, kui käsitleda seda juurutaja-poolse arvestusena, mitte vastavusartefaktina. Allpool on viiesammuline juhend, mille koostame oma auditiprojektides koos tegevusjuhtidega — seesama, mis paneb III lisa riskipildi reede pärastlõunaks ühele lehele ja jätab ruumi teha põhjalikum töö hiljem korralikult ära.

Lühike vastus. Tehisintellektiregister on juurutaja-poolne arvestus iga tehisintellektisüsteemi kohta Teie organisatsioonis, mida eeldavad ELi tehisintellektimääruse artikli 26 juurutaja kohustused [1] ja mis on ühtlustatud ICO juhistega UK GDPRi alusel [2]. Toimiv esimene versioon valmib alla 200 töötajaga VKEdel üheksakümne minutiga: 15 minutit loetlemiseks, 20 riskitasemete määramiseks III lisa põhjal, 25 põhiveergude täitmiseks ning 30 vastutajate määramiseks ja järelevalve pisteliseks kontrolliks.

Mis on tehisintellektiregister?

Tehisintellektiregister on artikli 26 juurutaja kohustustele see, mis isikuandmete töötlemise toimingute registreerimine (ROPA) on UK GDPRi artiklile 30: elav arvestus, mis nimetab iga süsteemi, liigitab selle riskitaseme ja määrab vastutaja. See on dokument, mida ICO uurija, hankeosakond või ettevõtte kliendi tarnijaturbe meeskond küsib esimesena.

ELi tehisintellektimäärus ei sätesta registri vormi määruse tekstis. Artikli 26 lõige 5 nõuab, et suure riskiga süsteemide juurutajad tagaksid inimjärelevalve, mida teostab määratud, pädev isik; artikli 26 lõige 6 nõuab suure riskiga kasutuse logimist vähemalt kuue kuu jooksul [1]. Register on tegevuslik alus, mis muudab mõlemad nähtavaks. ICO on 2023. aastast alates selgelt öelnud, et isikuandmeid töötlev tehisintellekt käivitab UK GDPRi alusel andmekaitsealase mõjuhinnangu distsipliini ja vastutuse kohustused [2], ning ICO tehisintellektiauditi tööriistakomplekt loetleb struktureeritud kannete liigid, mida VKE vajab [3]. Ükski regulaator ei kohusta kasutama kindlat tööriista. Tabelarvutus, mis nimetab õiged veerud ja määrab õiged vastutajad, läbib testi.

Miks üheksakümmend minutit toimib (ja mida see Teile ei anna)

Register pole sihtpunkt. See on kaart. Üheksakümnest minutist piisab, et tuua nähtavale, milline tehisintellekt on kasutuses, liigitada selle riskitase ja määrata vastutus — kolm fakti, mida iga juurutaja peab suutma tõendada, enne kui regulaator, klient või juhatus seda küsib. Mida 90 minutiga ei saavuta: põhiõigustele avalduva mõju hindamist artikli 27 alusel iga III lisa süsteemi kohta, rollile vastavat tehisintellektipädevuse õppekava artikli 4 alusel, tarnija hoolsuskohustuse paketti, mis katab andmetöötluslepingud ja mudelikaardid, ega täiel kujul kirjapandud inimjärelevalve protokolli [1]. Need on järgnevad töövoolud, mille ulatuse määrab see, mida register nähtavale toob.

Ajaraamistamise distsipliin loeb rohkem kui viimistlus. Registrit ei koosta meie auditiprojektides tavaliselt need VKEd, kes käsitlevad seda mitmenädalase projektina, vaid need, kes piiravad esimese versiooni 90 minutiga — nemad saavad registri valmis juba esimesel päeval ja seejärel täiendavad seda. Artikli 26 kohustused on pidevad, mitte ühekordsed, mistõttu esimene versioon, mida saate värskendada, on kindlasti rohkem väärt kui kolmas versioon, mida pole veel alustatudki.

Kuidas 90-minutiline tehisintellektiregistri töövoog kulgeb?

1. samm — Loetlege kõik kasutusel olevad tehisintellektisüsteemid (15 minutit)

Kolm allikat katavad enamiku sellest, mida leiate. Tasulised SaaS-tellimused leiate raamatupidamise pearaamatust või kulukaardilt — iga pakkuja, kelle toote nimes esineb „AI", „ML", „Copilot", „Assistant" või „Insight", kuulub loendisse. Sisseehitatud tehisintellekti koguge olemasolevatelt platvormidelt — Microsoft 365 Copilot, Google Workspace Gemini funktsioonid, Salesforce Einstein, HubSpot Breeze, Outlooki automaatvastused, Teamsi koosolekukokkuvõtted on kõik kohaldamisalas, olenemata sellest, kas nende eest makstakse. Varitehisintellekti tooge välja ühe lõigu pikkuse üleskutsega kõigile, paludes nimetada, milliseid tehisintellektivahendeid töötajad igapäevaselt kasutavad, kaasa arvatud tasuta tarbijakontod.

Käsitlege varitehisintellekti kohaldamisalasse kuuluvana. Töötaja, kes kleebib CV tasuta ChatGPT kontosse, muudab VKE suure riskiga juurutajaks ELi tehisintellektimääruse tööhõivesätete alusel [1] ja andmed lahkuvad UK GDPRi alusel Teie keskkonnast [2]. Registri ülesanne on see nähtavale tuua, mitte korrale kutsuda. Korrale kutsumine tuleb 4. sammus, kui teate, mis seal on.

2. samm — Liigitage iga süsteem riskitasemesse III lisa põhjal (20 minutit)

ELi tehisintellektimääruse III lisa loetleb kaheksa suure riskiga valdkonda [1]: biomeetriline tuvastamine, elutähtis taristu, haridus ja kutseõpe, tööhõive ja töötajate juhtimine, juurdepääs olulistele teenustele, õiguskaitse, ränne ja piirikontroll ning õigusemõistmine. VKEde puhul on elavad käivitajad tavaliselt tööhõive (CV-sõel, soorituse järjestamine, automaatne ajakavastamine), juurdepääs teenustele (krediidiotsused, kindlustushinna määramine) ja haridus (koolitushinnangud, sertifikaadid).

Andke igale loendis olevale süsteemile üks märge: suure riskiga (vastab III lisale), piiratud riskiga (läbipaistvuskohustused artikli 50 alusel), minimaalse riskiga (ei mingeid konkreetseid kohustusi peale artikli 4 pädevuse) või üldotstarbelise tehisintellekti juurutaja (kasutate üldotstarbelist tehisintellektimudelit vestlusroboti või assistendi selgroona) [1]. Enamik VKEde tehnoloogiavalikuid jaguneb kahe või kolme taseme vahel. Liigitus on juurutaja teha; seda ei saa pakkujale delegeerida ja seda ei mõjuta ettevõtte suurus.

3. samm — Täitke kümme põhiveergu (25 minutit)

Veerud, mis teenivad oma koha juurutaja registris:

  1. Süsteemi nimi — kuidas töötajad seda igapäevaselt nimetavad.
  2. Pakkuja — toote taga olev juriidiline isik.
  3. Mudel või versioon — kus teada (näiteks GPT-4o, Claude 3.5, Gemini 1.5, ise välja töötatud).
  4. Kasutusjuht — üks lause, mis kirjeldab, mida süsteem otsustab või loob.
  5. Riskitase — suur / piiratud / minimaalne / üldotstarbelise tehisintellekti juurutaja.
  6. Isikuandmed kaasatud — Jah/Ei, lisaks kategooriad UK GDPRi alusel.
  7. Õiguslik alus — UK GDPRi artikli 6 alus (õigustatud huvi, leping, nõusolek jne).
  8. Vastutaja — konkreetne isik, mitte meeskond ega roll.
  9. Artikli 26 lõike 6 logimine — Jah/Ei/EK suure riskiga juurutuste puhul.
  10. Kasutuselevõtu kuupäev — vähemalt kuu ja aasta.

Tabelarvutus nende kümne veeruga vastab esimesele küsimusele, mida iga regulaator, klient või juhatuse liige esitab. Kõik sellest edasi on iteratiivne töö, mitte esimese versiooni töö. Pidage vastu soovile lisada veerge, kuni pole täitnud kõiki kümmet igal real.

4. samm — Määrake igale süsteemile vastutaja (15 minutit)

Artikli 26 lõige 5 nõuab, et suure riskiga süsteemide juurutajad tagaksid inimjärelevalve, mida teostab pädev, vastutav isik, kellel on volitused süsteem peatada või selle väljund tühistada [1]. Kandke see oma registrisse üle, nimetades iga III lisa rea kõrvale tegeliku inimese — mitte rolli, nagu „IT-juht" või „operatsioonide juht". Vastutajal on vaja kolme omadust: ta suudab süsteemi väljundeid lugeda, tal on volitused see välja lülitada ja ta on Teie registris nimepidi kättesaadav.

III lisasse mittekuuluvate süsteemide puhul nimetage vastutaja ikkagi. Vormiline kohustus on kergem; distsipliin on seesama. Tegevusjuhid ja vanemjuhid on enamikus VKEdes loomulikud vastutajad; tehnoloogia- või andmedirektorit pole vaja.

5. samm — Kontrollige pisteliselt inimjärelevalvet ühel suure riskiga süsteemil (15 minutit)

Oma kõige suurema riskiga III lisa rea puhul käige läbi kolm küsimust: kas inimene vaatab tehisintellekti väljundi üle, enne kui see inimest mõjutab (inimene otsuseahelas); kas see inimene saab praktikas tehisintellekti otsuse tühistada (volituste kontroll); kas inimene on saanud rollile vastava koolituse artikli 4 alusel (pädevuse kontroll) [1]? Vastused lähevad kümne põhiveeru kõrvale vabateksti veergu „inimjärelevalve märkmed".

Viieteistkümne minutiga inimjärelevalve protokolli Te ei lõpeta. Eesmärk on tuua nähtavale, kus puudujääk on, mitte seda kohe kõrvaldada. Rida tekstiga „CV-sõelal puudub inimkontroll; puudujääk tuleb kõrvaldada 30 päeva jooksul" on täpselt õige tulemus. Registri ülesanne on muuta puudujääk nähtavaks; selle kõrvaldamine on eraldi töövoog ja eraldi eelarve.

90-minutiline tehisintellektiregistri koostamine ajaraamistatud kuluna: süsteemide loetlemine 15 minutiga, riskitasemete määramine III lisa põhjal 20 minutiga, kümne põhiveeru täitmine 25 minutiga, vastutaja määramine 15 minutiga ja järelevalve pisteline kontroll 15 minutiga.
90-minutiline tehisintellektiregistri koostamine ajaraamistatud töövooguna.

Millised viis lõksu tapavad esimese versiooni tehisintellektiregistri?

  • Registri käsitlemine ühekordse dokumendina. Artikli 26 kohustused on pidevad; register on elav artefakt, mida vaadatakse üle vähemalt kord kvartalis ja värskendatakse iga kord, kui võetakse kasutusele uus tehisintellektisüsteem või pakkuja toob välja olulise mudelimuudatuse.
  • Varitehisintellekti märkamata jätmine. Tasuta tarbijakontod ja isiklikud Copilot-seansid on kõrgeima intsidendisageduse ja madalaima nähtavusega kategooria. Kui register neid nähtavale ei too, siis see valetab.
  • „Vastavustööriista" ostmine enne loetlemist. Pakkuja vastavus-SaaS ei liigita Teie kasutusjuhte — seda suudab teha ainult Teie meeskond. Esmalt tabelarvutus, tööriist hiljem (või mitte kunagi; alla 200 töötajaga VKEde jaoks piisab hoitud tabelarvutusest).
  • Rolli, mitte isiku määramine. „IT-meeskonda" ei saa välja kutsuda. Telefoninumbriga konkreetset inimest saab. Artikli 26 lõige 5 eeldab viimast [1].
  • Artikli 4 pädevuse täielik vahelejätmine. Artikkel 4 kehtib 2. veebruarist 2025 igale tehisintellekti kasutavale töötajale, rollile proportsionaalselt [1]. See pole tase — iga süsteem toob esile artikli 4 kohustuse. Märkige see registrisse ka siis, kui õppekava ise on järgnev töö.

Mida teha pärast üheksatkümmet minutit

Register on avastuskiht. Sellelt tõuseb tavaliselt kolm järeltöövoogu:

  1. Põhiõigustele avalduva mõju hindamise ulatuse määramine iga III lisa rea kohta ELi tehisintellektimääruse artikli 27 alusel [1] — eraldi, sügavam dokument, mille registri riskitaseme veerg pigem käivitab kui asendab.
  2. Artikli 4 tehisintellektipädevuse õppekava — rollile proportsionaalne, mille ulatuse määrab registri vastutaja veerg, mitte töötajate arv.
  3. Tarnija hoolsuskohustuse pakett — andmetöötluslepingud, mudelikaardid, üldotstarbelise tehisintellekti päritolu, mille ulatuse määrab registri pakkuja veerg ja mida värskendatakse hanke pikendamisel.

Need on töövoolud, mida katab umbes kaheteistkümne nädalaga summas 18 000–32 000 £ lähenemine, kus juhtimine projekteeritakse algusest peale sisse, ja needsamad töövoolud, mida katab kuue surutud nädalaga summas 85 000–145 000 £ lähenemine, mis kohandab tagantjärele — kordaja, mis on kooskõlas MIT Sloani andmetega selle kohta, et ELi ettevõtted vähendasid jõustamissurve all GDPRi järel salvestatud andmeid 26% ja arvutust 15% [4]. Register on selle aritmeetika vastu odavaim võimalik esimene käik.

Kokkuvõte

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Seotud teemad


Viimati uuendatud: 2026. aasta mai. Versioon 1.0.

Frequently Asked Questions

Kas tehisintellektiregister asendab GDPRi töötlemistoimingute registri?
Ei, need on teineteist täiendavad arvestused erineva õigusliku alusega. Isikuandmete töötlemise toimingute registreerimine (ROPA) on nõutav UK GDPRi artikli 30 alusel ja kataloogib isikuandmete liikumise. Tehisintellektiregister on selle juurutaja-poolne vaste ELi tehisintellektimääruse artikli 26 ja ICO juhiste alusel ning kataloogib iga tehisintellektisüsteemi olenemata sellest, kas see töötleb isikuandmeid. Paljud süsteemid esinevad mõlemas, kuid ristviide on mõlemas suunas üks-mitmele.
Meie töötajad kasutavad tasuta ChatGPTd ja tarbija-Copilotit. Kas need kuuluvad registrisse?
Jah. Artikli 26 juurutaja kohustused kehtivad VKE-le olenemata sellest, kas tehisintellektitellimus on ettevõtte või tarbija oma, tasuline või tasuta. Hetkel, mil töötaja kasutab tehisintellektivahendit töö käigus, on VKE juurutaja ja süsteem kuulub registrisse. Tasuta tarbijakontodel puudub tavaliselt ka andmetöötlusleping, mida ettevõtte tase pakub, mis pigem suurendab kui vähendab UK GDPRi riski.
Meie VKE asub väljaspool ELi. Kas ELi tehisintellektimäärus kehtib meie registrile?
Väljaspool ELi asuvate VKEde puhul on ELi tehisintellektimääruse otsene kohaldatavus kitsam, kuid harva päris olematu. Määrus ulatub eksterritoriaalselt sinna, kus süsteemi väljundit kasutatakse ELi sees — SaaS-toodete ja B2B-teenuste puhul juhtub seda igapäevaselt. Isegi ELi seose puudumisel järgivad riiklikud regulaatorid määruse juurutaja-loogikat: ICO on Ühendkuningriigi tehisintellektijuhised sellega 2023. aastast alates ühtlustanud ning sarnased ELi-välised Euroopa jurisdiktsioonid liiguvad samas suunas. Artikli 26 järgi koostatud register vastab ka nendele riiklikele arengusuundadele.
Kes peaks tehisintellektiregistri eest vastutama VKE-s, kus pole tehnoloogiajuhti?
Tegevusdirektor, vastavusjuht või tegevjuhile alluv vanemtöötaja. Register on toimetuslik, mitte tehniline töö: ridade hoidmine, riskitasemete värskendamine süsteemide muutudes ja vastutajate järelpärimine igas kvartalis. Levinud VKE muster on üks määratud vastutaja, kes peab registrit umbes kolm tundi kvartalis, lisaks iga rea määratud vastutaja, kes kannab oma süsteemipõhiseid kohustusi.
Kui sageli tuleks registrit värskendada?
VKEde realistlik miinimum on kord kvartalis, lisaks sündmusepõhine värskendus iga kord, kui hangitakse uus tehisintellektisüsteem või jõuab kasutusse oluline mudelimuudatus (näiteks pakkuja liigub ühelt mudelipõlvkonnalt järgmisele). III lisa suure riskiga ridade puhul värskenduvad logikanded pidevalt artikli 26 lõike 6 alusel. Aasta vanune staatiline register ei läbi regulaatori ega ettevõtte hankemeeskonna ees tõendatavuse testi.
Kas tabelarvutusest piisab või vajame eraldi GRC-tööriista?
Kuni umbes 200 töötajaga VKEde jaoks piisab tabelarvutusest. Auditi raskust kannavad veerud, määratud vastutajad ja kvartaalse värskenduse distsipliin, mitte platvorm. Piiratud juurdepääsu ja versiooniajalooga Excel või Google Sheets täidab tõendatavuse nõude. Eraldi GRC-tööriistad muutuvad kasulikuks alates umbes 500 töötajast või viieteistkümnest tehisintellektisüsteemist; sellest väiksema puhul kaalub tööriista halduskoormus üles ajavõidu.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.