16/99 – Jak zostać audytorem systemów #AI? Co wspólnego mają ze sobą sztuczna inteligencja i #ISO? Klaudia Maciejewska

Poznajcie kolejną – kobiecą Twarz #AI. Klaudia Maciejewska jest prawniczką, inspektorką ochrony danych osobowych, mediatorką sądową, product managerką i kierowniczką Centrum Badawczo-Rozwojowego Currenda.

Jej głównym obszarem zainteresowań jest prawo nowych technologii, sztuczna inteligencja i rozwój systemów opartych na tej technologii.

Rozwój i implementacja standardów #ISO w dziedzinie sztucznej inteligencji to nie lada wyzwanie. Wymaga to głębokiego zrozumienia zarówno technologicznych niuansów #AI, jak i złożonych aspektów społecznych, ekonomicznych oraz etycznych, które ta technologia porusza. Normy te mają za zadanie ustanowić wspólne ramy, które będą wspierać innowacje, jednocześnie chroniąc użytkowników i społeczeństwo przed potencjalnymi negatywnymi skutkami nieodpowiedzialnie zaprojektowanych lub wdrożonych systemów #AI.

O czym rozmawiamy dzisiaj?

• Kim jest audytor systemów #AI? Jaką rolę pełni w organizacji?
• Jakie należy mieć kompetencje, by nim zostać?
• Jak będą rozwijać się systemy jakość w kontekście rozwoju systemów #AI?
• Dlaczego warto być specjalistą w określonej dziedzinie?
• Co czytać, czego się uczyć, by być z tematami #ISO i #AI na bieżąco?

Posłuchajcie sami!

Notatki  

Linki i materiały, o których mówi Klaudia:

• Ramy kompetencji audytu wewnętrznego IIA Instytut Audytorów Wewnetrznych
• Międzynarodowe Standardy Praktyki Zawodowej Audytu Wewnętrznego
• International Professional Practices Framework (IPPF)
• https://www.iia.org.pl/o-nas/standardy
• https://www.theiia.org/en/standards/what-are-the-standards/core-principles/
• Ramy COBIT
• Ethics by design
• https://engagestandards.ieee.org/ieeecertifaied.html?_gl=11npriv2_gaOTkwOTkzNTY4LjE2OTgxNzk3MTE._ga_XDL2ME6570*MTY5OTc4OTE2OS4xLjEuMTY5OTc4OTYzMy4xNi4wLjA.
• Datasheets for dataset
• https://www.cencenelec.eu/
• https://standards.ieee.org/industry-connections/ec/autonomous-systems/
• https://standards.ieee.org/initiatives/autonomous-intelligence-systems/
• https://ieeexplore.ieee.org/browse/standards/get-program/page/series?id=93
• https://www.nist.gov/fundamental-ai

Obszary, których dotyczyć będą systemy ISO związane z #AI:

• prawa człowieka (szacunek dla ludzkich działań – kontrolowanie, kierowanie, interweniowanie w podstawowe operacje); sprawiedliwość
• prywatność i zarządzanie danymi/RODO – przetwarzanie danych zgodnie z wymogami zgodności z prawem; przetwarzanie danych wrażliwych, wdrażanie odpowiednich środków technicznych i organizacyjnych; zapobieganie wyciekom i naruszeniom danych; wnioskowanie, profilowanie;
• bezpieczeństwo informacji – pewność techniczna, fizyczna, środowiskowa; kontrolę dostępu; cyberbezpieczeństwo; poufność, dostępność, integralność systemu
• cyberbezpieczeństwo – odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy; zapewnienie, aby sprzęt i oprogramowanie były wprowadzone do obrotu z mniejszą liczbą podatności, a także aby producenci poważnie traktowali bezpieczeństwo w całym cyklu życia produktu
• odpowiedzialność – nadzór i kontrola nad cyklami decyzyjnymi; udokumentowane niezbędne skutki; ocena możliwości zagrożeń etycznych; podleganie audytowi; szkolenia pracowników; analiza ryzyka, zarządzanie jakością: zarządzanie ryzykiem; dokumentacja techniczna, zarządzanie incydentami bezpieczeństwa, zarządzanie danymi, kontrola jakości przez cały life cycle systemu, monitorowanie, ewidencjonowanie dokumentacji
• dane i jakość danych – nieoczekiwane anomalii w danych szkoleniowych; modele wprowadzające w błąd; etykietowanie; pochodzenie danych; cykl życia; dane szkoleniowe
• działanie systemu – wyjaśnialność, interpretowalność; autonomia; niezamierzone wyniki działania; działanie zgodne z przeznaczeniem; wydajność systemu; nadzór
• architektura i infrastruktura – środowisko, zastosowane narzędzia, technologie
• zgodność z przepisami prawa – AI ACT, regulacje krajowe
• zgodność ze standardami, normami – ISO, CEN/CELEC; EN ISO/IEC 23053:2023 Framework for Artificial Intelligence (AI) Systems Using Machine Learning; EN ISO/IEC 42001:2023 Information technology, Artificial Intelligence, Management System; IEEE P1228; zestawieniu norm ISO/IEC 270xy z uwzględnieniem norm dotyczących Systemu Zarządzania Bezpieczeństwem Informacji; trzyczęściowej normie międzynarodowej ISO/IEC 15408: Information technology. Security techniques. Evaluation criteria for IT security (PN-ISO/IEC 15408-1:2016-10, PN-ISO/IEC 15408:2:2016-10; NIST serii 800; standardach COBIT opracowanych przez organizację ISACA; ISO 31000:2018 (zarządzanie ryzykiem); PN-EN ISO/IEC 22989:2023-09 Technika informatyczna –Sztuczna inteligencja –Pojęcia i terminologia sztucznej inteligencji; ISO 9001 (system zarządzania jakością)

Transkrypcja rozmowy

Disclaimer. Droga Czytelniczko, Drogi Czytelniku – mała uwaga dotycząca transkrypcji rozmowy. Jak się pewnie domyślasz – transkrypcja została przygotowana z wykorzystaniem magii LLM. Proszę o wyrozumiałość, gdyby pojawiły się w niej niewielkie błędy, literówki, etc. Żeby mieć pewność co do wszystkich wypowiedzi – polecam posłuchać, zamiast czytać. Ukłony.

Karol Stryja:   Klaudio, witam cię serdecznie. 99 Twarzy AI, kolejna twarz, kolejna historia, kolejny obszar, o którym będziemy rozmawiać. Kim jesteś, czym się zajmujesz? 

Klaudia Maciejewska:   No tak, no to zaczynając, dzień dobry Państwu, już zostałam przedstawiona, Maciejewska Klaudia, czym się zajmuję. Wychodząc od samego początku, na pewno jestem prawniczką, takie też studia skończyłam i następnie zaczął się kolejny etap, kolejny rozwój. Mogę powiedzieć, że jestem inspektorką ochrony danych, jestem stałą mediatorką sądową, zawodowo jestem produktmanagerką i kierowniczką Centrum Badawczo-Rozwojowego Kurenda Lab.   Ale zajmuję się również, to jest moja pasja, prawem nowych technologii, sztuczną inteligencją, rozwojem systemów sztucznej inteligencji, tworzeniem takich systemów w sumie od pomysłu przez prace badawcze, rozwojowe, wdrożenie. To zainteresowanie przekłada się również na szeroki zakres pojmowania tego, jak podejść do tematu sztucznej inteligencji.  do tego, jak wprowadzić w organizację sposoby zarządzania zgodnością, oceną zgodności, zarządzania ryzykiem, tutaj kwestią zarządzania incydentami bezpieczeństwa, które są właśnie związane ze sztuczną inteligencją. 

Karol:   No właśnie, ale jak mówimy o tych wdrożeniach i tak dalej, to wszystko będzie musiało funkcjonować w ramach jakichś określonych norm wytycznych i tak dalej. Co ma wspólnego sztuczna inteligencja i te wszystkie wdrożenia właśnie z ISO, które tak naprawdę reguluje i nadaje pewne standardy? 

Klaudia:   Wychodząc do tego, czym jest sztuczna inteligencja, należy rozumieć ją jako dyscyplinę naukową, która dotyka kilka dziedzin, technik, odnosi się do informatyki, odnosi się do psychologii, odnosi się do filozofii, odnosi się do etyki, odnosi się do prawa, jest interdyscyplinarna.  99 twarzy. Tak, 99 twarzy i w zakresie interdyscyplinarności i sztucznej inteligencji, przynajmniej rozwiązań sztucznej inteligencji, bo sztuczna inteligencja to jest takie pojęcie bardzo ogólne, mówimy o kwestii danych, algorytmów, modeli i mocy obliczeniowej. 

Mówimy dalej o uczeniu maszynowym, mówimy o wnioskowaniu maszynowym, mówimy o robotyce, czyli mówimy o tych różnych technikach.   Jeżeli mówimy o takiej technologii, zastanawiamy się, ok, ale jak ona wygląda, gdzie ona jest regulowana. I owszem, tak jak mamy różne definicje samej sztucznej inteligencji, czyli pojawiające się w informatyce, pojawiające się w prawie, gdzie jeszcze mówimy o tym, że nie mamy legalnej definicji sztucznej inteligencji, ale zaraz do tego przejdziemy, gdzie mówimy o tym, co się pojawia w etyce, czy gdzie się pojawia w psychologii, przechodzimy do tego definiowania, czyli do tego, gdzie znajdziemy definicję.   Definicję powinniśmy znaleźć w systemie m.in. prawa, ale nie tylko. Jeżeli przechodzimy do systemu prawa, to mówimy aktualnie o najbardziej zaawansowanym dokumencie w pracach. Jest to AI Act, czyli akt w sprawie sztucznej inteligencji, rozporządzenie, które normuje czym są systemy sztucznej inteligencji. Z podziałem, z zachowaniem, co obejmują. Skupia się rzeczywiście AI Act na systemach sztucznej inteligencji wysokiego ryzyka i tam możemy znaleźć te systemy wysokiego ryzyka, ograniczonego ryzyka, niskiego i minimalnego ryzyka. To mówimy o tej regulacji prawnej, ale w samej regulacji prawnej AI Act mówimy o kwestii związanej z normalizacją, która jest tam podkreślona.   Czyli te normy zharmonizowane to nie tylko i wyłącznie w rozumieniu regulacji prawnych, ale powołanie się na normalizację. 

Dlaczego? Dlatego, że systemy sztucznej inteligencji są systemami maszynowymi, są to też oprogramowania. Mówimy o danych, modelach i algorytmach.   I tak jak mamy normy i standardy tworzone dla systemów informatycznych, tak aktualnie są tworzone normy, standardy dla systemów sztucznej inteligencji. To się dzieje. Jednocześnie z tym, jak jest procedowany AI Act, są procedowane te standardy.   I tak jak powiedziałam, w samym EIA jest wskazane właśnie na tą kwestię normalizacyjną, że jest ona istotna, że to nie jest tylko i wyłącznie ta kwestia prawna, ale będzie to również obejmować ta zgodność działania tych systemów sztucznej inteligencji z normami. 

Karol: Właśnie, wytłumaczmy, na czym polega tak naprawdę ta normalizacja, o co w tym wszystkim chodzi? 

Klaudia:   Mówiąc o normalizacji, mówimy o standardach międzynarodowych, mówimy o standardach europejskich. Jeżeli chodzi o te standardy międzynarodowe, mówimy o Międzynarodowej Organizacji Normalizacyjnej, czyli ISO. 

Ona tworzy te standardy, procedury dobrych praktyk w zakresie tworzenia produktów i usług, które mają dawać to poczucie bezpieczeństwa, odpowiedzialności, mają dawać to zaufanie.   Mamy też na szczeblu europejskim, czyli Europejski Komitet Normalizacyjny i tu mamy do czynienia z INSELEK, który też tworzy takie standardy. Te organizacje współpracują ze sobą, czyli te organizacje międzynarodowe współpracują z organizacjami europejskimi, a z kolei organizacje europejskie współpracują i konsultują się, jeżeli chodzi tutaj o kwestie systemów sztucznej inteligencji, z Komisją Europejską,  która oczywiście pracuje też nad AI-aktem, czyli która jest też tutaj w te procesy zaangażowana. I stąd biorą się te normy, standardy, które są wypuszczane na organizacje. Zalecane jest to, żeby skorzystały z takich norm i standardów. Z uwagi na te kwestie też etyczne i tutaj też wchodzimy w tę etykę przetworzenia takich systemów sztucznej inteligencji, czyli ethics by design i uwzględnienie tego procesu w podejściu właśnie do tworzenia systemów sztucznej inteligencji. 

Karol:   Moglibyśmy to przełożyć w takim razie, zastosowanie takiej normy na projekt, na firmę i opowiedzieć o tym, w jaki sposób tak naprawdę te normy wpływają na projektowanie i dostarczanie usług. 

Klaudia: I tu warto tak naprawdę zauważyć, że kwestia przełożenia norm i standardów jest nam znana na organizację.   

Bo w przypadku nawet RODO mieliśmy również normę, czyli tutaj cała seria norm 27 tysięcy, która jest przedkładana w organizację jako standard. I wtedy firma się certyfikuje, aby potwierdzić, że ona ma ten standard jakości, że jest zgodna z tą jakością. I to samo następuje w przypadku systemów sztucznej inteligencji.   mimo że nie są one jeszcze uregulowane, ale tak naprawdę to się już dzieje z uwagi na to, że te systemy są tworzone. To nie jest tak, że organizacje nie tworzą systemów sztucznej inteligencji, one są tworzone. 

I teraz pytanie, jak te organizacje podchodzą do wdrożenia takich systemów  I jaką mają świadomość tego, co powinny one spełniać. Czyli oprócz tego, że już powinniśmy zwracać uwagę na to, że jest AI Act, że jest on opracowany, że tak naprawdę jest na finiszu, bo 2 lutego bieżącego roku tutaj już Rada Unii Europejskiej zatwierdziła tą finalną wersję, czeka teraz tak naprawdę na parametr europejski, który pytanie, czy…   Miejmy nadzieję, że już nie wniesie jakichś większych zmian do AI-Actu, więc to jest kwestia regulacji prawnych, ale już wiemy, w jakim kierunku one idą, jak pootoczyły się te prace, czego możemy oczekiwać, jeżeli chodzi o AI Act. Czyli już teraz na przykład możemy ocenić, czy system sztucznej inteligencji, który tworzymy w organizacji, jest systemem wysokiego ryzyka. No i co najważniejsze, my to oceniamy, my jako organizacja, a żeby to ocenić,  No musimy przejść przez tak naprawdę to zarządzanie zgodnością. To zarządzanie zgodnością, to ta ocena, czy to jest system sztucznej inteligencji wysokiego ryzyka, ograniczonego ryzyka, czy też niskiego bądź minimalnego ryzyka, decyduje wiele czynników. 

I w tym przypadku co? Tworzymy dokumenty,  dokumentację techniczną. Mamy kwestię zarządzania jakością, ale mamy kwestię oceny zgodności, mamy kwestię zarządzania ryzykiem, mamy analizę ryzyka, mamy ten obszar odnoszący się do praw człowieka, obszar odnoszący się do architektury, infrastruktury, obszar odnoszący się do bezpieczeństwa informacji, cyberbezpieczeństwa i tutaj przechodzimy do kolejnego obszaru, którym jest ochrona danych osobowych, czyli ta prywatność ochrona danych osobowych zgodność z RODO.   Mamy do czynienia z danymi z jakością danych, które są wykorzystywane, czyli dane szkoleniowe, dane testowe, autonomia tak naprawdę systemu, czyli poziom tej autonomii systemu, jak również przechodzimy w działanie systemu, jego wydajność, działanie zgodnie z przeznaczeniem, czy też działanie niezamierzone.   I teraz jeżeli my przejdziemy przez wszystkie te elementy, jesteśmy w stanie określić, jaki jego rodzaju system sztucznej inteligencji mamy. Ale teraz ważna rzecz, czy my przejdziemy przez te elementy, bo możemy stwierdzić, że tworzymy system sztucznej inteligencji i tyle. 

Mamy system, tworzymy. Ale wydaje mi się, że ta świadomość coraz bardziej rośnie, że tworzenie takich rozwiązań wiąże się z odpowiedzialnością i z ryzykiem.  z ryzykiem, bo jeżeli system sztucznej inteligencji będzie dyskryminować, no to wiąże się właśnie z odpowiedzialnością, czyli my ponosimy odpowiedzialność jako organizację, jako podmiot, który daje założenia biznesowe, mówi jak ma ten system wyglądać, jak mają wyglądać te funkcjonalności, na czym mają się opierać, to my ponosimy za to odpowiedzialność i świadomość właśnie tworzenia takiego rozwiązania, określenia  Jako organizacja, jaki to jest system sztucznej inteligencji jest bardzo istotny. Natomiast nie jest też tak, że każdy pracownik jest w stanie w organizacji to wykonać. Owszem, to nie jest wiedza tajemna, ale jest to związane z kwestią tego, czy posiadam wiedzę, kompetencje do oceny, czy to jest system sztucznej inteligencji takiego rodzaju. 

Karol:   Czyli tak naprawdę normy ISO będą podręcznikami, mówię w dużym uproszczeniu, które będą pozwalały nam tworzyć systemy zgodne z AI Actem. 

Klaudia: Będą go uzupełniać tak naprawdę. Normy ISO uzupełniają, będą uzupełniać, już uzupełniają tak naprawdę AIA Act, bo mamy normy ISO, które już zostały opublikowane. 

Jest to norma ISO 22989.   Tu pokrótce skażę nazwę, czyli technika informatyczna sztuczna inteligencja, pojęcie i terminologia sztucznej inteligencji. Mamy normę ISO 23053, ramy dla systemów sztucznej inteligencji, czyli tutaj wykorzystujących uczenie maszynowe, czyli już to się dzieje, już mamy takie normy opublikowane.   Mamy również normy ISO 42001 i to jest technika informatyczna, sztuczna inteligencja, zarządzanie systemem. I mamy normy, które też są tworzone w dalszym ciągu, dotyczące właśnie pracy nad wytycznymi, dotyczącymi zarządzania ryzykiem, tematyka etyczna, godność zaufania sztucznej inteligencji i zarządzania danymi jakości takich danych, miary jakości danych, czy też przegląd i słownictwo, tak?   Co jest zgodne tak naprawdę, te tworzone, które normy są tworzone, też uwzględniają właśnie akt tak, żeby nie było niezgodności pomiędzy stosowaną terminologią, ale są również już istniejące normy, standardy, które dotyczą systemów informatycznych i też to wykorzystujemy przy tworzeniu norm, tak? I do takich norm należy norma ISO 31000 dotycząca zarządzania ryzykiem. 

Do takich norm należy norma 9001, dotycząca zarządzania systemem jakości. My to wykorzystujemy. Czy dalej mamy normę NIST z serii 800, czyli kompleksowe projektowanie bezpiecznych systemów, zarządzanie bezpieczeństwem. Tutaj trzyczęściową normę ISO 15408, więc one istnieją. My z nich czerpiemy, bierzemy podwagę, bo to też uwzględniamy jako system ten informatyczny, owszem,  Różniący się od tego, czym jest system sztucznej inteligencji, bo mamy zupełnie, może nie tyle, że zupełnie, ale mamy to szczególne znaczenie odnoszące się do kwestii danych osobowych, praw człowieka, większą możliwość dyskryminowania, czyli tutaj jak gdyby większe poszanowanie też dla szacunku, dla ludzkiego działania związanego z kontrolą takiego systemu. 

Karol:  Dobrze, a wytłumacz mi proszę, Claudio, o ile AI Act jest regulacją prawną, będziemy podlegać jemu wszyscy, tak naprawdę, jeżeli zostanie wprowadzone w życie, to jak jest z normami? Normy to zbiór wytycznych, które możemy, ale nie musimy. Tak, tak. 

Klaudia:   To są te standardy, możemy, nie musimy, zawsze warto je wdrażać z uwagi na to, że pokazują, że ten dany system, jeżeli będziemy mówić o systemach sztucznej inteligencji, ma ten walor bezpieczeństwa, zaufania, jakości, czyli podkreślamy, że określony system w określonym obszarze daje tym użytkownikom końcowym to potwierdzenie swojej stabilności, solidności, sprawiedliwości i to jest istotne.   Dlatego, że w przypadku systemu sztucznej inteligencji użytkownicy, jak słyszą, to jest system sztucznej inteligencji, mają różne wyobrażenia. 

Karol: Czyli można byłoby to życiowo porównać do takiego savoir-vivre’ów. 

Klaudia: Dobrych praktyk, które warto zastosować i to też jest podkreślane w jej akcie, że to kluczowa będzie ta normalizacja.   Więc to już nie tyle jako dobre praktyki, tylko w przypadku systemu sztucznej inteligencji mamy wskazanie, to będzie kluczowe. To będzie to, co będzie rozwijać kwestie prawne, ale dawać te filary etycznej i godnej zaufania sztucznej inteligencji, bo to też jest wszędzie podkreślane, ta etyczna i godna sztuczna inteligencja. 

Karol: Właśnie miałem zapytać, jakie obszary tak naprawdę wymagają największej normalizacji, które potrzebują tych dobrych wskazówek i wytycznych, jeżeli chodzi o sposób pracy? 

Klaudia:   Czy możemy powiedzieć o tych, które są najważniejsze czy najlepsze? Niekoniecznie tak bym grupowała, na pewno bym grupowała to na obszary, czyli konieczne. Konieczne z uwagi na zarządzanie ryzykiem, konieczne z uwagi na właśnie terminologię, konieczne z uwagi na infrastrukturę, konieczne z uwagi na bezpieczeństwo, cyberbezpieczeństwo. Czyli ja bym to wskazywała, tego nie da się powiedzieć zero-jedynkowo.   Czyli jak będziesz miał, zastosujesz standardy dotyczące zarządzania ryzykiem, super, to już masz załatwiony ten temat. To tak nie wygląda z uwagi właśnie na tą interdyscyplinarność, na to szerokie podejście do tego tematu i nie da się do tego podejść zero-jedynkowo. Więc jeżeli rzeczywiście, nieważne, przynajmniej moim zdaniem, nieważne, czy masz system, tworzysz, czy już masz, wdrożyłeś, wyznaczmy, masz system sztucznej inteligencji wysokiego ryzyka, jeżeli w ogóle tworzysz systemy sztucznej inteligencji,  podejmie działania, nie tylko i wyłącznie, bo akt mówi o tym, dla systemów ograniczonego ryzyka, czy też minimalnego, w sumie głównie minimalnego, masz te kodeksytyki. Natomiast ja wychodzę z innego założenia, że jeżeli chcesz, aby twój system sztucznej inteligencji, ten, który będziesz wdrażać, był godny zaufania, był bezpieczny, moim zdaniem powinien spełniać te standardy i normy. Bo tak naprawdę, żeby określić, czy jesteś tym systemem wysokiego ryzyka, ty musisz przez to przejść. 

Nie jesteś w stanie zero-jedynkowo, bez przejścia całego procesu, nie tylko odhaczynia takiej checklisty, tylko spojrzenia globalnego na ten system, stwierdzić, że owszem, to jest system wysokiego ryzyka, a nawet jeżeli nie jest systemem wysokiego ryzyka, uważam, że powinniśmy stosować i audytować tak naprawdę taki system, sprawdzać, robić właśnie jemu czek, czy spełnia nadal te wymagania, te wymagania, które właśnie są w standardach. 

Karol:   A powiedz mi, czy aplikacja systemów ISO odnosi się do firm, które same projektują, wdrażają i budują swoje własne systemy wykorzystujące rozwiązania AI, czy też również firmy, które korzystają z istniejących? 

Klaudia: Tak, to możemy tworzyć.  Możemy również kupować system sztucznej inteligencji od podmiotów trzecich. I to też wtedy, jeżeli decydujemy się na zakup takiego rozwiązania, musimy podejść do tego tematu na nowo. Czyli tak, jakbyśmy tworzyli. To znaczy, jaki to jest system, jakie dane wykorzystuje, jaki był cel stworzenia takiego systemu, jakie jest zastosowanie.   Tu też wchodzimy w kolejne te obszary, czyli jakie jest to bezpieczeństwo informacji, prywatność i tak dalej, i tak dalej, i tak dalej. Czyli jakby przechodzimy tą samą ścieżkę. To nie jest tak, że skoro kupujemy od kogoś, decydujemy się wziąć rozwiązanie podmiotu trzeciego, to o niczym już nie musimy myśleć, bo ktoś powie, tak, to spełnia wszelkie wymagania. Owszem, taki podmiot jak najbardziej można pokazywać,  spełnienie, udowadniać, znaczy może nie tyle udowadniać, ale przedstawiać, że spełnia określone wymagania, że przeszedł, spełnia takie normy, standardy, że ma takie certyfikaty i to jest jak najbardziej właściwe. Natomiast to nie jest tylko i wyłącznie aspekt w momencie, tak jak zauważyłeś, tworzenia takiego rozwiązania, ale również aspekt, kiedy decydujemy się na takie rozwiązanie od podmiotów trzecich. 

Karol:   A czy masz jakiś taki case, masz firmę, z którą pracowałeś, w której pracowałeś właśnie nad tymi obszarami związanymi z ISO w obszarach AI i mogłabyś opowiedzieć, jak wyglądała praca z takim klientem, oczywiście bez podawania nazw, ale opowiedzieć o całym tym procesie. Jakie były początki, jakie były działania, które podjęliście, jakie były tego efekty? 

Klaudia:  Mogę powiedzieć na żywym organizmie, przykład na żywym organizmie, czyli przykład z życia, przykład z mojej organizacji, akurat tu spokojnie mogę i użyć nazwy i powiedzieć jak to wyglądało, z uwagi na to, że w firmie Akurenda, spółka z ZOO, siedzimy w Sopocie, tworzymy firmie, która tak naprawdę na rynku jest od 90-tych lat,   Tworzyliśmy rozwiązanie wykorzystujące system sztucznej inteligencji do monitorowania zmian aktów prawnych właśnie przy wykorzystaniu AI. Tak naprawdę najnowocześniejszy system informacji prawnej, który będzie w Polsce. Ta premiera jest takiego rozwiązania przewidziana na marzec tego roku.   I przeszliśmy całą tą ścieżkę, przeszliśmy też z uwagi w organizację, z uwagi na to, że ja, może tak ciężko zawsze mówić o sobie na samym początku, jak ktoś się pyta, co robisz, to później wychodzi w trakcie rozmowy, z uwagi na to, że jestem doktorantką wdrożeniową i w zakresie mojego doktoratu było osiągnięcie tego celu, jakim jest stwierdzenie, co będzie potrzebne, żeby tworzyć bezpieczne systemy sztucznej inteligencji.   nie tylko i wyłącznie fokusując się na tym produkcie, ale podjąć wyzwanie tego, czego potrzebujemy. Tak wyszło rzeczywiście, jako pomysł odawczyni idąc za zgodą zarządu, takie rozwiązanie zostało stworzone i to była praca na żywym organizmie. 

Bo zaczęłam od samego i zaczęliśmy wraz z zespołem projektowym i z ekspertami z Politechniki Gdańskiej i z ekspertami z Uniwersytetu Gdańskiego cały ten proces od samego początku. Czyli wyszliśmy od momentu, kiedy pada decyzja i jest pomysł.   I tu też wchodzimy w ethics by design, czyli mamy pomysł. Tworzymy ten system informacji prawnej, który między innymi będzie monitorować zmiany prawne, wykorzystywać sztuczną inteligencję. No i od pomysłu do realizacji. Musimy się zastanowić, jaki jest cel, jakie dane będzie wykorzystywać. Czyli znowu idziemy do tego samego, takie podstawowe informacje. 

Po co tworzymy? Jakie są założenia biznesowe? Jakie dane będziemy wykorzystywać? Co jest dane związane, do kogo to kierujemy? Do jakich użytkowników?   czego oni potrzebują. Później skąd weźmiemy dane do szkoleniowa? 

Skąd weźmiemy dane do testowania? Jaka będzie jakość tych danych? Na czym one się będą opierać? To są bardzo istotne, ta miara jakości tych danych. To znaczy  Jeżeli korzystamy, akurat w tym przypadku nie mieliśmy z tym do czynienia, ale jeżeli bierzemy pod uwagę, że będziemy wykorzystywać dane dotyczące, zbierać dane, które będą potrzebne, na przykład wieku, czy też płci, to jest problem teraz jakości, skąd weźmiemy te dane i czy to będą dyskryminować, czy nie i jak to sprawdzić. 

Karol:   Ale wróćmy do projektu, o którym zaczęliśmy. 

Klaudia: Tak, dobrze. Wracając do tego, czyli przechodzimy ten etap związany z celem, z założeniami biznesowymi, z funkcjonalnościami, z tym do kogo jest skierowany, czyli jakie dane będziemy wykorzystywać, jeżeli mówimy o danych osobowych, natomiast zadajemy sobie też pytanie, czy będziemy wykorzystywać dane nieosobowe.   No ale jeżeli będziemy tworzyć, to jakie bazy będziemy danych wykorzystywać, skąd będziemy je pobierać, jaka jest stabilność takich danych, bo są również organizacje, które dane kupują, żeby móc tworzyć takie rozwiązania. Czyli tu jest decyzja, czy to są dane, które możemy, publiczne i możemy je pobrać, czy to rzeczywiście są dane, które trzeba będzie tworzyć.   

Idziemy następnie dalej. Jeżeli tworzymy takie to rozwiązanie i już zwracamy uwagę, przynajmniej przy tworzeniu, bo od razu zwrócenie OK jest AI Act. Jak to wygląda, w czym będziemy się łapać, jakim systemem sztucznej inteligencji będziemy.   Kolejna rzecz, od pomysłu do realizacji. Mamy zespół projektowy, współpracujemy z ekspertami, mamy również w organizacji inspektora ochrony danych, mamy dział, który zajmuje się bezpieczeństwem, informacją i cyberbezpieczeństwem i tu kolejna rzecz, infrastruktura, architektura i infrastruktura rozwiązania. 

Jak zabezpieczymy taki system, bo to, że my stworzymy, będziemy tworzyć modele, to teraz jak będziemy tworzyć te modele? Jakie biblioteki będziemy wykorzystywać? 

Jakie narzędzia? Czy one są licencjonowane? Jak są licencjonowane, to czy możemy komercjalizować, czy nie możemy komercjonalizować? 

Czy to są rozwiązania open source’owe, czy nie? Czy trzeba je zakupić, czy nie? Czyli to są kolejne etapy związane z całą realizacją, ale też podejściem tym etycznym.   Tak z tą pełną świadomością, bo jeżeli ktoś wykorzysta teraz na przykładu rozwiązanie open source’owe, którego nie można komercjalizować, stworzy takie rozwiązanie, nie czytając kwestii dotyczących licencji, naraża produkt i organizację na ogromne kary finansowe, które są z tym związane. No ale przechodząc dalej, czyli pomysł, przechodzimy w realizację. Mamy zespół projektowy, musimy mieć określonych ekspertów i też ich świadomość dotyczącą produktu. Oni też muszą wiedzieć, to nie jest tak, że bierzemy kogoś i mówimy, będziesz kodować, tylko to jest też świadomość związana z tym, co będziesz robić.   Jaki to jest system, czyli świadomość też tych ludzi do tego, co tworzą, co mogą wykorzystywać, czego nie mogą wykorzystywać i jak gdyby reakcja na każdym też etapie ich potrzeb w rozumieniu takiego rozwiązania. No i idąc dalej, jeżeli tworzymy taki system, myślimy też o działaniu tego systemu, o wydajności, co w przypadku, jeżeli będzie korzystać z niego bardzo dużo osób, jaka będzie wydajność.   Czy ten użytkownik zrozumie, czym jest ten system? 

Czy on musi, jakie ma wejście? Kolejna rzecz, czy ten system mogę po prostu oddać użytkownikowi i powiedzieć korzystaj? Czy on musi mieć wiedzę do tego, żeby móc skorzystać z takiego rozwiązania? I już teraz nie mówimy też tylko i wyłącznie o zespole projektowym, które jest związane z frontem, z frontendowcami, z backendowcami, ale tu mamy szereg osób.   Jak system będzie się komunikować z użytkownikiem? 

UX writing, UX design, tak? To jest szereg osób i szereg ekspertów. Jeżeli mówimy o takim rozwiązaniu, mamy możliwości, są przecież ośrodki naukowe, które z chęcią będą współpracować przy tworzeniu takich rozwiązań. Dla nich to też jest element wzbogacający, tak? 

Ewaluacja dla takiej jednostki. Wykorzystajmy możliwość współpracy z takimi ekspertami odnośnie właśnie czy kwestii technicznych.  czy kwestii prawnych, czy kwestii testowania rozwiązania, bo od projektowania, od pomysłu projektowania musimy przejść jeszcze etap testowania, czyli te testy, które są jednostkowe, testy penetracyjne, czyli musimy ten system mimo wszystko atakować, jest to tak zwane to białe hakowanie systemu, tak żeby ustalić jego słabości, te punkty, które mogą stanowić…  nefralgiczne punkty dla takiego rozwiązania mogą osłabić i tak naprawdę osłabić też w oczach użytkowników końcowych z uwagi na to, że istotne jest, żeby ten system był stabilny i przechodząc do wdrożenia, ale na tym się nie kończy, bo jeżeli my wdrażamy takie rozwiązanie, my nadal musimy sprawdzić, czy to przez całą ścieżkę, przez którą przeszliśmy,  I tak naprawdę też ścieżkę związaną z ethics by design, bo to jest tak naprawdę to ethics by design ma ogromny wpływ, tych sześć modeli ma ogromny wpływ na tworzenie takiego rozwiązania, wdrażamy, ale musimy utrzymać i następnie aktualizować i audytować.   I co jest jeszcze istotne? Dokumentacja techniczna. Dokumentacja techniczna, która musi być tworzona od samego początku, czyli od początku pojawienia się pomysłu, czyli jak to ewoluowało, skąd się to wzięło, jak wygląda ten kod, tak, ażeby każdy, kto wejdzie w takie rozwiązanie, nie miał problemu z wejściem. To odnośnie nie tylko użytkowników, ale przede wszystkim i deweloperów, programistów, którzy tworzą takie rozwiązanie.   

Na pewno musi być to przemyślane, to nie jest decyzja na zasadzie bierzemy, tworzymy, nie myślimy. To są elementy składowe i tylko takie rzetelne, rozsądne i odpowiedzialne podejście w organizacji może do tego doprowadzić. My przez tą ścieżkę przeszliśmy, dosłownie od samego początku, ale to też wynikało z tego, że ze świadomości,  mojej dotyczącej tego procesu, ale też organizacji, bo jeżeli chodzi o ochronę danych osobowych, jeżeli cyberbezpieczeństwo, jesteśmy pod tym względem bardzo dojrzali i ten aspekt jest istotny. Tworzymy systemy informatyczne dla wymiaru sprawiedliwości zawodów prawniczych, więc my musimy być zgodni z przepisami prawa. Nasza ta świadomość odpowiedzialności jest ogromna. Stąd może takie podejście, ale to podejście pokazało, że można, znaczy mi przede wszystkim na wyciągnięcie określonych wniosków,  że nie tylko i wyłącznie system wysokiego ryzyka należy nadzorować, kontrolować, ale tak naprawdę każdy system, który tworzymy, musimy mieć pod względem aspekt odpowiedzialności tego, co my w ogóle robimy, jak my przez to przejdziemy i jak to będzie wyglądało. To są etapy, które musimy brać pod uwagę. 

Karol:   A powiedz mi proszę, Klaudio, czy w takim razie normy ISO to jest coś w rodzaju nice to have, czy jest to rzecz, którą tak naprawdę każda organizacja powinna mieć i wdrożyć? Każda firma, która projektuje produkt, który będzie potem oferować na rynku. 

Klaudia:   Moim zdaniem, jeżeli chodzi o… Ja się tu skupię na systemach sztucznej inteligencji, bo produkt to jest ogólnie, ale jeżeli mówimy o systemach sztucznej inteligencji, to już nie jest tylko i wyłącznie nice to have. Już sam, tak jak mówię, akt mówi, musicie się normalizować. Zwróćcie uwagę, że jak tworzycie takie rozwiązania, ta normalizacja jest istotna. 

Mówi również o tym, że jeżeli, oczywiście w stosunku do innych produktów i usług też jest taka droga, czyli mamy te jednostki notyfikowane, tak? Czyli mamy tą opcję, że jeżeli chcemy być, mieć tą ocenę zgodności i chcemy uzyskać ten certyfikat, to rzeczywiście zwracamy się do jakiejś jednostki notyfikowanej i mamy taki certyfikat. Ale to nie jest, to jest tylko i wyłącznie w przypadku systemu wysokiego ryzyka. Natomiast właśnie w przypadku innych systemów sztucznej inteligencji  Można to rozpatrywać pod względem najstuchew, choć moim zdaniem przez to, że w AI Actis mowa o normalizacji jako kluczowym elemencie tworzenia takich rozwiązań, to moim zdaniem w przypadku tych systemów innych niż systemy wysokiego ryzyka wchodzimy w etap audytowania takich rozwiązań, audyty wewnętrzne. 

Karol:   Tak naprawdę wdrożenie normisów w tych zakresach to bezpieczeństwo nie tylko dla samych użytkowników, ale przede wszystkim dla organizacji. 

Klaudia: Tak, zgadza się, to jest przede wszystkim bezpieczeństwo dla organizacji, to jest ta świadomość i dojrzałość organizacji. Mówią, że ryba psuje się od głowy i jeżeli rzeczywiście to nie przejdzie przez zarząd, nie przejdzie przez te szczeble wysokiego kierownictwa, przez menadżerów, a następnie do programistów, do pracowników i ta świadomość, te szkolenia nie będą wdrożone,  no to nie będzie dobrych systemów sztucznej inteligencji. Do tego zmierzamy, że mówimy o tym bezpieczeństwie, o etycznym podejściu, o godnej zaufania sztucznej inteligencji, natomiast oprócz słów, czyli tak naprawdę od słów do czynów, poprzez realizację i wdrożenia, pełną świadomość tego, że aby tworzyć takie rozwiązania i aby być rzeczywiście na rynku postrzeganym jako ten podmiot, ta organizacja, która tworzy takie rozwiązania, ale wdraża te normy, standardy,  postępuje zgodnie z nimi, ma to udokumentowane, bo wiadomo, to też mówimy o dokumentacji, czyli mamy ten znowu element biurowości, ale to jest istotne, bo tak naprawdę te polityki, procedury to jest coś, gdzie jak mamy, znowu przyjdę do tego słowa, audytowanie takiego systemu, no to na tym między innymi się opieramy, ale nie tylko, bo my oczywiście możemy to mieć wdrożone i ta dokumentacja, te procedury mogą być w różny sposób wdrożone w organizację. To nikt nie mówi o tym, że to musi być papierowe. 

Karol:   Czyli audytor, który zajmuje się opracowywaniem tych wszystkich wytycznych, tak naprawdę jest trochę duchem świętym organizacji. Patrzy, obserwuje, wyznacza odpowiednie kierunki, wskazuje obszary, które należy poprawić, które należy zabezpieczyć i tak dalej. 

Klaudia:   Tak, jest to rola, która się pojawia. To nie jest rola, która nie jest znana, bo są audytorzy wewnętrzni, przecież istnieją. 

Karol: W obszarze ISO 9001 to jest niemal stary jak świat, rola audytora ISO. 

Klaudia: Tak, to nie jest nic nowego, to nie jest rola, do której ktoś będzie przymuszany albo organizacja będzie przymuszana, bo nagle się pojawia rola audytora wewnętrznego. 

I co teraz?   To tak nie wygląda. Natomiast jeżeli chodzi o audytora, to mówimy o osobie, ale to niekoniecznie musi być tylko i wyłącznie osoba, to może być zespół osób, to może ten audytor mieć zespół do przeprowadzania takiej oceny zgodności bieżącej, przeprowadzania oceny zgodności.   No jest to moim zdaniem osoba, która powinna być tak jak inspektor ochrony i jest tak jak inspektor ochrony danych osobowych, taką personą niezależną, tak? Nie może tutaj ulegać tym wpływom w zakresie oceny zgodności i są te nowe roli, które oprócz audytora się pojawiają. 

I teraz jak to jest zbliżone do tego audytora moim zdaniem, bo mówimy o AI officer, tak?  Albo mówimy o ethics officer. Ale z drugiej strony spójrzmy, ten audytor i nawet zespół taki, który by działał przy audytorze, to jest właśnie zespół złożony z takich osób. Czyli w organizacji mamy na przykład dział prawny. W organizacji mamy inspektora ochrony danych osobowych. 

Znaczy powinniśmy mieć, dajmy na to. Mamy w organizacji, mówimy o takim naprawdę…  przykładowej organizacji. Mamy dział bezpieczeństwa, który zajmuje się bezpieczeństwem informacji i cyberbezpieczeństwem. Mamy zespół IT i DevOps, czyli mamy compliance officera, więc mamy te elementy i ten audytor jest osobą spinającą, mającą świadomość tego, że właśnie takie rozwiązanie jest interdyscyplinarne. Nie podchodzimy do niego zero-jedynkowo, tylko podchodzimy do każdego z tych aspektów.   Czyli oprócz tego, że bierzemy pod uwagę prywatność, przetwarzanie danych, dajmy na to przetwarzanie danych wrażliwych, idziemy do zespołu prawnego, mówimy ok, jest zgodność z regulacjami prawnymi, idziemy do cyberdziału bezpieczeństwa, czyli cyberbezpieczeństwa, architektura, infrastruktura, czy to jest bezpieczne, czy nie? 

Karol:   Czyli w takim razie audytor zajmujący się kwestiami AI tak naprawdę musi być osobą bardzo mocno introdyscyplinarną, która ma tą umiejętność łączenia kropek. Komunikacji. Ale nie tylko komunikacji, tylko komunikacji opartej na wiedzy i doświadczeniu. 

Klaudia: Wiedzy, kompetencji, doświadczeniu, świadomości. To jest łączenie technologii z biznesem, to jest łączenie technologii z nauką. To jest to globalne podejście do tematu. 

Karol:   To jak zatem zostać audytorem zajmującym się kwestiami związanymi z AI? 

Klaudia: Są te ścieżki, które są związane z tym, jak zostać audytorem, tak? Bo jeżeli chodzi o kwestie audytu, są i ramy kompetencji audytu wewnętrznego, tak? Instytutu Audytorów Wewnętrznych. Czy mamy międzynarodowe standardy praktyki zawodowej audytu wewnętrznego? Czy mamy kodeks etyki audytora wewnętrznego?   

Czy też mamy International Professional Practices Framework, to istnieje. Czyli mamy możliwość certyfikowania się jako audytor, ale zauważmy, że na rynku, tak jak w przypadku inspektorów ochrony danych osobowych, nie było powiedziane, że masz skończyć określony kurs i zdobyć określony certyfikat. Dla przykładu osoby, które skończyły prawo, czyli prawnicy, również biorąc pod uwagę, że miały tę wiedzę i kompetencje z zakresu regulacji prawnych,  Bez takich certyfikatów mogły, czy też szkoleń, mogły prowadzić, być inspektorami ochrony danych osobowych. 

Tu już nie mówię o konflikcie interesów, jeżeli dochodzi, że mówię o radcach prawnych, adwokatach, ale to już nie jest jak gdyby ta tematyka. Natomiast ja, jak zostałam inspektorem ochrony danych osobowych, pomimo tego, że jestem prawniczką i tak, skończyłam dodatkowe szkolenie z uwagi na to, że nawet RODO mówiło o tym, to osoba się szkoli. Czyli owszem, ona ma tą wiedzę, kompetencje zawodowe, ale podejmuje dalsze szkolenie.   I teraz, jeżeli możemy również wyjść z takiego założenia, no tak, posiadam wiedzę techniczną, tutaj w zakresie biznesu, ja mogę być nauczycielką, okej, to nie jest złe. Natomiast dla takiego uwiagodnienia tej osoby warto by było mieć to przeszkolenie, warto by było mieć ten certyfikat, warto by było mieć to też udokumentowane, zwłaszcza, że… Usystematyzowane. 

Karol: Usystematyzowane, tak, to… Bo skoro potem mamy sprawdzać, czy organizacja, procesy, produkt… To nie możemy powiedzieć, tak, to nie możemy powiedzieć, ja to wiem. 

Klaudia: Tak.   Ja ogólnie, ja to wiem, okej, natomiast to jest ta kwestia związana z odpowiednimi kwalifikacjami zawodowymi, tak, i z czym to jest to związane, to jest właśnie z posiadaniem wiedzy oraz umiejętności nie tylko w obszarze prawa, tak, w obszarze właśnie technicznym, w obszarze, który jest związany właśnie z etyką i jak gdyby, no ta interdyscyplinarność i ta interpretacja, tak, podejścia też etycznego, ale to też są kompetencje, tak. 

Karol:   Czyli audytor zajmujący się kwestiami związanymi ze sztuczną inteligencją tak naprawdę musi być osobą niezwykle interdyscyplinarną, która posiada kompetencje zarówno jeżeli chodzi o product development, o wiedzę związaną z samym IT, etykę, prawo, marketing, sprzedaż itd. Bardzo ważna rola. 

Klaudia:   Bardzo ważna rola i jeżeli właśnie mówimy, bo mamy w środowisku te informacje, okej, ethics by, przepraszam, no, ethics officer albo AI officer, okej, ale ten audytor to będzie też ta postać, która robi czek, tak, czyli jeżeli nawet będziemy mieli ethics officera, to ona mówi czek, okej, ale jeżeli było tworzone takie rozwiązanie w takim projekcie, no tutaj duży wkład miał ten ethics officer, ale jak to wygląda?   Czyli on robi też czek. Czyli owszem, możemy mieć te podmioty, osoby, które rzeczywiście mają te nowe role, ale to właśnie ten audytor będzie tym agentem do spraw specjalnych, który będzie sprawdzać. Mówi, sprawdzam. Czyli to on musi mieć tą świadomość funkcjonowania. Owszem, to nie jest też tak, że to jest alfa i omega. Natomiast jego wiedza musi być na tyle fachowa, 

Karol:   On nie musi dostarczyć rozwiązania, tylko tak naprawdę musi zapytać. 

Klaudia: Tak, wiedzieć o co zapytać, jak to działa, jak to funkcjonuje i dlaczego tak zostało zrobione, dlaczego nie zostało tak zrobione. Czyli musi kontrolować, nadzorować, musi właśnie mieć to fachowe podejście. 

Karol: Ilu znasz takich audytorów, którzy wiedzą co robią i którzy rzeczywiście pracują tak jak opowiadasz, bardzo interdyscyplinarnie? 

Klaudia:   W zakresie systemów sztucznej inteligencji nie znam, jedynie osobę, nie znam nawet personalnie, ale osobę, którą znam i o której czytam i która rzeczywiście prowadzi takie audyty, jeżeli chodzi o Stany Zjednoczone, to jest Gemma Sheldon. I to jest ta wiedza, to jest to podejście też do tego, jak to już wygląda, bo jeżeli chodzi o Stany Zjednoczone, to rzeczywiście jest to na bardziej zaawansowanym,  Owszem, w Polsce też mamy kancelarie prawne, które świadczą takie usługi audytu, ale na przykład profilowane, czyli odnoszące się tylko na przykład do etycznego podejścia, czyli odnoszące się do ethics by design, ale nie znam audytora, który bądź zespołu takiego audytorów może są w organizacjach,  Może inaczej, jeżeli chodzi też o publikacje, z którymi ja mam do czynienia, z takiej wiedzy ogólnej, którą posiadam, to jest na przykład PWC, które też posiada, czyli te większe, ci więksi gracze posiadają takie zespoły, ale to jest na zasadzie powiedzenia z imienia, nazwiska, jest to osoba o takim imieniu, nazwisku i taki audytor, ale rzeczywiście tam jest to wdrożone. 

Karol:   Czyli tak naprawdę to jest też kolejny obszar, który dopiero powstaje, jeżeli chodzi o usługi i specjalistów działających w obszarze związanym z AI. 

Klaudia: Zdecydowanie. I to jest ten moment, to jest ten czas, z uwagi na to, że tak jak rozmawialiśmy, są już standardy, normy, które są opublikowane, wiemy na jakim etapie jest AI Act, wiemy również, że systemy sztucznej inteligencji są tworzone i to jest to miejsce, to jest ten czas. 

Karol:   To co czytać, kogo śledzić, kogo obserwować? 

Klaudia: Jeżeli chodzi o kwestię tego, w co można się zagłębić, to tak naprawdę te elementy, które też już wskazałam, czyli te dotyczące, jeżeli chcemy zostać takim audytorem wewnętrznym, to przede wszystkim kierujmy się do tej normy ISO 9001,  skierujmy się w stronę kodeksu etyki audytora, skierujmy się w stronę właśnie Instytutu Audytorów Wewnętrznych. Poznajmy, czym jest taka rola, ale to nie jest… A oprócz tego normy… Ale oprócz tego właśnie, to nie jest tylko… 27, 42… Oczywiście, czyli ten cały kompleks 27 tysięcy, już nie będziemy tutaj dalej wymieniać, ale normy, które też istnieją dotyczące systemu sztucznej inteligencji, bo jeżeli chcemy zostać audytorem systemu sztucznej inteligencji,  To co musimy zrobić? 

Jakie są te kroki? Najpierw zobaczmy, kim jest ten audytor, jeżeli chcemy nim zostać. Czyli jak wygląda jego regulacja? Skąd to się w ogóle wzięło? 

Co on robi? Jakie są wymagania? W jakim obszarze działa? Bo czy ten audytor tak naprawdę jest od wszystkiego w takim znaczeniu do każdego obszaru?   No i tu ja uważam, że tak jak w przypadku inspektora ochrony danych osobowych, mamy w określonych obszarach, bo mamy audytora, który będzie się super sprawdzać, jeżeli chodzi o systemy sztucznej inteligencji, które są tworzone w ochronie zdrowia, czy też dla medycyny, dla wymiaru sprawiedliwości, zawodów prawniczych, dla przemysłu, dla rolnictwa, etc., etc., etc.,  Więc to nie jest tylko i wyłącznie to, że my zapoznamy się z tym, kim jest taki audytor. Jeżeli już będziemy wiedzieć, kim jest taki audytor, co musimy zrobić, albo jakie powinniśmy posiadać te kompetencje, bądź wiedzę fachową, czy my się do tego nadajemy, czy nie, idziemy krok dalej, idziemy level dalej i jaki obszar. I idziemy znowu level dalej, czyli musimy posiadać tą wiedzę, czyli posiadać te elementy, które pozwolą nam być tym audytorem, oprócz tego, że przeczytamy, kim on jest. 

Karol:   Po raz kolejny widzę, że tak naprawdę bardzo ważną rolę będą pełniły osoby w świecie AI, które mają sprawdzoną, głęboką wiedzę w określonych domenach. 

Klaudia: Tak, jak to się jest od wszystkiego, to jest od niczego. Kiedyś nawet w liceum słyszałam, że nie można być  od wszystkiego, to później się rzeczywiście w życiu zaczynamy to rozumieć i tak jest. Rzeczywiście specjalizujemy się w określonym obszarze i tak samo też będą działać audytorzy. To nie jest tak, że ja będę, owszem mogę być audytorem, który rzeczywiście prowadzi audyty i jest w takim obszarze i w takim obszarze, natomiast tak jest to specjalizacja. 

Karol:   Czy moglibyśmy naszym słuchaczom wrzucić kilka linków, które warto przeczytać, źródeł, które warto śledzić, jeżeli chodzi o normy, o ISO, o rozwój tych wszystkich? 

Klaudia: Oczywiście, że tak. I biorąc pod uwagę to, że to będą te dotyczące właśnie ISO, czyli tej międzynarodowej organizacji normalizującej. To będą te, które dotyczą SINCELEC, czyli tej Europejskiego Komitetu Normalizującego.   Mamy następnie działania Polskiego Komitetu Normalizacyjnego, czyli Krajowej Jednostki Normalizacyjnej. 

Karol: W którym również działasz. 

Klaudia: Tak, w którym również działam. I tak naprawdę każda organizacja może działać w takim, w Polskim Komitecie Normalizacyjnym, ale dokładnie w komitetach technicznych. Jest taki stworzony właśnie komitet techniczny  już w tym roku powołane od stycznia, w którym właśnie działam z organizacją, czyli z Kurendą i jest to Komitet ds. Sztucznej Inteligencji o numerze 338. I co jest istotne, w tym komitecie mamy właśnie szeroki zakres ekspertów. 

Od prawa, po technologię, to kwestie techniczne.   I to pokazuje właśnie, jak istotna jest ta interdyscyplinarność i rzeczywiście są eksperci, które chcą w tym uczestniczyć, bo tak naprawdę co robi Polski Komitet Normalizacyjny? Polski Komitet Normalizacyjny stwierdza, że dana norma będzie miała status polskiej normy. Natomiast komitety techniczne, które działają w Polskim Komitecie Normalizacyjnym i osoby, które są kierowane, organizacje i osoby, które są kierowane do działania przez organizację w takim komitecie, one owszem działają bezpłatnie, dobrowolnie.   Natomiast to są eksperci z określonych właśnie obszarów, dziedzin. Że to nie jest tylko i wyłącznie tak, że mamy tylko i wyłącznie osoby techniczne. 

Nie. To są właśnie osoby zajmujące się etyką, zajmujące się ochroną danych. To są kancelarie, czyli radcowie, adwokaci itd., itd. Czyli to już pokazuje, że te prace w komitetach, które są już pracami nad treścią merytoryczną, czyli jest to opiniowanie takich norm międzynarodowych, europejskich,  czy też innych dokumentów normalizacyjnych, czyli oprócz tego, że są te posiedzenia, że są głosowania, to jest właśnie to opiniowanie treści merytorycznych. 

Karol: Czyli tak naprawdę okazuje się, że również w kontekście norm, standardów, normalizacji sztuczna inteligencja ma 99 stwarzy, jak nie więcej. 

Klaudia: Tak, i to jest piękne. I to jest to, co naprawdę, przynajmniej z czego moje serce się raduje, bo współpraca z takimi osobami jest naprawdę owocna. 

Miałam możliwość spotkania, jak było takie pierwsze posiedzenie z takimi osobami i rozmowy, czy też nawet pracy nad planem działania takiego komitetu i te właśnie różne punkty widzenia, to docieranie się, to przedstawianie tych aspektów naprawdę buduje.  bo to pokazuje, że rozumiemy i chcemy zrozumieć, czyli mimo, że możemy mówić różnymi językami, to tak jak ja współpracując z zespołem, można by było powiedzieć, no okej, prawniczka, tutaj zespół projektowy, osoby techniczne, można dojść do tego porozumienia, naprawdę, jeżeli się chce, jeżeli tylko i wyłącznie ma się te jeszcze możliwości,  ale też kompetencje, można dojść do tej współpracy i to pokazuje, jak można wiązać tą technologię z biznesem, jak można łączyć naukę, technologię i biznes. To tylko i wyłącznie pokazuje, że musimy mieć też otwarte umysły i też musimy wychodzić ze swojej strefy komfortu, bo w przypadku prawników to już nie tylko i wyłącznie będą prawnicy, musi być też świadomość funkcjonowania w tym biznesie.   Ja przy pracy też nad doktoratem w Drożniowie, czy właśnie przy pracy, którą mam w organizacji i współpracy z ośrodkami naukowymi, to jest realna współpraca. To nie jest tylko i wyłącznie to, że mamy porozumienie, jest podpisany dokument, pochwaliliśmy się światu na stronie internetowej.   Istotne jest to, żeby pokazać realne funkcjonowanie takiej współpracy i jest to możliwe. I tak jak współpracujemy z Katedrą Inteligentnych Systemów Interaktywnych Politechniki Gdańskiej, dla mnie i wydaje mi się, że dla całego zespołu jest to doświadczenie, które ogromnie wniosło dla mnie, osoby z profesorowi, z którymi współpracuję,  są ogromnymi autorytetami i ich podejście też do tego tematu, nawet do osoby, którą ja jestem i tych mojego prawnego aspektu pokazuje, że jest otwartość, jest chęć i to funkcjonuje, to działa. 

Karol:   A jak patrzysz na taki zespół, o którym mówisz, mówisz naukowcy, prawnicy, specjaliści, a wizjonerzy, tacy ludzie, którzy są od pomysłów i widzenia trochę tego, co będzie działo się w przyszłości. 

Klaudia: Tak, oczywiście, że tak. Gdyby ktoś mnie zaufał w organizacji, tak też było, powiedział, ok, jest pomysł, to jest dobry pomysł, idziemy w to. 

Karol: A widzisz na polskim rynku takie osoby? 

Klaudia:   Oczywiście, że tak, są takie osoby, ale teraz pytanie, jak z tym wychodzą i czy wychodzą, a czasami jest tak, że to się zadziewa w organizacji, tak, czyli jak gdyby w takim zamkniętym, zamkniętej przestrzeni i później jak ta, takie rozwiązanie wychodzi, no to mamy też przypisaną do tego organizację, osobę, to funkcjonuje, ale…  Jeżeli chodzi o kwestie, które są związane z taką technicznymi aspektami, no to rzeczywiście jest to bardziej niż dla mnie widoczne w social mediach, niż takich wizjonerów odnoszących się do samych systemów. To się już dzieje tak w kuluarach, o tym, przynajmniej o takich rozwiązaniach, które mogły, może chociaż nie, to też pytanie, jak bardzo się interesujemy, tak, bo jeżeli jesteśmy zainteresowani danym obszarem, tak,  Jestem zainteresowana tym obszarem wymiaru sprawiedliwości i zawodów prawniczych, ja to śledzę, ja patrzę jak to wygląda na rynkach międzynarodowych, kto się tym zajmuje, na rynkach europejskich, ale to też pokazuje, że tak naprawdę istotne jest wyjście, bo to może się dziać, ale jeżeli my to dziś znajdziemy, to mamy tego świadomość, jeżeli to nie jest opublikowane, jeżeli my nie odnajdziemy takich informacji, ciężko jest dotrzeć do takich osób. 

Karol:   Dlatego to, co zawsze mówię, publikujmy, dzielmy się wiedzą i opowiadajmy o przyszłości. 

Klaudia: Nie chomikujmy. To nie na tym rzecz polega, że podzielimy się tym, co robimy. To przekazywanie wiedzy jest bardzo istotne. 

Osoba, która się boi, tak naprawdę nie przekazuje wiedzy, ale jeżeli jesteśmy siebie pewni, organizacja jest siebie pewna, przedstawia, publikuje, to jest ta wartość. Nie można tylko wyłącznie wychodzić z założenia, że  ktoś będzie lepszy ode mnie. To tak nie działa. 

Tam naprawdę ten rynek jest bardzo duży. Dla każdego znajdzie się miejsce. Natomiast istotne jest to, jak potrafimy przekazywać taką wiedzę, czy potrafimy przekazywać taką wiedzę, czy chcemy się dzielić tą wiedzą.   Powinniśmy się dzielić taką wiedzą z uwagi na to, że możemy udawać, że to są rzeczy do ukrycia, ale to już nie ma rzeczy do ukrycia. To funkcjonuje, to się dzieje i to właśnie jak mamy takie miejsce nawet, o którym powiedziałam, czyli ten Polski Komitet Normalizacyjny, o to pracę w takim komitecie technicznym. 

Możliwość właśnie nawiązania kontaktów biznesowych, rozmowy, dzielenia się z tym. Takie relacje są tworzone na podstawie hackathonu, które też tworzymy przez naszą organizację, to jest Hack for Law, kiedy możliwość rozmowy z prelegentami, z różnymi, poznania różnych osób, nawet możliwość poznania ciebie, Karol, jest tym doświadczeniem, który pokazuje, że otwiera się kolejne podejście, kolejne myślenie. Widzimy, że to nie jesteśmy jednostką, tylko jesteśmy grupą osób, które po prostu dążą do tego samego celu. 

Karol:   Klaudio, serdecznie Ci dziękuję za spotkanie, dziękuję Ci za Twoją energię, pasję, działanie i tak naprawdę za to, że to jest Twój obszar, bo widzę, że nim żyjesz i to nie jest tak, że to jest Twoja praca, którą robisz od 8 do 16. 

Klaudia:  Nie, to jest moja pasja rzeczywiście, to jest moja pasja, jestem zafiksowana, jestem sfokusowana, sprawia mi to ogromną przyjemność, to nie jest autoreklama, to nie jest lokowanie również produktu, ale tak po prostu się stało i gdyby nie możliwość trafienia do miejsca, w którym jestem, do tej organizacji, w której jestem, to kurczę, nie miałabym takiej szansy, może nie miałabym takiej możliwości, a to pokazało, że to jest ten kierunek, który chcę realizować, w którym się realizuję i sprawia mi ogromną przyjemność. 

Karol:   Dlatego zachęcam cię, publikuj jak najwięcej. 

Klaudia: Obiecuję, że to uczynię, czynię i będę czynić dalej. Dziękuję bardzo, Karol. 

Karol: Dziękuję.