bt_bb_section_bottom_section_coverage_image

Evidence pack za AI Act: koja dokumentacija i dokazi najčešće “padaju” u praksi

Audit readiness se svodi na pitanje: možete li dokazati što je AI radio, zašto i pod kojim kontrolama. Tehnička dokumentacija i logovi moraju se održavati i ažurirati kroz životni ciklus. Evidence pack nije “hrpa PDF-ova.” Evidence pack je strukturiran skup dokaza koji pokriva: rizike podatke dokumentaciju evidenciju rada sustava (logs/records) nadzor i incidente komunikacije (kad...

Evidence pack za AI Act: koja dokumentacija i dokazi najčešće “padaju” u praksi

Audit readiness se svodi na pitanje: možete li dokazati što je AI radio, zašto i pod kojim kontrolama. Tehnička dokumentacija i logovi moraju se održavati i ažurirati kroz životni ciklus.

Evidence pack nije “hrpa PDF-ova.”

Evidence pack je strukturiran skup dokaza koji pokriva:

  • rizike
  • podatke
  • dokumentaciju
  • evidenciju rada sustava (logs/records)
  • nadzor i incidente
  • komunikacije (kad trebaju)

Smjernice naglašavaju potrebu za logovima i dostupnom dokumentacijom radi traceability i post-market nadzora.

10 kategorija dokaza (high-level)

  1. AI inventar + klasifikacija rizika
  2. Risk management evidencija
  3. Data governance evidencija (reprezentativnost, bias kontrole)
  4. Tehnička dokumentacija (što sustav radi, ograničenja, testovi)
  5. Record-keeping / logovi (automatsko bilježenje događaja)
  6. Transparentnost / user informacije (što korisnik mora znati)
  7. Human oversight (tko nadzire, kako intervenira, “stop” mehanizam gdje je relevantno) tnost / točnost / cybersecurity evidencija
  8. Incident evidencija + chain of responsibility
  9. Promjene i verzioniranje

Kako organizirati evidence (jednostavna teorija)?

  • /10_risk
  • /20_data-governance
  • /30_tech-doc
  • 50_human-oversight
  • /60_incidents
  • /70_change-management

Ovako – Ne . Bitno je da je konzistentno i dokazivo.

Najčešće tvrtke padnu na dokazivosti: nema inventara, nema logova, nema ownera. EU posebno naglašava dokumentaciju, evidenciju i upravljanje promjenama kroz lifecycle.

9 grešaka + minimalni fix

  1. Nema AI inventara
    Fix: jedna tablica (use-case, owner, vendor, data, rizik, status)

  2. Ne zna se uloga (provider/deployer)
    Fix: role mapping workshop + vendor ugovori “tko isporučuje što”

  3. Klasifikacija rizika “od oka”
    Fix: 5-min triage + “red flags” pravila

  4. Policy bez procesa
    Fix: approval workflow + decision log

  5. Nema logova / records
    Fix: definirati minimalne eventove za logging (što, kada, tko, verzija)

  6. Automation bias (output se slijedi bez pitanja)
    Fix: human oversight: pravila intervencije + trening

  7. Incidenti se “rješavaju u Slacku”
    Fix: incident register + odgovornosti + evidencija

  8. Nema change managementa
    Fix: verzioniranje modela/promptova + zapis promjena

  9. Sve se pokušava pokriti odjednom
    Fix: prioritetizacija 80/20 (top 5 use-caseova, top 5 rupa)

Za sva pitanja i savjetovanje oko usklađivanja sa EU AI Uredbom kontaktirajte nas putem poruke.