KI-etiekkode van die LEGIER en “SANDIC by LEGIER”-groep

Inhoudsopgawe

'n Kennisgewing: Indien die outomatiese gids leeg lyk, regs-kliek asseblief in Word → “Opdateer veld”.

 

• 1. Aanhef en Omvang
• 2. Kernwaardes en leidende beginsels
• 3. Bestuur en Verantwoordelikhede (KI-Etiese Raad, RACI)
• 4. Wetlike en regulatoriese raamwerk (EU KI-wet, AVG, DSA, kopieregwetgewing, handelsreg)
• 5. Risikoklassifikasie en KI-impakbepaling (KIIA)
• 6. Data-etiek en databeskerming (regsbasisse, DPIA, koekies, derde land)
• 7. Model- en datalewensiklus (ML-lewensiklus, datakaarte, modelkaarte)
• 8. Deursigtigheid, Verduidelikbaarheid en Gebruikersinstruksies
• 9. Mens-in-die-lus & Toesighoudende Pligte
• 10. Sekuriteit, Robuustheid en Rooi Spanning (Vinnige Inspuiting, Jailbreaks)
• 11. Voorsieningsketting, menseregte en billike arbeid (Moderne Slawerny, LkSG-analoog)
• 12. Vooroordeelbestuur, billikheid en insluiting (kwesbare kliënte, toeganklikheid)
• 13. Generatiewe KI, bewys van oorsprong en etikettering (C2PA, watermerk)
• 14. Inhoud, moderering en DSA-prosesse (rapportering, klagtes, deursigtigheid)
• 15. Domeinspesifieke gebruik (Nuus, Data, Gesondheid, Lugvaart, Seiljagte, Boedel, Betaling/Handel/Trust/Munt, Motors)
• 16. Derde Partye, Aankope en Risikobestuur vir Verskaffers
• 17. Bedrywighede, Waarneembaarheid, Nood- en Herstelplanne
• 18. Insidente en remediëring (Etiek, databeskerming, sekuriteit)
• 19. Metrieke, KPI's en Versekering (intern/ekstern)
• 20. Opleiding, Bewustheid en Kulturele Verandering
• 21. Implementering en Padkaart (0–6 / 6–12 / 12–24 maande)
• 22. Rolle en RACI-matriks
• 23. Kontrolelyste (AIIA-opdrag, data-vrystelling, inwerkingtredingshek)
• 24. Vorms en sjablone (modelkaart, datakaart, voorvalverslag)
• 25. Woordelys en verwysings

1. Aanhef en Omvang

Hierdie Kode stel bindende beginsels, prosesse en beheermaatreëls uiteen vir die ontwikkeling, verkryging, bedryf en gebruik van KI binne die LEGIER Groep. Dit is groepwyd van toepassing op werknemers, bestuurders, verwerkers, verskaffers en vennote.

Dit integreer bestaande korporatiewe beleide (databeskerming, digitale diensteprosesse, korporatiewe bestuur, volhoubaarheid, menseregtebeleid, verklaring oor moderne slawerny) en brei dit uit om KI-spesifieke vereistes in te sluit.

 

Doelwit is om voordele en innovasie moontlik te maak, risiko's te bestuur en die regte van gebruikers, kliënte en die algemene publiek te beskerm.

 

2. Kernwaardes en leidende beginsels

 

• Menswaardigheid en fundamentele regte voorrang bo ekonomiese doeltreffendheid geniet. KI dien mense – nooit andersom nie.
• Wetlike nakoming: Nakoming van EU-KI-wet, GDPR, DSA en sektorspesifieke standaarde. Geen gebruik van verbode praktyke nie.
• Verantwoordelikheid en Aanspreeklikheid: 'n Verantwoordelike eienaar word vir elke KI-stelsel aangewys; besluite is deursigtig en betwisbaar.
• Proporsionaliteit: Balans tussen doel, risiko, intensiteit van intervensie en sosiale impak.
• Deursigtigheid en Verduidelikbaarheid: Toepaslike inligting, dokumentasie en kommunikasiekanale rakende funksionaliteit, databeskikbaarheid en beperkings.
• Billikheid en Insluiting: Sistematiese vooroordeeltoetsing, beskerming van kwesbare groepe, toeganklikheid en veeltaligheid.
• Sekuriteit en Veerkragtigheid: Sekuriteit deur ontwerp, verdediging in diepte, deurlopende verharding en monitering.
• Volhoubaarheid: Doeltreffendheid van modelle en datasentrums (energie, PUE/CFE), lewensiklusbeskouing van data/modelle.

3. Bestuur en Verantwoordelikhede (KI-Etiese Raad, RACI)

KI-etiekraad (AIEB): Interdissiplinêr (Tegnologie, Regs/Nakoming, Databeskerming, Sekuriteit, Redaksioneel/Produk, Mense). Verantwoordelikhede: Beleide opdateer, goedkeurings uitreik (veral hoërisiko-goedkeurings), konflikte oplos en verslae monitor.

Rol: Gebruiksgeval-eienaar, model-eienaar, data-bestuurder, DPO, sekuriteitsleier, verantwoordelike redakteur, dienseienaar, verkrygingsleier.

Komitees en Poorten: AIIA-goedkeuring voor inwerkingtreding; Veranderingsadviesraad vir wesenlike veranderinge; jaarlikse bestuursoorsigte.

RACI-beginsel: Duidelike toewysing van verantwoordelikhede vir elke aktiwiteit (Verantwoordelik, Aanspreeklik, Geraadpleeg, Ingelig).

 

4. Wetlike en regulatoriese raamwerk (EU KI-wet, AVG, DSA, kopieregwetgewing, handelsreg)

• EU KI-wet: Risikogebaseerde raamwerk met verbodsbepalings, verpligtinge vir hoërisikostelsels, dokumentasie, logging, bestuur en deursigtigheidsvereistes; gefaseerde toepassing vanaf 2025/2026.
• AVG: Regsbasisse (Art. 6/9), regte van data-onderwerpe, privaatheid deur ontwerp/standaard, impakstudie van databeskerming (DPIA), oordragte na derde lande (Art. 44 e.v.).
• DSA: Platformprosesse vir rapportering, klagtes, deursigtigheidsverslae en risikobepalings vir groot platforms.
• Kopiereg en bykomende kopiereg / persoonlike regte: Duidelike lisensiekettings, beeld-/naamregte, huisregte van derde partye.
• Bedryfspesifieke vereistes (bv. lugvaart-/seevaartwetgewing/gesondheid) moet ook nagekom word.

5. Risikoklassifikasie en KI-impakbepaling (KIIA)

Klassifikasie:

1. Verbode praktyke (nie toegelaat nie)
2. Hoërisiko-stelsels (streng verpligtinge)
3. Beperkte risiko (deursigtigheid)
4. Minimale risiko

AIIA-proses: Beskrywing van doel/omvang, belanghebbendes, regsbasis, databronne; risiko-analise (regs, eties, veiligheid, vooroordeel, omgewingsimpakte); versagtingsplan; besluit (AIEB-goedkeuring).

Herbeoordelings: Vir wesenlike veranderinge, jaarliks vir hoërisiko-items; dokumentasie in die sentrale register.

 

6. Data-etiek en databeskerming (regsbasisse, DPIA, koekies, derde land)

• Dataminimalisering en doelbeperking; Pseudonimisering/anonimisering verkieslik.
• Deursigtigheid: Databeskermingsinligting, inligting en verwyderingskanale; oordraagbaarheid; beswaaropsies.
• Koekies/Spooring: Toestemmingsbestuur; herroeping; IP-anonimisering; slegs goedgekeurde gereedskap.
• Oordragte van derde lande: Slegs met toepaslike waarborge (SCC/toereikendheid); gereelde oudits van subverwerkers.
• DPIA: Verpligtend vir hoërisiko-verwerking; dokumenteer tegniese/organisatoriese maatreëls (TOM's).

7. Model- en datalewensiklus (ML-lewensiklus, datakaarte, modelkaarte)

Data Lewensiklus: Verkryging → Kurering → Etikettering → Kwaliteitshekke → Weergawebeheer → Behoud/Verwydering.

Model Lewensiklus: Probleemdefinisie → Argitektuurkeuse → Opleiding/Finafstemming → Evaluering (Vanlyn/Aanlyn) → Vrystelling → Operasie → Monitering → Heropleiding/Aftree.

Datakaarte: Oorsprong, verteenwoordigendheid, kwaliteit, vooroordeelbevindinge, gebruiksbeperkings.

Modelkaarte: Doel, opleidingsdata, maatstawwe, metrieke, beperkings, verwagte foutpatrone, moets/moenies.

Herkoms en Reproduceerbaarheid: Hashes, data-/modelweergawes, pyplynbewyse.

 

8. Deursigtigheid, Verduidelikbaarheid en Gebruikersinstruksies

• Etikettering vir KI-interaksie en KI-gegenereerde inhoud.
• Verklaarbaarheid: Gebruik gevallestudie-, leek-vriendelike verduidelikings (plaaslik/globaal).
• Gebruikersinstruksies: Doel, hoofbeïnvloedende faktore, beperkings; terugvoer- en korreksiekanale.

9. Mens-in-die-lus & Toesighoudende Pligte

• Menslike toesig as standaard vir relevante besluite (veral hoërisiko-besluite).
• Vier-oë-beginsel vir redaksioneel/sosiaal sensitiewe opdragte.
• Oorskryf-/kanselleerfunksies; eskalasiepaaie; dokumentasie.

10. Sekuriteit, Robuustheid en Rooi Spanning (Vinnige Inspuiting, Jailbreaks)

• Bedreigingsmodellering (STRIDE + KI-spesifiek): Vinnige inspuiting, opleidingsdatavergiftiging, modeldiefstal, privaatheidslekkasie.
• Rooi spanwerk en teenstrydige toetsing; voorkoming van jailbreak; tempobeperking; uitvoerfilter; Geheime skandering.
• Robuustheid: Terugvalaanwysings, skutrelings, terugrolplanne; kanarievrystellings; chaostoetsing vir veiligheid.

11. Voorsieningsketting, menseregte en billike arbeid (Moderne Slawerny, LkSG-analoog)

• Menseregte-ondersoek: Risiko-analise, verskafferskode, kontraktuele verpligtinge, oudits, remediëring.
• Moderne Slawerny: Jaarlikse verklaring, bewusmaking, rapporteringskanale.
• Werkstandaarde: Billike betaling, werksure, gesondheidsbeskerming; beskerming van klokkenluiders.

12. Vooroordeelbestuur, billikheid en insluiting (kwesbare kliënte, toeganklikheid)

• Vooroordeeltoetse: Datastel-analise, balansering, verskeie toetsgroepe, billikheidsmaatstawwe; gedokumenteerde versagting.
• Kwesbare kliënte: Beskermingsdoelwitte, alternatiewe kanale, duidelike taal; geen uitbuiting van kognitiewe swakhede nie.
• Toeganklikheid: WCAG-Konformiteit; veeltaligheid; inklusiewe kommunikasie.

13. Generatiewe KI, bewys van oorsprong en etikettering (C2PA, watermerk)

• Etikettering: Sigbare etikette/metadata vir KI-inhoud; kennisgewing tydens interaksies.
• Bewys van oorsprong: C2PA-Konteks, handtekeninge/watermerke waar tegnies moontlik.
• Kopiereg/verwante regte: Verduidelik lisensies; voldoening aan opleidingsdata; dokumentketting van regte.

14. Inhoud, moderering en DSA-prosesse (rapportering, klagtes, deursigtigheid)

• Rapporteringskanale: Lae-drempel gebruikersrapportering; geprioritiseerde verwerking van onwettige inhoud.
• Klagteprosesse: Deursigtige regverdiging, beswaar, eskalasie.
• Deursigtigheidsverslae: Periodieke publikasie van relevante sleutelsyfers en maatstawwe.

15. Domeinspesifieke gebruik (Nuus, Data, Gesondheid, Lugvaart, Seiljagte, Boedel, Betaling/Handel/Trust/Munt, Motors)

• Nuus/Publikasie: Navorsingshulp, vertaling, moderering; duidelike etikettering van generatiewe inhoud.
• SKANDIESE DATA: Veilige KI/HPC-infrastruktuur, multi-tenancy, HSM/KMS, waarneembaarheid, voldoeningsartefakte.
• Gesondheid: Bewysgebaseerde gebruik, menslike finale besluit, geen ongetoetste diagnoses nie.
• Lugvaart/Seiljagte: Veiligheidsprosesse, menslike toesig, noodprosedures.
• Boedel: Waardasiemodelle met billikheidstoetse; ESG-integrasie.
• Betaal/Handel/Vertroue/Munt: Bedrogvoorkoming, KYC/AML, markmonitering, verklaarbare besluite.
• Motors: Gepersonaliseerde dienste met streng databeskerming.

16. Derde Partye, Aankope en Risikobestuur vir Verskaffers

• Deeglike sorgvuldigheid voor aanboording: Sekuriteits-/privaatheidsvlak, dataliggings, subverwerkers, sertifikate.
• Kontrakte: Ouditregte, deursigtigheids- en remediëringsklousules, SLA/OLA-metrieke.
• Monitering: Prestasie-KPI's, uitruil van bevindinge/voorvalle, uittreeplanne.

17. Bedrywighede, Waarneembaarheid, Nood- en Herstelplanne

• Operasie: Waarneembaarheid (logs, metrieke, spore), SLO/SLI-bestuur, kapasiteitsbeplanning.
• Noodgeval: Loopboeke, DR-toetse, hersteltye, kommunikasieplanne.
• Konfigurasie/geheime bestuur: Minste voorreg, rotasies, verharding.

18. Insidente en remediëring (Etiek, databeskerming, sekuriteit)

• Etiese voorvalle: Ongewenste diskriminasie, disinformasie, onduidelike oorsprong – onmiddellike maatreëls en AIEB-hersiening.
• Databeskermingsvoorvalle: Rapporteringsprosesse aan DPO/toesighoudende owerhede; inligting vir diegene wat geraak word; oorsaakanalise.
• Sekuriteitsvoorvalle: CSIRT-prosedures, forensiese ondersoeke, lesse wat geleer is, voorkomende maatreëls.

19. Metrieke, KPI's en Versekering (intern/ekstern)

• Verpligte KPI's: 100% AIIA-dekking van produktiewe KI-gebruiksgevalle; <14 dae mediaan klagte-oplossingstyd; >95% opleidingskoers; 0 oop kritieke ouditbevindinge.
• Billikheidsmaatstawwe: Uiteenlopende impak, gelykgemaakte kanse (gebruiksgevalspesifiek).
• Volhoubaarheid: Datasentrum energie/PUE/koolstofmetrieke; modeldoeltreffendheid.

20. Opleiding, Bewustheid en Kulturele Verandering

• Verpligte opleiding (jaarliks): KI-etiek, databeskerming, sekuriteit, media-etiek; teikengroepspesifieke modules.
• Bewusmakingsveldtogte: Riglyne, bruinsaksessies, konsultasieure; interne praktykgemeenskappe.
• Kultuur: Leierskaprolmodelfunksie, kultuur van foute, beloning vir verantwoordelike optrede.

21. Implementering en Padkaart (0–6 / 6–12 / 12–24 maande)

• 0–6 maande: Inventaris van KI-gebruiksgevalle; KIIA-proses; minimum beheermaatreëls; opleidingsgolf; verskaffersondersoek.
• 6–12 maande: Rol rooi spanwerk uit; aanvanklike deursigtigheidsverslae; energieprogram; finaliseer RACI.
• 12–24 maande: ISO/IEC 42001-belyning; beperkte versekering; voortdurende verbetering; CSRD/ESRS-voorbereiding (indien van toepassing).

22. Rolle en RACI-matriks

• Gebruiksgeval-eienaar (A): Doel, voordele, KPI's, begroting, herevaluerings.
• Model Eienaar (R): Data/Opleiding/Evaluering, Modelkaart, Dryfmonitering.
• DPO (C/A vir databeskerming): Regsbasis, DPIA, regte van data-onderwerpe.
• Sekuriteitsleier (C): Bedreigingsmodellering, rooi spanwerk, TOM's.
• Verantwoordelike Redakteur (C): Media-etiek, etikettering, korreksieregister.
• Dienseienaar (R): Bedrywighede, SLO, voorvalbestuur.
• Aankoopleier (V/V): Derde partye, kontrakte, uittreeplanne.

23. Kontrolelyste (AIIA-opdrag, data-vrystelling, inwerkingtredingshek)

• AIIA vinnige tjek: Doel? Regsbasis? Diegene wat geraak word? Risiko's (regs/eties/sekuriteit/vooroordeel/omgewing)? Versagting? HIL-beheermaatreëls?
• Datavrystelling: Is die bron wettig? Minimalisering? Behoud? Toegang? Derde land?
• Gaan-in-die-wêreld-hek: Is artefakte volledig (data-/modelkaarte, logboeke)? Is die Rooi Span se bevindinge aangespreek? Is monitering/DR opgestel?

24. Vorms en sjablone (modelkaart, datakaart, voorvalverslag)

• Modelkaart sjabloon: Doel, data, opleiding, maatstawwe, beperkings, risiko's, verantwoordelike persone, kontak.
• Datakaart sjabloon: Oorsprong, lisensie, kwaliteit, verteenwoordigendheid, vooroordeelkontroles, gebruiksbeperkings.
• Sjabloon vir voorvalverslag: Gebeurtenis, impak, geaffekteer, onmiddellike aksie, oorsaak, remedie, lesse geleer.

25. Woordelys en verwysings

Woordelys: KI-stelsel, generatiewe KI, hoërisiko-stelsel, AIIA, HIL, C2PA, rooi span, DPIA, RACI, SLO/SLI.

Verwysings:

• EU-KI-wet
• GDPR
• DSA
• OESO KI-beginsels
• NIST KI RMF
• ISO/IEC 42001
• Interne riglyne (databeskerming, DSA-prosesse, moderne slawerny, volhoubaarheid)

'n Kennisgewing: Hierdie KI-kode vul bestaande LEGIER-beleide aan, insluitend dié oor databeskerming, digitale dienste, menseregte/voorsieningsketting, korporatiewe bestuur, volhoubaarheid en moderne slawerny. Dit is 'n integrale deel van die LEGIER Groep (LEGIER Beteiligungs mbH) se nakomingsraamwerk.