KI-etiekkode van die LEGIER en „SANDIC deur LEGIER“-groep

Inhoudsopgawe

'n Kennisgewing: Indien die outomatiese gids leeg lyk, regskliek asseblief in Word → "Opdateer veld".

• 1. Aanhef en Omvang
• 2. Kernwaardes en Leidende Beginsels
• 3. Bestuur en Verantwoordelikhede (KI-Etiese Raad, RACI)
• 4. Wetlike en regulatoriese raamwerk (EU KI-wet, AVG, DSA, kopiereg, handelsreg)
• 5. Risikoklassifikasie en KI-impakbepaling (KIIA)
• 6. Data-etiek en databeskerming (regsbasis, DPIA, koekies, derde lande)
• 7. Model- en datalewensiklus (ML-lewensiklus, Data-kaarte, modelkaarte)
• 8. Deursigtigheid, verduidelikbaarheid en gebruikersleiding
• 9. Mens-in-die-lus & Toesighoudende Pligte
• 10. Sekuriteit, Robuustheid en Rooi Spanning (Vinnige Inspuiting, Jailbreaks)
• 11. Voorsieningsketting, menseregte en billike werk (Moderne Slawerny, LkSG-analoog)
• 12. Vooroordeelbestuur, Billikheid en Insluiting (kwesbare kliënte, toeganklikheid)
• 13. Generatiewe KI, bewys van oorsprong en etikettering (C2PA, watermerke)
• 14. Inhoud, Moderering en DSA-prosesse (Rapportering, Klagte, Deursigtigheid)
• 15. Domeinspesifieke gebruik (Nuus, Data, Health, Lugvaart, Yachts, Estate, Pay/Handel/Trust/Munt, Cars)
• 16. Derde Partye, Aankope en Verskaffersrisikobestuur
• 17. Bedrywighede, Waarneembaarheid, Nood- en Herbeginplanne
• 18. Insidente en remedies (Etiek, databeskerming, sekuriteit)
• 19. Metrieke, KPI's en Versekering (intern/ekstern)
• 20. Opleiding, Bewustheid en Kulturele Verandering
• 21. Implementering en Padkaart (0–6 / 6–12 / 12–24 maande)
• 22. Rolle en RACI-matriks
• 23. Kontrolelyste (AIIA-kort, data-vrystelling, inwerkingtredingshek)
• 24. Vorms en sjablone (Modelkaart, Data-kaart, Voorvalverslag)
• 25. Woordelys en verwysings

1. Aanhef en Omvang

Hierdie kode stel bindende beginsels, prosesse en beheermaatreëls vas vir die ontwikkeling, verkryging, bedryf en gebruik van KI binne die LEGIER Groep. Dit is groepwyd van toepassing op werknemers, bestuurders, dataverwerkers, verskaffers en vennote. Dit integreer bestaande groepbeleide (databeskerming, digitale diensteprosesse, korporatiewe bestuur, volhoubaarheid, menseregtebeleid, moderne slawernyverklaring) en brei dit uit om KI-spesifieke vereistes in te sluit. Doelwit Dit is om voordele en innovasie moontlik te maak, risiko's hanteerbaar te maak en die regte van gebruikers, kliënte en die algemene publiek te beskerm. 2. Kernwaardes en Leidende Beginsels  

• Menswaardigheid en fundamentele regte KI geniet voorrang bo ekonomiese doeltreffendheid. KI dien die mensdom – nooit andersom nie.
• Wetlike nakoming: Nakoming van EU-KI-wet, GDPR, DSA sowel as sektorspesifieke standaarde. Geen gebruik van verbode praktyke nie.
• Verantwoordelikheid en Aanspreeklikheid: Elke KI-stelsel het 'n aangewese eienaar wat verantwoordelik is vir sy besluite; hierdie besluite is deursigtig en onderhewig aan betwisting.
• Proporsionaliteit: Balans tussen doel, risiko, intensiteit van intervensie en maatskaplike impak.
• Deursigtigheid en verduidelikbaarheid: Toepaslike inligting, dokumentasie en kommunikasiekanale rakende funksionaliteit, databeskikbaarheid en beperkings.
• Billikheid en Insluiting: Sistematiese vooroordeeltoetsing, beskerming van kwesbare groepe, toeganklikheid en veeltaligheid.
• Sekuriteit en Veerkragtigheid: Security-by-Design, Verdediging-in-diepte, deurlopende verharding en monitering.
• Volhoubaarheid: Doeltreffendheid van modelle en datasentrums (energie, PUE/CFE), lewensiklusbeskouing van data/modelle.

3. Bestuur en Verantwoordelikhede (KI-Etiese Raad, RACI)

KI-etiekraad (AIEB): Interdissiplinêr (Tegnologie, Regte/Nakoming, Databeskerming, Sekuriteit, Redaksioneel/Produk, Mense). Verantwoordelikhede: Ontwikkeling van riglyne, toestaan van goedkeurings (veral vir hoërisikoprojekte), oplossing van konflikte, monitering van verslae. Rol: Gebruiksgeval-eienaar, Model-eienaar, Data Rentmeester, DPO, 1TP63 Turiteitsleier, Verantwoordelike Redakteur, Dienseienaar, Verkrygingsleier. Komitees en Poorten: AIIA-goedkeuring voor inwerkingtreding; veranderingsadviesraad vir wesenlike veranderinge; jaarlikse bestuursoorsigte. RACI-beginsel: Duidelike toewysing van verantwoordelikheid vir elke aktiwiteit (Verantwoordelik, Aanspreeklik, Geraadpleeg, Ingelig).

4. Wetlike en regulatoriese raamwerk (EU KI-wet, AVG, DSA, kopiereg, handelsreg)

• EU KI-wet: Risikogebaseerde raamwerk met verbodsbepalings, verpligtinge vir hoërisiko-stelsels, dokumentasie, logging, bestuur, deursigtigheidsverpligtinge; gefaseerde toepassing vanaf 2025/2026.
• AVG: Regsbasis (Art. 6/9), regte van data-onderwerpe, privaatheid-deur-ontwerp/standaard, impakstudie op databeskerming (DPIA), oordragte na derde lande (Art. 44 e.v.).
• DSA: Platformprosesse vir rapportering, klagtes, deursigtigheidsverslae en risikobepalings van groot platforms.
• Kopiereg en verwante regte / persoonlikheidsregte: Duidelike lisensieringskettings, beeld-/naamregte, eiendomsregte van derde partye.
• Bedryfspesifieke vereistes (bv. lugvaart-/seevaartwetgewing/Health) moet ook nagekom word.

5. Risikoklassifikasie en KI-impakbepaling (KIIA)

Klassifikasie:

1. Verbode praktyke (nie toegelaat nie)
2. Hoërisiko-stelsels (streng verpligtinge)
3. Beperkte risiko (deursigtigheid)
4. Minimale risiko

AIIA-proses: Beskrywing van doel/omvang, belanghebbendes, regsbasis, databronne; risiko-analise (regs, eties, veiligheid, vooroordeel, omgewingsimpakte); versagtingsplan; besluit (AIEB-goedkeuring). Herbeoordelings: In geval van wesenlike veranderinge, jaarliks in hoërisikogevalle; dokumentasie in die sentrale register.

6. Data-etiek en databeskerming (regsbasis, DPIA, koekies, derde lande)

• Dataminimalisering en doelbeperking; Pseudonimisering/anonimisering verkieslik.
• Deursigtigheid: Inligting oor databeskerming, toegangs- en verwyderingsopsies; oordraagbaarheid; opsies vir beswaar.
• Koekies/Spooring: Toestemmingsbestuur; herroeping; IP-anonimisering; slegs goedgekeurde gereedskap.
• Oordragte na derde lande: Slegs met geskikte waarborge (SCC/toereikendheid); gereelde toetsing van die subverwerkers.
• DPIA: Verpligtend vir hoërisiko-verwerking; dokumenteer tegniese/organisatoriese maatreëls (TOM's).

7. Model- en datalewensiklus (ML-lewensiklus, Data-kaarte, modelkaarte)

Data Lewensiklus: Verkryging → Kurering → Etikettering → Kwaliteitshekke → Weergawebeheer → Behoud/Verwydering. Model Lewensiklus: Probleemdefinisie → Argitektuurkeuse → Opleiding/Fyninstelling → Evaluering (Vanlyn/Aanlyn) → Vrystelling → Bedryf → Monitering → Heropleiding/Aftree. Data Kaarte: Oorsprong, verteenwoordigendheid, kwaliteit, vooroordeelbevindinge, gebruiksbeperkings. Modelkaarte: Doel, opleidingsdata, maatstawwe, statistieke, beperkings, verwagte foutpatrone, moets/moenies. Herkoms en Reproduceerbaarheid: Hashes, data-/modelweergawes, pyplynbewyse.

8. Deursigtigheid, verduidelikbaarheid en gebruikersleiding

• Etikettering vir KI-interaksie en KI-gegenereerde inhoud.
• Verduidelikbaarheid: Gebruiksgevalspesifieke, leek-verstaanbare verduidelikings (plaaslik/globaal).
• Gebruikersinstruksies: Doel, hoofbeïnvloedende faktore, beperkings; terugvoer en korreksiemetodes.

9. Mens-in-die-lus & Toesighoudende Pligte

• Menslike toesig as die standaard vir relevante besluite (veral hoërisiko-besluite).
• Vier-oë-beginsel vir redaksioneel/sosiaal sensitiewe opdragte.
• Oorskryf-/kanselleerfunksies; eskalasiepaaie; dokumentasie.

10. Sekuriteit, Robuustheid en Rooi Spanning (Vinnige Inspuiting, Jailbreaks)

• Bedreigingsmodellering (STRIDE + KI-spesifiek): Vinnige inspuiting, opleidingsdatavergiftiging, modeldiefstal, data-lekkasie.
• Rooi spanwerk en teenstrydige toetsing; jailbreak-voorkoming; tempobeperking; uitvoerfilter; 1TP63 Loopvlakskandering.
• Robuustheid: Terugvalaanwysings, skutrelings, terugrolplanne; kanarievrystellings; chaostoetse vir veiligheid.

11. Voorsieningsketting, menseregte en billike werk (Moderne Slawerny, LkSG-analoog)

• Menseregte-ondersoek: Risiko-analise, gedragskode vir verskaffers, kontraktuele verpligtinge, oudits, remediëring.
• Moderne Slawerny: Jaarlikse verklaring, bewustmaking, rapporteringskanale.
• Werkstandaarde: Billike betaling, werksure, gesondheid en veiligheid; beskerming van klokkenluiders.

12. Vooroordeelbestuur, Billikheid en Insluiting (kwesbare kliënte, toeganklikheid)

• Vooroordeelkontroles: Datastel-analise, balansering, diverse toetsgroepe, billikheidsmaatstawwe; gedokumenteerde versagting.
• Kwesbare kliënte: Beskermingsdoelwitte, alternatiewe kanale, duidelike taal; geen uitbuiting van kognitiewe swakhede nie.
• Toeganklikheid: WCAG-Konformiteit; veeltaligheid; inklusiewe kommunikasie.

13. Generatiewe KI, bewys van oorsprong en etikettering (C2PA, watermerke)

• Etikettering: Sigbare etikette/metadata vir KI-inhoud; kennisgewing tydens interaksies.
• Sertifikate van oorsprong: C2PA-Konteks, handtekeninge/watermerke sover tegnies moontlik.
• Kopiereg/Naburige Regte: Verduidelik lisensies; verseker voldoening aan opleidingsdata; dokumenteer die ketting van regte.

14. Inhoud, Moderering en DSA-prosesse (Rapportering, Klagte, Deursigtigheid)

• Rapporteringskanale: Lae-drempel gebruikersrapportering; geprioritiseerde verwerking van onwettige inhoud.
• Klagteprosesse: Deursigtige verduideliking, beswaar, eskalasie.
• Deursigtigheidsverslae: Periodieke publikasie van relevante sleutelsyfers en maatstawwe.

15. Domeinspesifieke gebruik (Nuus, Data, Health, Lugvaart, Yachts, Estate, Pay/Handel/Trust/Munt, Cars)

• Nuus/Uitgewery: Navorsingshulp, vertaling, moderering; duidelike etikettering van generatiewe inhoud.
• SCANDIC DATA: Veilige KI/HPC-infrastruktuur, huurderskeiding, HSM/KMS, waarneembaarheid, voldoeningsartefakte.
• Health: Bewysgebaseerde gebruik, menslike finale besluit, geen ongetoetste diagnoses nie.
• Lugvaart/Yachts: Veiligheidsprosesse, menslike toesig, noodprosedures.
• Estate: Graderingsmodelle met billikheidstoetse; ESG-integrasie.
• Pay/Handel/Trust/Munt: Bedrogvoorkoming, KYC/AML, markmonitering, verklaarbare besluite.
• Cars: Gepersonaliseerde dienste met streng databeskerming.

16. Derde Partye, Aankope en Verskaffersrisikobestuur

• Deeglike sorgvuldigheid voor aanboordneming: Sekuriteits-/databeskermingsvlak, dataliggings, subverwerkers, sertifikate.
• Kontrakte: Ouditregte, deursigtigheids- en regstellingsklousules, SLA/OLA-metrieke.
• Monitering: Prestasie-KPI's, uitruil van bevindinge/voorvalle, uittreeplanne.

17. Bedrywighede, Waarneembaarheid, Nood- en Herbeginplanne

• Operasie: Waarneembaarheid (logs, metrieke, spore), SLO/SLI-bestuur, kapasiteitsbeplanning.
• Noodgeval: Loopboeke, DR-toetse, hersteltye, kommunikasieplanne.
• Konfigurasie/Geheime Bestuur: Minste voorreg, rotasies, verharding.

18. Insidente en remedies (Etiek, databeskerming, sekuriteit)

• Etiese voorvalle: Ongewenste diskriminasie, disinformasie, onduidelike oorsprong – onmiddellike optrede en AIEB-hersiening.
• Databeskermingsvoorvalle: Rapporteringsprosesse aan DPO/toesighoudende owerhede; inligting vir geaffekteerde partye; oorsaakanalise.
• Sekuriteitsvoorvalle: CSIRT-prosedures, forensiese ondersoeke, lesse wat geleer is, voorkomingsmaatreëls.

19. Metrieke, KPI's en Versekering (intern/ekstern)

• Verpligte KPI's: 100 % AIIA-dekking van produktiewe KI-gebruiksgevalle; <14 dae mediaan klagte-oplossingstyd; >95 % opleidingskoers; 0 oop kritieke ouditbevindinge.
• Billikheidsmaatstawwe: Uiteenlopende impak, gelykgemaakte kanse (gebruiksgevalspesifiek).
• Volhoubaarheid: Energie/PUE/koolstofmetrieke van die datasentrums; doeltreffendheid van die modelle.

20. Opleiding, Bewustheid en Kulturele Verandering

• Verpligte opleiding (jaarliks): KI-etiek, databeskerming, sekuriteit, media-etiek; teikengroepspesifieke modules.
• Bewusmakingsveldtogte: Riglyne, bruinsaksessies, kantoorure; interne praktykgemeenskappe.
• Kultuur: Rolmodelfunksie van leierskap, kultuur van leer uit foute, beloning van verantwoordelike gedrag.

21. Implementering en Padkaart (0–6 / 6–12 / 12–24 maande)

• 0–6 maande: Voorraad KI-gebruiksgevalle; KIIA-proses; minimum beheermaatreëls; opleidingsgolf; verskaffersondersoek.
• 6–12 maande: Rol rooi spanwerk uit; eerste deursigtigheidsverslae; energieprogram; finaliseer RACI.
• 12–24 maande: ISO/IEC 42001-belyning; Beperkte Versekering; Deurlopende Verbetering; CSRD/ESRS-voorbereiding (indien van toepassing).

22. Rolle en RACI-matriks

• Gebruiksgeval-Eienaar (A): Doel, voordele, KPI's, begroting, herevaluerings.
• Model Eienaar (R): Data/Opleiding/Evaluering, Modelkaart, Dryfmonitering.
• DPO (C/A vir Databeskerming): Regsbasis, DPIA, regte van data-onderwerpe.
• Security-leiding (C): Bedreigingsmodellering, rooi spanne, TOM's.
• Verantwoordelike Redakteur (C): Media-etiek, etikettering, korreksieregister.
• Dienseienaar (R): Bedrywighede, SLO, Insidentbestuur.
• Aankoopleier (V/V): Derde partye, kontrakte, uittreeplanne.

23. Kontrolelyste (AIIA-kort, data-vrystelling, inwerkingtredingshek)

• AIIA Vinnige Kontrole: Doel? Regsbasis? Geaffekteerde partye? Risiko's (wetgewing/etiek/Securiteit/vooroordeel/omgewing)? Versagting? HIL-kontroles?
• Datadeling: Wettige bron? Minimalisering? Behoud? Toegang? Derde land?
• Gaan-in-die-wêreld-hek: Is alle artefakte teenwoordig (Data/Modelkaarte, Logboeke)? Is rooi span se resultate aangespreek? Is monitering/DR opgestel?

24. Vorms en sjablone (Modelkaart, Data-kaart, Voorvalverslag)

• Modelkaartsjabloon: Doel, data, opleiding, maatstawwe, beperkings, risiko's, verantwoordelike partye, kontak.
• Data-Kaart-Sjabloon: Oorsprong, lisensie, kwaliteit, verteenwoordigendheid, vooroordeelkontroles, gebruiksbeperkings.
• Sjabloon vir voorvalverslag: Gebeurtenis, impak, geaffekteerde partye, onmiddellike maatreëls, oorsaak, remedie, lesse geleer.

25. Woordelys en verwysings

Woordelys: KI-stelsel, generatiewe KI, hoërisiko-stelsel, AIIA, HIL, C2PA, rooi span, DPIA, RACI, SLO/SLI. Verwysings:

• EU-KI-wet
• GDPR
• DSA
• OESO KI-beginsels
• NIST KI RMF
• ISO/IEC 42001
• Interne riglyne (databeskerming, DSA-prosesse, moderne slawerny, volhoubaarheid)

'n Kennisgewing: Hierdie KI-kode vul bestaande LEGIER-riglyne aan, soos: (Databeskerming, Digitale Dienste, Menseregte/Voorsieningsketting, Korporatiewe Bestuur, Volhoubaarheid, Moderne Slawerny). Dit is 'n integrale deel van die LEGIER Groep (LEGIER Beteiligungs mbH) se voldoeningsraamwerk.