Aina ei tarvita koko organisaation kartoitusta. Joskus kysymys on yhdestä järjestelmästä: rekrytointityökalusta, luottopäätösmallista, HR-analytiikasta, asiakasprofiloinnista tai muusta ratkaisusta, joka vaikuttaa ihmisiin tai heitä koskeviin päätöksiin.
Sama teknologia voi olla vähäriskinen yhdessä käyttötarkoituksessa ja korkean riskin järjestelmä toisessa. Siksi arviointi tehdään aina käyttötarkoituksen, datan, päätöksenteon ja organisaation roolin perusteella – ei pelkän työkalun nimen perusteella.
Mitä arvioimme
- mitä järjestelmä tekee ja mihin sen tuloksia käytetään
- millaista dataa järjestelmä käsittelee ja sisältääkö se henkilötietoja
- onko organisaatio järjestelmän tarjoaja, käyttöönottaja vai jokin muu toimija sääntelyn näkökulmasta
- mihin riskiluokkaan järjestelmä todennäköisesti kuuluu
- mitä dokumentaatiota, valvontaa, informointia tai sopimusehtoja tarvitaan
- tarvitaanko tietosuojavaikutusten arviointi (DPIA) tai muita tietosuojatoimia
Mitä asiakas saa
- järjestelmäkohtaisen riskiarvion
- käytännön vaatimuskuvan: mitä pitää olla kunnossa ja miksi
- puutelistan nykytilaan verrattuna
- suositukset hankintaan, käyttöönottoon, sopimuksiin tai dokumentaation täydentämiseen
Sopii erityisesti
Yrityksille, jotka ovat ottamassa käyttöön uutta tekoälyratkaisua tai haluavat varmistaa jo käytössä olevan järjestelmän riskitason. Erityisen hyödyllinen arviointi on ennen hankintapäätöstä, kun toimittajalta voidaan vielä pyytää tarvittavat selvitykset ja sopimusehdot.