Governance

Már van képesség

A rendszer tud promptból dolgozni, workflow-t követni, agentikusan működni és tudásrétegből építkezni.

Most jön a kontroll

Ki dönthet róla, milyen adatokkal, milyen jóváhagyással és milyen kockázati keretek között használjuk?

Ezért záró modul

A governance teszi a képességet fenntartható szervezeti gyakorlattá.

Alapok

Megtanultad, mi az AI, hogyan működik, hogyan kell promptolni és jól strukturálni az inputot.

Rendszerszint

Láttad a workflow-kat, connectorokat, agenteket, MCP-t, automatizációt és tudásréteget.

Most a működtetés jön

A governance azt mondja meg, hogyan lesz mindebből kontrollált szervezeti gyakorlat.

Regulation

A külső szabályok világa: jog, compliance, EU AI Act, GDPR, szerzői jog, iparági előírások.

Governance

A belső működési rend: ki mit használhat, mire, milyen review-val, milyen felelősségi logikával.

Miért fontos a különbség?

Lehet jogilag tudatos szervezet rossz belső AI-működéssel, és lehet jó belső rend is, amit külső szabályokhoz még igazítani kell.

Tool governance

Mely AI-eszközök jóváhagyottak, melyek tiltottak, és melyek csak bizonyos célra használhatók.

Data governance

Milyen adat mehet melyik rendszerbe, mi számít érzékenynek, és hol kell anonimizálni.

Access governance

Ki milyen modellhez, connectorhoz, tudásréteghez vagy agenthez férhet hozzá.

Review governance

Mely use case-eknél kötelező emberi jóváhagyás vagy ellenőrzés.

Output governance

Milyen kimeneteknél kell extra óvatosság: ügyfélkommunikáció, pénzügyi ajánlás, jogi tartalom, HR-döntés.

Process governance

Mit kell logolni, dokumentálni, visszanézhetővé tenni vagy eszkalálni.

Ki kezdeményez?

Ki indítja el a folyamatot vagy használja az AI-t az adott munkában?

Ki hagyja jóvá?

Hol és kinél van a döntési jog, ha az output külső vagy kockázatos következménnyel jár?

Ki felel a hibáért?

Ha az AI téved, az elszámoltathatóság nem maradhat névtelen vagy szétfolyó.

Alacsonyabb kockázat

Belső ötletelés, első vázlat, gyors összefoglaló — itt gyakran elég lazább kontroll.

Közepes kockázat

Vevői kommunikáció, operációs döntéstámogatás vagy összegző anyagok — itt már erősebb review kellhet.

Magasabb kockázat

Jogi, pénzügyi, HR- vagy compliance-hatású outputoknál tipikusan kötelező emberi approval kell.

Mi történt pontosan?

Milyen inputból dolgozott a rendszer, milyen forrást használt, milyen outputot adott?

Hol csúszott el?

Ha hiba van, kell tudni, hogy a forrás, a prompt, a retrieval, a tool vagy a review pont hibázott.

Miért fontos ez?

Auditálhatóság nélkül a bizalom és a javíthatóság is gyengül.

Trusted sources

Nem minden dokumentum egyforma. Tisztázni kell, mi számít jóváhagyott, megbízható forrásnak.

Sensitive data

Világosan kell kezelni, mi mehet külső modellbe, mi maradhat csak belső környezetben, és hol kell anonimizálni.

Vendor kontroll

A governance része az is, hogy tudod, melyik külső tool hogyan kezeli az adatokat és milyen kockázatot hoz. 2025.08.02 óta a GPAI modellek szolgáltatóira is külön governance elvárások vonatkoznak.

Embedded AI kockázat

Sok SaaS eszköz már beépített AI-t kínál. Ettől még ugyanúgy fel kell tenni a kérdést: mit lát, mit ment, mire használja?

Jóváhagyott eszközlista

Legalább legyen világos, mely AI-eszközök használhatók hivatalosan.

Egyszerű belső AI policy

Mit szabad, mit nem, milyen use case-eknél kell óvatosság.

Kockázati kategóriák

Nem minden AI-használat egyforma: érdemes legalább alacsony / közepes / magas kockázat szerint gondolkodni.

Érzékeny adat szabályok

Világos határok a személyes, üzleti, pénzügyi, jogi vagy HR-anyagokra.

Eszkalációs út

Ha valami bizonytalan vagy kényes, legyen kijelölt út, kihez kell fordulni.

Supplier check

Legalább alap szinten legyen meg a vendorok és AI-szolgáltatások ellenőrzése.

Output review elvárás

Le kell írni, mikor elég a gyors review, és mikor kell erősebb ellenőrzés.

AI policy generator (ChatGPT / Claude)

A leggyorsabb kiindulópont egy belső AI policy vázlathoz, ha megadod a szervezeti kontextust, a fő use case-eket és a tiltott területeket. Ez nem helyettesíti a jogi felülvizsgálatot, de nagyon gyorsan ad egy szerkeszthető első verziót. Különösen hasznos akkor, ha még nincs semmid, csak el kell indulni. Munkaalapnak ezért kifejezetten jó.

Notion / Confluence

Az AI governance dokumentáció leggyakoribb otthona: approved tools lista, data handling szabályok, review-folyamatok és eszkalációs útvonalak itt tudnak élő dokumentummá válni. A fontos nem az, hogy melyik platformot választod, hanem hogy legyen egy közös, frissíthető hely. Ha ez hiányzik, a governance gyorsan széttartó szóbeli szabállyá válik. A dokumentációs réteg itt kap valódi szerepet.

EU AI Act compliance tools (pl. SureRisk, Luminos.Law)

Ezek a kifejezetten megfelelésre épített eszközök AI inventory felmérésben, kockázati besorolásban és conformity assessment előkészítésben segítenek. 2026.08.02 előtt különösen relevánsak minden EU-ban működő szervezetnek, amely high-risk kategóriás AI-rendszerrel érintett lehet. Nem belépő szintű játékok, hanem compliance-munkaeszközök. Akkor van értelmük, ha a governance már nem csak belső policy, hanem szabályozási kérdés is.

Vendor security review (pl. OneTrust, Vanta)

Az AI governance vendor-kontroll részéhez ezek az eszközök segíthetnek feltérképezni, hogy egy külső AI-szolgáltató milyen adatkezelési és biztonsági feltételekkel dolgozik. Különösen fontos ez akkor, ha ügyfél-, HR- vagy pénzügyi adatok is érintettek. Nem az a kérdés, hogy a vendor mennyire hangzik megbízhatónak, hanem hogy mit tudsz róla igazolhatóan. A vendor review így a governance része, nem külön beszerzési adminisztráció.

AI usage logging (pl. Langfuse, Helicone)

Ha saját AI-rendszert, API-integrációt vagy agentikus folyamatot üzemeltetsz, ezek az eszközök naplózzák a hívásokat, inputokat, outputokat és hibákat. Ez az auditálhatóság és visszakövethetőség technikai alapja. High-risk környezetben különösen fontos, hogy lásd, mi történt és miből született az output. A logging itt nem ops-luxus, hanem governance-képesség.

Microsoft Purview / Google Workspace DLP

Ez az enterprise adatszabályozási réteg azt kezeli, milyen adatosztályozású fájl mehet külső AI-ba, melyik policy tilt vagy figyelmeztet, és hol kell korlátozni a megosztást. Nem kifejezetten AI-toolok, de az AI governance data-rétegének egyik legerősebb implementációs helyei. Akkor hasznosak igazán, amikor már nem egyedi szokások, hanem szervezeti szabályok alapján akarod kezelni az adatmozgást. Itt fordul át a policy technikai enforcementbe.

Növeli a bizalmat

Ha tiszták a szabályok és felelősségi körök, könnyebb bátrabban és szélesebben használni az AI-t.

Segíti az örökbefogadást

A csapatok könnyebben fogadnak el új AI-eszközöket, ha nem ködös, ki mit vállal.

Fenntarthatóbb működést ad

A governance nem fék, hanem a skálázás egyik előfeltétele.

Ha a jogi környezet érdekel

EU AI Act, GDPR, szerzői jog, címkézés és a magyar gyakorlati megfelelés nem itt, hanem a külön szabályozás modulban kap részletesebb teret. 2025.02.02-én a tiltott AI-alkalmazások és az AI literacy kötelezettség élesedett, 2025.08.02-től a GPAI modellek governance szabályai is élnek. Ezért a külső jogi keret már nem elvont jövő, hanem működési valóság. A governance-nek ehhez kell illeszkednie.

Miért jó a különválasztás?

Így nem keveredik össze a külső megfelelés és a belső működtetési fegyelem.

Használd együtt a kettőt

A jó AI-működéshez szervezeti governance és jogi/compliance tudatosság együtt kell. 2026.08.02-től a high-risk rendszerek teljes megfelelési terhe megérkezik, és jelenleg ez nagyjából öt hónapon belüli valóság. A Digital Omnibus csomag miatt felmerült egy lehetséges, feltételes csúszás 2027.12.02-ig, de ez még nem végleges. Addig a tervezési alap továbbra is a 2026.08.02-es határidő.