AI

A cégek legnagyobb rejtett AI-költsége: a kontroll hiánya

Adatbiztonság

Az előző cikkünkben megnéztük, hogy a mesterséges intelligencia nem csodaszer, és csak rendezett digitális alapokon képes valódi hasznot termelni. De tegyük fel, hogy a cégedben már vannak jó digitális alapok, és a kollégák már elkezdtek használni valamilyen generatív AI eszközt. Ekkor lépünk be a következő fázisba, ahol a legnagyobb kockázatot már nem a lemaradás, hanem a kontroll hiánya jelenti.

Adatbiztonság

A „fű alatti” AI (Shadow AI) – A veszély, amiről nem tudsz

A legnagyobb tévhit, amit cégvezetőként gondolhatsz, ez: „Nálunk nincs AI-kockázat, mert a cégünk nem vett és nem használ ilyen szoftvereket.”

Ez szinte biztosan téves gondolat. Ha a szervezetben nagy a munkaterhelés, de a vezetés nem jelöl ki hivatalos eszközöket, nem tart képzést, és nem ad irányelveket, a munkatársak maguktól fognak megoldást találni. A nemzetközi felmérések szerint a szellemi munkát végzők háromnegyede használ generatív AI-t a munkájában, és az AI-t használók csaknem 80%-a a saját, privát eszközeit és fiókjait használja a munkavégzés során. Microsoft & LinkedIn, Work Trend Index 2024

Ezt hívja a szakma Shadow AI-nak (árnyék-AI-nak). A kolléga nem akar rosszat: csak szeretne gyorsabban végezni a riport megírásával, az e-mail megfogalmazásával vagy a táblázat elemzésével, ezért fű alatt megnyitja a generatív AI-t a böngészőjében. Üzleti szempontból ez azért rendkívül veszélyes, mert az adatbevitel, a feltöltött fájlok és a modellek használata teljesen kimarad a normál IT-, beszerzési és adatvédelmi kontrollból. Fogalmad sincs, hogy a céged adatai éppen hol landolnak.

Adatbiztonság és GDPR

A klasszikus eset: Így szivárogtak ki egy tech-óriás titkai. Pár éve egy globális elektronikai gyártó cég mérnökei a napi munka gyorsítására nyilvános nyelvi modelleket használtak. Bemásolták a titkos chip-forráskódokat hibakeresésre, és feltöltötték a belső, zártkörű vezetői megbeszélések leiratait is összefoglalásra. Mivel lakossági verziót használtak, ezek a féltett adatok azonnal bekerültek a rendszerbe, amit az AI fejlesztői a modellek továbbképzésére használnak. A cég kénytelen volt azonnal betiltani az eszközök használatát a munkatársak számára.

Két konkrét, hétköznapi probléma szokott előfordulni:

1. Adatvédelmi és GDPR-kockázat. Ha egy munkatárs feltölt egy szerződést, egy vevőlistát vagy egy alkalmazotti adatokat tartalmazó táblázatot egy nyilvános AI-szolgáltatásba, nem mindig világos, mi történik ezután az adattal: tárolja-e a szolgáltató, felhasználja-e a modell továbbfejlesztésére, ki férhet hozzá. Ez pontosan az a fajta bizonytalanság, amit a GDPR igyekszik korlátozni – csak itt a cég gyakran meg sem tudja, hogy a kockázat egyáltalán fennáll, mert a felhasználás a hivatalos IT-folyamatokon kívül történt.

2. Üzleti titok kiszivárgása. Egy árkalkuláció, egy még le nem zárt szerződés szövege, egy fejlesztés alatt álló termékleírás – mind olyan tartalom, aminek kiszivárgása közvetlen versenyhátrányt jelenthet. Ha ez egy nyilvános AI-rendszerbe kerül, a cég elveszíti a kontrollt afölött, hogy ki és mire használhatja fel utána.

Fontos leszögezni: ez a legtöbb esetben nem rosszindulatból történik. A munkatárs csak gyorsabban akarja elvégezni a munkáját. A probléma nem az emberekben van, hanem abban, hogy a cégnek nincs semmilyen iránymutatása arról, mit szabad és mit nem szabad egy AI-eszközbe betölteni.

A jogi és szerzői jogi aggályok miatt sok cég kifejezetten tartózkodik az AI-tól, mert bizonytalanok abban, mi történik a betáplált információkkal. Az európai adatvédelmi hatóságok (EDPS) iránymutatásai szerint a generatív AI használatakor is kötelező tisztázni a szerepköröket, az adatminimalizálást és az adatbiztonságot – ezt a felelősséget kkv-ként sem lehet megkerülni.

A vállalati szabályozás nem „fék”, hanem a biztonságos haladás feltétele

A kutatások azt mutatják, hogy miközben a munkatársak rohamtempóban kezdték el használni az AI-t, a cégek alig harmadában van csak formális, átfogó AI-szabályzat, és a kkv-knak is csupán a töredéke képezi a dolgozóit vagy vizsgálja a jogi kockázatokat.

A vállalati AI-szabályzat nem egy unalmas, jogi szaknyelven írt dokumentum, amit el kell süllyeszteni a fiók mélyére. Ez egy gyakorlatias iránytű a kollégáknak, ami nem tiltja a technológiát, hanem biztonságos mederbe tereli. Ha nincs szabályzat, a kolléga nem fogja tudni, mit szabad és mit nem. Az AI-ból származó időnyereség pedig könnyen visszafordulhat súlyos reputációs, szerződéses vagy adatvédelmi bírsággá.

Ráadásul az Európai Unióban már életbe lépett a Mesterséges Intelligencia Aktus (EU AI Act) , amely fokozatosan szigorodó szabályokat és komoly elvárásokat ír elő. Bár egy átlagos magyar kkv nem lesz magas kockázatú AI-fejlesztő, de mint az eszközök használója (deployer) vagy beszállítója, a törvényi felelősség őt is érinti.

Mi az első lépés, ha most kezdenéd el rendbe tenni ezt a területet?

Nem kell egyszerre mindent megoldani. Egy reális, kkv-méretű első lépéssorozat:

  1. Mérd fel, mi történik ma valójában. Kérdezd meg őszintén a kollégákat (ne büntető, hanem megértő hangnemben), milyen AI-eszközöket használnak most, és mire. A cél nem a hibáztatás, hanem a valós kép megismerése.

  2. Vezesd be a vállalati AI-szabályzatot. Nem kell jogi dokumentumként tálalni – elég, ha egy rövid, közérthető belső tájékoztató formájában eljut mindenkihez, és a csapat tudja, hogy ez miért született, nem büntetésként, hanem támogatásként érkezik.

  3. Jelölj ki egy felelőst, akihez kérdéssel lehet fordulni, ha valaki bizonytalan, hogy egy adott feladatnál használhat-e AI-t.

  4. Adj rövid, gyakorlati képzést a kollégáknak. Nem kell hosszú tanfolyam – elég, ha megmutatod, mire jó és mire nem az AI a napi munkájukban, és mit jelentenek a gyakorlatban a szabályzat pontjai. A kutatások szerint pont ott térül meg igazán az AI, ahol a munkatársak nemcsak hozzáférést kapnak hozzá, hanem tudják is, hogyan használják felelősen.

Mit kell rendeznie egy céges AI-szabályzatnak? (A minimum)

Egy jól működő vállalati szabályzatnak az alábbi egyszerű kérdésekre kell tiszta választ adnia a munkatársak számára:

  1. Milyen eszközök engedélyezettek? (Pl. csak a cég által biztosított, zárt vállalati generatív AI használható, vagy az ingyenes verziók is?)

  2. Milyen adatokat tilos feltölteni? Világosan meg kell mondani: nyilvános információ, saját munkavázlat mehet, de ügyféladat, bérlista, üzleti titok, pénzügyi táblázat és szerződéstervezet szigorúan tiltott terület a nyilvános modellekben.

  3. Mikor kötelező az emberi felülvizsgálat? Rögzíteni kell, hogy az AI kimenetét vakon kiküldeni tilos; minden szöveget, ajánlatot embernek kell ellenőriznie és jóváhagynia a kiküldés előtt.

  4. Ki felel a hibás kimenetért? Tisztázni kell, hogy az AI tévedéséért mindig a feladatot végző munkatárs viseli a felelősséget, nem lehet a gépre fogni a hibát.

  5. Hogyan jelöljük az AI-tartalmat? Kötelező-e jelezni az ügyfél felé, ha egy anyagot vagy képet részben AI-val generáltunk?

Ezek az elemek összhangban vannak a nemzetközi kiberbiztonsági ajánlásokkal és a biztonságos AI-bevezetésről szóló útmutatókkal (pl. NCSC Ireland, 2026).

Útravaló: Védekezés nélkül ne indulj el!

Cégvezetőként ne várd meg, amíg egy fű alatt használt ChatGPT fiók miatt kiszivárog egy fontos szerződésed, vagy kapsz egy adatvédelmi bírságot. Kezdj el beszélgetni a kollégákkal, mérd fel, mit használnak titokban, és fektessétek le a közös játékszabályokat még ma! Ennek orvoslása nem igényel nagy beruházást vagy jogi apparátust – csak néhány egyszerű, világos szabályt, és egy őszinte beszélgetést arról, mi történik ma valójában a cégen belül.


Írta: Jónás Zsolt
© 2026. Minden jog fenntartva.