Joillain organisaation sidosryhmistä voi olla mahdollisuus vaikuttaa organisaation kykyyn tarjota jatkuvasti korkealaatuisia tuotteita ja palveluja.

Organisaation on tunnistettava:

• laadunhallintajärjestelmän kannalta merkitykselliset sidosryhmät
• näiden sidosryhmien asettamat laatuvaatimukset (tarvittaessa)

Organisaatio tarkastelee säännöllisesti sidosryhmätietoja ja niihin liittyviä vaatimuksia.

Organisaation ylimmän johdon on huolehdittava siitä, että vastuut asiaankuuluvista laatutehtävistä jaetaan, niistä tiedotetaan ja ne ymmärretään organisaatiossa. Vastuun ohella roolit edellyttävät yleensä valtuuksia tiettyihin toimiin, jotta vastuut voidaan täyttää onnistuneesti.

Tarvittaessa nämä roolit on määriteltävä myös prosessikuvauksissa asiaankuuluvissa kohdissa, esim. kuka voi suorittaa prosessin tarkastus- tai hyväksymisvaiheen.

Ylimmän johdon on selkeästi jaettava vastuu ainakin seuraavista:

• QMS:n omistajuus (sen varmistaminen, että QMS on valittujen vaatimusten mukainen)
• prosessien omistajuus (sen varmistaminen, että prosessit tuottavat aiotut tuotokset)
• QMS-tuloksista tiedottaminen (raportointi QMS:n suorituskyvystä ja parannusmahdollisuuksista)
• asiakaslähtöisyys (asiakaskeskeisyyden edistäminen koko organisaatiossa)
• QMS:n jatkuvuus (varmistetaan, että QMS:n eheys säilyy, kun QMS:ään suunnitellaan ja toteutetaan muutoksia).

Häiriöiden ilmoittamiseen ylläpidetään prosessia, joka auttaa henkilöstöä ilmoittamaan häiriöistä tehokkaasti ja johdonmukaisesti.

Häiriönä ilmoitettavia asioita ovat mm.:

• luvaton pääsy tietoihin / tiloihin
• tietoturvaohjeiden vastainen toiminta
• epäilty tietoturvaongelma (esim. tietojenkalastelu, haittaohjelmatartunta)
• tietojärjestelmän käyttökatko
• tietojen tuhoutuminen / muuttuminen vahingossa tai tahallaan
• kadonnut tai varastettu laite
• vaarantunut salasana
• kadonnut fyysinen tunniste (esim. avaimenperä, älykortti, älytarra)
• epäilty tietoturvaheikkous (esim. käytetyssä tietojärjestelmässä tai muissa toimintatavoissa)

Henkilöstön ohjeissa korostetaan velvollisuutta raportoida tietoturvahäiriöistä mahdollisimman pian sovitun prosessin mukaisesti. Ohjeistus kuvaa myös muun toiminnan häiriön tapauksessa (mm. virheilmoitusten ja muiden yksityiskohtien kirjaaminen ylös).

Organisaatio pyrkii ennakoivasti luetteloimaan ja arvioimaan suuren riskin tekoälyjärjestelmien käyttöön liittyvien eri riskien todennäköisyyttä ja vakavuutta. Dokumentoinnin tulisi sisältää seuraavat seikat:

• Riskin kuvaus
• Perusoikeuksiin vaikuttavien riskien arvioitu vaikutus ja todennäköisyys
• Tehtävät riskin hallitsemiseksi tai muut käsittelyvaihtoehdot
• Riskin hyväksyttävyys

Suuren riskin tekoälyjärjestelmien tarjoajien olisi laadittava ja dokumentoitava selkeä prosessi toimivaltaisten viranomaisten pyyntöihin vastaamiseksi. Näin varmistetaan, että kaikki tarvittavat tiedot, asiakirjat ja lokit, joilla osoitetaan tekoälyjärjestelmän vaatimustenmukaisuus, voidaan toimittaa ajoissa.

Prosessissa olisi määriteltävä:

• Nimetty yhteyshenkilö tai -ryhmä, joka vastaa viranomaispyyntöjen käsittelystä.
• Menettely pyynnön laillisuuden vahvistamiseksi.
• Vaiheet kaikkien vaadittujen asiakirjojen ja lokitietojen kokoamiseksi ja toimittamiseksi.
• suunnitelma tietojen toimittamiseksi vaaditulla EU:n virallisella kielellä.

Suuren riskin tekoälyjärjestelmien tarjoajat voivat ryhtyä toimenpiteisiin varmistaakseen, että toimivaltaiset viranomaiset kunnioittavat tietojen luottamuksellisuutta, jotta voidaan suojella:

• teollis- ja tekijänoikeudet ja luottamukselliset liiketoimintatiedot
• tekoälylain tehokas täytäntöönpano tarkastuksia, tutkimuksia tai tilintarkastuksia varten.
• julkiset ja kansalliset turvallisuusintressit
• rikosoikeudellisten tai hallinnollisten menettelyjen toteuttaminen
• unionin tai kansallisen lainsäädännön nojalla luokiteltuja tietoja

Organisaation on laadittava ja dokumentoitava markkinoille saattamisen jälkeinen valvontasuunnitelma suuririskisille tekoälyjärjestelmille. Suunnitelmassa olisi määriteltävä jäsennelty ja järjestelmällinen prosessi, jolla järjestelmän suorituskykyä seurataan, mitataan, dokumentoidaan ja analysoidaan koko elinkaaren ajan.

Suunnitelmassa olisi täsmennettävä:

• seurattavat ja mitattavat näkökohdat, mukaan lukien järjestelmän suorituskyky, toteutettujen riskinhallintatoimien tehokkuus ja sovellettavien oikeudellisten ja sääntelyvaatimusten jatkuva noudattaminen.
• seuranta-, mittaus- ja analyysimenetelmät, joilla varmistetaan, että tulokset ovat päteviä, luotettavia ja soveltuvat vaatimustenmukaisuuden osoittamiseen.
• seuranta- ja mittaustoimien tiheys ja ajoitus sekä virallisen analyysin ja arvioinnin aikavälit.

Suunnitelma olisi liitettävä virallisesti osaksi teknisiä asiakirjoja. Dokumentoidut tiedot olisi säilytettävä todisteena kunkin suuren riskin tekoälyärjestelmän suorituskyvystä ja tehokkuudesta.

Organisaation olisi laadittava ja dokumentoitava menettely, jolla hallitaan ja raportoidaan vakavista vaaratilanteista, jotka liittyvät sen suuren riskin tekoälyjärjestelmiin. Menettelyllä olisi varmistettava oikea-aikainen viestintä markkinavalvontaviranomaisten kanssa.

Menettelyyn olisi sisällyttävä

• Vakavan vaaratilanteen tunnistamiskriteerit.
• selvät vastuut tutkinnasta ja raportoinnista.
• erityiset raportoinnin määräajat, jotka perustuvat vaaratilanteen vakavuuteen (esim. 2, 10 tai 15 päivän kuluessa).
• prosessi, jonka avulla voidaan tehdä tapauksen jälkeisiä tutkimuksia, riskinarviointeja ja toteuttaa korjaavia toimia yhteistyössä viranomaisten kanssa.

Organisaation olisi määriteltävä ja dokumentoitava toimintatavat, joita se soveltaa kaikkien sen suuren riskin tekoälyjärjestelmien laadunhallintajärjestelmään liittyvien asiaankuuluvien asiakirjojen ja tietojen säilyttämiseen. Menettelyssä olisi täsmennettävä, mitä tietoja säilytetään, säilytysajat, säilytysmenetelmät ja pääsynvalvonta, jolla varmistetaan tallenteiden eheys ja saatavuus.

Organisaatio on määritettävä laadunhallintajärjestelmän toteuttamiseen ja jatkuvaan parantamiseen tarvittavat resurssit ja tarjoaa ne käyttöön.

Resursseja määrittäessään organisaatio ottaa huomioon:

• olemassa olevien sisäisten resurssien kyvyt / rajoitteet
• mitä on hankittava ulkoisilta palveluntarjoajilta

Organisaation on myös määriteltävä henkilöt, joita tarvitaan laatujärjestelmän tehokkaaseen toteuttamiseen sekä prosessien toimintaan ja valvontaan.

Organisaation on suhtauduttava varovaisesti asiakkaiden tai sidosryhmien omaisuuteen (esim. luottamukselliset tiedot, henkilötiedot, materiaalit, komponentit, työkalut, laitteet, tilat, henkinen omaisuus), kun se on organisaation hallinnassa tai kun organisaatio käyttää sitä suuren riskin tekoälyjärjestelmien kehittämisessä. Organisaation olisi kuvattava yleiset säännöt tätä varten.

Jos asiakkaiden tai ulkopuolisten palveluntarjoajien toimittamaa omaisuutta sisällytetään omiin tekoälytuotteisiin/-palveluihin, organisaatiolla on oltava prosessi omaisuuden erillistä tunnistamista, todentamista ja suojaamista varten.

Kun jokin ulkopuolinen omaisuus katoaa, vahingoittuu tai muuten todetaan käyttökelvottomaksi, organisaation on ilmoitettava tästä asiakkaalle tai ulkopuoliselle palveluntarjoajalle ja säilytettävä dokumentoidut tiedot tapahtuneesta.

Organisaatio on määritellyt, mistä laadunhallintajärjestelmään liittyvistä asioista on tiedotettava säännöllisesti. Suunnitelman on sisällettävä vastaukset esimerkiksi seuraaviin kohtiin:

• Mistä asioista tiedotetaan? Näitä voivat olla esimerkiksi uudet tai muuttuneet laatutavoitteet.
• Miten ja milloin tiedotetaan? Mitä kanavia käytetään ja kuinka usein?
• Kenelle tiedotetaan? Kuinka usein laatujohtajille, kuinka usein koko organisaatiolle tai kumppaneille.
• Kuka osallistuu? Kenellä on oikeus viestiä ja keneltä esimerkiksi viestit on hyväksyttävä.

Tehtävän omistaja huolehtii suunnitelman toteuttamisesta ja sen tehokkuuden säännöllisestä arvioinnista.