ComplianceForge AI
Svi članci

Traces vs Evidence: Zašto policy dokumenti nisu dovoljni za EU AI Act

Većina firmi ima AI policy — ali nema audit-ready dokaze. Saznajte razliku između "imamo pravila" i "možemo dokazati sukladnost" prema EU AI Actu.

6 min čitanja
ComplianceForge AI

"Imamo AI policy na intranetu."

Ovu rečenicu čujemo konstantno. I na papiru zvuči odlično — firma je svjesna regulacije, napisala je dokument, objavila ga zaposlenicima. Kvačica.

Ali kad regulator pokuca na vrata, neće pitati imate li policy. Pitat će: možete li dokazati da ga provodite?

Tu nastaje problem. Jer između "imamo pravila" i "imamo dokaze" leži ogromna praznina koju većina firmi još nije zatvorila.

Što regulator zapravo traži

EU AI Act ne traži samo da imate dokumente — traži da možete pokazati provjerljiv trag vaših compliance aktivnosti. Konkretno:

  • Verzije dokumenata s vremenskim oznakama — kad je napisan, kad ažuriran, tko ga je odobrio
  • Dokumentiran proces — ne samo rezultat, nego koraci koji su do njega doveli
  • Dokaz ljudskog nadzora — da netko zaista pregledava output AI sustava, a ne samo potpisuje formulare
  • Ažurnost — dokumentacija koja odražava trenutno stanje, ne stanje od prije 6 mjeseci

Članak 11 EU AI Acta eksplicitno zahtijeva tehničku dokumentaciju koja se "ažurira po potrebi" tijekom cijelog životnog ciklusa AI sustava. Članak 9 traži dokumentiran sustav upravljanja rizicima koji je "iterativan" — dakle, ne jednokratni dokument nego živi proces.

Kako je to sažeo korisnik na r/legaltech: "This is a huge gap right now. Most companies have 'we use AI responsibly' on their website but zero audit trail."

GDPR lekcija: policy bez dokaza = kazna

Ovo nije nova situacija. GDPR je bio identičan test — i mnoge firme su pale.

Pogledajmo pattern koji se ponavljao:

  1. Firma napiše privacy policy — objavi ga na webu, pošalje zaposlenicima
  2. Regulator pita za dokaze — kad ste zadnji put napravili DPIA? Gdje su logovi pristupa? Tko je data protection officer i što konkretno radi?
  3. Firma ne može pokazati dokaze — policy postoji, ali nema traga provedbe
  4. Kazna — ne zato što nisu imali policy, nego zato što nisu mogli dokazati da ga provode

Najpoznatiji primjer: British Airways je 2020. kažnjen s £20 milijuna. Imali su security policy. Nisu imali dokaze da ga provode — nedostajali su logovi, testovi, dokumentirani incidenti.

Marriott International je 2020. platio £18.4 milijuna jer nije mogao dokazati da provodi redovite sigurnosne provjere — unatoč tome što je imao written policy. Pattern je jasan: regulatori ne kažnjavaju neznanje, kažnjavaju nedostatak dokaza.

EU AI Act ide korak dalje od GDPR-a. Članak 72 zahtijeva post-market monitoring s dokumentiranim planom. Članak 73 zahtijeva incident reporting unutar definiranih rokova. Ovo nisu opcije — ovo su obveze s konkretnim dokazima koje morate moći pokazati.

Isto će se ponoviti s EU AI Actom. Firme koje imaju policy ali ne mogu pokazati audit trail bit će prve na udaru.

5 pitanja za samoprocjenu

Prije nego nastavite čitati, odgovorite na ovih 5 pitanja:

1. Imate li inventar svih AI sustava koje koristite? Ne "znamo da koristimo ChatGPT" — formalni registar s klasifikacijom rizika, odgovornom osobom i datumom zadnjeg pregleda.

2. Možete li pokazati kad je vaša AI dokumentacija zadnji put ažurirana? Verzioniran dokument s timestampom, ne Word fajl na Desktopu.

3. Postoji li dokaz da netko pregledava output vaših AI sustava? Log pregleda, potpis, komentar — bilo što što pokazuje da čovjek zaista nadzire AI.

4. Imate li dokumentiran proces za kad AI sustav pogriješi? Incident reporting procedura s konkretnim koracima, ne generička izjava "prijavit ćemo incident".

5. Možete li rekonstruirati compliance stanje od prije 3 mjeseca? Ako regulator pita "kako ste bili usklađeni u siječnju", možete li to dokazati?

Ako ste na 3 ili više pitanja odgovorili "ne" — imate policy problem, ne evidence problem. Ili obrnuto: imate traces (tragove), ali nemate evidence (dokaze).

Razlika između traces i evidence

Ovo je ključna distinkcija koju mnogi propuštaju.

Traces (tragovi) su bilo kakvi zapisi da se nešto dogodilo:

  • Git commitovi
  • Email threadovi s raspravom o AI politici
  • Slack poruke tipa "pregledao sam output"
  • Word dokument s datumom kreacije

Evidence (dokazi) su strukturirani, provjerljivi artefakti koji dokazuju sukladnost:

  • Verzioniran dokument s hash verifikacijom — ne može se retroaktivno mijenjati
  • Formalni audit log s timestampovima i potpisima
  • Checklist s dokumentiranim pregledom svake točke
  • Evidence package s integritetom — sve na jednom mjestu, provjerljivo

Kako je jedan korisnik na Hacker Newsu primijetio: "Anyone can generate an alternative chain of sha256 hashes" — čak ni logging sam po sebi nije dovoljan ako nema mehanizma koji jamči integritet.

Tragovi su korisni. Ali tragovi nisu dokazi. Regulator ne traži "pokažite mi da ste nešto radili" — traži "pokažite mi da možete dokazati što ste radili, kad, i tko je za to bio odgovoran."

Kako izgraditi evidence umjesto traces

Dobra vijest: ne trebate graditi infrastrukturu od nule. Trebate sustav koji pretvara vaše compliance aktivnosti u provjerljive dokaze.

1. Hash-verificirani dokumenti

Svaki generirani dokument trebao bi imati kriptografski hash — digitalni "otisak prsta" koji dokazuje da dokument nije mijenjan nakon kreacije. Ako regulator pita "je li ovaj risk assessment napisan prije incidenta", hash s timestampom to dokazuje.

2. Verzioniranje s poviješću

Ne samo "verzija 2.1" — puna povijest promjena s datumima, autorima i razlogom promjene. Kad ažurirate AI Inventory Register jer ste dodali novi alat, ta promjena mora biti dokumentirana.

3. Evidence package

Umjesto 10 razbacanih dokumenata, jedan paket koji sadrži:

  • Sve compliance dokumente za specifični AI sustav
  • Compliance score s dimenzijama
  • Audit trail svih promjena
  • Verifikacijski hash za svaki dokument

4. Four-eyes princip

Svaki kritični dokument treba pregled druge osobe — i taj pregled mora biti dokumentiran. Ne "kolega je pogledao", nego formalna verifikacija s checklistom.

Rokovi se približavaju — ali ne jednako za sve

Iako je Omnibus VII odgodio rokove za high-risk AI sustave (prosinac 2027. za standalone, kolovoz 2028. za embedded), tri kategorije obveza su već aktivne:

  • Zabranjene prakse (Čl. 5) — od veljače 2025.
  • AI literacy (Čl. 4) — od veljače 2025.
  • Transparency (Čl. 50) — studeni 2026. (samo 8 mjeseci)

Za ove kategorije, "počet ćemo se pripremati kad bude vrijeme" već kasni. Trebate dokaze danas.

Sljedeći korak

Prestanite razmišljati o compliance kao o dokumentu koji trebate napisati. Počnite razmišljati o njemu kao o procesu koji trebate dokazati.

Izvori: r/legaltech — Traces vs Evidence thread, Hacker News — Article 12 Logging, Martin Warner — EU AI Act Enforcement, HSF Kramer — Transparency Obligations

Želite saznati svoj compliance status?

Besplatan upitnik, AI klasifikacija i compliance score u 30 minuta.

Stariji članakAI Literacy: Pravna obveza koju 90% firmi ignorira
Noviji članakEU AI Act compliance u 7 dana: praktični vodič za mala i srednja poduzeća