Der Ansatz von Avetta für die verantwortungsvolle Nutzung von Künstlicher Intelligenz

Wir bei Avetta sind der Auffassung, dass Künstliche Intelligenz (KI) das Vertrauen stärken, die Sicherheit erhöhen und eine fundiertere Entscheidungsfindung in den globalen Lieferketten unterstützen sollte. Wir entwickeln und setzen KI umsichtig und verantwortungsbewusst ein, um unsere Produkte zu verbessern, unsere internen Abläufe zu unterstützen und unseren Auftraggebern einen Mehrwert zu bieten. Dabei legen wir Wert auf Transparenz, Rechenschaftspflicht und strenge Sicherheitsvorkehrungen.

Wie wir KI nutzen

Avetta nutzt Künstliche Intelligenz, um Sicherheit, Compliance und Effizienz in globalen Lieferketten zu erhöhen. KI-gestützte Funktionen können in bestimmte Produkte von Avetta integriert sein, um Auftraggeber dabei zu unterstützen, effizienter zu arbeiten, potenzielle Risiken früher zu erkennen und die Konsistenz und Genauigkeit bei der Datenverarbeitung und der Gewinnung von Erkenntnissen zu verbessern. Diese Funktionen sollen von Menschen getroffene Entscheidungen unterstützen und sie nicht ersetzen.

Bei Avetta unterliegt die Nutzung und Einführung von Künstlicher Intelligenz den unternehmensinternen Richtlinien und Kontrollen, bei denen Datenschutz, Genauigkeit, Transparenz und angemessene Aufsicht durch Menschen im Vordergrund stehen. Dies entspricht den übergeordneten Rahmenwerken von Avetta zu den Themen Governance, Sicherheit und Compliance.

Unsere grundlegenden Prinzipien im Hinblick auf die KI

Für die Entwicklung, den Einsatz und die Nutzung von KI bei Avetta gelten die folgenden Prinzipien:

Menschliche Aufsicht und Verantwortlichkeit

Die KI dient als Hilfsmittel und trifft keine Entscheidungen Wir sorgen für Prüfung durch Menschen und Governance auf zahlreichen Ebenen, insbesondere überall dort, wo KI-generierte Informationen Einfluss auf Compliance, Sicherheit oder risikobezogene Ergebnisse haben können. Dazu gehören die interne Aufsicht durch unsere Beschäftigten und die Benutzerkontrolle, die es Auftraggebern ermöglicht, KI-generierte Inhalte anzunehmen, zu ändern oder zu verwerfen. Die letztendliche Verantwortung für Entscheidungen liegt immer bei Menschen, nicht bei KI-Systemen.

Transparenz und zweckgebundene Nutzung

Wir setzen die KI für klar definierte legitime Geschäftszwecke ein, um die Sicherheit, Effizienz, Compliance und Resilienz der Lieferkette zu erhöhen. Wo KI-gestützte Funktionen für die Nutzer:innen sichtbare Ergebnisse generieren, werden diese klar als KI-generiert oder KI-unterstützt gekennzeichnet, damit die Nutzer:innen informierte Entscheidungen treffen können, wie sie diese nutzen oder mit ihnen umgehen.

Fairness, Verlässlichkeit und Risikobewusstsein

Wir wissen, dass KI-Systeme Fehler oder unbeabsichtigte Verzerrungen verursachen können, wenn sie nicht angemessen verwaltet werden. Avetta beurteilt KI-Anwendungsfälle vor dem Einsatz im Hinblick auf Relevanz, Verlässlichkeit und Fairness und überwacht diese im Verlauf der Zeit, um Risiken festzustellen und zu mindern, wie zum Beispiel unbeabsichtigte Verzerrungen, Modellabweichungen und reduzierte Genauigkeit.

Privatsphäre und Datenschutz

Bei der Nutzung von Künstlicher Intelligenz durch Avetta ist der Schutz der Auftraggeberdaten von grundlegender Bedeutung. Wir programmieren und betreiben KI-gestützte Systeme mit Sicherheitsvorkehrungen, um die Vertraulichkeit, Integrität und die ordnungsgemäße Nutzung von Auftraggeberdaten während des gesamten Lebenszyklus aufrechtzuerhalten.

Avetta wendet Datenschutzkontrollen für KI-gestützte Systeme an, die mit unserer übergeordneten Programmen für Informationssicherheit und Datenschutz in Einklang stehen, einschließlich Zugangskontrollen, Verschlüsselung, Protokollierung und Überwachung. Auftraggeberdaten werden nur für rechtmäßige, definierte Geschäftszwecke und gemäß den geltenden Verträgen (einschließlich etwaiger Vereinbarungen über Datenverarbeitung), Datenschutzerklärungen und Datenschutzgesetzen genutzt.

Governance, Richtlinien und Kontrollen

Avetta verfügt über interne Richtlinien, Leitlinien und Überprüfungsprozesse für KI-gestützte Produkte und die interne Nutzung von KI. Dazu gehören die folgenden Elemente:

• Klare Regeln, wie Mitarbeitende, Auftragnehmer und Lieferanten KI für Geschäftszwecke nutzen dürfen
• Überprüfungs- und Genehmigungsprozesse für neue KI-Werkzeuge und KI-gestützte Funktionen
• Ein Verzeichnis und eine risikobasierte Prüfung von den in der gesamten Organisation genutzten KI-Systemen.
• Andauernde Überwachung und Aktualisierung, wie sich Technologie, gesetzliche Vorgaben und die Best Practices entwickeln

Regulatorische Compliance und Positionierung zu dem Gesetz zur Künstlichen Intelligenz der EU

Avetta verpflichtet sich dazu, die KI im Einklang mit den geltenden Gesetzen und Vorgaben zu nutzen, einschließlich KI-spezifischer gesetzlicher Rahmenwerke wie das Gesetz zur Künstlichen Intelligenz der EU (KI-Verordnung der EU).

Gemäß dem rollenbasierten Rahmenwerk der KI-Verordnung der EU kann Avetta als Systemanbieterin, Betreiberin (Nutzerin) oder in beiden Funktionen agieren in Abhängigkeit von dem spezifischen KI-Anwendungsfall und dem Kontext. Avetta bewertet die eigene Rolle auf Einzelfallbasis und wendet Governance-Maßnahmen gemäß den geltenden regulatorischen Verpflichtungen an.

Avetta nutzt einen risikobasierten Ansatz für die KI-Governance im Einklang mit der KI-Verordnung der EU, dazu gehört die Bewertung von KI-Systemen im Hinblick auf den vorgesehenen Zweck und die potentiellen Auswirkungen, die Durchführung von angemessener menschlicher Aufsicht, die Umsetzung von Transparenz- und Dokumentationsmaßnahmen soweit erforderlich und die Integration von KI-Aspekten bei bestehenden Prozessen in den Bereichen Datenschutz, Sicherheit und Lieferantenrisiko.

Die Vorgaben für die KI entwickeln sich weltweit weiter. Avetta überwacht die gesetzlichen Entwicklungen und aktualisiert die Richtlinien, Prozesse und Kontrollen, um den geltenden Anforderungen und Auftraggebererwartungen weiterhin zu entsprechen.

Verantwortungsvolles KI-Management von Lieferanten und Drittanbietern

Einige unserer KI-Funktionen beruhen auf Technologien von vertrauenswürdigen Drittanbietern. Avetta wendet die bestehenden Prozesse im Hinblick auf Lieferantenmanagement, Sicherheit und rechtliche Überprüfung auf alle KI-Anbieter an, genauso wie wir andere kritische Dienstleister bewerten.

KI-Drittanbieter werden durch den Vertragsabschluss mit Avetta mit der Aufgabe des Datenverarbeiters betraut und sind vertraglich verpflichtet, Auftraggeberdaten zu schützen, diese ausschließlich zur Umsetzung der spezifischen KI-Funktion zu nutzen, für die sie von uns beauftragt wurden, und die geltenden Verpflichtungen im Hinblick auf Sicherheit, Datenschutz und Gesetze einzuhalten.

Avetta gestattet es dritten KI-Anbietern nicht, Auftraggeberdaten für das Training oder die Verbesserung Ihrer KI-Modelle oder für jegliche unabhängige Zwecke zu nutzen. Wir bewerten ebenfalls, wie KI-Anbieter Daten verarbeiten, diese speichern, schützen und löschen und setzen festgelegte Aufbewahrungsfristen für Daten durch, um zu gewährleisten, dass die Auftraggeberdaten nicht von dritten KI-Anbietern über den für die Umsetzung der vertraglich vereinbarten Funktionalität erforderlichen Zeitraum hinaus gespeichert werden gemäß den Datenschutzstandards von Avetta.

Sicherheit, Zertifizierungen und unabhängige Audits

Avetta führt unternehmensweite Informationssicherheits- und Datenschutzprogramme durch, die auf unsere cloudbasierte SaaS-Plattform und die damit zusammenhängenden Betriebsprozesse angewendet werden, einschließlich der Prozesse zur Unterstützung von KI-gestützten Funktionen.

ISO-Zertifizierungen

Avetta unterhält ein Informationssicherheitsmanagementsystem (Information Security Management System, ISMS), ein Datenschutzmanagementsystem (Privacy Information Management System, PIMS) und ein System für das betriebliche Kontinuitätsmanagement (Business Continuity Management System, BCMS), die unabhängig gemäß international anerkannten ISO-Standards zertifiziert sind. Dazu gehören die folgenden Standards:

• ISO/IEC 27001:2022 - Information Security Management (Informationssicherheit)
• ISO/IEC 27017:2015 - Cloud Security Controls (Informationssicherheit von Cloud-Diensten)
• ISO/IEC 27018:2019 - Cloud Security Controls (Schutz personenbezogener Daten in Cloud-Diensten)
• ISO/IEC 27701:2019 - Privacy Information Management (Datenschutzmanagement)
• ISO/IEC 22301:2019 - Business Continuity Management (Betriebliches Kontinuitätsmanagement)

Diese Zertifizierungen beziehen sich auf die Systeme, Prozesse und Kontrollen zur Unterstützung der cloudbasierten SaaS-Plattform von Avetta und damit zusammenhängender operativer Funktionalitäten.

SOC-2-Typ-II-Audit

Avetta unterzieht sich einem jährlichen unabhängigen SOC-2-Typ-II-Audit, das die Trust Services Criteria Sicherheit und Vertraulichkeit umfasst. Im Rahmen des Audits wird die Konzeption und die betriebliche Effektivität der Kontrollen von Avetta über eine festgelegten Audit-Zeitraum bewertet.

Auftraggeber können die ISO-Zertifizierungen von Avetta und den SOC-2-Typ-II-Auditbericht im Trust Center von Avetta prüfen. Es handelt sich um ein sicheres Portal, das Zugriff auf die Sicherheits-, Compliance- und Datenschutzdokumentation von Avetta gewährt. Der Zugriff auf bestimmte Materialien kann die Annahme einer Vertraulichkeitsvereinbarung erfordern. Das Trust Center steht hier zur Verfügung: https://trust.avetta.com.

‍Weitere Fragen:

Bei weitere Fragen zu unseren KI-Praktiken, Anfragen zur Compliance Dokumentation oder allgemeinen Fragen wenden Sie sich bitte an: compliance@avetta.com.

Bei Datenschutzangelegenheiten oder zur Ausübung von Datenschutzrechten setzen sich bitte in Verbindung mit: privacy@avetta.com.