AI Governance בישראל — מה עושים בפועל ב־2026

Shadow AI — צ'אט ציבורי, הרחבות דפדפן וסוכנים בתוך כלים עסקיים בלי אישור מרכזי; זה המקום שבו רוב הארגונים מגלים שהמדיניות לא תואמת את המציאות.

ספקים גלובליים (ענן, מודלים) וחוזים מול לקוחות בחו"ל: נדרשת עקביות בין מה שחתום לבין מה שקורה בשטח — בעברית ובאנגלית.

ISO/IEC 42001 נותן מסגרת תקנית מוכרת לבניית תוכנית עבודה וראיות; בשילוב עם דף ייעודי על ההקשר המקומי קל יותר להסביר להנהלה למה להשקיע עכשיו.

פרטיות ועיבוד אוטומטי: החיבור לחוק הגנת הפרטיות ולתפקיד DPO נכנס כשמערכות AI נוגעות בנתונים אישיים או בהחלטות מהותיות.

פער כישורים: צוותי מוצר רוצים מהירות; צוותי רגולציה ו-GRC צריכים תיעוד — Governance טוב מגשר עם תבניות החלטה קצרות ולא עם תוכנית מאות עמודים.

שימוש בנתונים רגישים במודלים חיצוניים ללא הסכם עיבוד או בלי סיווג נכון.

פערים בין צוותי מוצר לצוותי רגולציה ו-GRC — אותה מילה («מאושר») עם משמעות שונה.

תלות בספק יחיד בלי תוכנית חלופית כשמשנים מודל או גרסה.

להציג AI Governance רק באתר החיצוני בלי ליישם פנימית — חשיפה מול מבקר או מול לקוח מתוחכם.

פורום החלטות AI עם רוטציה ברורה (מוצר, אבטחה, משפטי) ורישום שימושים (inventory).

מדיניות AI שמקושרת למדיניות פרטיות ולניהול ספקים — לא שלושה מסמכים סותרים.

שילוב DPO ומשפטי כשמדובר בהחלטות אוטומטיות או בפרופילים של אנשים.

מדדי מעקב: כמה כלים מאושרים, כמה חריגים פתוחים, כמה אירועים נסגרו עם לקח.

מפת בשלות AI ותוכנית 90 יום: מיפוי → קווים אדומים → תבנית אישור כלי חדש → ראיות ראשונות.

חיבור ל־ISO 42001 כשמוכנים למסגרת תקנית או כשלקוחות מבקשים שפה של «מערכת ניהול».

תרגול קצר לפני שאלון גדול — כדי שמישהו לא ימצא בעצמו תשובה שונה ממה שרשום במדיניות.