Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Hvis I ikke styrer generativ AI, får I en parallel praksis, hvor data, ansvar og compliance glider ud af hænderne på jer og samtidig overtræder i AI EU Forordningen ubevidst hvilket kan give bødestraffe.
Forestil dig en helt almindelig situation: En medarbejder skal hurtigt gøre et beslutningsoplæg klar til et kundemøde og kopierer et internt dokument ind i en chatbot for at få det forkortet og skærpet.
Dokumentet indeholder kundens kontaktoplysninger, interne vurderinger og måske et CPR-nummer i et bilag. Opgaven løses hurtigere, men virksomheden har nu mistet kontrol over, hvor data er endt, og hvem der har haft adgang.
Dette er blot et ud af mange eksempler, jeg er stødt på, når jeg - som forsker - har interviewet en række SMV’er i Danmark.
En uofficiel kollega
Generativ AI er allerede blevet en uofficiel kollega i mange danske virksomheder.
Medarbejdere bruger ChatGPT eller andre, lignende værktøjer til at skrive udkast, analysere tekst, opsummere møder og forbedre kundedialog.
Problemet er, at det ofte sker uden klare retningslinjer, risikovurdering og kontrolmiljø.
Det skaber Shadow AI, altså uautoriseret eller uformelt brug af AI uden governance, og det udløser en kombination af cyberrisiko, GDPR-compliance og organisatorisk risiko.
Datatilsynet har direkte opfordret arbejdspladser til aktivt at forholde sig til AI-værktøjer netop for at undgå behandling af personoplysninger i strid med reglerne.
Når medarbejdere indtaster eller uploader interne oplysninger i offentlige AI-tjenester uden godkendelse, kan virksomheden miste kontrol over data, dokumentation og ansvar.
GDPR’s principper om blandt andet dataminimering, formålsbegrænsning, integritet og fortrolighed gælder uanset om behandlingen sker i et regneark eller i en chatbot.
I takt med at EU’s AI Act stiller krav til ansvarlighed, transparens og risikostyring, bliver det sværere at forsvare en praksis, hvor AI bruges spredt, uens og uden dokumenterede kontroller.
Shadow AI skaber også et ledelsesproblem, fordi beslutningsgrundlag og output produceres i et teknologilag, som organisationen ikke kan auditere eller standardisere.
Hvordan og hvorfor opstår Shadow AI?
Shadow AI opstår sjældent af ond vilje.
Men det sker, fordi medarbejdere gerne vil bidrage til arbejdet og nogle gange tyer til metoder eller arbejdsgange, som måske er modstridende virksomhedens praksis eller governance.
1) Produktivitetspres og lav adgangsbarriere
Når en medarbejder kan spare tid på en opgave på få minutter, bliver AI et praktisk værktøj, også selv om det ikke er formelt godkendt.
2) Governance halter efter adoptionen
Mange virksomheder har politikker for it-sikkerhed, men ikke konkrete spilleregler for generativ AI. Det efterlader medarbejdere alene med vurderingen.
3) Manglende enterprise-alternativ
Hvis virksomheden ikke stiller en godkendt AI-løsning til rådighed, flytter brugen over i private konti og uautoriserede workflows. Her bliver dataklassifikation og logning typisk fraværende.
Hvad er de konkrete risici?
Cyber og datalæk
Generativ AI introducerer nye angrebsflader og nye steder, hvor følsomme data kan eksponeres.
Europæiske cybersikkerhedsmiljøer peger på risikoen for datalæk som en central konsekvens ved angreb mod AI-infrastruktur og ved ukontrolleret brug.
GDPR og accountability
Hvis personoplysninger behandles via et AI-værktøj, skal virksomheden kunne forklare formål, behandlingsgrundlag, sikkerhedsforanstaltninger og leverandørrelation.
Hvis organisationen ikke ved, hvilke prompts der bruges, hvilke data der deles, og hvor data behandles, bliver accountability i praksis umulig.
Organisatorisk risiko og kvalitet
Når AI bruges individuelt uden standarder, opstår uensartede output, uklar kildebrug og usynlige fejl.
Det kan påvirke alt fra kundekommunikation til interne analyser, og ledelsen mister overblik over, hvordan viden og beslutningsoplæg produceres.
Hvad kan man gøre for at løse det?
1) Etabler en AI-politik, der kan efterleves i praksis
Definér hvilke datatyper der aldrig må deles, hvilke opgavetyper der er acceptable, og hvilke værktøjer der er godkendte.
Datatilsynet anbefaler konkret awareness og tiltag, der kan forebygge uhensigtsmæssig brug af generativ AI på arbejdspladsen.
2) Giv et godkendt enterprise-setup
Brug enterprise- eller business-løsninger, hvor datakontrol, adgangsstyring og leverandørvilkår er tydelige.
Det er også relevant at kende leverandørens datapraksis. OpenAI beskriver eksempelvis, at de som udgangspunkt ikke træner på data fra ChatGPT Business og Enterprise. Det ændrer ikke jeres GDPR-ansvar, men det er en vigtig del af leverandørvurderingen.
3) Indfør kontrolmiljø og sporbarhed
AI-brug skal ind i samme styringslogik som andre IT-systemer: rettighedsstyring, logging, dokumentation og løbende risikovurdering.
NIST’s AI Risk Management Framework er et brugbart referencepunkt for at strukturere risikostyring på tværs af governance, måling og kontrol.
4) Træn medarbejdere i sikker og ansvarlig brug
Hvis medarbejdere kun får “må ikke”, får du Shadow AI. Hvis de får “sådan gør du det sikkert”, får du kontrolleret adoption.
Træning bør minimum dække dataklassifikation, personoplysninger, kildekritik og håndtering af fortrolige dokumenter.
5) Gør AI til et ledelsesansvar, ikke et individuelt eksperiment
AI skal ind i roadmap, risikoregister og compliance-funktion. Ellers ender det som en usynlig produktionslinje for tekst og beslutningsoplæg.
Shadow AI er et signal om, at teknologiadoption bevæger sig hurtigere end governance. Virksomheder, der handler nu med klare rammer og sikre alternativer, reducerer risiko og får samtidig mere stabil værdi ud af generativ AI.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
