Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Generativ AI er blevet en del af hverdagen i mange virksomheder.
Medarbejdere bruger værktøjerne til kundeservice, HR, mødeforberedelse, analyse, salg, kontraktudkast og interne beslutningsoplæg.
I nogle virksomheder sker det inden for klare rammer. I andre sker det mere uformelt. En medarbejder finder et værktøj, ser at det sparer tid, og kort efter breder brugen sig til flere dele af organisationen.
Det er ikke svært at forstå, hvorfor det sker. Værktøjerne er let tilgængelige, gevinsterne er synlige med det samme, og presset på tempo og effektivitet er højt.
Problemet opstår, når styring, ansvar og dokumentation ikke følger med.
Min observation viser at mange virksomheder ikke er klar til EU AI act
I 2026 har jeg besøgt en række danske SMV’er som led i et observationsstudie af, hvordan generativ AI bliver brugt i praksis.
Her er mønsteret tydeligt. I omkring 40 procent af de virksomheder, jeg har besøgt, findes der ikke nogen egentlig AI-governance.
Der er ingen klar stillingtagen til, hvilke værktøjer der må bruges, hvilke data der må deles, hvem der godkender nye anvendelser, eller hvem der har ansvaret, hvis brugen skaber problemer.
Det betyder ikke, at virksomhederne er ligeglade. Det betyder, at anvendelsen er løbet foran styringen.
Det er en risikabel situation. For når AI bliver en del af driften, påvirker det ikke kun produktivitet.
Det påvirker også datasikkerhed, persondata, kvalitet, leverandørstyring og den måde, virksomheden træffer beslutninger på.
Derfor er det heller ikke nok at behandle AI som et rent teknisk spørgsmål eller som noget, it-afdelingen og jura kan løse alene. Det er en ledelsesopgave.
Kan komme til at koste dyrt
Det regulatoriske billede gør det endnu mere nødvendigt at tage spørgsmålet alvorligt.
Under GDPR kan bøder nå op på fire procent af den globale årlige omsætning.
Under EU's AI Act kan de mest alvorlige overtrædelser udløse bøder på op til syv procent af global omsætning.
Den type sanktionsniveau ændrer vilkårene for, hvordan virksomheder bør arbejde med AI.
Vi taler ikke længere om et spændende eksperiment, som kan køre lidt ved siden af den almindelige drift.
Vi taler om en teknologi, som skal indgå i virksomhedens risikostyring på linje med andre væsentlige compliance- og sikkerhedsområder.
Datatilsynet er ved at gøre sig klar
Datatilsynet bevæger sig også tydeligere ind på området.
I 2024 opslog tilsynet to juriststillinger med fokus på kunstig intelligens, digitalisering og innovation, blandt andet knyttet til ansvarlig brug af data, GDPR i AI-projekter og den regulatoriske sandkasse.
Årsrapporten viste samtidig et højt aktivitetsniveau med 18.816 oprettede sager og 9.624 anmeldelser om brud på persondatasikkerheden i 2024.
Ved udgangen af året havde Datatilsynet 74 medarbejdere. Det er ikke i sig selv dokumentation for, at en bølge af AI-sager er på vej.
Men det viser, at myndighederne bygger kompetencer op og prioriterer området.
For virksomheder betyder det noget helt konkret.
Man skal kunne forklare, hvordan AI bruges, hvilke data der indgår, hvilke leverandører der er involveret, hvilke risici der er vurderet, og hvem der har godkendt anvendelsen.
Virksomheder bliver sårbare i de almindelige arbejdsgange
Det er netop her, mange virksomheder bliver sårbare. Ikke i store prestigeprojekter, men i de helt almindelige arbejdsgange.
Et typisk eksempel er HR. En HR-medarbejder bruger et generativt AI-værktøj til at gennemgå CV'er og ansøgninger og få hjælp til at udvælge kandidater. Det virker effektivt, og processen bliver hurtigere.
Men i mange tilfælde er det ikke afklaret, om personoplysningerne må behandles på den måde, om leverandøren må bruge inputdata, eller hvordan virksomheden vil håndtere risikoen for skæve vurderinger.
Hvis virksomheden senere bliver spurgt, hvem der godkendte løsningen, og hvordan risikoen blev vurderet, er svaret ofte uklart.
Et andet eksempel er kundeservice. Medarbejdere bruger AI til at opsummere kundehenvendelser og foreslå svar, så svartiden falder.
Det kan være en god forretningsmæssig løsning.
Men hvis henvendelserne indeholder fortrolige oplysninger, opstår der hurtigt spørgsmål om databehandlerforhold, opbevaring, sletning og adgangskontrol.
Et tredje eksempel findes i kontraktarbejde og intern sagsbehandling. En medarbejder bruger AI til at skrive udkast til kontrakter, opsummere leverandøraftaler eller forberede beslutningsoplæg.
Det kan være nyttigt og tidsbesparende.
Men hvis der ikke er klare regler for, hvilke oplysninger der må indgå, hvordan output skal kvalitetssikres, og hvem der har ansvaret for det færdige resultat, flytter virksomheden risiko ind i processer, hvor fejl kan få juridiske og kommercielle konsekvenser.
Skygge-AI gør det svært at føre kontrol
I flere af de virksomheder, jeg har besøgt, vidste ledelsen ikke præcist, hvilke værktøjer medarbejderne brugte i praksis.
Det gør det svært at føre kontrol og næsten umuligt at dokumentere ansvarlig brug bagefter.
De eksempler er ikke særlige undtagelser. De ligner mange af de situationer, som virksomheder allerede står i.
Fælles for dem er, at AI bliver indført gennem praktisk brug og ikke gennem en formel beslutning. Det er ofte sådan shadow AI opstår.
Ikke nødvendigvis fordi medarbejdere forsøger at omgå regler, men fordi organisationen ikke har fået sat rammerne, før værktøjerne blev en del af arbejdsdagen.
Det er også grunden til, at det er for enkelt at gøre det til et spørgsmål om medarbejderadfærd.
Når medarbejdere bruger AI til at løse opgaver hurtigere, reagerer de ofte rationelt på de krav, virksomheden stiller til tempo, effektivitet og output.
Hvis ledelsen ikke har defineret rammerne, vil brugen sprede sig uformelt. Det gør problemet strukturelt.
Hvordan gør man sig EU AI act klar?
Virksomheder brug for noget mere konkret end en overordnet AI-politik i pdf-format.
De skal kunne svare på en række praktiske spørgsmål: Hvilke AI-løsninger bruger vi i dag? Hvilke data går ind i dem? Hvem har godkendt brugen?
Hvilke leverandører er involveret? Hvilken risikovurdering er lavet? Hvordan kontrollerer vi output? Hvem har ansvaret, når systemet indgår i en beslutning eller en forretningskritisk proces?
Hvis de svar ikke findes, har virksomheden et governance-problem.
Det betyder ikke, at alle virksomheder skal bygge et tungt complianceapparat.
For de fleste handler det om at få styr på det grundlæggende.
Et register over anvendte AI-værktøjer. En enkel godkendelsesproces for nye use cases. Klare regler for databrug.
En vurdering af, hvilke processer der kræver ekstra kontrol. En tydelig placering af ansvar mellem forretning, it, sikkerhed, HR, jura og compliance.
Derfor bør ledelsen stille sig selv et enkelt spørgsmål: Hvis Datatilsynet i morgen bad om dokumentation for virksomhedens AI-anvendelser, hvad ville man så kunne lægge frem?
Mange virksomheder vil kunne vise, at de er i gang.
Nogle vil kunne vise, at de har styr på det.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
