Tilbake til bloggen
AISecuritySMB

Shadow AI: Risikoen som skjuler seg i din egen bedrift

Shadow AI er det som skjer når folk i bedriften din bruker AI-verktøy — ChatGPT, Claude, Gemini, Copilot — uten å fortelle det til noen. Ingen retningslinjer, ingen godkjenning, ingen oversikt. Bare åpne en fane og komme seg gjennom dagen.

Det er overalt. Undersøkelser lander stadig på samme tall: mellom halvparten og tre fjerdedeler av ansatte i en bedrift bruker AI-verktøy arbeidsgiveren ikke vet om. I en bedrift på 20 personer er det mye uovervåket aktivitet.

Og de fleste ledere har egentlig ikke fått det med seg ennå.

Hvorfor det skjer

Det er ikke vondt ment. De fleste prøver ikke å bryte regler. De har funnet et verktøy som gjør en irriterende del av jobben lettere, og bruker det. Markedsføring limer inn et utkast i ChatGPT for å stramme det opp. Salg ber Claude oppsummere en lang e-posttråd før et møte. Noen i finans får hjelp til å formatere et regneark.

Ingen spurte. Ingen sa nei. Så de fortsatte.

Hvorfor det betyr noe

Problemet er ikke at folk bruker AI. Problemet er hva som havner inn i det.

Kundedata. Interne tall. Ansattinformasjon. Kontraktsutkast. Kildekode. Alt sammen limt inn i verktøy IT-avdelingen aldri har vurdert, driftet av selskaper du ikke har databehandleravtale med. Når det først er der inne, vet du egentlig ikke hvor det ender opp.

For en norsk SMB er det et GDPR-problem som ligger og venter. For enhver bedrift er det et konfidensialitetsproblem.

Det er også en stillere risiko. AI-resultater blir brukt i kundearbeid uten at noen sjekker dem. Feil fakta. Oppdiktede tall. En tone som ikke matcher merkevaren. Hver feil er liten i seg selv. De bygger seg opp over et år.

Hva du ikke bør gjøre

Ikke forby det. Å forby AI i 2026 er som å forby Google i 2010. Folk bruker det uansett, bare mer skjult, og du mister enhver sjanse til å se hva som faktisk skjer.

Ikke lat som det er greit. "Vi stoler på folkene våre" er ikke en policy. Det er et håp.

Hva du faktisk bør gjøre

Tre ting. Ikke komplisert.

  1. Velg et godkjent verktøy. Microsoft 365 Copilot, ChatGPT Enterprise, Claude for Work — noe med en ordentlig databehandleravtale og admin-kontroller. Rull det ut til teamet. Nå har de et sted å bruke AI som ikke er en privat konto.

2. Skriv én side med retningslinjer. Hva som er greit. Hva som ikke er det. Hva slags data som aldri skal inn i disse verktøyene. Hold det kort nok til at folk faktisk leser det.

3. Snakk om det. Spør teamet hva de allerede bruker. Du lærer mer i et 20-minutters møte enn i noen revisjon. Folk er som regel lettet over å få lov til å være ærlige.

Det var det. Shadow AI forsvinner ikke ved å bli oversett. Det forsvinner når du gir folk et bedre, godkjent alternativ og behandler dem som voksne i prosessen.

Bekymret for hva som skjer i din egen bedrift? Ta kontakt.