Den risiko du godkendte er ikke den risiko du løber
De fleste bestyrelser forestiller sig stadig AI-risiko som en beslutning, de træffer: hvilken model der skal licenseres, hvilken leverandør der skal stoles på, hvilken kontrakt der skal underskrives. Det billede er nu forkert. Den eksponering, der betyder mest, er den, som ingen godkendte. Verizons Data Breach Investigations Report fra 2026 viste, at regelmæssig brug af AI på firmaudstyr blev tredoblet på tolv måneder, fra 15 til 45 procent af medarbejderne, og at to tredjedele af disse mennesker tilgår værktøjerne gennem personlige konti, der ligger helt uden for virksomhedens kontrol.
Det er Shadow AI: kraftfuld software, der tages i brug hurtigere, end nogen politik kan følge med. Det er nu den tredje hyppigste ikke-ondsindede insiderhandling, som systemer til forebyggelse af datatab markerer, en firedobling på et enkelt år. De mennesker, der gør det, er ikke skødesløse. De er produktive medarbejdere, der løser virkelige problemer med det bedste værktøj, de har foran sig. Det er præcis derfor, at et notat ikke vil stoppe det.
Din kildekode er det første der forsvinder
Da den samme rapport rangordnede, hvad medarbejderne faktisk indsætter i offentlige AI-værktøjer, førte kildekode an over alle andre kategorier med stor margin, foran billeder og struktureret data. Den ligefremme måde at læse den konklusion på er denne: kildekode i en offentlig model er intellektuel ejendom i en andens træningsdata. For en virksomhed, hvis fordel ligger i dens kode, dens prislogik eller dens kundeoplysninger, er det ikke hypotetisk. Det er en daglig, usynlig overdragelse af de aktiver, du får betalt for at beskytte.
Skaden annoncerer ikke sig selv. Der er ingen anmeldelse af brud, ingen løsesumseddel, intet dramatisk nedbrud. En model bliver simpelthen en smule bedre til at gengive det, du troede var dit, og en dag returnerer en konkurrents prompt noget, der føles bekendt. Til den tid er spørgsmålet ikke, hvordan man genskaber dataene. Det er, om du overhovedet kan bevise, at de forsvandt.
Tilsynet har allerede fortalt dig hvad du skal gøre
Den 15. juni 2026 omdefinerede Den Europæiske Tilsynsførende for Databeskyttelse Shadow AI som et compliance-problem, ikke et helpdesk-problem. Data, der indtastes i ikke-godkendte værktøjer, falder i en blind plet i lovgivningen: ingen aftale om det lovlige grundlag for behandling, ingen klarhed om opbevaring, ingen sikkerhed for international overførsel, ingen gennemsigtighed om, hvorvidt det træner en model. Under GDPR er en blind plet ikke et forsvar. Det er en åben observation, der venter på en revisor.
Det, EDPS ikke anbefalede, er et forbud. Den sagde, at svaret er aktiv styring: definer hvilken AI-brug der er godkendt, klassificer de data, der aldrig må forlade virksomheden, håndhæv tekniske kontroller, og giv folk et godkendt værktøj, der er godt nok til, at de holder op med at gribe efter det ikke-godkendte. Forbud fejler, fordi det ikke ændrer incitamentet. Det flytter blot den samme adfærd et sted hen, hvor du ikke længere kan se den.
Læs videre: Din AI-agent kan nu bruge dine penge. Det svære er alt det, der sker bagefter. · En domstol har netop fastslået, at din AI's svar er dine ord. Ansvaret er nu dit.