Risken du godkande ar inte risken du loper
De flesta styrelser ser fortfarande AI-risk som ett beslut de fattar: vilken modell som ska licensieras, vilken leverantor som ska litas på, vilket avtal som ska skrivas under. Den bilden ar nu fel. Den exponering som spelar storst roll ar den som ingen godkande. Verizons Data Breach Investigations Report 2026 fann att den regelbundna AI-anvandningen på foretagets enheter tredubblades på tolv månader, från 15 till 45 procent av de anstallda, och att två tredjedelar av dessa personer når verktygen via privata konton som ligger helt utanfor foretagets kontroll.
Detta ar Shadow AI: kraftfull programvara som tas i bruk snabbare an någon policy hinner med. Det ar nu den tredje vanligaste icke-skadliga insiderhandlingen som system for forhindrande av dataforlust flaggar, en fyrdubbling på ett enda år. Manniskorna som gor det ar inte slarviga. De ar produktiva anstallda som loser verkliga problem med det basta verktyget framfor sig. Det ar precis darfor ett internt utskick inte stoppar det.
Din kallkod ar det forsta som lamnar foretaget
Nar samma rapport rangordnade vad anstallda faktiskt klistrar in i offentliga AI-verktyg låg kallkod fore alla andra kategorier med bred marginal, fore bilder och strukturerad data. Det rakaste sattet att lasa det fyndet ar så har: kallkod i en offentlig modell ar immateriell egendom i någon annans traningspipeline. For ett foretag vars fordel lever i dess kod, dess prislogik eller dess kundregister ar det inte hypotetiskt. Det ar en daglig, osynlig overforing av de tillgångar du betalas for att skydda.
Skadan annonserar inte sig sjalv. Det finns ingen incidentanmalan, inget losenkrav, inget dramatiskt driftstopp. En modell blir helt enkelt lite battre på att återskapa det du trodde var ditt, och en dag returnerar en konkurrents prompt något som kanns bekant. Då ar frågan inte hur du återstaller datan. Den ar om du ens kan bevisa att den lamnade foretaget.
Tillsynsmyndigheten har redan sagt vad du ska gora
Den 15 juni 2026 ramade Europeiska datatillsynsmannen om Shadow AI som ett efterlevnadsproblem, inte ett supportarende. Data som matas in i ej godkanda verktyg hamnar i en regulatorisk blind flack: ingen overenskommelse om laglig grund for behandling, ingen klarhet om lagring, inget skydd for internationell overforing, ingen transparens om huruvida det tranar en modell. Enligt GDPR ar en blind flack inget forsvar. Det ar en oppen anmarkning som vantar på en revisor.
Det EDPS inte rekommenderade ar ett forbud. Den sa att svaret ar aktiv styrning: definiera vilken AI-anvandning som ar tillåten, klassificera den data som aldrig får lamna foretaget, genomdriv tekniska kontroller och ge folk ett godkant verktyg som ar tillrackligt bra for att de slutar gripa efter det ej godkanda. Forbud misslyckas eftersom det inte andrar drivkraften. Det flyttar bara samma beteende till någonstans dar du inte langre kan se det.
Läs vidare: Din AI-agent kan nu spendera dina pengar. Det svåra är allt som händer efteråt. · En domstol slog just fast att din AI:s svar är dina ord. Ansvaret är nu ditt.