Shadow AI er allerede inne i bedriften din

Controlleren limte inn lønnsdata fra forrige måned i ChatGPT for å lage en oversikt til styremøtet.

Selgerne bruker Gemini i privatkontoen til å pusse på tilbud før de sendes ut.

Lederen for kundeservice har latt en GPT lese gjennom hele klagearkivet for å finne mønstre.

Ingen av dem spurte deg først.

Det er det folk mener med shadow AI: ansatte som bruker AI-verktøy på egen hånd, uten at IT eller ledelsen vet om det, ofte med data som egentlig ikke skulle ut av huset.

Tallene varierer, men i de fleste SMB-er jeg snakker med er det utbredt. De som tror det ikke skjer hos dem, har som regel ikke spurt.

Det interessante er hvorfor det skjer.

Det er ikke fordi ansatte er uforsiktige. Det er fordi jobben krever det, og de offisielle verktøyene er enten ikke der, ikke skrudd på, eller for tunge å ta i bruk. Så de finner sin egen vei.

Det er menneskelig — og det er også ganske avslørende om hvor lite friksjon dagens AI-verktøy har sammenlignet med IT-prosjekter de siste tjue årene.

Som daglig leder i en bedrift med 30 ansatte har du i praksis to dårlige valg og ett godt.

Det første dårlige valget er å late som det ikke skjer. Da fortsetter dataene å sive ut, og du er den siste som finner det ut — sannsynligvis dagen revisor stiller spørsmål.

Og det er ikke bare et datasikkerhetsspørsmål. Når en ansatt limer inn kundedata eller personopplysninger i ChatGPT på en privatkonto, har bedriften — som behandlingsansvarlig — sannsynligvis brutt GDPR. Ingen databehandleravtale med leverandøren, intet dokumentert behandlingsgrunnlag, ofte til en leverandør i USA på toppen.

Datatilsynet har vært tydelige på dette. Det er ikke den ansatte som får boten — det er bedriften.

Det andre dårlige valget er å forby det. Det fungerer ikke. Folk bruker mobilen sin på vei hjem fra jobb. Du har bare flyttet problemet ut av syne — og samtidig sagt nei til den produktivitetsforskjellen som AI faktisk gir på enkle, kjedelige oppgaver.

Det tredje valget er å styre det. Det høres tørt ut, men det er overraskende enkelt for en SMB:

• ▸Bruk det du allerede betaler for. Hvis bedriften har Microsoft 365, har du sannsynligvis Copilot tilgjengelig. Da blir dataene innenfor din egen tenant, ikke ute hos en privatkonto. Det samme gjelder Google Workspace med Gemini. Ikke alltid det beste verktøyet for alle oppgaver, men det tryggeste utgangspunktet.
• ▸Skriv en enkel policy. Ikke et tjuesiders dokument. En side som sier hva som er greit (utkast, oppsummeringer, oversettelse), hva som ikke er greit (kundedata, lønnsdata, anbud, ting som er klausulert), og hvilke verktøy som er anbefalt. Den policyen er mer verdt enn null, og den koster deg en ettermiddag.
• ▸Utnevn én person som eier det. I en bedrift med 30 ansatte trenger ikke det være en IT-sjef — det kan være deg selv, eller den som allerede leker mest med disse verktøyene. Hovedpoenget er at noen er ansvarlig for å oppdatere policyen og svare på spørsmål.

Spørsmålet du må stille deg selv er ikke "skal vi slippe AI inn i bedriften".

Det skipet har gått.

Spørsmålet er om du vil vite hva som skjer i din egen bedrift, eller om du vil overlate det til ansatte å finne det ut på egen hånd — med den datasikkerheten det innebærer.

Start med Copilot eller Gemini hvis du allerede har det. Skriv en enkel policy. Pek ut én person.

Det meste av risikoen er borte etter en uke.