En medarbejder installerede en AI-browserudvidelse. Den bad om adgang til filer. Han klikkede godkend. Udvidelsen fik adgang til hele det delte drev. Ingen i IT vidste det. Ingen godkendte det. Og jeres organisation hæfter for det alligevel.
Ansvaret gælder også det, I ikke kan se
EU’s AI-lovgivning har siden februar 2025 gjort organisationer ansvarlige for medarbejdernes brug af AI. Også den brug, ingen kender til.
Det kaldes skygge-AI. Værktøjerne medarbejderne tager i brug på egen hånd. Den gratis konto hos en stor AI-udbyder. Et oversættelsesværktøj. En AI-assistent i browseren, der lige skal bruge adgang til jeres filer for at kunne hjælpe.
Problemet er ikke kun, hvad medarbejderne taster ind. Problemet er, at I ikke kan se det.
To veje ind, begge usynlige
De fleste AI-værktøjer kobler sig på jeres data på to måder. Enten via en godkendelsestoken, hvor medarbejderen logger ind med sin arbejdskonto og giver adgang i samme bevægelse. Eller via en browserudvidelse, der kører lokalt.
Ingen af delene berører jeres firmanetværk. Netværksovervågningen ser dem ikke. Antivirusprogrammet ser dem ikke. Adgangen ligger og virker, indtil nogen aktivt fjerner den. Også efter medarbejderen er holdt op.
69 procent har mistanke. 33 procent taster følsomt ind.
Et stort analysehus spurgte 302 cybersikkerhedsledere i foråret 2025. 69 procent havde mistanke om eller bevis for, at medarbejdere bruger AI-værktøjer, virksomheden ikke har godkendt. En anden måling fra samme hus viser, at 57 procent bruger personlige AI-konti til arbejdsopgaver. En tredjedel indtaster følsomme oplysninger i værktøjer, der ikke er vurderet eller godkendt.
Forventningen er, at mere end 40 procent af virksomheder rammes af en sikkerheds- eller compliancehændelse knyttet til skygge-AI inden 2030.
Og I kan ikke risikovurdere et værktøj, I ikke ved bliver brugt. Ansvaret forsvinder ikke, fordi I ikke kan se det.
Skygge-AI er et ledelsesproblem, ikke et medarbejderproblem
Skygge-AI opstår ikke, fordi medarbejderne er ligeglade. Det opstår, fordi værktøjerne er gode, og fordi der ikke findes en nem, godkendt vej til at bruge dem. Den vej er jeres ansvar at bygge.
Tre ting der lukker hullet
Gennemgå jeres tredjepartsapps. Åbn administrationspanelet i jeres kontorplatform og sortér de tilkoblede apps efter rettighedsomfang. Fjern alt, ingen kan forklare formålet med. Hver app med bred adgang, som ingen genkender, er en dør I ikke vidste stod åben.
Skriv en AI-politik på én side. En liste over godkendte værktøjer. En kort liste over, hvad der aldrig må indtastes. Og et krav om verificeret fravalg af modeltræning hos leverandøren. Én side er nok. Ti sider bliver ikke læst.
Byg en hurtig godkendelsesvej. Når det tager fem minutter at få et nyt AI-værktøj godkendt, holder medarbejderne op med at bygge løsninger uden om jer. Når det tager tre uger, fortsætter de.
En uafhængig cybersikkerhedsaudit kan give jer et uvildigt overblik over, hvad der faktisk har adgang til jeres data. Ikke hvad I tror. Hvad der reelt er tilkoblet.
Hvor mange tredjepartsapps har lige nu adgang til jeres kontorplatform, og hvornår godkendte nogen den seneste?
Har du brug for en gennemgang af jeres tredjepartsadgang og AI-eksponering?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
