En stille endring med store konsekvenser
- mars 2026 rullet Anthropic ut en funksjon som ved første øyekast virker hjelpsom: Claude husker nå hva du forteller den.
Ikke bare innenfor én samtale. På tvers av alle samtaler, over tid. Forteller du Claude at du jobber i et regnskapsbyrå med tolv ansatte, at sjefen heter Mona, og at dere bruker et bestemt fagsystem — så husker den det neste gang du logger inn. Du slipper å gjenta deg selv.
To detaljer gjør dette til mer enn en bekvemmelighet:
- Det er på som standard. Nye brukere får minne aktivert uten å gjøre noe.
- Det gjelder alle — også gratisbrukere. Du trenger ikke en bedriftsavtale eller en betalt plan. Hvem som helst med en e-postadresse får funksjonen.
For en privatperson er dette praktisk. For en norsk bedrift er det noe annet: starten på en skygge-database de ikke vet at de har.
Hva minnet faktisk lagrer
La oss være presise, for nyansen betyr noe.
Claude lagrer ikke hele samtaler ordrett. Den lagrer fakta og preferanser den utleder underveis: hva du jobber med, hvordan du liker svar formatert, hvilke verktøy og prosjekter du nevner, hvilke kunder og kollegaer som dukker opp i det du skriver.
Du kan se og slette dette under Innstillinger > Minne. Anthropic har bygget innsyn inn i funksjonen, og det er bra.
Men her er problemet: innsynet ligger hos den ansatte — ikke hos bedriften.
Det er den ansatte som ser minnebanken. Det er den ansatte som kan slette den. Bedriften — som faktisk eier dataene som mates inn — har verken innsyn, kontroll eller logg. Og de aller fleste ansatte har ikke åpnet den innstillingen én eneste gang.
Hvorfor dette er shadow-IT i ny innpakning
Shadow-IT er ikke noe nytt. Det er teknologi de ansatte tar i bruk uten at IT eller ledelsen vet om det — en gratis fildelingstjeneste her, en privat Dropbox der.
Claude Memory er shadow-IT med en ekstra dimensjon: det bygger seg opp av seg selv, i bakgrunnen, uten at noen aktivt laster opp en fil.
Tenk på en typisk arbeidsuke. En ansatt i et bemanningsbyrå bruker Claude på sin private konto for å:
- få hjelp til å formulere en vanskelig e-post til en kandidat — og limer inn kandidatens CV
- oppsummere et internt møtereferat
- få utkast til en tilbakemelding på en medarbeider som sliter
- omformulere en klausul fra en kundekontrakt
Ingenting av dette føles dramatisk i øyeblikket. Men over uker og måneder bygger Claude en minnebank som inneholder navn på kandidater, vurderinger av ansatte, kundenavn og kontraktsdetaljer — knyttet til en privat konto bedriften ikke administrerer, ikke ser, og ikke kan slette.
Den dagen den ansatte slutter, går vedkommende ut døren med minnebanken. Den dagen Datatilsynet spør "hvilke personopplysninger behandler dere, og hvor?", har dere ikke et fullstendig svar.
GDPR-spørsmålene du ikke kan svare på
For en norsk bedrift under GDPR reiser dette konkrete problemer:
Behandlingsgrunnlag. Når en ansatt limer inn en kandidats CV i sin private Claude-konto, behandles personopplysninger uten at bedriften har vurdert grunnlaget. Hvem er behandlingsansvarlig? Bedriften vet ikke at behandlingen skjer.
Dataminimering og lagringsbegrensning. GDPR krever at dere ikke lagrer mer enn nødvendig, og ikke lenger enn nødvendig. En minnebank som vokser i det stille, på en konto dere ikke styrer, bryter med begge prinsippene.
Den registrertes rettigheter. En kandidat har rett til innsyn i, og sletting av, opplysninger om seg selv. Hvis opplysningene ligger spredt i ansattes private AI-minner, kan dere ikke oppfylle den rettigheten — dere vet ikke engang at dataene finnes.
Internkontroll. Dere kan ikke dokumentere en behandling dere ikke vet om. Og det dere ikke kan dokumentere, kan dere ikke forsvare ved et tilsyn.
Dette er ikke teoretiske bekymringer. Det er de helt vanlige spørsmålene et tilsyn stiller — og som blir ubehagelige å stå i hvis dere ikke har strukturen på plass.
Hva du faktisk skal gjøre
Den dårlige responsen er å forby Claude. Det fungerer ikke — ansatte bruker verktøyene uansett, bare mer i skjul. Forbud flytter problemet, det løser det ikke.
Den gode responsen er struktur. Konkret:
1. Kartlegg den faktiske bruken. Hvem bruker hvilke AI-verktøy, på hvilke kontoer, til hva? De fleste ledere blir overrasket over svaret. Du kan ikke styre noe du ikke ser.
2. Skill mellom privat og jobb. Ansatte som skal bruke Claude til jobb, skal bruke en administrert bedriftskonto (Claude Team eller Enterprise) — ikke sin private gratiskonto. På bedriftsplaner styrer dere oppbevaring, tilgang og sletting sentralt.
3. Skriv en AI-policy som faktisk nevner minne. De fleste AI-policyer sier "ikke lim inn sensitive data". Det er ikke nok lenger. Policyen må forklare hva persistent minne er, hvorfor en privat konto er et problem, og hva ansatte skal bruke i stedet.
4. Lær opp, ikke bare instruer. En ansatt som forstår hvorfor kandidatdata ikke skal i en privat Claude-konto, tar bedre valg enn en som bare har fått en regel. Et kort kurs gjør mer enn et langt regelverk.
Dette er ikke et IT-prosjekt. Det er et governance-tiltak — og det er nettopp det IT Buddy hjelper med.
Poenget som gjentar seg
Claude Memory er ikke et problem fordi funksjonen er dårlig. Den er faktisk godt laget. Problemet er at en kraftig funksjon ble slått på som standard, for alle, mens de fleste bedrifter ikke har en struktur som fanger den opp.
Det er mønsteret vi ser igjen og igjen: teknologien går foran, og strukturen henger etter. Hver ny AI-funksjon som rulles ut, lander i en bedrift som enten har orden på data, tilgang og retningslinjer — eller ikke har det.
De som har det, tar funksjonen i bruk trygt og raskt. De som ikke har det, oppdager risikoen først når den har vokst seg stor.
AI starter ikke med teknologi. Den starter med struktur.
Ta kontakt for en gratis AI Ready-kartlegging →
Les også: Claude Cowork: Når AI-agenten flytter inn på skrivebordet