← Tilbake til blogg
AI Governance 7 min lesetid

Dere har allerede verktøyene mot skygge-AI. Dere bruker dem bare ikke ennå

Uros Vujic 7. juli 2026

Fra "vi vet det skjer" til "vi ser det"

I mai skrev vi om hvordan Claude Memory stille bygger en privat minnebank av jobbinformasjon hos ansatte som bruker private AI-kontoer. Reaksjonen fra flere av dere var den samme: "Vi antar at dette skjer hos oss også. Men vi vet ikke i hvilket omfang."

Det er et ærlig og vanlig utgangspunkt. Det er også et utgangspunkt dere ikke trenger å bli værende i.

Det som overrasker flest ledere vi snakker med, er ikke at ansatte bruker AI-verktøy utenfor bedriftens kontroll. Det er at svaret på "hvor mye, og hvor risikabelt" faktisk ligger tilgjengelig — i verktøy de fleste norske SMB-er med Microsoft 365 allerede betaler for, men aldri har slått på.

Dette innlegget handler om hvordan dere går fra å anta til å vite.


"Ingen limer vel inn sensitiv data i ChatGPT... eller?"

Spør du en leder om ansatte limer inn kundedata, kontraktsklausuler eller personopplysninger i private AI-kontoer, er det typiske svaret en variant av: "Det tror jeg ikke vi har noe problem med hos oss."

Det er sjelden et ærlig "nei". Det er et "vi har ikke sjekket".

Skygge-AI følger det samme mønsteret som all annen skygge-IT: det starter ikke som et bevisst brudd på retningslinjer. Det starter som en ansatt som løser et problem raskt — formulerer en vanskelig e-post, oppsummerer et møtereferat, ber om hjelp til en kandidatvurdering — med det verktøyet som er raskest tilgjengelig i øyeblikket. Som regel en privat, gratis AI-konto.

Poenget som ofte glemmes: de ansatte er ikke problemet. De løser oppgaven sin med de verktøyene de har for hånden. Problemet er at ingen i bedriften har synlighet i hva som faktisk brukes, av hvem, og med hvilken data. Og synlighet er ikke noe dere skaffer ved å spørre. Det er noe dere skaffer ved å måle.


Slik kan det se ut hos dere

Et typisk bilde når en bedrift for første gang slår på verktøy for AI-oppdagelse (mer om hvilke lenger ned): et titalls til flere dusin ulike AI-apper i bruk på tvers av organisasjonen — de fleste ingen i IT eller ledelsen visste om.

Noen er ufarlige. Men det er nesten alltid én app som skiller seg kraftig ut: store datamengder lastet opp, hundrevis av transaksjoner, dusinvis av brukere, spredt over et stort antall enheter og nettverk — én enkelt, usanksjonert, forbrukerrettet AI-tjeneste som står for uforholdsmessig mye av trafikken og risikoen.

Det er ikke et unormalt utfall. Det er det vanlige utfallet. Forskjellen mellom bedriftene vi snakker med, er ikke om dette finnes hos dem. Det er om de har sett det ennå.


Samme handling, ulikt risikoutfall

Her er kjernen i problemet, og hvorfor det ikke handler om å forby AI: en ansatt som bruker Microsoft 365 Copilot og en ansatt som bruker en privat, gratis AI-tjeneste, gjør tilsynelatende akkurat det samme. De skriver et spørsmål, limer inn litt kontekst, får et svar.

Risikoutfallet er derimot ikke i nærheten av det samme.

Microsoft 365 Copilot (bedriftsplan) Usanksjonert AI (privat/gratis)
Databruk Svarer basert på deres egne leietakerdata Prompten kan bli lagret eller brukt til å trene modellen videre
Modelltrening Ingen trening på deres data Ingen garanti — avhenger av leverandørens forbrukervilkår
Sensitivitet Arver eksisterende sensitivitetsmerker og DLP-policyer Ingen kjennskap til hvilken informasjon som er sensitiv
Tilgangsstyring Respekterer Conditional Access og identitetskontroller Tilgjengelig fra hvilken som helst nettleser, uansett enhet
Sporbarhet Revisjonsspor i Purview Ingen innsyn i hvem som brukte hva, når eller hvorfor
Avtalevilkår Kommersiell databeskyttelse i kontrakten Forbrukervilkår gjelder — ingen databehandleravtale

Samme handling. Helt ulikt risikoutfall. Det er derfor "forby AI" er feil strategi, og "styr AI-bruken" er riktig strategi.


Verktøyene ligger allerede i Microsoft 365

Det de fleste ikke vet: hvis dere har Microsoft 365, eier dere sannsynligvis allerede det meste av det som skal til for å løse dette. Det krever ikke ny teknologi. Det krever at noen slår det på og setter det i system.

Tenk på det som tre spørsmål, i rekkefølge:

Discover — hva skjer, egentlig? Microsoft Defender for Cloud Apps kan vise hvilke AI-tjenester som faktisk er i bruk i nettverket deres — sanksjonerte og usanksjonerte, med volum, brukerantall og risikovurdering per tjeneste. Dette er skrittet de færreste har tatt, og det er skrittet som gjør resten av listen mulig.

Protect — hvor er den sensitive dataen, og hvor kan den lekke? Microsoft Purview kartlegger hvor sensitiv informasjon faktisk ligger, og kan håndheve regler for hva som får limes inn i, eller lastes opp til, AI-verktøy — sanksjonerte som usanksjonerte.

Govern — er bruken i tråd med reglene deres? Microsoft Entra styrer identitet og tilgang, Intune styrer enhetene. Sammen bestemmer de hvem som får gjøre hva, fra hvilken enhet, under hvilke betingelser.

Dette er ikke tre separate prosjekter. Det er tre spørsmål bygget på hverandre — og de fleste bedrifter vi møter har lisensene, men har aldri koblet dem sammen til ett bilde.


Fire spørsmål som avslører risikoen deres

Før dere setter i gang noe teknisk, still disse fire spørsmålene. De færreste bedrifter kan svare på alle fire i dag:

  1. Hvor finnes den sensitive dataen deres? Kundeopplysninger, kontrakter, personaldata, kandidatvurderinger — hvor ligger det, og vet dere det?
  2. Hvem har tilgang til den? Ikke bare hvem som "burde" ha tilgang — hvem som faktisk har det, inkludert tilganger som har blitt liggende igjen fra roller folk ikke lenger har.
  3. Hvordan kan den eksponeres for AI? Via kopier-lim-inn i en privat chatbot. Via en fil delt med en usanksjonert app. Via en integrasjon ingen husker ble satt opp.
  4. Hvor er risikoen konsentrert? Den er sjelden jevnt fordelt. Som regel er det én avdeling, én rolle eller én type data som står for mesteparten av eksponeringen.

Svarene gir dere noe de fleste AI-diskusjoner mangler: et faktisk beslutningsgrunnlag, i stedet for en magefølelse.


Dette kan dere starte med på mandag

Det gode med denne prosessen er at den ikke krever et stort prosjekt for å komme i gang. Den krever fire uker med riktig rekkefølge:

Uke 1 — Skaff synlighet. Aktiver AI-app-oppdagelse. Ikke gjør noe med tallene ennå. Bare se dem.

Uke 2 — Vurder risikoen. Gå gjennom hvilke apper som faktisk brukes, og ranger dem etter risiko: hvor mye data, hvor mange brukere, hvilken type informasjon.

Uke 3 — Sett kontroller. Sanksjoner de trygge alternativene. Blokker eller begrens de tydelig risikofylte. Dette er også der dere setter opp RBAC — rollebasert tilgangsstyring — slik at tilgangen faktisk matcher hva folk skal ha, ikke hva de har samlet seg opp over tid.

Uke 4 — Aktiver databeskyttelse. Slå på policyer som hindrer sensitiv informasjon i å nå usanksjonerte AI-verktøy i utgangspunktet, ikke bare i etterkant.

Legg merke til rekkefølgen: synlighet før kontroll, kontroll før automatisering. De færreste bedrifter mislykkes med skygge-AI fordi verktøyene mangler. De mislykkes fordi de hopper til uke 3 uten å ha gjort uke 1.

Dette er også nøyaktig det en DPIA-light og en AI Ready-kartlegging skal fange opp før dere skalerer AI-bruk videre — ikke som en formalitet, men som grunnlaget dere bygger resten på.


Poenget som gjentar seg

Skygge-AI er ikke et teknologiproblem. Det er et strukturproblem som tilfeldigvis viser seg gjennom teknologi. Verktøyene for å se og styre det finnes som regel allerede i lisensene dere betaler for hver måned. Det som mangler, er ikke funksjonalitet — det er noen som slår den på, i riktig rekkefølge.

De bedriftene som kommer lengst med AI de neste årene, er ikke nødvendigvis de som kjøper mest teknologi. Det er de som har synlighet, kontroll og struktur på det de allerede har.

AI starter ikke med teknologi. Den starter med struktur.

Ta kontakt for en gratis AI Ready-kartlegging →


Les også: Claude husker nå alle ansatte — vet du hva?

UV

Uros Vujic

Daglig leder, IT Buddy AS

Uros hjelper norske SMB-er med å innføre AI på en kontrollert og bærekraftig måte. Bakgrunn fra IT-infrastruktur i bank og finans, med spesialisering i AI governance, RBAC og GDPR-compliant implementering.

Klar for neste steg?

Ta vår AI Ready-kartlegging og finn ut hvor din bedrift står.

Ta AI Ready-kartlegging