Man sitter vid en laptop och arbetar på kontoret

GDPR och AI: den största risken är ofta inte den du tror

AI har på kort tid blivit en naturlig del av arbetsdagen för många företag. Konsulter använder den för att sammanfatta möten, projektledare låter den strukturera kravspecifikationer och ekonomiansvariga använder den för att analysera rapporter och budgetar. Det är lätt att förstå varför. Verktygen sparar tid, minskar mängden manuellt arbete och kan hjälpa till att lösa uppgifter som tidigare tog timmar.

Samtidigt har utvecklingen gått så snabbt att många verksamheter inte riktigt hunnit fundera över vilken information som faktiskt skickas till dessa system. Diskussionen brukar snabbt hamna på GDPR, vilket är naturligt. Får man verkligen skicka personuppgifter till AI? Vad händer med informationen efteråt? Vem ansvarar om något går fel?

Det är viktiga frågor, men de riskerar också att göra att man missar den större bilden. För många företag är de mest värdefulla tillgångarna inte personuppgifter utan den kunskap som byggts upp under år av arbete. Kundrelationer, affärsstrategier, kalkyler, projektplaner, interna processer och erfarenheter är ofta betydligt mer värdefulla än de datorer informationen lagras på. När AI blir en del av arbetsflödet handlar dataskydd därför om mycket mer än att följa GDPR.

GDPR är bara början

Många företag utgår från att de är på säker mark så länge de inte skickar personnummer, adresser eller andra känsliga personuppgifter till en AI-tjänst. Problemet är att värdefull information sällan begränsas till sådana uppgifter.

Föreställ dig en konsult som laddar upp ett omfattande kundunderlag för att få hjälp att sammanfatta innehållet inför ett möte. Dokumentet kanske inte innehåller några personuppgifter alls, men däremot kundens planer för expansion, nya produkter och strategiska prioriteringar för de kommande åren. Eller tänk på en byrå som använder AI för att förbättra sina offerter. Offerten innehåller kanske inga namn, men avslöjar företagets prissättning, marginaler och sätt att arbeta.

I båda fallen kan informationen vara betydligt mer känslig än många personuppgifter. Om den hamnar i fel sammanhang eller behandlas på ett sätt som företaget inte har kontroll över kan konsekvenserna bli långt större än en enskild GDPR-överträdelse.

Det som ser anonymt ut är sällan helt anonymt

En annan vanlig missuppfattning är att information blir ofarlig så fort namn tas bort. Verkligheten är betydligt mer komplicerad. Ett dokument behöver inte innehålla ett enda personnamn för att någon ska kunna förstå vem eller vad det handlar om.

Ett projekt som beskrivs som en större modernisering av ett logistiksystem i södra Sverige kan vara tillräckligt specifikt för att identifiera kunden. En projektrapport med vissa datum, budgetnivåer och geografiska detaljer kan avslöja mer än man först tror. Samma sak gäller interna rapporter, kundpresentationer och analyser.

När människor och system får tillgång till flera informationsbitar samtidigt blir det ofta möjligt att pussla ihop helheten. Därför räcker det inte alltid att anonymisera information genom att ta bort några namn. Man behöver också fundera över vilken kontext som följer med datan.

Den största risken sitter ofta framför skärmen

När företag diskuterar datasäkerhet läggs mycket energi på teknik. Man pratar om servrar, kryptering, brandväggar och åtkomstkontroller. Allt det är viktigt, men de flesta problem börjar någon annanstans.

De börjar ofta med en medarbetare som försöker arbeta effektivare.

En konsult har bråttom inför ett kundmöte och klistrar in ett dokument i ett AI-verktyg för att få en snabb sammanfattning. En projektledare vill formulera ett tydligare svar till kunden och laddar upp en hel mejltråd. En ekonomiansvarig vill få hjälp att förstå en avvikelse i budgeten och matar in interna siffror i en extern tjänst.

Ingen av dessa personer försöker bryta mot några regler. Tvärtom försöker de göra sitt jobb bättre. Men när tydliga riktlinjer saknas börjar information gradvis spridas till verktyg som verksamheten kanske aldrig har granskat eller godkänt.

Det här är en av anledningarna till att begreppet Shadow AI blivit allt vanligare. Precis som Shadow IT beskriver det situationer där medarbetare använder teknik utanför organisationens kontroll. Skillnaden är att AI ofta hanterar stora mängder information på ett sätt som få användare egentligen förstår.

AI behöver inte innebära att data lämnar Europa

Många företag utgår fortfarande från att avancerad AI innebär att all information måste skickas till stora amerikanska molntjänster. Det var länge en rimlig slutsats, men utvecklingen har gått snabbt.

Idag finns det ett växande antal språkmodeller som kan köras på egna servrar eller hos europeiska leverantörer. För många företag är dessa modeller mer än tillräckliga för att sammanfatta dokument, analysera rapporter, hjälpa till med administration och automatisera interna arbetsflöden. Även om de inte alltid når samma nivå som de allra största modellerna erbjuder de något som många verksamheter värdesätter högt: kontroll.

När data kan stanna inom den egna infrastrukturen eller inom EU förändras förutsättningarna. Företag får bättre insyn i hur information hanteras och kan enklare uppfylla både interna säkerhetskrav och externa regelverk. För konsultbolag, redovisningsbyråer, jurister och andra verksamheter som bygger sitt värde på förtroende blir detta allt viktigare.

Frågan handlar egentligen om förtroende

När kunder anlitar ett företag lämnar de ofta över betydligt mer än bara ett uppdrag. De delar planer, utmaningar, ekonomisk information och ibland sådant som inte ens konkurrenter känner till. Det förtroendet är svårt att bygga upp och enkelt att förlora.

Därför behöver företag börja se AI som en del av sin informationshantering snarare än som ett fristående produktivitetsverktyg. Samma frågor som ställs när man väljer ekonomisystem, CRM eller molnleverantör behöver också ställas när man väljer AI-lösningar. Var behandlas informationen? Hur lagras den? Vem har tillgång till den? Och vilka garantier finns för att den inte används på sätt som företaget inte känner till?

De företag som lyckas bäst med AI kommer sannolikt inte vara de som använder flest verktyg. De kommer vara de som har tydligast förståelse för vilken information som delas, varför den delas och vilka risker som följer med besluten.

Hur Kiri ser på AI och dataskydd

På Kiri ser vi AI som ett sätt att minska administration och hjälpa företag att fokusera på det arbete som faktiskt skapar värde. Men AI kan bara vara användbar om den också är något företag känner förtroende för.

Därför är frågor som dataskydd, informationssäkerhet och kontroll över kunddata en naturlig del av hur vi utvecklar plattformen. För oss handlar framtidens AI inte bara om att automatisera fler uppgifter eller ge snabbare svar. Den måste också ge företag möjlighet att behålla kontrollen över sin information och förstå hur den används.

Under de kommande åren kommer AI sannolikt bli lika självklar i företagens vardag som e-post, ekonomisystem och projekthantering är idag. När den utvecklingen fortsätter kommer frågan om dataskydd inte längre vara ett juridiskt sidospår. Den kommer vara en central del av hur moderna företag bygger förtroende, skyddar sina tillgångar och arbetar långsiktigt med sina kunder.

Redo att lägga mindre tid på administration?

Håll ihop kunder, projekt, tidrapportering och fakturor utan att hoppa mellan flera system.

  • Praktiska guider för effektiv administration, fakturering, projekt och arbetsflöden.
  • Lär dig använda AI för att spara tid, automatisera arbete och utveckla ditt företag.
  • Guider, råd och kunskap för dig som driver eller vill starta företag.
  • Tips, strategier och verktyg för konsulter, frilansare och tjänsteföretag.
  • Senaste uppdateringarna, funktionerna och nyheterna från Kiri.