Vi har alla varit där. Tidsbrist, press och behovet av ett snabbt första utkast till en kampanjbrief eller ett mötesprotokoll. AI-klienten (till exempel ChatGPT, Gemini eller Copilot) står redo. Du klistrar in din brief, trycker på enter – och ut kommer ett snyggt förslag. Smidigt. Men också potentiellt livsfarligt ur ett informationssäkerhetsperspektiv.
– Så undviker du att läcka affärskritisk information i jakten på effektivitet
Allt du skriver i en AI-klient kan sparas – och användas
De flesta stora AI-verktyg tränas delvis med hjälp av användardata. Det innebär att det du matar in – om du inte har inaktiverat datasparande eller har ett särskilt företagsavtal – kan sparas, analyseras och i vissa fall användas för att förbättra modellerna. Det gäller även känslig information som affärsplaner, personuppgifter, finansiella mål och icke-offentliga strategier.
I mars 2023 rapporterade BBC om en bugg i ChatGPT som tillfälligt exponerade användares konversationshistorik, vilket väckte allvarliga frågor kring sekretess och säkerhet (BBC via Wikipedia).
Vidare visar en studie från juli 2023, From ChatGPT to ThreatGPT: Impact of Generative AI in Cybersecurity and Privacy, hur AI-verktyg kan utnyttjas på sätt som äventyrar både datasäkerhet och integritet – särskilt när användare delar för mycket information utan att förstå hur den lagras och hanteras (arXiv).
Slutsatsen är enkel: även om AI är smart, är det inte per automatik säkert. Det du matar in kan i värsta fall hamna i fel händer – eller i nästa modellversion.
Briefen är inte ett oskyldigt dokument
En brief innehåller ofta mycket mer än bara praktisk information. Den avslöjar ofta:
-
Kundens affärsutmaningar och mål
-
Interna processer
-
Tidslinjer och lanseringsdatum
-
Budgetar och resursfördelning
-
Unika idéer och kreativa strategier
Om den här typen av information hamnar i orätta händer, kan det leda till allt från konkurrensfördelar för andra aktörer till PR-skandaler eller i värsta fall – juridiska följder.
Du ansvarar för dataskyddet – även när du använder AI
Enligt GDPR är du som person eller företag ansvarig för hur personuppgifter och känsliga uppgifter hanteras – oavsett om det sker via mail, internt system eller AI-klient. Om du matar in information i en AI-tjänst som sparar data, kan du faktiskt bryta mot lagstiftningen.
Datainspektionen (IMY) har ännu inte gett några tydliga direktiv kring AI-klienter, men flera myndigheter i Europa har redan börjat agera mot AI-verktyg som inte uppfyller kraven på integritet. I mars 2023 blockerade till exempel Italien tillfälligt ChatGPT med hänvisning till bristande GDPR-efterlevnad.
Så här gör du istället:
Att använda AI i arbetsflödet behöver inte vara farligt – så länge du vet vad du gör. Här är några sätt att minska risken:
-
Använd AI-klienter med företagsavtal, där datahanteringen är tydlig, säker och inte används för träning.
-
Rensa känsliga uppgifter innan du klistrar in en brief eller ett underlag.
-
Träna teamet i AI-hygien, så alla vet vad som får – och inte får – delas med en AI.
-
Använd AI lokalt, med modeller som körs på egna servrar utan extern datalagring.
AI är ett fantastiskt verktyg för effektivitet och inspiration – men det är inte en digital privat sfär. Behandla varje AI-klient som du skulle behandla ett offentligt forum: dela aldrig något du inte skulle vilja se i en läckt PowerPoint på en konkurrentkonferens.
Nästa gång du funderar på att klistra in en brief för att få hjälp med formuleringen – tänk efter en gång till. Eller ännu bättre: se till att ni har en tydlig AI-policy på plats.
