20 89 99 66

Shadow AI i virksomheden: når medarbejdere går udenom IT

Christoffer OhlsenChristoffer Ohlsen·
Shadow AI er allerede flyttet ind på kontoret. Medarbejdere bruger ChatGPT og andre AI værktøjer til at skrive svar, opsummere dokumenter og løse opgaver hurtigere, ofte uden at IT eller ledelsen ved det.

Her får du overblik over de største risici ved AI udenom IT, fra persondata og manglende logning til tab af kontrol. Du får også en praktisk retning for, hvordan du opdager brugen og laver en enkel AI politik, der faktisk virker i hverdagen.
Shadow AI på kontoret med medarbejder og leder i dialog om sikker brug af AI

Hvad er Shadow AI, og hvorfor vokser det nu

Der er en ny slags skygge i mange danske virksomheder lige nu. Den hedder Shadow AI, og den gemmer sig ikke i mørke serverrum eller hos ondsindede hackere. Den sidder ved skrivebordet. Den er medarbejderen, der åbner en fane i browseren, kopierer en kundemail ind i ChatGPT og får hjælp til et svar på 30 sekunder.

Det er ikke ondsindet. Det er ikke dumt. Det er faktisk ret forståeligt, når man tænker på, at AI i dag er frit tilgængeligt, hurtigt og ufatteligt brugbart til en lang række hverdagsopgaver. Og det er præcis dér, problemet begynder. For virksomheden ved ikke, at det sker. IT-afdelingen har ikke godkendt det. Og juridisk kan det have konsekvenser, ingen har overvejet.

Shadow AI er ikke et nyt fænomen som sådan. Det er en forlængelse af det, vi kalder shadow IT, altså brugen af teknologi og software, som ikke er godkendt eller registreret af virksomheden. Men der er noget afgørende anderledes ved AI: hvad der ryger ind i en AI model, kan i visse tilfælde ryge videre. Og det er sjældent noget, den pågældende medarbejder er klar over.

Når en medarbejder løser en opgave uden godkendt værktøj

ForeStil dig en sagsbehandler i en mellemstor virksomhed. Hun har tre klager i indbakken, et møde om en time og en chef, der vil have rapporterne klar inden middag. Hun ved, at ChatGPT kan hjælpe hende med at formulere svarene hurtigt og professionelt. Virksomheden har ingen godkendt AI. Virksomheden har heller ikke sagt, at hun ikke må. Så hun gør det.

Det er det klassiske eksempel på, hvad Shadow AI er i virksomheden. Det opstår ikke, fordi medarbejdere er ligeglade med reglerne. Det opstår, fordi der ikke er nogen regler, fordi de tilgængelige systemer er langsommere end alternativerne, og fordi AI virker. Det er en løsning på et ægte problem, og det er præcis det, der gør Shadow AI svær at bekæmpe med et simpelt forbud.

I 2026 er det ikke et nicefænomen for tech-nørder. Det er mainstream. Medarbejdere på tværs af salg, administration, HR, økonomi og drift bruger AI til at løse daglige opgaver. De kopierer tekst, indsætter data, beder om sammenfatninger og genererer udkast. Det sker i alle brancher. Og det sker meget mere, end de fleste ledere er klar over.

Hvorfor forbud alene skubber brugen under radaren

Det mest intuitive svar på Shadow AI er at indføre et forbud. Men det er også det svar, der virker dårligst. Ikke fordi regler er forkerte, men fordi et forbud uden alternativer ikke fjerner behovet. Det fjerner kun synligheden.

Når en medarbejder ikke må bruge ChatGPT men stadig har den samme opgave og den samme tidspressede hverdag, skifter han eller hun ikke adfærd. De skifter fane og passer på ikke at nævne det til nogen. Det er den direkte vej til at skabe et endnu mere uigennemsigtigt miljø, hvor uautoriseret AI bruges i det stille, og virksomheden aldrig opdager det.

Det er her, mange danske virksomheder befinder sig i dag. Markedssituationen er klar: de fleste har leget med AI, mange er frustrerede over, at det ikke har sat sig spor i bundlinjen, og alt for få har lagt en reel strategi for, hvad medarbejdere må og ikke må. Den manglende ramme er ikke en naturlov. Det er en ledelsesopgave der endnu ikke er løst.

De største risici ved Shadow AI i virksomheder

Det er fristende at tænke på Shadow AI som et abstrakt complianceproblem. Noget IT og jura bekymrer sig om, mens resten af virksomheden kører videre. Men risiciene er mere konkrete og mere hverdagsagtige end som så. De gemmer sig i det, medarbejderne kopierer ind, og i det de aldrig ser komme ud.

Når man taler om AI risici i virksomheder, handler det ikke kun om store dataangreb eller dramatiske brud. Det handler oftest om de små beslutninger, taget i god tro, der over tid akkumulerer til et alvorligt problem. Et problemfelt, som virksomheden hverken kan logge, undersøge eller lære af, fordi det slet ikke er registreret.

Persondata, kontrakter og priser i forkerte felter

Lad os tale helt konkret. En sælger kopierer et tilbud med kundens navn, adresse og prisstruktur ind i et gratis AI-værktøj for at få hjælp til formuleringen. En HR-medarbejder indsætter en ansøgers CV for at få et sammendrag. En økonomimedarbejder uploader et kontraktudkast for at forstå vilkårene hurtigere.

Disse situationer sker i dag. Og de udgør alle potentielle brud på GDPR, fortrolighedsaftaler og intern datapolitik. Persondata i AI, særligt i gratis forbrugerversioner, er ikke nødvendigvis beskyttet på samme niveau som virksomhedens egne systemer. Data kan bruges til modeltræning, blive lagret på servere uden for EU, eller befinde sig i et juridisk gråzoneområde, som virksomhedens DPO aldrig har forholdt sig til.
Type af data Risiko ved brug i uautoriseret AI
Kundeoplysninger og e-mails GDPR-brud, tab af kundetillid
Kontrakter og aftaler Brud på fortrolighed, juridisk ansvar
Interne priser og tilbud Konkurrenceeksponering, forhandlingssvaghed
Medarbejder- og ansøgerdata HR-compliance brud, persondatalovgivning
Interne strategidokumenter Lækage af forretningskritisk viden

Manglende logning gør fejl svære at opdage

En af de mere oversete konsekvenser ved Shadow AI er ikke, hvad der går galt, men at virksomheden aldrig opdager, hvad der er gået galt. I godkendte systemer er der logning, sporbarhed og ansvarsfordeling. I uautoriseret AI er der ingen af delene.

Hvis en medarbejder genererer forkert information via et AI-værktøj og bruger den i et kundedokument, er der ingen spor. Ingen kan gå tilbage og se, hvad der skete. Ingen kan finde ud af, om det var et engangstilfælde eller et mønster. Det er som at køre bil uden speedometer og hverken vide, om du overskred grænsen eller ej.

AI compliance i Danmark og EU kræver i stigende grad sporbarhed og dokumentation. Både den kommende AI-forordning og eksisterende GDPR-forpligtelser lægger op til, at virksomheder kan redegøre for, hvordan AI bruges, og hvilke data der indgår. Det kan man ikke, hvis brugen sker i det skjulte.

Medarbejdere tror de sparer tid, men mister kontrol

Der er en vigtig pointe her, som ikke handler om jura men om arbejdskultur. Medarbejdere der bruger AI uden struktur oplever ofte en umiddelbar gevinst. Opgaven gik hurtigere. Svaret lød bedre. Rapporten tog halvdelen af tiden. Det føles som en succes.

Men over tid sker der noget andet. Medarbejderen begynder at stole blindt på output, uden at forstå hvordan resultatet opstod. Fejl sneaker ind, fordi ingen verificerer. Arbejdsgange opsplitter sig, så kun den ene medarbejder ved, hvad der foregår. Viden bliver individuel frem for organisatorisk. Og den personlige effektivitet skabt i det skjulte, kan ikke deles, skaleres eller forbedres af virksomheden som helhed.

Sådan opdager du Shadow AI uden at skabe frygt

Det første instinkt for mange ledere, når de hører om Shadow AI, er at reagere med kontrol. Men den reaktion kan let få den modsatte effekt. Hvis medarbejdere føler, at de bliver overvåget og mistænkt, lukker de sig i stedet for at åbne op. Og så bliver problemet sværere at løse, ikke lettere.

Den rigtige tilgang starter med nysgerrighed frem for kontrol. Formålet er ikke at finde ud af, hvem der bryder reglerne. Formålet er at kortlægge, hvor AI allerede bruges, forstå hvorfor og skabe et grundlag for at hjælpe medarbejderne på en sikrere vej. Det kræver en anden slags samtale end den, de fleste ledelseslag er vant til at føre om IT-sikkerhed.

Kig efter kopierede arbejdsgange og mærkelige dataveje

Et af de første steder, du kan begynde, er at kigge på, om der er opgaver i virksomheden, der ikke passer ind i de systemer, I har. Mærkelige "mellemlæg" i arbejdsgange, fx at en medarbejder uploader en fil et sted, laver noget et andet sted og bagefter kopierer resultatet tilbage, er ofte et tegn på, at der er en uofficiel løsning i spil.

Andre signaler kan være:
  • Opgaver der pludseligt går markant hurtigere uden forklaring
  • Dokumenter med et sprogtone eller stil, der ikke matcher medarbejderens normale skrivestil
  • Ensartede formuleringer på tværs af dokumenter, der burde variere
  • Medarbejdere der beder om adgang til eller kopierer data, de normalt ikke arbejder med
  • Gratis konti og browserudvidelser, som IT ikke har registreret
Ingen af disse signaler er i sig selv en dom. De er pejlemærker. De fortæller dig, at der er et mønster, der er værd at forstå nærmere.

Tal med de teams der allerede bruger AI hver dag

Den bedste kilde til at forstå omfanget af intern brug af AI er medarbejderne selv. Ikke i form af anonyme undersøgelser eller tekniske logfiler, men i form af ærlige samtaler. Stil spørgsmålet direkte og uden fordømmelse: "Bruger I AI-værktøjer til at løse opgaver i dag?"

Du vil overraske dig selv. Svarene er oftest åbne, fordi medarbejderne faktisk gerne vil fortælle om det, de har fundet ud af virker. De er stolte af de løsninger, de har fundet. Og det er præcis den energi, du skal bygge videre på frem for at slukke den.

Teams inden for salg, kundeservice og administration er typisk de første adoptanter. De har de mest repetitive sproglige opgaver, og de er mest motiverede til at finde genveje. Tal med dem tidligt. De vil vise dig, hvad der allerede foregår, og de vil typisk være de bedste ambassadører for en struktureret løsning, hvis de involveres fra start.

Hvad en brugbar ramme for AI skal indeholde

Når man taler om AI governance, kunstig intelligens regler og AI politik i virksomheder, kan det hurtigt lyde som noget, der hører hjemme i et advokatkontor eller et ISO-certifikationsmøde. Men i praksis handler det om noget meget mere hverdagsagtigt: at give medarbejdere et klart svar på spørgsmålet "hvad må jeg egentlig?"

En god ramme for AI-brug i virksomheden behøver ikke være 40 sider lang. Den skal være forståelig, tilgængelig og faktisk brugbar for den medarbejder, der sidder med en konkret opgave kl. 10 om morgenen. Kompleksitet er ikke kvalitet. Klarhed er.

Godkendte værktøjer, forbudte data og klare ansvar

Kernen i en AI-politik er tre enkle afklaringer. Hvilke AI-værktøjer er godkendt, og på hvilke vilkår? Hvilke typer data må aldrig ryge ind i et AI-system, uanset hvad? Og hvem har ansvar for at opdatere og håndhæve rammerne løbende?

De godkendte AI-værktøjer bør vælges med udgangspunkt i datasikkerhed. Det betyder typisk erhvervsversioner frem for forbrugerversioner, aftaler om databehandling og systemer, der kører inden for EU eller på infrastruktur, virksomheden kontrollerer. Det handler om at give medarbejderne et reelt alternativ, ikke bare et stykke papir med et forbud.

De forbudte datatyper bør beskrives i konkrete eksempler frem for abstrakte kategorier. "Ingen persondata" er sværere at huske end "CPR-numre, kundenavne og kontraktindhold må aldrig kopieres direkte ind i et AI-system." Jo mere konkret, jo mere brugbar er politikken i praksis.

Enkle regler medarbejdere faktisk kan huske

Der er en direkte sammenhæng mellem kompleksitet og manglende overholdelse. Hvis en AI-politik kræver, at medarbejderne husker ti punkter med underpunkter og krydshenvisninger, er sandsynligheden for, at de rent faktisk husker dem, meget lav. Ikke fordi de er dovne, men fordi ingen har kapacitet til det i en travl arbejdsdag.

Jo enklere, jo bedre. Mange virksomheder opererer med succes med tre enkle tommelfingerregler for AI-brug, der kan printes på et A4 og hænges ved kaffe-maskinen. Formatet gælder for al god kommunikation: ét budskab, tydeligt sprog, konkret handling. Rammerne skal passe til det niveau, medarbejderne arbejder på, ikke det niveau en compliance-officer er komfortabel med.

Træning, logning og løbende opfølgning

En AI-politik uden opfølgning er ikke en politik. Det er en erklæring med god samvittighed. Den reelle forskel skabes i, om medarbejderne forstår rammerne og får hjælp til at navigere dem, og om virksomheden løbende holder øje med, om det faktisk virker.

Træning behøver ikke betyde kedeligt e-learning. Det kan betyde en workshop med det konkrete salgsteam, en demo af de godkendte værktøjer, og et rum til at stille de spørgsmål, der egentlig brænder på. Det menneskelige led er afgørende. Teknologien er nem at implementere. Kulturen er det svære.

Logning handler om at kunne dokumentere brugen, ikke overvåge den. At virksomheden kan redegøre for, hvilke systemer der bruges, til hvad og af hvem, er ikke en paranoiaøvelse. Det er et krav i en verden med AI compliance, GDPR og en reguleringstendens der bevæger sig mod mere, ikke mindre, ansvarlighed.

Når Shadow AI peger på et større problem

Som nævnt opstår Shadow AI ikke i et vakuum. Det vokser, fordi der er et behov, virksomhedens officielle systemer og processer ikke dækker godt nok. Medarbejdere er ikke problemet. De er symptomets bærere. Og det er vigtigt at holde den skelnen klar, særligt i de ledelsesmæssige diskussioner, der følger, når problemet opdages.

Hvis du opdager, at tre afdelinger bruger forskellige uautoriserede AI-værktøjer til opgaver, der i princippet burde løses i de systemer, I allerede betaler for, er spørgsmålet ikke kun "hvem tillod det?" Spørgsmålet er: "Hvorfor er vores godkendte systemer ikke brugbare nok til, at folk gider bruge dem?"

Behovet er ægte, men systemerne halter bagefter

Det er en ubehagelig sandhed for mange virksomheder: de systemer, der bruges internt, er for langsomme, for tunge, for dyre at tilpasse eller simpelthen ikke bygget til den virkelighed, medarbejderne arbejder i i dag. Shadow AI er i mange tilfælde ikke udtryk for dårlig kultur. Det er udtryk for, at teknologien bevæger sig hurtigere end indkøbs- og IT-processer kan følge med.

Når en medarbejder kan løse en opgave på to minutter med et gratis AI-værktøj, som ellers ville tage 20 minutter i et tungt ERP-system, er det svært at bebrejde vedkommende. Det rationelle valg er det hurtige valg. Det er en menneskelig reaktion på et systemisk problem.

Det betyder ikke, at alt skal accepteres. Det betyder, at løsningen på Shadow AI ikke kun er en bedre politik. Det er en bedre infrastruktur. Det er godkendte AI-værktøjer, der faktisk er hurtige og brugbare. Det er automatiseringer der løser de gentagne opgaver, så medarbejderne slet ikke behøver at klippe og klistre. Det er systemer, der taler sammen, så data ikke skal flyttes manuelt fra ét sted til et andet via en gratis AI-tjeneste.

Det er dér, de mest fremsynede danske virksomheder investerer nu. Ikke i forbud. Ikke i kontrolsystemer. Men i godkendte, sikre og brugbare AI-implementeringer, der møder medarbejderne, der hvor de faktisk befinder sig. For det er den eneste måde at lukke hullet mellem det, systemerne tilbyder, og det, hverdagen kræver.

Shadow AI er ikke fjenden, det er et signal

Hvis du er nået hertil, har du fået et mere nuanceret billede af, hvad Shadow AI egentlig er og hvad det ikke er. Det er ikke et angreb på virksomheden. Det er ikke tegn på dårlige medarbejdere. Det er et signal om, at behovet for AI er ægte, og at vejen dertil endnu ikke er ryddet.

Du ved nu, hvad Shadow AI er i virksomheden, hvordan det opstår, og at et simpelt forbud gør tingene værre frem for bedre. Du ved, hvilke risici der gemmer sig i hverdagsbrug af uautoriseret AI, fra persondata i AI til manglende logning og tab af organisatorisk kontrol. Og du har fået en konkret retning for, hvordan du opdager brugen, og hvad en reel AI-politik og AI-governance-ramme skal indeholde for at virke i praksis.

Det vigtigste at tage med er, at løsningen handler om at erstatte det usynlige med det gennemsigtigt brugbare. Giv medarbejderne godkendte AI-værktøjer, der faktisk virker. Lav regler, der er til at huske. Og brug Shadow AI som et pejlemærke for, hvor virksomhedens systemer ikke holder trit med hverdagen. Kunstig intelligens i virksomheden er ikke et IT-projekt. Det er et strategiprojekt. Og det starter med de spørgsmål, denne artikel forhåbentlig har sat i gang.

Ofte stillede spørgsmål

Hvad er Shadow AI i virksomheden?
Shadow AI er, når medarbejdere bruger AI værktøjer som ChatGPT uden godkendelse fra IT eller ledelsen. Det sker ofte for at spare tid i hverdagen, men det skaber risiko for datasikkerhed, manglende logning og uklart ansvar. I praksis er Shadow AI en ny version af shadow IT, bare med større betydning for data, kvalitet og compliance.
Er det et problem, når medarbejdere bruger ChatGPT i virksomheden?
Det er ikke nødvendigvis et problem, at medarbejdere bruger ChatGPT i virksomheden. Problemet opstår, når brugen sker uden klare regler, uden godkendte AI værktøjer og med følsomme oplysninger i prompten. Så stiger risikoen for fejl, lækage af fortrolige data og brud på GDPR eller interne regler.
Hvilke data må man ikke dele med uautoriseret AI?
Persondata i AI, kundeoplysninger, kontrakter, priser, interne strategier, HR materiale og ansøgerdata bør ikke indsættes i uautoriseret AI. Hvis virksomheden ikke har styr på lagring, databehandleraftaler og adgang, kan selv små opgaver udvikle sig til store sikkerhedsproblemer. En god AI politik i virksomheden gør de forbudte datatyper konkrete og lette at huske.
Hvordan opdager man Shadow AI uden at skabe frygt?
Den bedste vej er at starte med nysgerrighed frem for kontrol. Tal med teams om, hvilke AI værktøjer de allerede bruger, og kig efter arbejdsgange med mange kopier, manuelle mellemlag og uforklarligt hurtige leverancer. Målet er ikke at fange nogen, men at forstå behovet og flytte brugen over i sikre rammer med bedre AI governance.
Hvad skal en AI politik i virksomheden indeholde?
En brugbar AI politik bør som minimum beskrive godkendte AI værktøjer, forbudte datatyper, ansvar, logning, kvalitetssikring og træning. Reglerne skal være korte og klare nok til, at medarbejdere kan bruge dem i en travl arbejdsdag. Det er centralt for AI sikkerhed i virksomheden og for at kunne dokumentere ansvarlig brug.
Hvordan erstatter man Shadow AI med sikre løsninger?
Du erstatter ikke Shadow AI med forbud alene, men med bedre alternativer. Vælg godkendte AI værktøjer med styr på data, adgang og logning, og gør dem lette at bruge i de opgaver, medarbejderne faktisk sidder med. Når den sikre løsning også er den hurtige løsning, falder behovet for AI udenom IT markant.
Tilbage til Strategi

Relaterede artikler

Medarbejdere drøfter implementering af AI i virksomheden og hvordan AI bliver en del af arbejdsgangen

Implementering af AI: hvorfor bruger medarbejdere det ikke?

AI er ofte købt ind længe før det bliver en reel del af arbejdet. Når medarbejdere tester lidt men falder tilbage i gamle vaner, er problemet sjældent viljen. Det er friktion, uklare rammer og manglende tillid.<br><br>Artiklen forklarer, hvorfor AI ikke bliver brugt, og hvordan du får den ind i arbejdsgangen med klare regler, bedre data og tryg menneskelig godkendelse.

Cookiebanner på hjemmeside med fokus på gyldigt samtykke til cookies og korrekt opsætning

Cookiebanner på hjemmesiden: hvad er et gyldigt samtykke?

Et cookiebanner er først noget værd, når samtykket bag det faktisk er gyldigt. Mange hjemmesider sætter stadig statistik og marketing cookies, før brugeren har valgt, og det kan koste på både tillid, data og regler.<br><br>Her får du overblikket over, hvad gyldigt samtykke til cookies kræver, hvilke fejl der går igen, og hvordan banner, tag manager og scripts skal spille sammen.

Ledelse vurderer om virksomheden skal købe AI løsning eller bygge specialudviklet AI selv

Bygge selv eller købe AI: hvad giver mest værdi?

Det dyre valg er sjældent det rigtige først. Mange virksomheder ender enten med for mange AI abonnementer eller et udviklingsprojekt, der bliver større end gevinsten.<br><br>Her får du en enkel model til at vælge mellem standard AI værktøj, specialudviklet AI løsning eller en rolig mellemvej. Fokus er på proces, data, risiko, pris, ejerskab og AI ROI i hverdagen.