Et søkefelt føles uskyldig. Man skriver noe inn, får et svar, og går videre. Det er slik vi har lært å bruke nettet i mange år. Men AI-søk og AI-assistenter endrer denne vanen på en stille måte. De inviterer oss til å skrive lengre spørsmål, gi mer kontekst, laste opp filer, lime inn logger og forklare situasjoner som tidligere aldri ville blitt sendt til en søkemotor.
For privatpersoner kan det være praktisk. For virksomheter kan det bli en ny datadelingskanal.
Det er ikke fordi alle AI-tjenester er farlige. Det er fordi de er eksterne tjenester. Når en ansatt limer inn en kontrakt, et kundecase, en teknisk logg eller et internt strateginotat i et AI-søkefelt, har virksomheten allerede gjort et valg. Kanskje var valget bevisst. Ofte var det bare friksjonsfritt.
Friksjonsfrie valg er hyggelige helt til man oppdager at ingen egentlig godkjente dem.
AI-søk ber om mer kontekst
Tradisjonelle søk var ofte korte. "GDPR skylagring USA". "beste backup regel". "feilmelding WordPress REST". AI-søk fungerer annerledes. Tjenesten blir bedre når brukeren gir mer kontekst. Derfor skriver folk også mer.
Google beskriver i hjelpen for AI Mode i Google Search at tjenesten kan brukes med tekst, stemme og bilder, og at den støtter oppfølgingsspørsmål. Det er nyttig, men også viktig: et søkefelt som kan føre en samtale, oppleves mer som en rådgiver enn som en indeks.
Da endrer brukeren adferd. Man spør ikke bare "hva betyr denne feilen?" Man limer inn hele feilmeldingen. Kanskje også IP-adresser, brukernavn, domenenavn, serverstier og kundenavn. Man spør ikke bare "hvordan skrive oppsigelsesbrev?" Man beskriver en personalkonflikt. Kanskje med detaljer som ikke burde ut av virksomheten.
Små handlinger kan bli stor datadeling når de gjentas mange ganger.
Spørsmålet er ikke bare personvern
Personvern er viktig, men dette handler ikke bare om personopplysninger. Virksomheter har også forretningshemmeligheter, leverandøravtaler, sikkerhetslogger, prisstrategier, kundelister, tekniske sårbarheter, kildekode, møtereferater og upubliserte planer.
Noe av dette er regulert. Noe er bare sensitivt fordi det gir andre innsikt i hvordan virksomheten fungerer. Begge deler bør behandles med omtanke.
Kunnskapsrom har tidligere skrevet om hvem som egentlig kontrollerer dataene dine og om GDPR-data i amerikanske skyløsninger. AI-søk gjør disse spørsmålene mer praktiske. Det er ikke lenger bare hvor filene lagres. Det er også hvor spørsmålene, utdragene, loggene og arbeidskonteksten sendes.
En enkel regel hjelper mer enn en lang policy
Mange virksomheter trenger ikke starte med et tykt dokument. De trenger en enkel regel som alle forstår:
Ikke lim inn kundedata, personopplysninger, kontrakter, sikkerhetslogger, passord, nøkler, kildekode, interne strategier eller upublisert materiale i AI-tjenester uten at virksomheten har godkjent tjenesten for den typen bruk.
Den regelen er ikke perfekt. Den løser ikke alt. Men den gjør det viktigste: den flytter AI-bruk fra magefølelse til ansvar.
Datatilsynet har også pekt på behovet for vurderinger rundt kunstig intelligens og personopplysninger. I veiledningen om kunstig intelligens og personvern er det tydelig at behandling av personopplysninger i AI-løsninger må vurderes etter vanlige personvernprinsipper. Det betyr blant annet formål, dataminimering, rettslig grunnlag, informasjonssikkerhet og kontroll.
Det er kjedelige ord. De er kjedelige på samme måte som bremser er kjedelige. Man merker dem mest når de mangler.
Godkjente verktøy må være tydelige
En virksomhet bør ikke bare si hva ansatte ikke kan gjøre. Den bør også si hva de kan gjøre.
Hvilke AI-verktøy er godkjent? Hvilke data kan brukes i dem? Skal filer anonymiseres først? Kan ansatte bruke private kontoer? Logges historikk? Brukes innhold til modelltrening? Hvilken avtale gjelder? Hvem kan svare hvis en ansatt er usikker?
Dette er ikke spørsmål for markedsavdelingen alene. IT, ledelse, personvern og sikkerhet bør være med. AI-verktøy kan være skrivehjelp, søk, analyse, kodeassistent og dokumentverktøy på samme tid. Da kan også risikoen havne flere steder samtidig.
Artikkelen om CLOUD Act handler om lovverk og jurisdiksjon. Men den underliggende lærdommen er bredere: når data flyttes til globale plattformer, må man vite hvilke regler, avtaler og tekniske mekanismer som faktisk gjelder.
AI kan brukes trygt, men ikke tilfeldig
Poenget er ikke at ansatte skal slutte å bruke AI. Det ville vært både urealistisk og lite smart. AI kan hjelpe med utkast, struktur, oppsummeringer, idéarbeid, oversettelser og teknisk feilsøking. Men bruken må rammes inn.
En god praksis kan være å skille mellom tre nivåer.
Første nivå er offentlig informasjon. Generelle spørsmål, åpne kilder og ikke-sensitive tekster kan ofte brukes med lav risiko.
Andre nivå er intern, men ikke sensitiv informasjon. Her bør virksomheten ha klare regler og godkjente verktøy.
Tredje nivå er sensitiv informasjon. Persondata, kundedata, sikkerhetslogger, kontrakter, kildekode og strategidokumenter bør bare brukes i løsninger som er eksplisitt godkjent for formålet.
Denne inndelingen er enkel nok til å huskes. Det er ofte viktigere enn en policy som bare juristen og den mest pliktoppfyllende mellomlederen leser.
Søkefeltet er blitt en dør
AI-søkefeltet er ikke bare et sted man henter informasjon. Det er en dør ut av virksomheten. Noen ganger er det helt greit å åpne den. Andre ganger bør den være låst.
Forskjellen ligger ikke i hvor moderne verktøyet er. Den ligger i hva du sender gjennom døren.
En ansvarlig virksomhet trenger derfor ikke være redd for AI. Den trenger å være presis. Hvilke verktøy brukes? Hvilke data deles? Hvem har godkjent det? Hva skjer med informasjonen etterpå?
Når de spørsmålene er besvart, kan AI bli et nyttig arbeidsverktøy. Når de ikke er besvart, er AI-søkefeltet bare et pent lite hull i veggen. Og hull i veggen er sjelden en god sikkerhetsarkitektur.
Videre lesing
