AI-grunderna

Shadow AI: den osynliga risken i organisationer

Vad är shadow AI och hur hanterar man det?

Shadow AI är när medarbetare använder AI-verktyg som ChatGPT, Copilot eller Gemini i arbetet utan att IT eller ledning godkänt dem eller känner till användningen. Datan lämnar organisationen utan spår.

Begreppet är en släkting till “shadow IT”, molntjänster och appar som teamen började använda utan IT-avdelningens kännedom. Shadow AI är samma mönster, men med högre insats. Skillnaden är vad medarbetaren matar in: inte bara filer, utan ofta organisationens känsligaste text, avtal, personuppgifter, kod, strategier.

Varför shadow AI uppstår

Shadow AI uppstår för att verktygen fungerar. En medarbetare som ska sammanfatta ett långt mötesprotokoll, översätta en text eller skriva ett första utkast får ett användbart resultat på sekunder. Tröskeln är obefintlig: öppna en webbsida, klistra in, läs svaret.

Tre saker driver fram det:

Verktygen löser ett verkligt problem. Den som använder ChatGPT i smyg gör det oftast för att hen vill bli klar med en uppgift, inte för att kringgå regler.
Det officiella alternativet saknas eller är sämre. När organisationen inte erbjuder ett godkänt verktyg väljer människor det som finns ett klick bort.
Reglerna är otydliga. “Vi har ingen AI-policy” tolkas i praktiken som “det är väl okej”. Tystnad blir tillåtelse.

Mönstret går igen i organisation efter organisation: användningen kommer underifrån, snabbare än styrningen hinner med. I de verksamheter vi möter är det sällan en fråga om huruvida medarbetare redan provat ett AI-verktyg i jobbet, utan om hur många och till vad, ofta utan att chefen vet om det.

De konkreta riskerna

Risken med shadow AI handlar inte om att AI är farligt i sig. Den handlar om att data, ansvar och kvalitet hamnar utanför kontroll. Fyra risker är värda att skilja på.

Dataläckage. Det vanligaste och allvarligaste. När en medarbetare klistrar in ett kundavtal i ett gratisverktyg lämnar texten organisationen. Vart den tar vägen, om den används för att träna modellen och vem som kan se den beror på verktygets villkor, som ingen läste. För personuppgifter är detta en GDPR-fråga, inte en bekvämlighetsfråga.

Regelefterlevnad. Branscher med sekretess, vård, juridik, offentlig sektor, har bindande krav på var data får behandlas. Ett ostyrt verktyg kan skicka uppgifter till servrar utanför EU utan att någon fattat det beslutet medvetet. Då brister spårbarheten, och spårbarhet är det som krävs vid en granskning.

Ojämn kvalitet. AI-verktyg hittar ibland på fakta. När varje medarbetare använder sitt eget verktyg på sitt eget sätt blir kvaliteten oförutsägbar. Ett felaktigt underlag som ser välskrivet ut är svårare att upptäcka än ett som ser slarvigt ut.

Förlorad insyn. Det som inte är känt går inte att styra. Utan en bild av vilka verktyg som faktiskt används kan ledningen varken bedöma risk, uppfylla AI Acts kompetenskrav eller fatta beslut om vad som ska godkännas.

Så hanterar ni det, utan förbud

Det första instinktiva svaret är ofta ett förbud. Det fungerar sällan. Ett blankt förbud flyttar användningen till privata telefoner och privata konton, där insynen är ännu mindre. Användningen försvinner inte, den blir bara osynlig.

Tre delar bär en hållbar hantering.

1. En policy som svarar på rätt frågor. En användbar AI-policy listar vilka verktyg som är godkända, vilken data som får matas in i dem, vem som ansvarar, och var en människa måste fatta beslutet. Den ska vara kort nog att läsas och konkret nog att följa. En policy som bara säger “var försiktig” styr ingenting. Hur en sådan policy byggs går vi igenom i guiden om att skapa en effektiv AI-policy.

2. Godkända verktyg som faktiskt duger. Ge medarbetarna ett alternativ som är minst lika bra som det de väljer i smyg. Det kan vara en företagsversion av ett etablerat verktyg med avtal som skyddar er data, eller en lösning som körs på infrastruktur ni kontrollerar i Sverige eller EU. När det godkända verktyget är det bekväma valet försvinner det mesta av incitamentet att gå runt det.

3. Utbildning som höjer omdömet, inte bara reglerna. EU AI Acts krav på AI-kunnighet handlar om just detta: att medarbetare förstår vad verktygen kan, var de brister och vilken data som aldrig hör hemma i dem. En person som förstår varför en patientjournal inte ska in i ett publikt verktyg fattar rätt beslut även i ett läge policyn inte förutsåg. Regler täcker det kända. Omdöme täcker resten.

De tre delarna hänger ihop. Policyn utan godkända verktyg blir en lista över saker man inte får göra. Verktyg utan utbildning används fel. Utbildning utan policy ger inga gemensamma spelregler.

Ett konkret exempel

Exemplet nedan är illustrativt och sammansatt, inte hämtat från ett enskilt uppdrag, men mönstret är välbekant. En kommun upptäcker att handläggare använder ett publikt AI-verktyg för att sammanfatta medborgarärenden. Inläsningarna innehåller namn, personnummer och ärendedetaljer.

Den första reaktionen är ett förbud via mejl. Två veckor senare visar en anonym enkät att användningen fortsätter, nu från privata mobiler, eftersom uppgiften att sammanfatta ärenden kvarstår och inget annat verktyg finns.

Kommunen byter spår. Den inför ett godkänt verktyg som körs inom EU, med avtal som slår fast att inmatad data inte används för träning. Den skriver en policy som uttryckligen säger att personnummer och ärendedetaljer får matas in i det godkända verktyget men aldrig i publika tjänster. Och den håller en kort utbildning för handläggarna om var gränsen går och varför.

Resultatet är inte att risken försvinner. Det är att den blir synlig, styrd och möjlig att stå för vid en granskning.

Vanliga missförstånd

“Vi har ingen shadow AI, vi har inte infört AI.” Att inte ha infört AI hindrar inte medarbetarna från att använda det. Frånvaron av ett beslut är inte frånvaron av användning. Den är bara frånvaron av insyn.

“Ett förbud löser problemet.” Ett förbud löser synligheten, inte beteendet. Det driver användningen dit ni inte ser den. Styrning slår förbud när uppgiften som driver fram verktyget finns kvar.

“Det här är en IT-fråga.” Shadow AI rör juridik, dataskydd, HR och verksamhet lika mycket som IT. Vilken data som får matas in är en verksamhetsfråga. Vem som ansvarar är en ledningsfråga. IT äger verktygen, men inte hela problemet.

“Övervakning ger oss kontrollen tillbaka.” Loggar visar vad som händer, inte varför. Om medarbetare gömmer användningen för att de är rädda för konsekvenser får ni sämre data, inte bättre. Ett öppet samtal om vad verktygen får användas till ger mer än en logg.

Shadow AI är ett mätbart symptom på något enkelt: medarbetarna har ett behov som de godkända verktygen inte täcker. Den organisation som ser det som ett styrningsproblem, inte ett lydnadsproblem, får både lägre risk och bättre verktyg.

Vill ni kartlägga er faktiska AI-användning och bygga styrningen runt den, börjar arbetet i vår AI-resan, och i tjänsterna för AI governance och utbildning och kompetensutveckling.

Källor

Europeiska unionen. Förordning (EU) 2024/1689 (EU AI Act), artikel 4 om AI-kunnighet (AI literacy), tillämplig sedan 2 februari 2025. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
Europeiska kommissionen. AI Act, tidslinje för tillämpning. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

Vanliga frågor

Vad är shadow AI?

Shadow AI är när medarbetare använder AI-verktyg som ChatGPT, Copilot eller Gemini i arbetet utan att IT eller ledning har godkänt dem eller vet att de används. Det sker sällan i illvilja, verktygen är användbara och tröskeln för att komma igång är låg. Problemet är att ingen kan styra vart datan tar vägen.

Är det ett problem att anställda använder ChatGPT på jobbet?

Användningen i sig är inte problemet, utan att den sker utanför styrning. När en medarbetare klistrar in ett kundavtal eller en patientjournal i ett gratisverktyg lämnar den datan organisationen utan spår. Lösningen är inte att förbjuda AI utan att erbjuda godkända verktyg och tydliga regler för vilken data som får matas in.

Hur upptäcker man att medarbetare använder AI i smyg?

Börja inte med övervakning. En anonym enkät och ett öppt samtal ger oftast en mer ärlig bild än loggar, eftersom människor berättar gärna om verktyg de upplever som nyttiga. Nätverkslogg och CASB-verktyg (Cloud Access Security Broker) kan komplettera, men de mäter trafik, inte varför verktyget behövdes.

Bör vi förbjuda AI-verktyg på arbetsplatsen?

Ett blankt förbud flyttar oftast bara användningen till privata telefoner, där ni har ännu mindre insyn. En tydlig lista över godkända verktyg, regler för datatyper och utbildning ger bättre skydd än ett förbud som ingen kan efterleva.

Vad säger EU AI Act om medarbetares AI-användning?

EU AI Act förbjuder inte vardaglig AI-användning, men sedan 2 februari 2025 gäller ett krav på AI-kunnighet (AI literacy). Organisationer som använder AI ska säkerställa att personalen har tillräcklig kompetens för att förstå verktygens möjligheter och risker. Ostyrd shadow AI gör det kravet svårt att uppfylla.

Pontus Rosin Ansvarig informationssäkerhet och AI governance · Digitalist Uppdaterad 3 juni 2026

Vill ni omsätta det här i praktiken?

Boka ett kort samtal med en kundansvarig.

Kontakta oss

Varför shadow AI uppstår

De konkreta riskerna

Så hanterar ni det, utan förbud

Ett konkret exempel

Vanliga missförstånd

Källor

Vanliga frågor

Fördjupning

Så skapar du en effektiv AI-policy: guide och mall 2026

EU AI Act: vad alla företag och organisationer behöver veta

Relaterade tjänster

Governance: AI, informationssäkerhet och cybersäkerhet

Utbildning och kompetensutveckling

Vill ni omsätta det här i praktiken?