Guider

AI-styring for organisationer: Mere end et IT-spørgsmål

77% af organisationer bruger AI i deres sikkerhedsstack. Kun 37% har en policy. AI-styring er ikke et fremtidsspørgsmål — det er en gæld.

K
Kim Borg
5 min læsning
  1. 77%
    af organisationer bruger generativ AI i deres sikkerhedsstack
    Global Cybersecurity Survey 2025
  2. 57%
    af medarbejdere kører følsomme data gennem personlige AI-konti
    Gartner
  3. 37%
    af organisationer har en formel AI-policy
    Brancheundersøgelse 2025
Leadership team discussing AI policy and governance around a conference table

Fra værktøj til aktør

Vi har passeret punktet, hvor AI er et eksperiment. Organisationer bruger AI dagligt — til tekstproduktion, kodereview, dataanalyse, kundesupport og sikkerhedsovervågning. Det, der har ændret sig på det seneste, er ikke bare udbredelsen, men karakteren.

Med agentic AI — AI-systemer der agerer autonomt, træffer beslutninger og interagerer med andre systemer — skifter spørgsmålet fra “hvordan bruger vi AI?” til “hvem kontrollerer, hvad AI gør?”. Det er et styringsspørgsmål, ikke et teknologispørgsmål. Og det er et spørgsmål, som ledelsen, ikke IT-afdelingen, skal eje.

Bemærk: Denne artikel handler om styring og ledelsesansvar — ikke om tekniske AI-trusler som prompt injection eller data poisoning. Vil du fordybe dig i AI-sikkerhedstrusler, læs vores guide om AI-sikkerhed for organisationer.

AI-styring er ikke et separat spor

Den mest almindelige fejl, jeg ser, er, at organisationer behandler AI som et selvstændigt spørgsmål — et “AI-projekt” ved siden af det ordinære sikkerhedsarbejde. Det fører til dobbeltarbejde, utydelige ansvarsforhold og politikker, der ikke hænger sammen med virkeligheden.

AI-styring er en forlængelse af jeres eksisterende informationssikkerhedsarbejde. AI-værktøjer behandler jeres informationsaktiver. De bør indgå i samme risikoanalyse, omfattes af samme adgangskontrolprincipper og styres af samme ledelsesbeslutn inger som alt andet.

Sammenhængen til NIS2-loven

NIS2-loven kræver, at organisationer håndterer risici for deres netværks- og informationssystemer. AI-værktøjer, som behandler organisationens data, er en del af dette system — uanset om de kører internt eller som eksterne cloud-tjenester.

Det betyder, at AI-værktøjer skal:

  • Indgå i risikoanalysen
  • Omfattes af adgangskontrol
  • Have tydelige ejere og ansvarlige
  • Inkluderes i leverandørvurderingen (hvis de er eksterne tjenester)

Shadow AI: Risikoen I ikke ser

57% af medarbejdere i vidensintensive organisationer indtaster følsomme virksomhedsoplysninger i personlige AI-konti. De gør det, fordi det er praktisk, fordi det gør dem mere produktive, og fordi ingen har sagt, at de ikke skal gøre det.

Problemet er, at organisationen mister kontrollen over, hvor informationen ender. Kundedata, forretningsplaner, kontraktudkast, kildekode, personaleoplysninger — alt kan indtastes i en ekstern AI-tjeneste, hvor organisationen hverken har indsigt eller kontrol.

Shadow AI er ikke et teknologiproblem. Det er et styringstomrum. Medarbejdere løser deres daglige problemer med de værktøjer, der er tilgængelige. Hvis organisationen ikke tilbyder godkendte alternativer og tydelige retningslinjer, vil medarbejdere finde deres egne veje.

At forbyde løser ingenting

Organisationer, der totalforbyder AI-værktøjer, driver brugen under overfladen. Medarbejdere fortsætter — de fortæller bare ikke om det. Kontrolleret anvendelse med tydelige rammer er altid bedre end forbud, som ingen efterlever.

Tilbyd godkendte alternativer

Giv medarbejderne AI-værktøjer med enterprise-aftaler, der sikrer, at data ikke bruges til træning, at logning findes, og at organisationen bevarer kontrollen. Gør det nemmere at gøre det rigtige.

Uddann i, hvad der må indtastes

De fleste medarbejdere forstår, at de ikke skal dele adgangskoder. Færre forstår, at et kontraktudkast eller en kundeliste i en AI-chat kan være lige så følsomt. Konkrete eksempler virker bedre end abstrakte politikker.

Integrer i eksisterende adgangskontrol

AI-værktøjer bør indgå i jeres IAM-strategi (Identity and Access Management). Hvem har adgang til hvilke AI-tjenester, og hvilke autorisationsniveauer gælder?

Agentic AI: Næste styringsudfordring

Det, der startede med chatbots, udvikler sig hurtigt mod autonome AI-agenter, der kan handle på egen hånd — booke møder, sende mails, køre databaseforespørgsler, eksekvere kode. Det stiller nye spørgsmål om adgangskontrol og autorisationsstyring.

Hvis en AI-agent har autorisation til at handle på en medarbejders vegne — hvem er ansvarlig, hvis agenten træffer en forkert beslutning? Hvis agenten har adgang til følsomme systemer — hvordan sikrer I, at den ikke gør mere end tiltænkt?

Dette er spørgsmål, der skal adresseres før agentic AI implementeres bredt i organisationen, ikke efter.

Tre spørgsmål ledelsen bør kunne svare på

  1. Hvilke AI-værktøjer bruges i organisationen? Ikke kun de officielt indkøbte — også dem, som medarbejdere bruger på egen hånd. En kortlægning af faktisk AI-anvendelse er første skridt mod kontrol.
  2. Hvilken data indtastes i AI-værktøjerne? Klassificer, hvilken type information der behandles. Personoplysninger? Forretningshemmeligheder? Kundedata? Svaret afgør, hvilke beskyttelsesforanstaltninger der er nødvendige, og hvilke værktøjer der er acceptable.
  3. Hvem er ansvarlig? Ikke "IT-afdelingen" — men en navngivet person med mandat til at træffe beslutninger om AI-anvendelse, eskalere risici til ledelsen og opdatere politikker i takt med, at teknologien udvikler sig.

AI Act: Det regulatoriske landskab vokser

EU’s AI Act indfaser krav i løbet af 2026. Selvom de fleste organisationer ikke udvikler højrisiko-AI, påvirker forordningen alle, der bruger AI-systemer klassificeret som højrisiko. Det inkluderer rekrutteringsværktøjer, kreditvurdering, biometrisk identifikation og andre anvendelser.

AI-styring handler ikke kun om intern risikohåndtering — det handler også om regulatorisk beredskab. Organisationer, der allerede har en tydelig AI-policy og styringsmodel, har en betydelig fordel, når nye krav kommer.

Start med kortlægningen

AI-styring behøver ikke være kompliceret. Det skal være systematisk. Start med at kortlægge, hvilken data der flyder hvor — inklusive gennem AI-værktøjer. Det giver jer det billede, I behøver for at træffe informerede beslutninger om politik, risici og investeringer.

Securapilots informationsflowanalyse hjælper jer med at kortlægge, hvordan information bevæger sig gennem organisationen — inklusive gennem eksterne værktøjer og tjenester. Det er grundlaget for både AI-styring og NIS2-lovens krav.

Ofte stillede spørgsmål

Hvad er AI-styring?

AI-styring handler om at definere, hvordan organisationen bruger, kontrollerer og tager ansvar for AI-værktøjer. Det inkluderer politikker, risikovurdering, adgangskontrol og ansvarsforhold — ikke bare teknisk implementering.

Hvad er shadow AI?

Shadow AI er AI-værktøjer, som medarbejdere bruger uden organisationens godkendelse — ofte personlige konti hos ChatGPT, Claude, Gemini eller andre tjenester. Risikoen er, at følsomme virksomhedsoplysninger forlader organisationens kontrol.

Hvordan kobler AI-styring til NIS2-loven?

AI-værktøjer behandler jeres informationsaktiver og bør indgå i jeres risikoanalyse ifølge NIS2-lovens krav. Ukontrolleret AI-anvendelse kan udgøre en risiko for informationssikkerheden, som skal håndteres.

Hvad skal en AI-policy indeholde?

Godkendte værktøjer, hvilken data der må indtastes, adgangskontrol, ansvarsforhold, krav til logning og revision samt uddannelseskrav. Policyen bør være konkret nok til at give vejledning i daglige beslutninger.

#AI#governance#AI Act#styring#shadow AI#NIS2

Flere artikler

Vi bruger anonym statistik uden cookies for at forbedre hjemmesiden. Læs mere