Du använder säkert AI-verktyg i ditt arbete. Det gör nästan alla konsulter nu. Men har du egentligen tänkt igenom vad som händer med informationen du matar in?
Scenariot är bekant. Du sitter med ett uppdrag som behöver struktureras. Du har ett kalkylark som ska analyseras, ett mötesprotokoll som ska sammanfattas eller ett utkast till rapport som behöver putsas till. Du öppnar ChatGPT, klistrar in texten och får hjälp på några sekunder. Smidigt. Effektivt. Och för de flesta konsulter numera helt vardagligt.
Men varje gång du gör det fattar du ett beslut om informationssäkerhet. Ofta utan att ha tänkt på det som just det.
Vad händer egentligen med det du klistrar in?
Konsumentversioner av AI-verktyg, det vill säga de gratisversioner och standardkonton som de flesta använder privat, är generellt sett inte byggda för att hantera konfidentiell affärsinformation. Den text du skickar in behandlas på externa servrar, kan i vissa fall användas för modellträning eller lagras i loggar som du inte har full kontroll över.
Det är inget konspiratoriskt i detta. Det är helt enkelt hur de flesta av dessa tjänster fungerar vilket framgår av användarvillkoren, om man tar sig tid att läsa dem.
För dig som privatperson som vill ha hjälp att formulera ett brev eller brainstorma idéer är det kanske acceptabelt. För dig som konsult som arbetar med kundens data är det en annan sak.
Informationssäkerhet gäller AI också
Det är lätt att tänka att AI-verktyg är ett undantag; att de är så nya, så smidiga och så allmänt använda att de inte riktigt omfattas av samma spelregler som andra system. Men det stämmer inte.
Om du inte skulle skicka ett dokument med lönedata till en okänd tredje part via e-post, bör du inte heller klistra in det i ett externt AI-verktyg. Om du inte skulle dela ett strategidokument i ett osäkrat molnverktyg utan kundens godkännande, gäller samma sak för AI-tjänster.
AI-användning kräver exakt samma mognad som all annan hantering av information. Inte mer, inte mindre.
”AI-användning kräver samma mognad som all annan informationssäkerhet. Det är ett enkelt påstående – men konsekvenserna av att missa det är desamma som vid alla andra säkerhetsbrister.”
Tre typer av information du bör tänka extra på
Personuppgifter är den första. Namn, kontaktuppgifter, lönedata, hälsoinformation, uppgifter om anställda eller kandidater. Allt detta är personuppgifter enligt GDPR. Att mata in dem i ett externt AI-verktyg utan rättslig grund och utan kundens godkännande är i de flesta fall ett regelbrott, oavsett om du tänkte på det som det eller inte.
Konfidentiell affärsinformation är den andra. Strategiplaner, budgetunderlag, M&A-material, kundlistor, leverantörslistor, organisationsförändringar och annan information som kunden har gett dig i förtroende och som inte ska lämna deras miljö utan ett aktivt beslut. Det gäller oavsett om du anonymiserar den eller inte.
Juridiskt känslig information är den tredje. Det omfattar avtal, tvisterelaterad dokumentation samt information som skyddas av sekretess eller tystnadsplikt. Att dela sådan information i externa AI-verktyg kan få allvarliga konsekvenser, inte bara ur ett dataskyddsperspektiv, utan även juridiskt och kommersiellt. Ett enda misstag kan leda till avtalsbrott, skadeståndsansvar eller i värsta fall rättsliga åtgärder, både för dig och för kunden.
”Men jag anonymiserar ju”
Det är ett vanligt argument, och det är inte fel att anonymisera. Men det löser inte problemet helt.
Forskning visar gång på gång att till synes anonymiserad data kan återidentifieras när den kombineras med annan information. Och viktigare: ett strategidokument är lika känsligt anonymiserat som med namn. Det är innehållet som är skyddsvärt, inte bara att det förekommer personuppgifter.
Anonymisering är ett steg i rätt riktning. Men det är inte en friskrivning.
Har kunden godkänt det?
Det är den fråga de flesta konsulter aldrig ställer men borde.
Många kunder har policyer för vilka externa verktyg och tjänster som får användas i deras uppdrag. Vissa är strikta och kräver att all databehandling sker inom godkända system. Andra har inte tänkt på frågan alls vilket i sig är ett problem. Att ta upp det med kunden tidigt i ett uppdrag är inte att vara krånglig. Det är att vara professionell.
Om kunden inte har en tydlig policy är det ett bra tillfälle att hjälpa dem att ta ställning. Det är precis det slags värde som skiljer en konsult som bara levererar från en konsult kunden vill ha tillbaka.
Säkrare alternativ finns
Det finns versioner av AI-verktyg som är byggda för professionellt bruk, där data inte används för träning, där information inte lagras längre än nödvändigt och där avtal kan tecknas som uppfyller kraven på personuppgiftsbehandling och informationssäkerhet. Men de är bara säkrare om de är korrekt konfigurerade, om rätt avtal finns på plats och om du förstår vad som faktiskt gäller.
Att använda en företagsversion av ett AI-verktyg som inte är konfigurerat eller godkänt av kunden ger inte automatiskt frikort.
Tre frågor att ställa sig innan du klistrar in
Innehåller det här personuppgifter och finns det en rättslig grund för att dela dem med en extern tjänst?
Innehåller det konfidentiell information som kunden inte har godkänt att dela utanför sin miljö?
Vet jag hur det här verktyget hanterar data och är det godkänt för det här uppdraget?
Om svaret på någon av frågorna är nej, eller om du är osäker, stanna upp. Det tar tio sekunder att fråga kunden. Det tar betydligt längre tid att hantera konsekvenserna av ett misstag.
Utgångspunkten bör vara enkel: dela inte personuppgifter eller känslig information med externa AI-verktyg om det inte är absolut nödvändigt.
Möjligheterna är verkliga men det är riskerna också
AI-verktyg är kraftfulla hjälpmedel som kan göra dig till en skarpare och mer effektiv konsult. Det vore fel att presentera dem som enbart en risk. Men möjligheterna och riskerna existerar parallellt och det är den som använder verktyget som bär ansvaret för hur det används.
Som konsult är ditt viktigaste kapital kundens förtroende. Det tar lång tid att bygga upp och kan raseras på ett ögonblick.
Nästa gång du är på väg att klistra in något i ett AI-verktyg, stanna upp en sekund och fråga dig: Är jag bekväm med vad som händer med den här informationen? Skulle min kund vara det?
Om svaret är ja – fortsätt.
Om svaret är tveksamt – avstå eller tänk ett varv till.
Mahmod Ghunaim | konsult med erfarenhet inom governance, risk, compliance och GDPR
För att ge en bra upplevelse använder vi teknik som cookies för att lagra och/eller komma åt enhetsinformation. När du samtycker till dessa tekniker kan vi behandla data som surfbeteende eller unika ID:n på denna webbplats. Om du inte samtycker eller om du återkallar ditt samtycke kan detta påverka vissa funktioner negativt.
Funktionell
Alltid aktiv
Den tekniska lagringen eller åtkomsten är absolut nödvändig för det legitima syftet att möjliggöra användningen av en specifik tjänst som uttryckligen begärts av abonnenten eller användaren, eller för det enda syftet att utföra överföring av en kommunikation över ett elektroniskt kommunikationsnät.
Alternativ
Den tekniska lagringen eller åtkomsten är nödvändig för det legitima syftet att lagra inställningar som inte efterfrågas av abonnenten eller användaren.
Statistik
Den tekniska lagringen eller åtkomsten som används uteslutande för statistiska ändamål.Den tekniska lagringen eller åtkomsten som används uteslutande för anonyma statistiska ändamål. Utan en stämningsansökan, frivillig efterlevnad från din Internetleverantörs sida, eller ytterligare register från en tredje part, kan information som lagras eller hämtas endast för detta ändamål vanligtvis inte användas för att identifiera dig.
Marknadsföring
Den tekniska lagringen eller åtkomsten krävs för att skapa användarprofiler för att skicka reklam, eller för att spåra användaren på en webbplats eller över flera webbplatser för liknande marknadsföringsändamål.
