Till innehållet
Svensk Försäkring varnar för nätfiske.
Läs mer
PrivatFöretag
5 min lästid

Välj rätt ai-policy för företaget

Publicerad: 2024-11-07

Senast ändrad: 2024-11-11

De senaste åren har allt fler appar och tjänster berikats med ai-funktioner. Satsningarna har tagits emot med varierande entusiasm. Vissa företag har välkomnat satsningarna. Andra företag har varit desto mer skeptiska eller förbjudit verktyg som kan äventyra informationssäkerheten. I den här guiden förklarar vi den bakomliggande problematiken och berättar varför alla företag behöver en ai-policy.

Generativ ai underlättar för medarbetarna

”Generativ ai” är ett samlingsbegrepp för ai-verktyg som skapar innehåll åt användarna. Ai-verktygen bygger på så kallade ai-modeller som gör något på uppdrag av användarna. Ett klassiskt exempel är ChatGPT som svarar på ”promptar” (chattfrågor). Samma underliggande teknik används även i bland annat bildbehandlingsprogram och rättstavningsprogram.

Generativ ai kan underlätta jobbet för många medarbetare. Dagens ai-verktyg kan bland annat:

  • sammanfatta texter
  • transkribera möten
  • summera mötesanteckningar
  • översätta dokument
  • skapa och förbättra bilder
  • sortera mejl
  • texta filmer
  • förbättra webbtillgängligheten
  • rätta buggar i programmeringskod

Det är därför föga förvånande att många medarbetare vill dra nytta av ai-verktygen. Medarbetarna ser en möjlighet till att effektivisera sitt jobb och bli mer produktiva. Många företag omfamnar generativa ai-modeller av samma skäl. Företagen inser att de kan få mer gjort på samma tid, vilket stärker företagens konkurrenskraft.

Alla företag behöver en ai-policy

Framväxten av ai-verktyg har gått i ett rasande tempo. Många företag har inte hunnit anpassa verksamheten efter de nya förutsättningarna eller ens beslutat om vilka ai-verktyg som medarbetarna ska få använda för olika arbetsuppgifter. Detta har lett till att medarbetare börjat använda ai-verktyg på ett sätt som kan läcka företagshemligheter och orsaka personuppgiftsincidenter.

Några företag har i panik förbjudit samtliga ai-verktyg. Det har i värsta fall antingen lett till ökad ”skugg-it” (medarbetare som använder verktyg utan företagets godkännande) eller förlorad produktivitet.

Oavsett om företaget beslutar att förbjuda alla ai-verktyg eller att tillåta specifika ai-verktyg bör företaget ta beslutet på rätt grunder. Företaget måste veta hur ai-verktygen kan underlätta vardagen för medarbetarna och vilka förutsättningar som i så fall krävs för att inte äventyra informationssäkerheten.

Företaget bör framför allt tänka på att det finns tre olika sätt att köra ai-verktygens underliggande ai-modeller: i publika molntjänster, på företagets egna servrar eller på medarbetarnas datorer. Var ai-modellerna körs påverkar hur informationen skyddas och därmed ai-verktygens gångbara användningsområden.

Riskerna med ai-tjänster i molnet

Än så länge körs de flesta ai-modeller i publika molntjänster. För att kunna dra nytta av ett sådant ai-verktyg måste företaget överföra informationen som ska bearbetas till molntjänsten i fråga. Om en medarbetare vill få en längre text summerad måste medarbetaren skicka texten till molntjänsten. Samma sak gäller om medarbetaren vill få en summering av ett inspelat videomöte. Då måste medarbetaren överföra videoklippet till molntjänsten.

Data som överförs till en molnbaserad ai-modell tillgängliggörs för tjänsteleverantören. Företagsanpassade ai-tjänster har därför avtal som reglerar vad tjänsteleverantören får göra med den överförda datan. Avtalen kan exempelvis förbjuda tjänsteleverantören från att läsa datan, spara datan eller använda datan för att förbättra ai-verktyget. Denna typ av begränsningar skiljer konsumentanpassade ai-tjänster från företagsanpassade ai-tjänster.

Avtalen påverkar även vilken information som företagets ai-policy kan tillåta att behandlas av ai-verktyget. Här är det viktigt att komma ihåg personuppgiftsfrågan (läs mer i vår guide om GDPR-förenliga molntjänster ).

Avtalen är dock bara juridiska åtgärder. Rent tekniskt kan tjänsteleverantörerna komma åt all data som överförs till deras molntjänster. Apples molntjänst Private Cloud Compute utgör möjligtvis ett undantag (lansering pågår i skrivande stund).Om tjänsten visar sig fungera som utlovat kan Apple aldrig komma åt datan trots att den skickas utan totalsträckskryptering.

Företag kan driva sina egna ai-tjänster

För vissa företag är det helt uteslutet att överföra information till publika molntjänster. Ett sådant företag kan ändå dra nytta av ai-verktyg. Företaget kan sätta upp egna chattbotar, bildgeneratorer, översättningsverktyg och transkriberingsverktyg. Genom att köra ai-modellerna på företagets egna servrar säkerställer företaget att ingen information lämnar företagets nätverk.

Samarbetstjänsten Nextcloud är populär bland företag som inte kan överföra information till publika samarbetstjänster såsom Microsoft 365 och Google Workspace. Nextcloud har integrationer för en mängd egendriftade ai-modeller. Den som administrerar ett företags Nextcloud server kan anpassa vilka ai-verktyg som ska vara tillgängliga för medarbetarna. På det sättet blir ai-policyn för medarbetarna tydlig: medarbetarna får enbart använda ai-verktygen som företaget har tillgängliggjort i Nextcloud.

Nackdelen med egendriftade ai-modeller är kostnaden. Många ai-modeller är visserligen kostnadsfria att använda, men driften av de underliggande servrarna kräver både hårdvara och personal. Hårdvaru- och underhållskostnaderna måste därför viktas mot produktivitetsvinsterna.

Allt fler datorer kan köra lokala ai-modeller

Behovet av ai-servrar kommer att minska med tiden. Allt fler datorer utrustas med ai-processorkärnor som gör att datorerna kan köra ai-modeller lokalt. Då stannar all data på datorn, vilket både stärker dataskyddet och gör att ai-verktygen fungerar utan nätverksanslutning.

Apples ai-verktyg Apple Intelligence kan förkorta texter och förbättra språket i texter utan att datorn ens är uppkopplad mot internet (funktionen är i skrivande stund enbart tillgänglig på engelska). Mejltjänsten Proton Mail erbjuder en skrivassistent som användaren kan välja om ska köras lokalt på datorn eller i Protons moln.

Skärmavbild av Proton Mails skrivbordsapp. Inställningen för Skrivassistent är inställd på ”kör på enhet” i stället för på ”kör på Proton-servrar”.

Proton Mails skrivassistent kan köras lokalt på datorn eller i molnet.

Utbilda medarbetarna

Oavsett om ai-modellerna körs i publika moln, på privata servrar eller på medarbetarnas datorer måste medarbetarna få relevant utbildning. Medarbetarna måste vara medvetna om varför de enbart får använda företagets utvalda ai-verktyg.

Medarbetarna måste också förstå att ai-modellerna kan generera direkt felaktig information. Det sistnämnda är viktigt oavsett om medarbetarna promptar en chattassistent, genererar programmeringskod eller sammanfattar långa texter. Chattassistenter kan hallucinera ihop fel svar. Utvecklingsverktyg kan generera sårbar kod. Summeringsfunktioner kan utelämna viktiga punkter. Medarbetarna måste därför förstå vilken roll som ai-verktygen kan fylla i deras vardag, både när det kommer till att skapa nya lösningar och att orsaka helt nya problem.

Sammanfattning

  • Ai-verktyg som driftas i publika molntjänster tillgängliggör datan för tjänsteleverantörerna (möjligtvis med undantag för Apple Cloud Compute vars lansering pågår i skrivande stund).
  • Företagsanpassade ai-tjänster har avtal som reglerar vad tjänsteleverantören får göra med datan.
  • Företag som inte kan överföra data till publika molntjänster kan drifta ai-modeller på egna servrar
  • Allt fler datorer får stöd för att köra lokala ai-modeller, vilket minskar behovet av att överföra data till serverbaserade ai-tjänster.
  • Alla medarbetare måste utbildas om varför de enbart får dra nytta av godkända ai-verktyg och om riskerna för att ai-genererad data är direkt felaktig.