Jag träffar IT-chefer och säkerhetschefer varje vecka. Det senaste året har en fråga dykt upp i nästan varje möte: "Hur vet vi vad våra medarbetare gör med AI?"
Frågan är befogad. Microsofts Datasäkerhetsindex 2026 visar att 32 % av organisationers datasäkerhetsincidenter kopplas till användning av generativa AI-verktyg. Över 70 % av medarbetare tar med sig egna AI-verktyg till jobbet. 58 % använder personliga enheter för att komma åt GenAI i arbetet.
Siffrorna förvånar mig inte. De bekräftar vad jag hör i samtalen.
Problemet heter shadow AI
Medarbetare använder ChatGPT, Copilot eller andra verktyg utan att företaget vet om det. De loggar in med privata konton. De klistrar in kunddata, avtalstexter, intern kommunikation. Inte av illvilja, utan för att verktygen faktiskt hjälper dem jobba snabbare.
Men varje gång någon klistrar in en kundlista i ett okontrollerat AI-verktyg lämnar data företagets brandvägg. Ingen vet var den hamnar. Ingen kan spåra den.
IDC:s studie Frontier Firms (november 2025, 4 000 organisationer globalt) bekräftar att det här inte bara är ett svenskt problem. 31 % av alla organisationer anger säkerhet och integritet som det största hindret för att implementera GenAI. 29 % lyfter governance, suveränitet och kvalitet. Problemet växer i takt med att fler verktyg når marknaden.
Inom säkerhetsbranschen, där jag arbetat i över 30 år, är det här en direkt affärsrisk. Våra kunder hanterar kameraövervakning, tillträdessystem, larmdata. Informationen är känslig per definition.
Lösningen är inte att förbjuda AI
35 % av organisationerna förväntar sig fler incidenter nästa år, men svaret är inte att stänga ner. Svaret är att ge medarbetarna godkända verktyg som är minst lika bra som de okontrollerade alternativen.
Det är precis vad vi gör på Walma. Vi bygger AI-assistenter som körs i kundens egen, isolerade miljö i Azure Sweden. All data stannar i Sverige. Varje kund har sin egen databas, sin egen URL, sin egen åtkomstkontroll. Medarbetarna får en AI som faktiskt svarar på deras frågor, med källhänvisningar till de interna dokumenten. Och IT-avdelningen kan se exakt vad som händer.
47 % av organisationerna implementerar nu specifika GenAI-kontroller, en ökning med 8 procentenheter sedan 2024. Trenden är tydlig. De som lyckas bäst är de som ger medarbetarna bättre alternativ, inte fler förbud.
Vad gör ni?
Nästa gång du hör att en medarbetare använder ChatGPT för att söka i era policydokument, fråga dig själv: varför har vi inget internt verktyg som gör samma sak, fast säkert?
