En marketingchef kopierer en konkurrentanalyse ind i ChatGPT for at lave et oplæg til ledelsen. En controller uploader kvartalsregnskabet til et AI-værktøj for at bygge en prognosemodel. En HR-medarbejder bruger en AI-tjeneste til at screene ansøgninger. Ingen af disse værktøjer er godkendt af IT. Ingen er vurderet af juridisk afdeling. Ingen overholder virksomhedens datapolitik.
Det er shadow AI — og ifølge Gartner udgør det over halvdelen af al AI-brug i virksomheder.
À retenir
- Shadow AI er brug af AI-værktøjer uden virksomhedens godkendelse — Gartner estimerer, at det udgør over 55% af al AI-brug
- Risikoen omfatter datalæk, GDPR-brud, tab af forretningshemmeligheder og manglende AI-forordnings-compliance
- Forbud virker ikke — løsningen er godkendte værktøjer, klare politikker og uddannelse
- AI-forordningens Artikel 4 kræver, at virksomheder sikrer AI-kompetence — shadow AI er det modsatte
Hvad er shadow AI?
Shadow AI er brugen af kunstig intelligens-værktøjer i en virksomhed uden IT-afdelingens eller ledelsens godkendelse. Begrebet er en direkte parallel til shadow IT — uautoriseret brug af software og tjenester — men med en afgørende forskel: AI-værktøjer behandler, analyserer og lagrer data på måder, der skaber langt større risici end et ikke-godkendt regneark.
Eksempler på shadow AI i danske virksomheder:
- Gratis ChatGPT-konti brugt til at bearbejde interne dokumenter, kundedata eller strategiske planer
- AI-oversættelsesværktøjer der modtager fortrolige kontrakter og aftaler
- AI-billedgenerering med materiale, der indeholder varemærker eller persondata
- Uautoriserede browser-plugins der anvender AI til at analysere e-mails og dokumenter
- AI-kodningsassistenter med adgang til proprietær kildekode
Det centrale problem er ikke, at medarbejderne vil skade virksomheden. De vil være mere produktive. Men de forstår ikke de risici, der følger med.
55%+
af al AI-brug i virksomheder sker uden IT-godkendelse ifølge Gartner — det er shadow AI
Source : Gartner, AI in the Enterprise 2025
Hvorfor opstår shadow AI?
Shadow AI er ikke et teknisk problem — det er et organisatorisk problem. Det opstår, når tre ting er til stede samtidig:
1. AI-værktøjer er let tilgængelige
ChatGPT, Gemini, Claude og hundredvis af andre AI-tjenester er gratis eller billige, kræver ingen installation og fungerer i en browser. Der er ingen teknisk barriere.
2. Virksomheden har ingen klar AI-politik
Når medarbejderne ikke ved, hvilke værktøjer der er godkendte, hvilke data der må bruges, og hvem der har ansvaret, finder de selv løsninger. Ifølge en undersøgelse fra McKinsey (2025) har under 30% af europæiske virksomheder en formel AI-politik.
3. Medarbejderne mangler uddannelse
Uden AI-uddannelse forstår medarbejderne ikke forskellen mellem at bruge et AI-værktøj til personlige formål og til at behandle virksomhedens data. De ser produktiviteten — ikke risikoen.
Den mest almindelige årsag til shadow AI er ikke ond vilje, men fravær af alternativer. Når virksomheden ikke tilbyder godkendte AI-værktøjer, finder medarbejderne selv løsninger — og det sker uden kontrol, uden logning og uden compliance.
Risiciene ved shadow AI
Datalæk og brud på fortrolighed
Når en medarbejder kopierer kundedata, finansielle oplysninger eller strategiske dokumenter ind i et eksternt AI-værktøj, forlader dataen virksomhedens kontrol. Mange AI-tjenester bruger brugerinput til at træne deres modeller, hvilket betyder, at fortrolige oplysninger potentielt kan dukke op i andre brugeres resultater.
GDPR-overtrædelser
Under GDPR er virksomheden dataansvarlig — også når en medarbejder overfører persondata til et uautoriseret AI-værktøj. Datatilsynet har allerede præciseret, at brugen af AI-tjenester med persondata kræver en databehandleraftale, en DPIA og et lovligt behandlingsgrundlag. Shadow AI opfylder typisk ingen af disse krav.
Manglende AI-forordnings-compliance
AI-forordningens Artikel 4 kræver, at virksomheder sikrer tilstrækkelig AI-kompetence hos alle, der arbejder med AI-systemer. Shadow AI er per definition ukontrolleret AI-brug uden kompetencesikring — det er det direkte modsatte af, hvad forordningen kræver.
Tab af intellektuel ejendomsret
Når proprietær kode, produktdesigns eller forretningsstrategier indtastes i AI-værktøjer, risikerer virksomheden at miste rettigheder over sit eget materiale. Adskillige internationale retssager har allerede sat spørgsmålstegn ved ejerskab af AI-genereret output baseret på proprietær input.
73%
af medarbejdere, der bruger AI på arbejdet, gør det uden IT-afdelingens viden ifølge Salesforce
Source : Salesforce, Generative AI Snapshot Research 2025
Sådan opdager I shadow AI
At opdage shadow AI kræver en kombination af tekniske og organisatoriske tiltag:
Teknisk tilgang
- Netværksovervågning: Identificér trafik til kendte AI-tjenester (openai.com, gemini.google.com, claude.ai, m.fl.) fra virksomhedens netværk
- Endpoint-analyse: Gennemgå installerede browser-plugins og applikationer for AI-funktionalitet
- Cloud Access Security Broker (CASB): Brug CASB-værktøjer til at opdage og kategorisere uautoriseret SaaS-brug, herunder AI-tjenester
- Log-analyse: Gennemgå SSO- og identitetsplatforms-logs for tilmeldinger til AI-tjenester med virksomhedens e-mailadresser
Organisatorisk tilgang
- Anonym spørgeundersøgelse: Spørg medarbejderne direkte, hvilke AI-værktøjer de bruger, til hvad, og hvorfor. Garantér anonymitet for at få ærlige svar
- Afdelingsinterviews: Tal med afdelingsledere om deres teams AI-brug — mange er bevidste om det, men har ikke rapporteret det
- Dataklassificeringsgennemgang: Identificér følsomme datasæt og vurdér, om de potentielt er blevet eksponeret for AI-værktøjer
Målet med at opdage shadow AI er ikke at straffe medarbejdere, men at forstå omfanget og skabe et grundlag for governance. En straffebaseret tilgang vil blot drive brugen længere under radaren.
Fra shadow AI til styret AI: en governance-ramme
Trin 1: Kortlæg den aktuelle situation
Gennemfør en shadow AI-audit som beskrevet ovenfor. Dokumentér hvilke værktøjer der bruges, af hvem, til hvad og med hvilke data. Dette er jeres baseline.
Trin 2: Etablér en AI-politik
Udarbejd en klar AI-politik der som minimum dækker:
- Godkendte værktøjer: Hvilke AI-tjenester må medarbejderne bruge?
- Dataklassificering: Hvilke typer data må og må ikke bruges i AI-værktøjer?
- Ansvarsfordeling: Hvem er ansvarlig for at godkende nye AI-værktøjer?
- Rapporteringsproces: Hvordan anmelder medarbejdere behov for nye AI-værktøjer?
- Konsekvenser: Hvad sker der ved overtrædelse?
Trin 3: Tilbyd godkendte alternativer
Den vigtigste faktor for at reducere shadow AI er at give medarbejderne godkendte AI-værktøjer, der rent faktisk dækker deres behov. Virksomheder, der kun forbyder AI uden at tilbyde alternativer, ser typisk en stigning i shadow AI.
Trin 4: Gennemfør AI-uddannelse
AI-uddannelse er den mest effektive langsigtede løsning. Når medarbejderne forstår risiciene ved uautoriseret AI-brug — og ved, hvordan de bruger godkendte værktøjer korrekt — falder shadow AI markant.
Uddannelsen skal dække:
- Hvad shadow AI er, og hvorfor det er en risiko
- Virksomhedens AI-politik og godkendte værktøjer
- GDPR og AI-forordningens krav til AI-kompetence
- Praktiske eksempler på sikker og usikker AI-brug
Trin 5: Monitorér løbende
Shadow AI er ikke et problem, der løses én gang. Nye AI-værktøjer lanceres konstant, og medarbejdernes behov ændrer sig. Etablér løbende monitorering og en fast kadence for review af jeres AI-politik.
Shadow AI og AI-forordningen
AI-forordningen gør shadow AI til mere end et sikkerhedsproblem — det er nu også et compliance-problem med potentielle bøder.
Artikel 4 kræver, at virksomheder sikrer AI-kompetence hos alle, der arbejder med AI-systemer. Shadow AI er per definition AI-brug uden kompetencesikring, og det kan betragtes som en direkte overtrædelse. Bøden for manglende overholdelse af Artikel 4 kan nå op til 15 millioner euro eller 3% af global omsætning.
Derudover gælder: hvis medarbejdere bruger højrisiko-AI-systemer uden virksomhedens viden, kan virksomheden overtræde kravene til risikovurdering, registrering og menneskeligt tilsyn — selv uden at være klar over det.
Brain hjælper danske virksomheder med at gå fra shadow AI til styret AI: struktureret AI-uddannelse tilpasset jobfunktion, kompetencedokumentation der opfylder Artikel 4, og værktøjer til løbende compliance-sporing — alt på dansk.
Ofte stillede spørgsmål
Er shadow AI ulovligt? Shadow AI er ikke i sig selv ulovligt, men det kan føre til overtrædelser af GDPR, AI-forordningen og andre regler. Virksomheden bærer ansvaret, selv når det er individuelle medarbejdere, der bruger uautoriserede værktøjer.
Hvad er forskellen på shadow AI og shadow IT? Shadow IT dækker al uautoriseret teknologibrug. Shadow AI er en delmængde, der specifikt handler om AI-værktøjer. Shadow AI er mere risikabel, fordi AI-værktøjer aktivt behandler og potentielt lagrer de data, de modtager.
Skal vi forbyde AI for at stoppe shadow AI? Nej. Forbud fører typisk til mere shadow AI, ikke mindre. Medarbejderne finder alternative adgangsveje. Den effektive tilgang er at tilbyde godkendte værktøjer, klare regler og grundig uddannelse.
Hvordan dokumenterer vi, at vi håndterer shadow AI? Dokumentér jeres AI-politik, godkendte værktøjer, gennemført uddannelse og løbende monitorering. Denne dokumentation er relevant både for GDPR-tilsyn og for compliance med AI-forordningen.
Næste skridt
Shadow AI forsvinder ikke af sig selv — det vokser, i takt med at nye AI-værktøjer bliver tilgængelige. Danske virksomheder, der handler nu, reducerer risikoen markant og etablerer det governance-fundament, som AI-forordningen kræver.
Brain giver jeres virksomhed en struktureret vej fra uautoriseret AI-brug til styret AI-adoption: uddannelse, politik og kompetencedokumentation — tilpasset jeres branche og på dansk.
Relaterede artikler
AI-risici for virksomheder: matrice og handlingsplan
Identificer og håndter AI-risici i din virksomhed. Konkret risikomatrice, mitigering og compliance-tjekliste til ledere.
AI Act i Danmark: krav + tidsplan (2026)
AI-forordningen for danske virksomheder — Artikel 4, krav, tidsplan, Datatilsynets rolle og konkrete compliance-skridt.
AI Act Danmark: komplet handlingsplan (2026)
AI-forordningen i Danmark: krav, Artikel 4, sanktioner, Datatilsynet og trin-for-trin handlingsplan for virksomheder.