En ny studie avslöjar att majoriteten av alla anställda använder AI-verktyg som inte är godkända av arbetsgivaren för att utföra sina arbetsuppgifter. Samtidigt anser de flesta företagsledarna att de har bra koll på medarbetarnas användning av verktygen.
Bakgrund
Studien, som genomfördes på uppdrag av säkerhetsföretaget Okta, undersökte företags användning av AI-verktyg som till exempel AI-agenter och AI-chattbottar. Huvudfokus var säkerhetsrelaterade aspekter och medarbetares efterlevnad av interna AI-policyer och regler för användning av AI-verktyg. Nästan 300 chefer och 500 medarbetare från företag i USA, UK, Australien, Kanada, Japan, Frankrike och Tyskland deltog.
Studiens resultat
Studiens resultat visade att majoriteten av medarbetarna (52 procent) använde otillåtna AI-verktyg, ofta via privata konton. De flesta av dem som använde otillåtna AI-verktyg (54 procent) delade interna meddelanden och e-postmeddelanden med AI-verktygen. Nästan hälften (45 procent) delade HR-relaterade uppgifter och över en tredjedel (39 procent) delade konfidentiella företagsdokument. Samtidigt uppgav de flesta chefer (58 procent) att deras organisation drabbats av en AI-relaterad säkerhetsincident eller liknande.
Gällande organisationers regler för användning av AI-verktyg ansåg majoriteten av cheferna (65 procent) att reglerna var ”mycket tydliga”. Däremot uppfattade de flesta medarbetare (57 procent) reglerna som otydliga, svåra att hitta eller obefintliga. Trots detta var nästan alla chefer (90 procent) övertygade om att de hade en god förståelse för den interna användningen av AI-verktyg. Vidare var de absolut flesta cheferna (95 procent) säkra på att anställda använde AI-verktyg på ett ansvarsfullt sätt.
Praktiska konsekvenser
Studien visar att det finns ett betydande glapp mellan organisationers regler för användning av AI-verktyg och den faktiska användningen som sker i den dagliga verksamheten. Samtidigt kan medarbetares otillåtna användning av AI-verktyg leda till allvarliga risker för organisationen, däribland regelbrott, sekretessbrott och avslöjandet av företagshemligheter.
Det är inte tillräckligt att upprätta interna regler för användning av AI-verktyg. För att minska riskerna till en acceptabel nivå krävs att reglerna implementeras på ett effektivt sätt och följs upp löpande. Ett sådant proaktivt arbete med intern regelefterlevnad är inte bara ett krav enligt relevant lagstiftning, såsom AI-förordningen, NIS2, DORA, GDPR eller OSL utan även en skyldighet som regelbundet åvilar parter i affärsavtal. Underlåtenhet att vidta effektiva riskhanteringsåtgärder kan således inte bara leda till sanktionsavgifter utan även till civilrättsliga krav på ersättning.
Kontakta oss
TechLaw bistår verksamheter i frågor som rör hantering av interna och externa risker relaterade till organisationens användning av artificiell intelligens. Läs mer om vår expertis inom artificiell intelligens (AI).
Har ni frågor är ni välkomna att kontakta Sebastian Berg, partner, jurist och beräkningsfysiker specialiserad inom IT-rätt och AI i teknikintensiva verksamheter.
Källa: Okta.