Du sidder med dit ledeteam og skal evaluere hvad der skal ske ved det nye kundesegment. Nogen siger: "Vi kan bare spørge ChatGPT om hvad data siger."
Og så tænker du: hvad hvis vi ligger kunde-email'er, salgspipeline, eller lønfordelinger derinde? Vi er danske. GDPR gælder for os.
Her holder mange SME'er op. De tror AI-strategi betyder at lække data til Silicon Valley.
Det behøver ikke være tilfældet. Men man skal vide hvad man gør.
Hvis du gerne vil bruge AI i strategiarbejdet uden at riskere GDPR-bøder, eller uden at give andres data væk, er her hvordan.
Hvad data-typerne er
Først: hvad er strategiarbejde egentlig lavet af?
Kunddata: liste over navn, email, køb, alder. Når du analyser dit kundesegment bruger du de tal.
Finansdata: omsætning, udgifter, kundemargin, lederløn. Når du planlægger budgetter bruger du det.
Konkurrentintelligens: artikler om rivaler, deres priser, deres ads. Det er offentligt men du skal være forsigtig med hvordan du bruger det.
Medarbejderdata: antal personer, departementer, sygefravær, uddannelse, løn. Når du planlægger ressourcer bruger du det.
Interne dokumenter: mødereferater, mailtråde, strategi-draft. Ofte indeholder det følsomme diskussioner.
Hver type har forskellig GDPR-risiko.
Klassificeringssystemet: 4 niveauer
GDPR har ikke "offentlig/hemmeligt." Men det gør god praksis.
PUBLIC (offentlig) Åben data som dine prisark, offentlige links, pressemeddelser. Når du siger "vi er 60 mand" til journalisten — det er PUBLIC. AI kan arbejde med det uden restriktioner.
INTERNAL (intern) Data som kun nogle ansatte skal se. F.eks. antal salgsreps og deres region-fordeling. Data der ikke ville skade hvis det kom ud, men som er virksomheds-intim. AI kan arbejde med det, men det skal ikke ud til cloud-udbydere du ikke kender.
CONFIDENTIAL (fortroligt) Data hvor lækage ville koste. Kundelister. Lukrative kunders kontraktvilkår. Lederlønninger. Teknisk roadmap. Når du sender CONFIDENTIAL data til AI skal det være EU-hosted og kontraktsat.
RESTRICTED (strengt hemmeligt) Data som aldrig skal til AI. Unikke kunders aflåsningskoder. Creditcard-data. Sundhedsdata om medarbejdere. Kriminel data. RESTRICTED skal ikke sendt til analyse-AI'er overhovedet — kun håndteret af mennesket.
Når du starter et strategiarbejde: klassificér først hvilket niveau hver datakilde er. Det er et 5-minutter spørgsmål.
Data Guardian: Den automatiske blokkør
Nu kommer den smarte del. Der er et system der hedder Data Guardian der kan detektere beskyttet data automatisk.
Det har 9 mønstre indbygget:
1. Personnumre: når det ser "000101-XXXX" eller lignende blokerer det. 2. Email-adresser: når det ser "john@company.com" registrerer det at det er persondata. 3. Creditcard-numre: når det ser mønstre som "4532 1234 5678 9010" blokerer det. 4. Lukkede lukrative kundenavne: hvis du har konfigureret at "Store Bank A/S" aldrig skal til AI, og nogen prøver at sende "Store Bank," detekteres det. 5. Lønnumre: mønstre der ser ud til at være månedsløn eller årsløn blokeres. 6. Patentbeskrivelser: hvis du har stempling som "Patentansøgning" på en dokument blokeres det automatisk. 7. Medicinsk data: når det ser "patientnummer" eller sundhedsnotater. 8. Finansielle notater: "CONFIDENTIAL FINANCIAL PROJECTION" eller lignende flagges. 9. Custom patterns: du kan tilføje dine egne mønstre. F.eks. hvis du aldrig vil dele "møbeldesign-patent" flagges det når nogen prøver.
Hvordan virker det i praksis?
Du setter en strategi-node op: "Analyser vores top 10 kundesegmenter." Du loader en datasæt med kundelister. Data Guardian scanner dokumentet. Den finder at der står "Kundesegment A: Store Fabrik A/S, årligt køb 2,3M kr, kontaktperson: erik@storefabrik.dk"
Systemet siger: "STOP. Dette indeholder personalcifre (email), finansdata (2.3M), og kundenavn som jeg ser er klassificeret CONFIDENTIAL. Du kan ikke sende det til en standard cloud-AI. Vil du i stedet: 1. Fjerne navne og mailadresser og beholde kun antal køb? (det kan sendes) 2. Bruge en EU-hosted AI med CONFIDENTIAL-kontrakt? 3. Lave analysen uden AI-hjælp?"
Det er sikkert uden at være rigid.
Output Guard: Når AI kan lække
Nu har du sendt data. Data Guardian godkendte det. AI kommer med et svar.
Her kommer Output Guard ind.
Output Guard sikrer at AI'en ikke lækkede hemmelig data i sit svar.
Scenario: Du spurgte "Hvad handler vores top 5 kundesegmenter mest?" AI'en svarede: "Jeres top segment er Store Fabrik A/S som køber for 2.3M årligt." Du ville bare have været fortalt "Top segment køber 40% af jeres volumen."
Output Guard detekterer at AI'en skrev det specifikke kundenavn og beløb. Før det kommer til dig blokerer det svar. Du får i stedet anonymiseret svar: "Top segment køber 40% af volumen."
Pointen: selv hvis fejl sker — selv hvis du sender data du ikke skulle have sendt — output guard fanger det på vejen ud.
Output Guard + Data Guardian virker sammen
Lag 1: Data Guardian siger "Du kan ikke sende det data." Lag 2: Hvis data alligevel sendes (eller hvis en anden af dine agenter sender det uden at du ved det), Output Guard siger "AI må ikke sige det i svaret."
Det er som en lufthavn med både security og gate-kontrol.
Praktiske steps: Før du starter
Hvis du vil bruge AI i strategi uden GDPR-fald, gør dette:
Step 1: Klassificér dine datakilder (30 min) Hvad er PUBLIC, INTERNAL, CONFIDENTIAL, RESTRICTED?
En matrix kunne se sådan ud:
- Offentlige nyheder → PUBLIC
- Intern kundeliste med køb-beløb → CONFIDENTIAL
- Medarbejderaftale-vilkår → RESTRICTED
- Vedtægter fra 2019 → PUBLIC
- Gemte mødereferater hvor I diskuterede prislisten på hemmeligt produkt → RESTRICTED
Step 2: Konfigurér Data Guardian til dine mønstre (1 time) Ud over de 9 standard mønstre: hvad skal være RESTRICTED for jer?
- Nogle virksomheder: "Kundenavn skal aldrig til AI"
- Andre: "Alle finansprojektion skal blokeres"
- Nogle: "Patentbeskriving skal blokeres"
Skrive dine egne regler.
Step 3: Sæt CONFIDENTIAL-kontrakt hvis du bruger AI Hvis du bruger 360° Sprint eller anden AI-platform: tjek at den kun bruger EU-hosting (Scaleway Paris, Azure EU West, AWS Frankfurt). Få det i skrift. Det tager 1 email.
Step 4: Start lille Lad dine ledere prøve en analyse med PUBLIC data først. "Analyser vores 5 vigtigste markedstrends." Intet personligt. Se hvordan systemet virker. Derefter skalér til INTERNAL-niveau.
Fælles misforståelser
"Hvis AI er EU-hosted er det sikkert." Nej. EU-hosting hjælper, men hvis du sender uanonymiseret kundelister derfra er det stadig GDPR-brud. Data Guardian og klassificering først.
"Hvis det data er "anonymiseret" er det frit til AI." Næsten. Hvis du kan genkende kunden ud fra konteksten, er det stadig persondata i GDPR's øjne. "Kundesegment A", "Kundesegment B" uden navne er sikkert.
"Vi skal bare sige CIA at vi bruger AI og så er vi dækket." Du har ikke CIA i Danmark. Du skal være i compliance fra dag 1. Aftale med din juridiske konsulent før du delerData Guardian-setup.
"Hvis nogen AI-udbyder siger "vi sletter data efter 30 dage" er det sikkert." Ikke hvis du sendte det uden at skulle have. Slettelse efter fejl betyder ikke at fejlen var okay.
Hvad der skal ske inden næste SLT-møde
1. Print denne artikel 2. Giv den til din juridiske konsulent: "Vi vil bruge AI i strategi. Hvad skal vi være opmærksom på?" 3. Spørg din IT-chef: "Hvis vi bruger 360° Sprint, hvor ligger data?" 4. Næste møde: kig på dine strategidata, klassificér dem, bestem hvad der kan sendes til AI
Hvis du gør det bliver AI ikke farligt. Det bliver værktøj.
Og hvis du ikke gør det bliver du den leder der sendte kundelister til en cloud-AI uden at tænke sig om. Dårlig stil.
GDPR og AI kan arbejde sammen. Men det kræver at du er bevidst først.