Datasikkerhed i AI-strategi: Fire klassifikationsniveauer du skal kende

Du har økonomisk data. Du har HR-data. Du har mødenoter. Du har konkurrenceintelligens. Du har kundesegmenteringer.

Du vil lade en AI analysere det.

Men hvor meget af det data kan du trygt sende til en AI-tjeneste?

Det spørgsmål er ikke trivielt. Og svaret er: ikke alt. Men med de rigtige klassifikationsniveauer kan du sende meget mere end du tror.

Firelagssystemet

Der er fire klassifikationsniveauer for virksomhedsdata:

1. PUBLIC

Alt hvad som kan være offentligt uden problem.

Eksempler: industrirapporter, offentliggjort konkurrentdata, åbent publicerede finanser, case studies som I selv har fremstillet, offentlige markedsrapporter.

Behandling: PUBLIC-data kan sendes til hvem som helst. Cloud AI, lokale modeller, eksterne konsulenter. Der er ingen sikkerhedsgrænse.

En AI kan uden bekymring sige "jeg analyserede din konkurrents offentligjort årsrapport."

2. INTERNAL

Data som er virksomhedsspecifikt men ikke fortroligt.

Eksempler: interne strateginoter, mødesamlinger, interne analyser som ikke handler om løn eller privat information, processdokumentation, interne roadmaps, kunde-segmenterings-framework.

Behandling: INTERNAL-data kan sendes til AI-systemer, men kun hvis de er EU-baseret og under kontrol. Det betyder at data forbliver på EU-servere, har revision trail, og aldrig deles videre.

En AI kan analysere "jeres interne strateginotes fra Q2" hvis den er EU-hosted. Den kan ikke dele det videre til andre kunder eller til tredjeparter.

3. CONFIDENTIAL

Data som er følsomt og skal være begrænset.

Eksempler: finanstal under NDA, lønadministration, partner-forhold med vilkår, prisbeslutninger, ikke-offentlige kundedata, HR-evalueringer, M&A planering.

Behandling: CONFIDENTIAL-data skal være meget restriktivt håndteret. Hvis det skal til en AI skal det kun gøre med ekstra kontrol: en AI-system som er lokalt kørt (på din egen server), har en dedicated audit trail, og betingelser der forbyder videreudvikling eller training.

En AI kan ikke uden videre analysere "jeres fortrolige partnerskabvilkår". Den kan gøre det hvis betingelserne helt ned til infrastructure er kontrolleret.

4. RESTRICTED

Data som aldrig skal til en AI.

Eksempler: personnumre, kreditkortdata, adgangskoder, tokens, hemmelige verifikationskoder, medicinske eller juridiske metadata, finansielle login-data.

Behandling: RESTRICTED-data skal aldrig sendes til nogen AI-system. Ikke engang til EU-baserede systemer. Ikke til lokale systemer. Det er data som systemet selv skal filtrere ud og blokere.

Hvis analysen behøver kontekst omkring RESTRICTED-data skal den arbejde med anonymiseret eller pseudonymiseret versioner.

Data Guardian: Automatisk filtrering

360° Sprint bruger noget der hedder "Data Guardian" — et system som automatisk klassificerer og filtrerer data før det sendes til AI'en.

Data Guardian kender 9 PII-mønstre (Personally Identifiable Information):

• Personnumre (danske CPR-numre)
• Kreditkortnumre
• Bankkonto-identifikatorer
• Email-adresser i liste-form (når der er mange på én gang)
• Telefonumre
• Medicinske journalnumre
• Juridiske kasenumre
• Finansielle account IDs
• Adgangskoder eller tokens

Hver gang data skal sendes til AI'en scanner Data Guardian det og fjerner automatisk alt der matcher disse mønstre. Hvis systemet finder det, blokerer det og advarer dig.

Det betyder at selv hvis du ved fejl kopierer et stykke data der indeholder et personnummer er systemet designet til at fange det før det når AI'en.

Praktisk implementering

For at opsætte klassifikationssystemet i din organisation:

1. Identificer dine datakategorier

Hvad slags data handler dit virksomhedsintelligens om? I de fleste tilfælde:

• Markedsdata (PUBLIC)
• Interne strateginoter (INTERNAL)
• Finanstal (CONFIDENTIAL)
• Løn + HR (CONFIDENTIAL)
• Kundedata hvis der er personligt der (RESTRICTED)

2. Definer klassificering for hver kategori

En liste som siger: "Mødesamlinger er INTERNAL. Lønadministration er CONFIDENTIAL. Personnumre er RESTRICTED."

Det er ikke kompliceret. Det tager 30 minutter at skrive ned.

3. Instruér teamet

Din leder siger: "Når du leverer data til strategianalysen skal du klassificiere det. Høj usikkerhed? Tag CONFIDENTIAL som sikkerhedsmargin."

4. Sæt op i systemet

360° Sprint-opsætningen lader dig definere klassificering på felt-niveau. Du siger: "Dette felt er RESTRICTED. Denne tabel er INTERNAL."

Systemet håndhæver det.

Hvorfor dette gør AI-strategi sikker

Uden klassificering: du sender alt til skybaseret AI. Du håber det er sikkert. Du ved det ikke.

Med klassificering: du sender kun hvad der er trygt at sende. INTERNAL-data til EU-servere under kontrol. CONFIDENTIAL arbejdes på lokale systemer. RESTRICTED blokeres helt.

Resultatet: du kan få 80% af fordelene ved AI-assisteret analyse uden at kompromittere sikkerhed.

Du kan analysere "her er vores strategi, her er markedet, her er konkurrenterne" uden at skulle bekymre dig om at lønadministration eller kunders personnumre kommer væk.

Compliance og audit

En anden fordel: når data klassificeres er der en audit trail. Hvis noget går galt kan du se præcis hvad der blev sendt hvornår. Hvis du skal gøre rede for det til revisor, Datatilsynet eller andre kan du dokumentere: "her er præcis hvad vi brugte, hvor det gik hen, hvem havde adgang."

Den dokumentation er ikke bare sikkerhed. Det er også compliance-dokumentation.

Start her

Hvis du ikke har klassificering for dine data endnu:

1. Spørg dig selv: "Hvilken data ville være problematisk hvis den blev offentlig?" 2. Den data er mindst CONFIDENTIAL. 3. Alt andet handler under INTERNAL eller PUBLIC. 4. Startpunktet for dig er at definere din egenskab og komme i gang.

Du skal ikke have perfekt sikkerhed for at starte. Du skal have bevidsthed om hvad data betyder og hvordan du behandler det.

Med klassifikation på plads kan du bruge AI til at analysere langt mere af din virksomhed uden at skulle bekymre dig om sikkerhed.

Det er hvor AI-assisteret strategi bliver til virkelighed i en sikker ramme.