top of page
Search

Ta kontroll på AI i virksomheten: Fra strategi til teknisk sikring med Purview DLP

  • Writer: Bjørnar Aassveen
    Bjørnar Aassveen
  • Sep 23
  • 4 min read

AI-verktøy har på kort tid blitt en naturlig del av hverdagen for mange ansatte. De gir økt produktivitet og nye muligheter, men også nye risikoer. Uten klare retningslinjer og tekniske kontroller kan sensitive data havne i uautoriserte tjenester, noe som kan føre til brudd på GDPR, tap av forretningshemmeligheter og manglende etterlevelse av kommende regelverk som EU AI Act.


Før du går i gang: Finn din AI-strategi

Før du setter opp tekniske sperrer som DLP-policyer, er det avgjørende å ha et bevisst forhold til hvordan virksomheten skal bruke AI, dette er et bilde som kan endre seg fortløpende da teknologien løper raskere enn joggeskoene til ledelsen, men et sted må man starte. Dette handler ikke bare om hvilke verktøy som er godkjent, men også om hvilke data som kan deles, hvilke prosesser som kan automatiseres, og hvilke risikoer som må håndteres.


Som en god start:

  • Kartlegg hvilke AI-tjenester som brukes i dag (både godkjente og uautoriserte). (Her har man gode verktøy som DSPM for AI og DLP policyer i simuleringsmodus)

  • Definer hvilke tjenester som skal være tillatt, og hva de kan brukes til.

  • Etabler retningslinjer for bruk av AI, inkludert opplæring av ansatte.

  • Forankres i en AI-strategi som støtter virksomhetens mål, men samtidig ivaretar sikkerhet og etterlevelse.


EUs AI Act, som trer i kraft gradvis fra 2026, stiller tydelige krav til kontroll og styring av AI-systemer. Regelverket bygger på en risikobasert tilnærming, der høyrisiko AI-systemer må oppfylle strenge krav til transparens, sporbarhet og ansvarlighet. Virksomheter må kunne dokumentere hvilke AI-verktøy som brukes, og hvordan de håndteres. Brudd kan gi bøter på opptil 7 % av global omsetning eller €35 millioner, noe som er høyere enn GDPR-nivåene.


Kort sagt: Å ha oversikt og kontroll på AI-bruken er ikke bare god praksis, det blir lovpålagt.

Videre i denne posten viser jeg hvordan du kan sette opp en DLP-policy i Microsoft Purview som blokkerer opplasting av filer til uautoriserte AI-verktøy.

Dette bygger videre på innlegget mitt om Purview Browser Extension, som er en forutsetning for at dette skal fungere i nettleseren.


Viktig! Og verdt å gjenta:

Å blokkere opplasting av filer til uautoriserte AI-verktøy handler ikke bare om teknisk kontroll, det er en kritisk del av virksomhetens sikkerhets og compliance strategi, det vil også komme krav til dette i EU AI Act. Flere AI-leverandører bruker opplastede data til å trene og forbedre modellene sine. Dette kan føre til at sensitiv informasjon blir en del av en modell som du ikke har kontroll over.


  • Når du laster opp data til en AI-tjeneste, kan dataene bli lagret på servere utenfor EU, noe som kan bryte med GDPR og virksomhetens egne retningslinjer for datalagring.

  • Uautoriserte AI-verktøy (som alle andre ukjente IT verktøy hvor du bruker interne data) har som regel ikke en databehandleravtale med virksomheten. Dette betyr at du ikke har juridisk grunnlag for å dele data med dem.

  • Bruk av uautoriserte AI-verktøy utenfor virksomhetens kontroll skaper et uoversiktlig risikobilde og gjør det vanskelig å implementere en helhetlig sikkerhetsstrategi.


Det hadde jo vært kjedelig om all data du matet inn i en AI tjeneste endte opp hos konkurrenten direkte? 🕵️

ree



Aassveen AS har i sin AI strategi besluttet å bruke Copilot som det eneste godkjente AI verktøyet. (Blunk blunk Microsoft). Etter en god runde med forankring og informasjon har jeg nå strammet inn reglene for bruk av AI tjenester ved å bruke DLP regler i Purview.


Oppsett av DLP-policy


1. Gå til Microsoft Purview

Naviger til Data Loss Prevention → Policies → Create policy.

ree

2. Velg hvilke type data du skal beskytte

→ Data stored in connected sources → Gi policyen et navn, eksempelvis "AI regulering"


3. Definer omfang

→ Devices → scope det evt. på en gruppe med enheter eller brukere

ree

4. Definer betingelser

→ I mitt tilfelle er betingelsen for at regelen skal treffe at det er en av de definerte filtypene under:

ree

5. Sett opp handlinger

→ Definer hvilke handlinger som skal skje når betingelsene treffer. I mitt eksempel under har jeg valgt at all opplasting og copy/paste til nettleser innenfor domene restriksjonene blokkeres.

ree

Her har jeg valgt å bruke en standard gruppe fra Microsoft "Generativ AI websites", dette er en standard gruppe som ikke kan endres men vedlikeholdes og oppdateres av Microsoft. https://learn.microsoft.com/en-us/purview/ai-microsoft-purview-supported-sites


ree

Om du ønsker å basere policyen på din egendefinerte gruppe kan denne settes opp her:

→ Settings → Data Loss Prevention → Endpoint DLP settings → Browser and domain restrictions to sensitive data.

ree

Når policyen nå er satt opp ferdig har du blokkert opplasting av filer til en rekke AI tjenester.


Tips:

•             Start med Audit mode for å se omfanget før du går til Block mode.

•             Om du velger å bruke din egen gruppe for sider, husk å oppdatere den jevnlig!



AI gir enorme muligheter – men uten kontroll blir det en ny type risiko med glitter på (hilsen Bjørnar, 33, med sølvfoliehatt 🥸)


Å slippe uregulert AI løs i virksomheten uten kontroll er som å gi nøklene til huset ditt til en fremmed fordi han har en kul robotstemme, som kan skrive dikt og morsomme tekster på inn og utpust.


  • Finn din AI-strategi: Hvilke verktøy er lov? Hva skal de brukes til? Og hva er absolutt forbudt?

  • Husk EU AI Act: Snart blir det ikke bare lurt å ha kontroll, det blir lovpålagt. Og bøtene? De får GDPR til å se ut som småpenger.

  • Ikke stol blindt på AI-tjenester: Mange “gratis” verktøy er egentlig data-slukere som trener modeller på dine filer, og hvem vet hvor de havner? Kanskje hos konkurrenten din.


Bjørnar&(regulert)AI

Comments

bottom of page