Den daglige eksponeringsmatematik
Cyberhaven's forskning har fundet, at virksomhedens medarbejdere laver i gennemsnit 3,8 følsomme dataindsættelser i ChatGPT pr. bruger pr. dag. For et kundesupportteam på 100 personer oversættes dette tal til 380 tilfælde af følsomme data, der dagligt kommer ind i ChatGPT - hvert tilfælde kan potentielt udgøre en overtrædelse af GDPR's dataminimeringsprincip under Artikel 5(1)(c), som kræver, at personoplysninger er "tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt."
Tallet 3,8 er ikke et tal for medarbejdere, der ignorerer politik. Det afspejler almindelig arbejdsadfærd: agenter kopierer kundekorrespondance for at udarbejde svar, indsætter klagetekst for at generere empatiske opfølgninger, inkluderer kontodetaljer for at få kontekstbevidste forslag. Hver indsættelse er en legitim produktivitetsaktion, der tilfældigt inkluderer personoplysninger. Medarbejderen besluttede ikke at eksponere kundedata; eksponeringen var et biprodukt af at beslutte at bruge et AI-værktøj effektivt.
En EU-revision i 2024 fandt, at 63% af ChatGPT-brugerdata indeholdt personligt identificerbare oplysninger. Kun 22% af brugerne vidste, at de kunne fravælge datainnsamling gennem ChatGPT's indstillinger. Kombinationen - de fleste data indeholder PII, de fleste brugere er uvidende om kontroller - producerer systematisk daglig eksponering i stor skala på tværs af enhver organisation, der ikke har implementeret tekniske kontroller.
Hvorfor adfærden ikke kan trænes væk
Copy-paste arbejdsflowet er dybt vanedannende. Brugere har kopieret og indsat tekst som en grundlæggende computerinteraktion i årtier. Tilsætningen af en AI-chatbot som destination for indsat tekst ændrede ikke den underliggende adfærd; det udvidede et etableret mønster til et nyt mål.
Politiktræning, der siger "indsæt ikke kundens PII i ChatGPT", kræver, at medarbejdere indsætter en klassifikationsbeslutning - "indeholder denne tekst PII?" - i en vanedannende handling, der ikke naturligt inkluderer en pause. Træningseffekten aftager, når adfærden vender tilbage til vane. Hver individuel indsætningsbeslutning er en lavrisiko mikrobeslutning; den kumulative effekt af 380 daglige beslutninger er en systematisk overholdelsesrisiko, som politiktræning ikke pålideligt kan adressere.
Den tekniske løsning opererer på det lag, hvor vane dannes: selve indsætningshandlingen. Chrome-udvidelsen opsnapper indholdet fra udklipsholderen i det øjeblik, det indsættes, før indholdet når inputfeltet. Opsnapningen er ikke en politikoverholdelsesbarriere (brugere kan altid tilsidesætte) - det er et gennemsigtighedsværktøj. Forhåndsvisningsmodalen viser medarbejderen, hvad der blev opdaget, hvilket giver dem et øjebliks synlighed i klassifikationsbeslutningen, før de fortsætter.
For teamlederen for den tyske e-handelsvirksomheds supportteam, der udarbejder svar på kundeklager: arbejdsflowet forbliver "kopier klage, indsæt i ChatGPT, generer svar." Chrome-udvidelsen tilføjer en 2-sekunders interlude, hvor agenten ser, at navne, adresser og ordrenumre blev opdaget og vil blive anonymiseret før indsendelse. Agenten klikker på fortsæt. Arbejdsflowet fortsætter. Overholdelsesbruddet opstår ikke.
Kilder: