Den daglige eksponeringsmatematikken
Cyberhaven's forskning fant at ansatte i bedrifter gjør i gjennomsnitt 3.8 sensitive datainnsendinger til ChatGPT per bruker per dag. For et kundestøtteteam på 100 personer, oversettes dette tallet til 380 tilfeller av sensitiv data som kommer inn i ChatGPT daglig — hvert tilfelle kan potensielt utgjøre et brudd på GDPRs dataminimeringsprinsipp under artikkel 5(1)(c), som krever at personopplysninger skal være "tilstrekkelige, relevante og begrenset til det som er nødvendig."
Tallet 3.8 er ikke et tall for ansatte som ignorerer policy. Det reflekterer vanlig arbeidsflytoppførsel: agenter kopierer kundekorrespondanse for å utarbeide svar, limer inn klagetekst for å generere empatiske oppfølgninger, inkluderer kontodetaljer for å få kontekstsensitive forslag. Hver innsending er en legitim produktivitetshandling som tilfeldigvis inkluderer personopplysninger. Den ansatte bestemte ikke å eksponere kundedata; eksponeringen var et biprodukt av å bestemme seg for å bruke et AI-verktøy effektivt.
En EU-revisjon i 2024 fant at 63% av ChatGPT-brukerdata inneholdt personlig identifiserbar informasjon. Bare 22% av brukerne visste at de kunne velge bort datainnsamling gjennom ChatGPTs innstillinger. Kombinasjonen — de fleste data inneholder PII, de fleste brukere er uvitende om kontroller — gir systematisk daglig eksponering i stor skala på tvers av enhver organisasjon som ikke har implementert tekniske kontroller.
Hvorfor atferden ikke kan trenes bort
Kopier-og-lim arbeidsflyten er dypt vanedannende. Brukere har kopiert og limt inn tekst som en grunnleggende datamaskininteraksjon i flere tiår. Tillegget av en AI-chatbot som et mål for limt tekst endret ikke den underliggende atferden; det utvidet et etablert mønster til et nytt mål.
Policytrening som sier "ikke lim inn kundens PII i ChatGPT" krever at ansatte setter inn en klassifiseringsbeslutning — "inneholder denne teksten PII?" — i en vanedannende handling som ikke naturlig inkluderer en pause. Treningseffekten avtar ettersom atferden går tilbake til vane. Hver enkelt limbeslutning er en lavrisiko mikrobeslutning; den kumulative effekten av 380 daglige beslutninger er en systematisk samsvarsrisiko som policytrening ikke pålitelig kan håndtere.
Den tekniske løsningen opererer på laget der vane dannes: selve limhandlingen. Chrome-utvidelsen fanger opp innholdet i utklippstavlen i det øyeblikket det limes inn, før innholdet når inndatafeltet. Inngrepet er ikke en policyhåndhevelsesbarriere (brukere kan alltid overstyre) — det er et transparensverktøy. Forhåndsvisningsvinduet viser den ansatte hva som ble oppdaget, og gir dem et øyeblikk med synlighet inn i klassifiseringsbeslutningen før de går videre.
For lederen av støtteteamet i det tyske e-handelsfirmaet som utarbeider svar på kundeklager: arbeidsflyten forblir "kopier klage, lim inn i ChatGPT, generer svar." Chrome-utvidelsen legger til en 2-sekunders pause der agenten ser at navn, adresser og ordrenumre ble oppdaget og vil bli anonymisert før innsending. Agenten klikker på fortsett. Arbeidsflyten fortsetter. Bruddet på samsvar skjer ikke.
Kilder: