Problemet
77% av ansatte skriver inn sensitive data i AI-chatbots (LayerX 2025). Tradisjonell DLP kan ikke avskjære browser-baserte AI-forespørsler.
Dette er problemet som må løses: arbeidstakere bruker ChatGPT, Claude, Gemini og DeepSeek hver dag, og de skriver inn kundedata, finansielle tall, kodebase og interne strategi. Selv med MDM og device management kan IT-ledere ikke se hva som legges inn i disse verktøyene.
Tilnærming 1 - Blokkering (Nightfall)
Nightfall's browsersikkerhetprodukt (lansert mars 2026) blokkerer PII før det forlater organisasjonen.
Hvordan det fungerer
Nightfall avskjærer:
- Filopplastinger til AI-verktøy
- Utklipp fra utklippstavlen (copy-paste)
- Skjermbilder som sendes til tjenester
- Skjemainnsendinger (søkefelter, tekstområder, etc.)
Nettsteddekning: Chrome, Edge, Firefox, Safari + Slack, GitHub, Google Drive, Salesforce, Zendesk, M365
Endepunktdekning: USB-enheter, utklippstavle, Git/CLI
Styrker
- Null dataoverføring — data forlater aldri organisasjonen
- Policysforsvar — IT kan håndheve streng kontroll
- Flerkanaldekning — browser + SaaS + endpoint
Begrensninger
- Avbryter arbeidsflyt — "nei, du kan ikke lime inn det" frustrerer brukere
- Shadow AI-drift — 71,6% av enterprise AI kjører på personlige kontoer utenfor MDM (LayerX 2025)
- Krever IT-distribusjon — MDM-avhengig, ikke selvbetjening
- Enterprise-prising — ikke for små bedrifter eller enkeltpersoner
Tilnærming 2 - Anonymisering (anonym.legal)
anonym.legal Chrome-utvidelse (Manifest V3) detekterer og transformerer PII før det sendes til AI.
Hvordan det fungerer
-
Deteksjon: Detekterer 285+ enhetstyper på 48 språk
- Navn: "Maria Schmidt"
- E-poster: "john@example.com"
- Telefonnumre: "+47 123 45 678"
- Kredittkortnumre, personnumre, etc.
-
Anonymisering: Erstatter PII med tokens
Original: "Send notis til Maria Schmidt på maria@company.com" Anonymisert: "Send notis til [PERSON_1] på [EMAIL_1]" -
Kryptering: Reversibel AES-256-GCM-kryptering lagrer opprinnelige verdier
-
Respons: AI-svar blir de-anonymisert før de vises til brukeren
AI svar: "Notisen er sendt til [PERSON_1]" De-anonymisert: "Notisen er sendt til Maria Schmidt"
Styrker
- Uavbrutt arbeitsflyt — brukeren merker ingenting
- Fungerer på uhåndterte enheter — No IT-distribusjon nødvendig
- Reversibel — ikke irreversibel som blokkering
- GDPR Recital 26 samsvar — pseudonymisering, ikke anonymisering
- EU-servere — Hetzner, Tyskland, ingen USA-overføring
- Chrome Web Store — selvbetjening, 2 minutter installasjon
Begrensninger
- Deteksjonsøyaktighet — spaCy + Stanza + XLM-RoBERTa har små feilrater (NER alltid ~85-95%)
- Chrome-bare — Manifest V3 begrenset til Chrome (Edge støttes)
- Brukermedvirkning — må installeres manuelt (eller distribueres via MDM)
Sammenligning: Blokkering vs. Anonymisering
| Aspekt | Nightfall (Blokkering) | anonym.legal (Anonymisering) |
|---|---|---|
| Databehandling | Blokkerer, ingen overføring | Anonymiserer, sender svarene, reversibel |
| Arbeitsflyt | Avbryter («nei»-dialoger) | Uavbrutt (transparent) |
| Uhåndterte enheter | Nei (krever MDM) | Ja (selvbetjening) |
| Nettleserabonnement | Chrome, Edge, Firefox, Safari | Chrome, Edge (Manifest V3) |
| SaaS-overvåking | Ja (Slack, Drive, etc.) | Chrome-fokusert, AI-verktøyer |
| Admin/IT nødvendig | Ja | Nei |
| Startpris | Enterprise (uverifisert) | €0 gratis, €3/mnd pro |
| Dataplassering | Ikke angitt | EU (Hetzner, Deutschland) |
| Enhetstyper | Ukjent | 285+ på 48 språk |
| Språk | Ikke angitt | 48 (inkl. arabisk, kinesisk, hebraisk) |
| Reversibilitet | Nei (irreversibel) | Ja (AES-256-GCM) |
| GDPR-modell | Kontrollblokkering | Pseudonymisering (Recital 26) |
| Dekryptert respons | N/A | Ja (brukeren ser opprinnelig kontekst) |
Brukstilfeller
Bruk blokkering når
- Null-lekkasje er kritisk — juridiske operasjoner, patenter, M&A
- Organisasjonens policy tillater det — IT kan tvinge gjennom MDM
- Arbeidskraften er liten og datastyring er kritisk
Bruk anonymisering når
- Arbeitsflyt-avbrudd er ikke akseptabel — kundesupport, utvikler, forskning
- BYOD/personlige enheter — shadow AI dekkes
- Reversibilitet er nødvendig — "Hva var navn på den kunden?" må fungere
- Brukere mottar ikke IT-styrte enheter — SMB, freelancer, startups
Shadow AI: 71,6% av bedrift går andetsteds
LayerX 2025-rapporten viser et alvorlig faktum: selv når bedrifter forsøker å blokkere ChatGPT via proxy og MDM, bruker ansatte det på personlige kontoer på hjemmet.
- Personal device AI — 71,6% av enterprise AI på personlige kontoer
- Unmanaged endpoints — 82% av AI-innsendinger skjer utenfor organisasjonens kontroll
- Blokkering driver Shadow IT — Når bedrifter sier "nei til ChatGPT", jobber ansatte rundt det
Anonymisering håndterer dette problemet — det fungerer på alle enheter, og krever ingen IT-distribusjon.
Konklusjon: Komplementære verktøy
Blockering og anonymisering løser samme problem på ulike måter:
- Nightfall = "du skal ikke sende det"
- anonym.legal = "du kan sende det, men ikke PII"
Den beste strategien kombinerer begge:
- Organisasjoner: Bruk Nightfall for strict policy + anonym.legal for BYOD/shadow AI
- Enkeltpersoner: anonym.legal for arbeid på personlige ChatGPT-kontoer
- Advokater/leger: Nightfall for klientdata + anonym.legal for egen forskning
For detaljert sammenligning av anonym.legal med andre DLP-løsninger, se /compare/nightfall-dlp.