Ota yhteyttä

Varjotekoäly on täällä

Blogi Data ja AI Digitalisaatio
16.6.2026
Tekoälyllä piirretty kuva; kuvassa kannettava tietokone, kyniä sekä vihkoja, joista lähtee tietovanoja ulospäin.

Kukaan ei erityisesti päättänyt ottaa varjotekoälyä käyttöön. Se vain ilmestyi arkeen.

Markkinointipäällikkö alkoi kirjoittaa kampanjatekstejä ChatGPT:llä, lakimies laatia sopimusluonnoksen Claudella ja kehittäjä syöttää koodia Copilotiin debuggausta varten.

Tätä kutsutaan varjotekoälyksi, ja sitä on todennäköisesti jo organisaatiossasi enemmän kuin arvaatkaan.

Kuinka laajasta ilmiöstä on kyse?

Tarkkaa tietoa ei ole, mutta se voidaan sanoa, että varjotekoäly ei ole pieni ilmiö. Menlo Securityn raportin mukaan 68 % tekoälyä työssään käyttävistä teki sen henkilökohtaisilla tileillään yrityksen valvonnan ulkopuolella. Heistä 57 % oli syöttänyt arkaluonteista tietoa julkisiin tekoälypalveluihin.1

Software AG:n laajassa tutkimuksessa haastateltiin yli 6 000 tietotyöläistä. Heistä 75 % kertoi käyttävänsä tekoälyä työssään, mutta yli puolet teki sen organisaation virallisten kanavien ohi. Kolmannes kertoi käyttävänsä omia työkalujaan, koska työnantaja ei tarjonnut työssä tarvittavia vaihtoehtoja.2

Ilmiö on todellinen Suomessakin. Tilastokeskuksen mukaan 41 % suomalaisista käytti generatiivista tekoälyä vuonna 2025, ja 25–54-vuotiaista lähes 40 %:lla käyttö liittyi nimenomaan työhön tai ammattiin.3 Kansainvälisten havaintojen valossa on todennäköistä, että ainakin osa tästä käytöstä tapahtuu virallisten kanavien ohi ilman organisaation linjausta tai valvontaa.

Miten varjotekoäly eroaa varjo-IT:stä?

Varjo-IT on jo ennestään tuttu ilmiö. Sillä tarkoitetaan tilannetta, jossa työntekijät ottavat käyttöön esimerkiksi Dropboxin tai muun sovelluksen ilman IT:n hyväksyntää. Varjo-IT:ssä liikkuva tieto on tallessa, mutta väärässä paikassa.

Varjotekoälyssä tieto syötetään organisaation järjestelmien ulkopuoliselle tekoälymallille, joka prosessoi sen, oppii siitä ja voi toistaa sen osana muita vastauksia. Tieto vuotaa ulos hiljalleen ja huomaamatta jokaisen promptauksen myötä.

Varjotekoälyä on myös hankala havaita, koska se ei vaadi sovelluksen asennusta, vaan toimii selaimessa kuin mikä tahansa pilvipalvelu. Tämä näkyy esimerkiksi siinä, että IBM:n mukaan varjotekoälytapausten havaitseminen kestää keskimäärin 247 päivää ja ne maksavat organisaatiolle noin 670 000 dollaria enemmän kuin muut tietomurrot.4

Mitä dataa organisaatiostasi on jo lähtenyt?

Harmonic Securityn tutkimus kartoitti, millaista dataa valvomattomiin tekoälytyökaluihin syötetään. Yleisimmät kategoriat olivat seuraavanlaisia.5

  • Lähdekoodi (30 %): kehittäjät hakevat apua bugeihin ja arkkitehtuuriin.
  • Juridiset dokumentit (22 %): sopimusluonnokset, lausunnot, sisäiset ohjeet.
  • Yrityskauppa- ja strategia-aineisto (13 %): esitykset, analyysit, suunnitelmat.
  • Asiakastieto: yhteystiedot, tarjoukset, palautteet.

Jokainen näistä kategorioista voi sisältää henkilötietoja, liikesalaisuuksia tai muuta luottamuksellista tietoa. GDPR:n näkökulmasta kyse on henkilötietojen siirrosta kolmannelle osapuolelle ilman asianmukaista sopimusta. Tekoälyasetuksen näkökulmasta kyse on organisaation tekoälyjärjestelmien käytöstä ilman dokumentaatiota tai valvontaa.

Varjotekoäly syntyy käytännön tarpeesta

Varjotekoäly on merkki siitä, että organisaatio ei ole tarjonnut selkeitä vastauksia työntekijöiden peruskysymyksiin:

  1. Mitä tekoälytyökaluja saa käyttää ja mihin tarkoituksiin?
  2. Mitä tietoa näihin työkaluihin saa syöttää?
  3. Keneltä pitää kysyä voiko uuden tekoälytyövälineen ottaa käyttöön?

Jos vastaukset puuttuvat, ihmiset improvisoivat. He löytävät työtään helpottavia työvälineitä ja käyttävät niitä, jos virallisesti hyväksyttyjä vaihtoehtoja ei ole tarjolla.

Pelkkä kieltäminenkään ei toimi. Software AG:n tutkimuksen mukaan puolet työntekijöistä jatkaisi omien tekoälytyökalujensa käyttöä, jos työnantaja kieltäisi ne. Tekoälyn käytön kieltäminen ajaa sen vain syvemmälle piiloon.

Varjotekoäly on myös juridinen kysymys

Organisaatio on GDPR:n näkökulmasta vastuussa henkilötietojen käsittelystä riippumatta siitä, tapahtuuko se hyväksytyssä järjestelmässä vai työntekijän henkilökohtaisella ChatGPT-tilillä. Ohjeiden puuttuminen ei muuta sitä, että kyse on tietovuodosta.

On myös hyvä huomata, että tekoälyasetuksen velvoitteet koskevat kaikkia organisaation tekoälyjärjestelmiä: tuntematonta järjestelmää ei voida dokumentoida, valvoa eikä riskiluokitella.

Lisäksi joulukuussa 2026 voimaan astuvat tuotevastuudirektiivin muutokset laajentavat myös organisaatioiden vastuuta. Tekoälyjärjestelmän käyttöön ottava organisaatio voi olla vastuussa sen aiheuttamista vahingoista riippumatta siitä, onko käyttöönotto tapahtunut virallisesti vai epävirallisesti.

Ratkaisu on tekoälyn hallintamalli

Varjotekoälyn ongelma ratkeaa tekoälyn hallintamallilla. Kevyimmillään se rakentuu viidestä askeleesta:

  • Kartoita mitä tekoälyjärjestelmiä organisaatiossa on jo käytössä. Myös ne, joita IT ei tiedä. Usein pelkkä anonyymisti toteutettu kysely henkilöstölle paljastaa yllättävän laajan tekoälyn hyödyntämisen.
  • Tiedota mitä tekoälytyökaluja saa käyttää, mihin tarkoituksiin ja millä datalla. Linjauksen ei tarvitse olla pitkä tai monimutkainen. Tärkeintä on, että se on olemassa ja kaikkien tiedossa.
  • Tarjoa organisaation hyväksymät, tietoturvallisesti konfiguroidut tekoälytyökalut niille, jotka tarvitsevat ja haluavat käyttää niitä työssään. Kun hyvä vaihtoehto on saatavilla, varjokäyttö vähenee.
  • Kehitä tekoälylukutaitoa. Tekoälylukutaidolla ei tarkoiteta teknistä osaamista, vaan sitä, että jokainen ymmärtää, mitä tietoa tekoälylle voi antaa ja mitä ei.
  • Nimeä jokaiselle käytössä olevalle tekoälyjärjestelmälle omistaja, joka vastaa sen asianmukaisesta käytöstä.
Lopuksi

Varjotekoäly on luonnollinen seuraus siitä, että teknologia on edennyt nopeammin kuin organisaatioiden kyky hallita sitä. Työntekijät ovat huomanneet, että tekoälystä on aidosti hyötyä ja haluavat käyttää sitä. Organisaation kannattaa kanavoida tämä hyöty turvallisesti, lainmukaisesti ja hallitusti.

Hallintamalli ei ole tekoälypoliisi, joka kieltää kaiken, vaan päinvastoin tarkoittaa, että tiedetään mitä käytetään, miten ja kuka siitä vastaa. Näin varjotekoälystä tulee läpinäkyvää tekoälyä.

Liisa Leppänen, Tietosuojakonsultti, Netum

Haluatko kartoittaa, missä laajuudessa varjotekoälyä on organisaatiossasi käytössä ja miten tilanne saadaan hallintaan? Laita viestiä, niin käydään tilanne läpi yhdessä.
Lähteet

1 Menlo Security: 2025 Report: How AI is Shaping the Modern Workspace (2025). https://www.menlosecurity.com/press-releases/menlo-securitys-2025-report-uncovers-68-surge-in-shadow-generative-ai-usage-in-the-modern-enterprise

2 Software AG: Chasing Shadows – Getting ahead of Shadow AI (2024). https://newscenter.softwareag.com/en/news-stories/press-releases/2024/1022-half-of-all-employees-use-shadow-ai.html

3 Tilastokeskus: Generatiivista tekoälyä käyttäneiden osuus nousi 41 prosenttiin. Väestön tieto- ja viestintätekniikan käyttö, 31.12.2025 (11.11.2025). https://stat.fi/fi/julkaisu/cmh32zpp67l1z07w6yfukiiqd

4 IBM: Cost of a Data Breach Report 2025 – Navigating the AI rush without sidelining security. https://www.ibm.com/think/x-force/2025-cost-of-a-data-breach-navigating-ai

5 Harmonic Security: What 22 Million Enterprise AI Prompts Reveal About Shadow AI in 2025 (2026). https://www.harmonic.security/resources/what-22-million-enterprise-ai-prompts-reveal-about-shadow-ai-in-2025