Alphabet-investorer krever bedre kontroll med AI- og skytjenester

Reuters melder at Alphabet-investorer ber selskapet forklare hvordan Google-eieren styrer risikoen når AI- og skytjenester brukes av myndigheter.

Bakgrunnen er et investorbrev Reuters har sett, signert av 42 organisasjoner og 14 enkeltpersoner. Ifølge Reuters forvalter signatarene samlet 1,15 billioner dollar og eier Alphabet-aksjer for rundt 2,2 milliarder dollar. De ber om møte med ledelsen etter at Alphabet anbefalte aksjonærene å stemme mot en resolusjon om mer rapportering på menneskerettigheter, overvåking og styring av teknologibruk.

Fakta: Investorene vil vite hvordan Alphabet vurderer og begrenser risiko for misbruk av teknologi og skytjenester, og om offentlige kontrakter gir selskapet rett til å gripe inn eller avslutte avtaler hvis risikoen eskalerer. Reuters skriver at brevet peker på Google-tjenester til amerikanske immigrasjonsmyndigheter, Project Nimbus-avtalen med Israel og selskapets virksomhet i Saudi-Arabia. Alphabet sier i sitt svar til aksjonærene at dagens rapportering og rammeverk for personvern og sikkerhet gir tilstrekkelig transparens. Selskapet svarte ikke umiddelbart Reuters på brevet.

Dette er ikke bare en Alphabet-sak. Reuters setter brevet inn i en bredere investorbevegelse rundt data, AI-styring og offentlig bruk av sky- og AI-plattformer hos selskaper som Microsoft, Amazon og Apple. Det treffer norske virksomheter fordi de samme hyperskalerne nå blir infrastruktur for saksbehandling, sikkerhet, analyse, kundedialog og etter hvert mer autonome agenter.

Lederkonsekvensen er praktisk: AI-governance må flyttes fra etikkdokumenter til kontrakter, tilgangsstyring og exit-klausuler. Når en leverandør også leverer AI-modeller, datasjø, identitet, logging og offentlig sektor-plattform, holder det ikke å spørre om databehandleravtale og regionvalg. CIO, CISO og styre bør spørre hvilke bruksområder leverandøren kan nekte, hvilke myndighetsforespørsler som varsles, hvordan høyrisikobruk blir logget, og om kontrakten gir virksomheten rett til å stoppe funksjonalitet ved ny regulatorisk eller geopolitisk risiko.

For norske ledere er GDPR-poenget viktig. Reuters omtaler mulig eksponering for rettssaker, regulering og bøter, inkludert opptil fire prosent av omsetning under europeisk personvernregelverk. Det betyr at sky- og AI-risiko ikke kan delegeres til innkjøp alene. Den må behandles som virksomhetsrisiko på linje med leverandørkonsentrasjon, beredskap og compliance.

Rådet er enkelt: lag en egen kontrolliste for AI- og skyavtaler i offentlig sektor og regulerte bransjer. Den bør dekke formålsbegrensning, myndighetsinnsyn, militær eller overvåkingsrelatert bruk, underleverandører, modell- og loggdata, samt retten til revisjon og terminering. Ikke vent til neste anskaffelse. Start med de største hyperskaleravtalene som allerede bærer kritiske data og AI-funksjoner.