TL;DR. Delstaten Alberta i Canada satte AI til det, de fleste virksomheder aldrig når: et systematisk sikkerhedseftersyn af al deres kode. Cirka 50 Claude-agenter gennemgik 466 millioner linjer kode på omkring 20 timer, fandt sårbarheder og rettede dem. Et menneske godkendte hver rettelse, før den gik i produktion.
Casen handler ikke om en ny model. Den handler om en arbejdsform, du kan kopiere i mindre skala. AI tager det tunge kortlægnings- og rettearbejde, mennesket beholder kontrollen, og hvert fund kan efterprøves fil for fil. Det er den slags AI implementering, der holder til en revision.
Alle tal stammer fra Alberta og Anthropic og er ikke uafhængigt verificeret.
Anthropics case study om Government of Alberta (6. juli 2026) →
Hvad Alberta faktisk gjorde
Albertas teknologiministerium driver it-systemerne for alle 27 delstatslige ministerier, fra sociale ydelser til beredskab ved naturbrande. Det er cirka 1.280 applikationer og 3.400 kodelagre, altså de mapper hvor et systems kildekode ligger. Det meste var aldrig blevet gennemgået systematisk for sikkerhed, og den ophobede tekniske gæld løber ifølge ministeriet op i milliarder af dollar. Teknisk gæld er den regning, der vokser, når kode bliver liggende gammel, usikker og halvt udokumenteret i stedet for at blive vedligeholdt.
Systemerne rummer nogle af de mest følsomme data, en borger har: skatteoplysninger, indkøbsdata og sagsakter fra socialområdet. I 2025 satte ministeriet et internt team til at gøre systemerne mere sikre og lettere at vedligeholde, med Claude Code som værktøj.
Det, ministeriet fremhæver: en gennemgang af 466 millioner linjer kode på cirka 20 timer, sårbarheder rettet på tværs af systemerne, og et sæt nye værktøjer, der holder øje fremover. Teamet vurderer selv, at den samme gennemgang med traditionelle metoder ville have taget omkring 6,5 år.
Vi nåede på timer, hvad en traditionel tilgang ville have taget år.

Sådan så metoden ud, trin for trin
Metoden er den samme, uanset om du har 466 millioner linjer kode eller ét gammelt system, ingen tør røre.
Først en bred scanning. Cirka 50 agenter, altså selvstændige AI-arbejdere der kører samtidig og hver tager sin del, gennemgik hvert kodelager. Claude Code kørte i to trin. Først en regelmotor, der markerer kendte sårbarhedsmønstre. Derefter en gennemgang af markeringerne, hvor Claude pegede på præcis fil og linje for hvert fund. Den henvisning er vigtig. Den betyder, at en udvikler kan efterprøve fundet i stedet for at stole blindt på maskinen. Ifølge casen fandt scanningen problemer, som almindelige automatiske værktøjer havde overset.
Så rettelserne. Hvor scanningen fandt en sårbarhed, kunne Claude Code ofte lave rettelsen, teste den og bygge den. Manglede systemet automatiske tests, skrev Claude testene først. Var koden for gammel eller for indviklet, byggede Claude den om i et nyere sprog. Casen nævner en portal til et tilskudsprogram, oprindeligt håndkodet i Java for cirka 25 år siden, som tog fem måneder at bygge dengang, og som blev bygget om på fire til fem dage. Ingen rettelse gik i produktion, før ministeriets egne ingeniører havde godkendt den.
Til sidst det løbende tilsyn. Alberta byggede faste review-agenter oven på Claude Agent SDK, det udviklersæt man bygger sine egne Claude-agenter med. En red team-agent angriber applikationen udefra, som en angriber ville gøre. En blue team-agent måler forsvaret op mod en international sikkerhedsstandard og skriver en udbedringsplan med henvisning til de filer, der skal rettes. Hver applikation tjekkes mod cirka 95 sikkerhedskontroller ved hvert gennemløb.

Hvorfor en almindelig scanner ikke fangede det
De fleste virksomheder har allerede en form for automatisk kodescanning. Alligevel fandt Alberta-holdet ting, de gamle værktøjer havde overset. Forskellen ligger i de to trin. En regelmotor er god til at fange kendte mønstre, men den forstår ikke sammenhæng, og den drukner ofte teamet i falske alarmer. Ved at lade Claude gennemgå markeringerne bagefter, med henvisning til fil og linje, bliver listen kortere, mere præcis og til at handle på. Det er ikke, fordi AI er magisk. Det er, fordi et sprogmodel-lag kan læse koden i kontekst og skille reelle problemer fra støj, før et menneske bruger tid på dem. For en virksomhed betyder det færre timer spildt på falske alarmer og en prioriteret liste, udviklerne faktisk kan nå igennem.
Her er min holdning
466 millioner linjer på 20 timer er et flot tal, men det er ikke det, du skal tage med dig. Det tal hører til en delstat med 1.280 applikationer. Det, der kan kopieres, er arbejdsformen. AI laver det systematiske kortlægnings- og rettearbejde, et menneske godkender hvert skridt, og hvert fund kan efterprøves fil for fil.
Adgang til stærke modeller har aldrig været flaskehalsen. Implementeringen er. Alberta havde ikke en hemmelig model, ingen andre kan få. De havde en metode, en klar arbejdsdeling og disciplin omkring godkendelse. Det er den del, de fleste virksomheder mangler, og det er den del, der afgør, om AI giver resultater eller bare en regning.
En holdning mere, jeg står ved. Kopiér metoden, ikke Albertas antagelser om data. Alberta er en canadisk delstat under andre regler end os. Fremgangsmåden kan overføres direkte. Hvor og hvordan din kode og dine data behandles, skal afgøres efter danske og europæiske regler, ikke efter en canadisk case.
Hvad det betyder for nordiske B2B SaaS-virksomheder
Bygger og sælger I software, er teknisk gæld ikke et sideprojekt, men en direkte risiko for jeres kunder og jeres compliance. Gammel kode, udokumenterede afhængigheder og manglende tests er både en sikkerhedsrisiko og en bremse på nye features.
Alberta-metoden passer næsten en til en. En AI-drevet gennemgang, der peger på fil og linje, giver jeres udviklere en prioriteret liste i stedet for en mavefornemmelse. Og fordi hvert fund kan efterprøves, kan I dokumentere over for kunder og revisorer, hvad I har fundet og lukket. For en virksomhed, der sælger på tillid, er det et salgsargument, ikke bare en intern oprydning.
Hvad det betyder for telemarketing og salgsteams
Her er koblingen mere indirekte, men den er der. Alberta viser, at flere AI-agenter kan arbejde parallelt på en veldefineret opgave og levere output, et menneske kan stole på, fordi det kan efterprøves. Det er samme princip, der ligger bag en velbygget AI-agent i salg. Den kvalificerer, følger op og forbereder, men et menneske ejer beslutningen.
For et salgsteam er pointen enkel. Tillid til AI kommer af, at output kan tjekkes, ikke af at man tror på det. Bygger I en agent, der rører ved kundedata eller booker møder, så byg den med samme disciplin: klare grænser, sporbarhed og et menneske i loopet.
Hvad det betyder for professionelle servicevirksomheder
Advokater, revisorer og rådgivningshuse sidder på to ting på én gang: meget følsom klientdata og en masse gentaget, tungt arbejde. Alberta-casen forener netop de to. Der blev arbejdet på kritiske systemer med følsom data, og alligevel var kontrollen fastholdt gennem menneskelig godkendelse og sporbare fund.
Overfør det til jeres verden. En AI, der gennemgår dokumenter, kontrakter eller sager, skal levere fund, I kan pege tilbage til kilden med. En påstand uden henvisning er ubrugelig i en branche, hvor I skal kunne stå på mål for hvert råd. Verificerbart output og et menneske i loopet er den eneste fremgangsmåde, der holder i en reguleret rådgivningsbranche.
Hvad det betyder for founders og scale-ups
Alberta planlægger at samle 185 gamle applikationer i ét ministerium til 16 moderne, genbrugelige apps. Samme funktion, langt mindre at vedligeholde. Portalen, der oprindeligt tog fem måneder, blev bygget om på fire til fem dage.
Det flytter regnestykket mellem at bygge nyt og at bygge om. Et gammelt system, der er dyrt at holde i live, plejede at være noget, man udskød, fordi en ombygning var for stor en mundfuld. Er I vokset hurtigt og sidder på arvekode fra de tidlige dage, er casen et konkret referencepunkt for, hvor hurtigt en ombygning kan gå. Husk bare, at fart uden verificerbarhed bare er hurtigere gæld. Det er henvisningen til fil og linje, der gør farten forsvarlig.

GDPR, EU-hosting og hvad der gælder for danske virksomheder
For en dansk virksomhed er det første spørgsmål ikke, om AI kan lave arbejdet, men hvor jeres data bliver behandlet imens. Native Claude.ai og Anthropics API er hostet i USA og har ikke EU-hosting som standard. Har I følsomme data, kan I i stedet køre Claude gennem AWS Bedrock eller Google Vertex AI i en europæisk region, så data bliver i EU, og en databehandleraftale er på plads.
To ting fra casen er værd at tage med ind i en revision. For det første er menneske i loopet ikke pynt. Ingen rettelse gik i produktion uden en ingeniørs godkendelse. Det er præcis det spørgsmål, en ISO 27001- eller ISO 42001-revision stiller: hvem godkender, og kan I dokumentere det. For det andet er verificerbarhed indbygget. At hvert fund peger på fil og linje betyder, at et menneske kan efterprøve i stedet for at stole blindt. Det er en revisionsvenlig egenskab, og den er guld værd, når I skal stå på mål for output over for SOC 2, ISO 27001 eller ISO 42001.
En sidste ærlig note. Den samme klasse af værktøjer, der finder sikkerhedshuller, kan i andre hænder bruges til at lede efter huller at udnytte. Derfor er klare politikker for, hvad værktøjet må, og hvem der godkender, ikke til forhandling.
Sådan starter du i din egen virksomhed
Du behøver ikke et helt ministerium for at bruge det her. Start med at vælge ét system. Tag enten det, der rører ved mest følsom data, eller det, der er dyrest at vedligeholde. Afgræns første gennemgang til det ene system, så resultatet er til at overskue. Sæt en fast regel om, at intet forslag går live uden en persons godkendelse, og gem henvisningen til fil og linje for hvert fund, så I har et spor til en senere revision. Kør en første runde, mål hvad den fandt, og beslut derfra, om I vil brede metoden ud. Det er præcis sådan et Brinvik-forløb starter: en afgrænset audit, et klart mål og en arbejdsdeling, jeres team kan overtage bagefter.
Det, Alberta gjorde i stor skala, er præcis det, Brinvik bygger for danske virksomheder i deres skala. Claude sat direkte ind i jeres egne systemer og arbejdsgange, under jeres egne data- og sikkerhedsregler, med et menneske i loopet og jeres team klædt på til at bygge videre, når jeg er ude ad døren. Vil I se, hvor et sikkerhedseftersyn eller en oprydning i teknisk gæld ville give mest, så start her: Interne AI-værktøjer med Claude.
Kilder
Primær kilde:
- Anthropic, Government of Alberta uses Claude to find and fix cybersecurity vulnerabilities across government systems, 6. juli 2026: https://www.anthropic.com/news/alberta-government-claude-cybersecurity
Baggrund:
- Alberta, The Velocity White Papers, delstatens egne tekniske hvidbøger: https://thevelocitywhitepapers.com/
Alle resultater og tal stammer fra Alberta og Anthropic og er ikke uafhængigt verificeret af Brinvik.
Åbenhed om, hvem der lavede arbejdet
Dette arbejde er udarbejdet i samarbejde med AI. Overordnet: AI cirka 73 procent, Kim cirka 27 procent. Produktion alene: AI cirka 89 procent, Kim cirka 11 procent. Tallene er et kvalificeret skøn, ikke en målt log.

FAQ
Ofte stillede spørgsmål
Kør Claude gennem AWS Bedrock eller Google Vertex AI i en europæisk region, så data bliver i EU, og få en databehandleraftale på plads. Behandl følsomme data efter et princip om dataminimering, og hold et menneske til at godkende output. Brinvik sætter opsætningen op, så den kan stå til en GDPR- og ISO-revision.
Ja. Metoden skaleres ned. I stedet for 466 millioner linjer kode sætter I AI på ét gammelt system eller én tung, tilbagevendende opgave. Den vigtige del, verificerbare fund og et menneske der godkender, er den samme uanset størrelse.
Menneske i loop betyder, at en person godkender AI-ens forslag, før de får virkning. I Alberta-casen gik ingen kodeændring i produktion uden en ingeniørs godkendelse. Det giver både bedre kvalitet og den dokumentation, en revision kræver.








