Varför behöver ditt företag en AI-policy?
AI-verktyg sprider sig snabbt genom organisationer – ofta snabbare än ledningen hinner med. Medarbetare använder ChatGPT, Copilot och andra AI-tjänster i sitt dagliga arbete, ibland utan att tänka på konsekvenserna.
Utan en tydlig policy riskerar företag:
- Dataläckor – känslig företagsdata matas in i externa AI-tjänster
- GDPR-överträdelser – persondata bearbetas utan laglig grund
- Kvalitetsproblem – AI-genererat material publiceras utan granskning
- Ansvarsförvakuum – ingen vet vem som ansvarar när AI-output leder till problem
- Ojämn adoption – vissa team drar nytta av AI, andra bromsas av osäkerhet
En AI-policy löser detta genom att ge tydliga ramar för hur AI får och bör användas.
Mall: AI-policy i sex delar
Del 1: Syfte och omfattning
Beskriv varför policyn finns och vem den gäller.
Exempel:
> Denna policy syftar till att ge riktlinjer för ansvarsfull och effektiv användning av AI-verktyg inom [Företagsnamn]. Policyn gäller alla medarbetare, konsulter och samarbetspartners som använder AI-verktyg i arbetet.
Del 2: Godkända verktyg och tjänster
Lista specifikt vilka AI-verktyg som är godkända och för vilka ändamål.
Exempel på kategorisering:
| Kategori | Verktyg | Godkänd användning |
|---|---|---|
| Kodassistans | GitHub Copilot, Cursor | Utveckling, code review |
| Bildgenerering | Midjourney, DALL-E | Intern design, koncept |
| Dataanalys | Claude, Code Interpreter | Intern analys (ej persondata) |
Viktigt: Specificera också vilka verktyg som inte är godkända, särskilt gratisversioner av tjänster där data kan användas för träning.
Del 3: Dataklassificering och AI
Den kanske viktigaste delen av policyn. Definiera vilken typ av data som får användas med AI-verktyg.
Dataklassificering:
- Grön (öppen): Offentlig information, generella frågor, publikt tillgänglig data. *Får användas fritt med godkända AI-verktyg.*
- Gul (intern): Interna processer, strategi, icke-känslig affärsinformation. *Får användas med Enterprise-versioner av godkända verktyg.*
- Röd (känslig): Personuppgifter, kunddata, finansiell information, affärshemligheter. *Får EJ matas in i externa AI-tjänster utan specifikt godkännande.*
Del 4: GDPR och juridiska överväganden
GDPR ställer specifika krav när persondata bearbetas av AI-tjänster.
Viktiga principer:
- Laglig grund: Säkerställ att det finns laglig grund (t.ex. berättigat intresse eller samtycke) för AI-bearbetning av persondata
- Databehandlingsavtal: Kontrollera att det finns DPA (Data Processing Agreement) med alla AI-leverantörer
- Dataminimering: Mata inte in mer persondata än nödvändigt
- Lagringsort: Verifiera att data bearbetas inom EU/EES eller i land med adekvat skyddsnivå
- Rätt till information: Informera registrerade om AI-behandling sker av deras data
- Automatiserat beslutsfattande: Enligt GDPR artikel 22 har individer rätt att inte bli föremål för helautomatiserade beslut med rättslig verkan
Praktisk checklista:
- [ ] DPA finns med alla AI-leverantörer
- [ ] Register över AI-behandlingar uppdaterat
- [ ] Konsekvensbedömning (DPIA) genomförd för högrisk-användning
- [ ] Information till registrerade uppdaterad
- [ ] Processen för manuell överprövning av AI-beslut definierad
Del 5: Kvalitetssäkring och ansvar
Definiera vem som ansvarar för AI-genererat output och vilken granskning som krävs.
Principer:
- Mänskligt ansvar: Den som använder AI-verktyget ansvarar alltid för outputen. AI-genererat material ska behandlas som ett utkast som kräver granskning.
- Granskningskrav: Allt AI-genererat material som publiceras externt eller skickas till kunder ska granskas av minst en kvalificerad person.
- Källkritik: AI kan generera felaktig information. Fakta ska verifieras mot pålitliga källor.
- Transparens: Var öppen med AI-användning när det är relevant. Kunder och partners bör informeras om AI används i leveransen.
Del 6: Etik och ansvarsfull användning
Riktlinjer:
- Bias och diskriminering: Var uppmärksam på att AI-modeller kan reproducera fördomar. Granska AI-output kritiskt, särskilt i rekrytering, kreditbedömning och liknande beslut.
- Upphovsrätt: AI-genererat material kan baseras på upphovsrättsskyddat material. Använd inte AI-genererat innehåll utan att överväga upphovsrättsliga implikationer.
- Arbetsrättsliga aspekter: Var transparent med hur AI påverkar arbetsroller. Involvera fackliga representanter vid behov.
- Miljöpåverkan: AI-tjänster kräver betydande beräkningsresurser. Använd AI ändamålsenligt, inte för uppgifter som löses enklare utan AI.
Implementering av policyn
Steg 1: Kartlägg nuläget
Innan ni skriver policyn – förstå hur AI redan används i organisationen. Gör en inventering:
- Vilka verktyg används idag?
- I vilka processer?
- Vilken data matas in?
Steg 2: Förankra med ledningen
AI-policyn behöver stöd från ledning, IT, juridik och HR. Skapa en tvärfunktionell arbetsgrupp.
Steg 3: Skriv och förankra
Skriv policyn i klarspråk. Undvik juridisk jargong. Policyn ska vara praktiskt användbar, inte bara ett dokument i en mapp.
Steg 4: Utbilda
En policy utan utbildning är värdelös. Genomför workshops där medarbetare får testa godkända verktyg och förstå gränserna.
Steg 5: Revidera regelbundet
AI-landskapet förändras snabbt. Planera för kvartalsvis review av policyn.
Vanliga frågor
Ska vi förbjuda AI-verktyg helt?
Nej. Medarbetare kommer använda dem ändå – bättre att styra användningen med tydliga ramar.
Räcker det med IT-avdelningens riktlinjer?
Nej. AI-policy berör hela verksamheten – juridik, HR, kommunikation, ledning. Det krävs ett bredare perspektiv.
Hur detaljerad ska policyn vara?
Tillräckligt detaljerad för att ge vägledning i vardagen, men tillräckligt flexibel för att inte bli inaktuell inom en månad.
Behöver ni hjälp att ta fram en AI-policy? Vi guidar er genom processen – från kartläggning till implementerad policy.