English

5 tips för att skapa er första AI-policy

Profile photo of Lucas Rosvall

Publicerad av Lucas Rosvall

Tech Lead & Co-Founder

En AI-policy är ett ramverk som definierar hur din organisation ska använda AI ansvarsfullt, etiskt och i linje med företagets värderingar och regelverk. Med EU:s AI-förordning (AI Act) som trädde i kraft i augusti 2024 och vars krav börjar gälla stegvis fram till 2026, är det nu viktigt för många företag att ha tydliga riktlinjer för AI-användning.

För att skapa en effektiv AI-policy behöver du täcka fem kritiska områden: sätta tydliga mål och utvärdera behov, formulera principer och värderingar, kartlägga nuvarande AI-användning, säkerställa dataskydd och transparens, samt implementera och utbilda anställda.

I denna artikel går vi igenom varje steg i detalj och ger dig konkreta formuleringsexempel för att komma igång snabbt.

ai policy

Vad kräver EU AI Act av din organisation?

Innan du skriver din AI-policy är det viktigt att förstå vad regelverket kräver. EU AI Act klassificerar AI-system i risknivåer:

  • Oacceptabel risk (förbjudet): Social scoring, manipulation av beteende, ansiktsigenkänning i realtid på allmän plats m.m.
  • Hög risk: AI i rekrytering, kreditbedömning, medicinsk diagnos, kritisk infrastruktur. Dessa kräver dokumentation, revision och tillsyn.
  • Begränsad risk: Chattbotar och AI som interagerar med människor. Kräver transparens – användaren måste veta att de pratar med en AI.
  • Minimal risk: De flesta AI-verktyg för intern produktivitet (t.ex. ChatGPT för att skriva texter). Inga specifika krav, men goda rutiner rekommenderas.

Som arbetsgivare faller de flesta interna AI-verktyg du använder i kategorin "minimal risk". Men om ni använder AI i rekryteringsprocesser eller kundkreditbedömning är ni i "hög risk"-kategorin och måste följa striktare krav.

1. Sätt mål och utvärdera behov

Börja med att kartlägga organisationens specifika behov och utmaningar med AI. Ställ dig dessa frågor:

  • Vilka problem kan AI lösa för oss?
  • Var kan AI öka effektiviteten mest?
  • Vilka risker vill vi aktivt undvika?

Sätt sedan tydliga och mätbara mål för AI-policyn. Exempel:

"Policyn ska säkerställa att alla anställda vet vilka AI-verktyg som är godkända, hur känslig data hanteras, och vem som är ansvarig vid fel."

Kom ihåg att din AI-policy inte ska vara statisk. Planera för att utvärdera och uppdatera den minst en gång per år, eller när EU-regler eller interna system förändras.

2. Formulera era principer och värderingar

Låt din AI-policy grunda sig på företagets värden och principer. Konkreta exempel på principformuleringar:

Transparens:

"Fiive använder inte AI för att fatta automatiserade beslut som väsentligt påverkar anställda eller kunder utan mänsklig granskning."

Integritet:

"Anställda får inte mata in personuppgifter, affärshemligheter eller konfidentiell kunddata i AI-verktyg utan godkänd integrationslösning."

Ansvarsskyldighet:

"AI-genererat innehåll som publiceras externt ska alltid granskas och godkännas av en ansvarig person inom organisationen."

Tänk också på potentiella risker och etiska dilemman – som integritetsfrågor och diskriminering – och inkludera dessa i policyn.

3. Kartlägg din AI-användning

För att skapa en relevant AI-policy behöver du en klar bild av hur AI används i din organisation idag. Kartlägg:

  • Vilka AI-verktyg används? (ChatGPT, Copilot, Midjourney, AI-baserade CRM-funktioner m.m.)
  • Vilka avdelningar och funktioner använder dessa verktyg?
  • Vilken typ av data matas in i verktygen?
  • Vem har ingått avtal med AI-leverantörerna?

Involvera IT-avdelningen för att få en helhetsbild och undvika "shadow AI" – det vill säga att anställda använder AI-verktyg som IT-avdelningen inte känner till.

Tänk också på framtiden: hur kan AI-användningen utvecklas? Planera för att inkludera process för att godkänna och registrera nya verktyg efterhand.

4. Skydda användardata och var transparent

En av de mest kritiska aspekterna av en AI-policy är att säkerställa skyddet av användardata. Besvara dessa punkter i policyn:

Vad du INTE får mata in i AI-verktyg (exempel):

  • Personnummer och identitetsuppgifter
  • Medicinska uppgifter om anställda eller kunder
  • Kundavtal och konfidentiella affärsuppgifter
  • Lösenord och åtkomstuppgifter
  • Finansiell information under sekretess

Krav för transparens:

"Om AI används för att generera kommunikation till kunder (t.ex. e-post eller chattsvar) ska detta tydligt framgå, eller ska en ansvarig medarbetare granskat och godkänt innehållet."

Se till att din interndata-hantering stämmer överens med GDPR. Kontrollera specifikt om era AI-leverantörer behandlar personuppgifter som personuppgiftsbiträden och att ett personuppgiftsbiträdesavtal (DPA) är på plats.

5. Implementera och utbilda dina anställda

Att ha en AI-policy är bara första steget – du måste också implementera och följa den. Praktiska åtgärder:

  • Kommunicera policyn till alla anställda, inte bara IT-avdelningen. Gör den lättillgänglig i ert intranät.
  • Håll en kort utbildning (30–60 minuter) som förklarar vad som är tillåtet, förbjudet och hur man rapporterar incidenter.
  • Utse en AI-ansvarig – en person eller funktion som är kontaktpunkt för frågor och som är ansvarig för policyuppdateringar.
  • Sätt upp en process för hur anställda ansöker om att använda ett nytt AI-verktyg.
  • Granska och uppdatera policyn minst en gång per år, eller när EU AI Act inför nya krav.

Exempelstruktur för en AI-policy

En välstrukturerad AI-policy innehåller vanligtvis dessa avsnitt:

  1. Syfte och scope – Vad policyn gäller och vem den berör
  2. Godkända verktyg – Lista på godkända AI-verktyg och deras tillåtna användningsfall
  3. Förbjuden användning – Vad man inte får göra
  4. Datahantering – Vilken data som inte får delas med AI-tjänster
  5. Ansvarsskyldighet – Vem är ansvarig för vad
  6. Incidenthantering – Hur man rapporterar misstag eller missbruk
  7. Uppdateringsrutin – När och hur policyn ses över

Du hittar vår egna AI-policy här som inspiration.

Vanliga frågor om AI-policy

Måste vi ha en AI-policy?

Formellt är det inget lagkrav för de flesta organisationer ännu. Men med EU AI Act som implementeras stegvis är det starkt rekommenderat att ha riktlinjer på plats, särskilt om ni använder AI i processer som påverkar anställda, kunder eller leverantörer.

Hur skiljer sig en AI-policy från en IT-policy?

En IT-policy hanterar generell informationssäkerhet, systemåtkomst och teknikregler. En AI-policy fokuserar specifikt på användning av AI-verktyg: etik, ansvarsskyldighet, transparens och datahantering i AI-kontext. De kompletterar varandra och bör hänvisa till varandra.

Hur lång bör en AI-policy vara?

En effektiv AI-policy för ett litet eller medelstort företag är ofta 2–5 sidor. Den ska vara tillräckligt konkret för att vägleda anställda i vardagen, men inte så detaljerad att den blir svår att underhålla. Hellre enkel och följd än komplex och ignorerad.

Vad händer om en anställd bryter mot AI-policyn?

Det bör framgå av policyn. Typiska konsekvenser är en formell varning vid första överträdelse och disciplinära åtgärder vid upprepning, beroende på allvaret. Det viktigaste är att processen är förutsägbar och kommunicerad i förväg.

Fler artiklar

30 intressanta SaaS-bolag - En omfattande genomgång (2026)

Upptäck 30 svenska SaaS-bolag: från Spotify och Fortnox till Sana, Legora och Lovable. Här är bolagen som formar nästa svenska mjukvaruvåg.

Fortsätt läsa

Vad är digitalisering? Så kan företag digitalisera processer

Vad är digitalisering och hur kan företag digitalisera processer? Lär dig skillnaden mot digital transformation, vilka flöden ni bör börja med och hur...

Fortsätt läsa

Behöver ni en techpartner som tar ansvar?

Låt oss prata om era mål, system och flaskhalsar. Tillsammans hittar vi en rimlig väg framåt för er digitala utveckling.

Boka ett första möte

Kontor


  • Järntorget 8
    413 04 Göteborg