AI-inköpsguide för chefer
Så väljer ni rätt AI-verktyg utan att låsa in verksamheten eller förlora kontroll över data.
AI-marknaden svämmar över av verktyg som alla lovar samma sak. För en inköpsansvarig är utmaningen inte att hitta ett bra verktyg — den är att välja rätt verktyg för just er data, era regelkrav och er totalkostnad över tre år. Den här guiden ger en beslutsstruktur, en checklista och de fem frågor som skiljer proffs från amatörer i en AI-upphandling.
Snabbfakta
- Målgrupp
- Inköp, CIO, ekonomi
- Lästid
- 10 min
- Uppdaterad
- Juli 2026
- Nivå
- Praktik
## Beslutsstrukturen — fem lager
Utvärdera varje kandidat i den här ordningen. Faller ett lager, gå inte vidare.
1. **Legal & efterlevnad** — datahemvist, GDPR, AI Act-status, leverantörens juridiska hemvist. 2. **Säkerhet** — SOC 2 Typ II eller ISO 27001, dataisolering, kryptering i vila och i transit, hantering av träningsdata. 3. **Funktion** — löser verktyget det verkliga jobbet, inte bara demo-scenarier? 4. **Integration** — SSO, API, export, koppling till era system (M365, Google Workspace, Slack, CRM). 5. **Totalkostnad** — inte bara licens: implementation, träning, förvaltning, byteskostnader.
## De fem frågorna att ställa varje leverantör
1. **Var lagras våra data och vem har åtkomst?** Kräv skriftligt: region, underleverantörer, säkerhetsklassade medarbetare. 2. **Används vår data för att träna era modeller?** Standardsvar ska vara nej med DPA som backup. 3. **Hur hanteras radering och portabilitet?** Ni ska kunna få ut allt och radera allt inom 30 dagar. 4. **Vad händer vid en modelluppgradering?** Kan ni frysa version? Testa i staging? 5. **Vilken SLA gäller vid nedtid och felaktiga svar?** Skilj mellan tillgänglighets-SLA och kvalitets-SLA.
## Prismodeller — så jämför ni äpplen med äpplen
- **Per användare/månad:** förutsägbart men skalar linjärt. - **Per token/anrop:** kan explodera vid heavy use — kräver budgettak. - **Kapacitetsbaserat:** dedicerad kapacitet, dyrt men förutsägbart. - **Freemium med enterprise-uppgradering:** vanligast — dubbelkolla att "team"-planen inte saknar admin- och säkerhetsfunktioner.
Räkna alltid på **tre år**, inkludera prisökningar (10-20 % per år är normalt), och räkna med att 20-30 % av licenserna kommer att stå oanvända efter sex månader.
## Låsningseffekter att undvika
- **Prompt lock-in** — år av prompt-tuning fungerar bara i deras UI. - **Datalåsning** — export finns men i ett format ingen annan läser. - **Skill lock-in** — hela teamet är tränat på ett verktyg, byteskostnaden är kompetens.
## När ni ska köra proof of concept
Kör POC när: (a) det finns fler än två trovärdiga kandidater, (b) användningsfallet är verksamhetskritiskt, (c) kostnaden överstiger 500 000 kr/år. Sätt exit-kriterier före ni börjar — annars blir POC:n en fördröjd JA-röst.
## Röd flagga: leverantören vill inte skriva under DPA
Om leverantören inte skriver under ett Data Processing Agreement anpassat efter GDPR — gå därifrån. Det är inte en förhandlingsposition, det är ett brott mot dataskyddsförordningen om ni ändå tecknar avtal.