Hoppa till innehåll
[ Guide ]

AI-policy för svenska organisationer

En färdig struktur för intern AI-policy — tillräckligt konkret att implementera, tillräckligt flexibel att växa med.

En bra AI-policy är kort, konkret och läsbar för alla anställda. Den ska svara på fyra frågor: vad får vi göra, vad får vi inte göra, hur får vi göra det och vem hjälper oss när vi är osäkra. Den här guiden ger en mall som fungerar som utgångspunkt — anpassa efter er verksamhet, låt juridik och HR granska, och versionshantera aktivt.

Snabbfakta

Målgrupp
HR, juridik, kommunikation
Lästid
8 min
Uppdaterad
Juli 2026
Nivå
Grund

## Policyns fyra delar

En AI-policy behöver inte vara lång — 3-5 sidor är oftast rätt. Strukturera enligt:

1. **Syfte och omfattning** — vilka anställda, vilka verktyg, vilka data. 2. **Principer** — de värderingar som styr besluten (transparens, mänsklig tillsyn, dataintegritet). 3. **Regler** — vad är tillåtet, vad är förbjudet, vad kräver godkännande. 4. **Ansvar och kontakt** — vem beslutar i gråzoner.

## Mall — tillåtet utan godkännande

- Använda företagsgodkända AI-verktyg för egna arbetsuppgifter - Sammanfatta möten, generera utkast, översätta texter - Söka information och få förklaringar - Ställa frågor om öppen data eller egen data som ni är personuppgiftsansvarig för

## Mall — förbjudet

- Ladda upp klassad, hemligstämplad eller känslig persondata i publika AI-tjänster - Använda AI för att fatta slutgiltiga beslut om anställda eller kunder utan mänsklig granskning - Publicera AI-genererat innehåll utan att kontrollera fakta och källor - Skapa deepfakes eller manipulerat material av verkliga personer - Använda privata konton för arbetsuppgifter

## Mall — kräver godkännande

- Nya AI-verktyg utanför den godkända listan - AI som stödjer beslut om rekrytering, prestation eller löner - AI mot kunddata i produktion - Automatiserade agenter som utför handlingar (skriv, skicka, boka)

## Praktiska formuleringar

**Om upplysningsplikt gentemot kunder:** > "När AI genererar en väsentlig del av kommunikation till kund ska detta framgå tydligt."

**Om verifiering:** > "Ansvarig för publicerat innehåll är alltid personen som publicerar — inte AI-verktyget. Fakta ska kontrolleras mot minst en oberoende källa."

**Om incidenter:** > "Om ett AI-verktyg beter sig oväntat, läcker information eller producerar skadligt innehåll ska detta rapporteras till [ansvarig] inom 24 timmar."

## Rullande underhåll

En AI-policy som inte uppdateras varje halvår är utdaterad. Sätt ett tydligt versionsnummer, datum och ägare. Kommunicera ändringar aktivt — bara publicera på intranätet räcker inte.

## Vanliga misstag

- **För abstrakt** — anställda vet inte vad som är tillåtet i praktiken. - **För detaljerad** — försöker lista alla verktyg och blir utdaterad på en månad. - **Ingen sanktion** — ingen vet vad som händer om policyn bryts. - **Ingen utbildning** — policy utan träning läses inte.

## Snabb självbedömning

Fråga tio slumpvis valda anställda: *"Får du använda ChatGPT för att sammanfatta ett kundmöte?"* Om ni får tio olika svar behöver ni en tydligare policy. Om alla säger samma sak — grattis, den funkar.

Vanliga frågor

Snabba svar om den här nyheten

Ska vi förbjuda ChatGPT?
Nej. Förbud driver användningen till privata konton och tar bort er kontroll. Erbjud en godkänd, upphandlad variant och gör den enkel att använda — då minskar skugg-AI av sig själv.
Ska policyn gälla konsulter?
Ja. Alla som behandlar er data omfattas. Skriv in det i konsultavtal och onboarding.
Hur ofta ska policyn uppdateras?
Var sjätte månad som miniminivå. Reglerna, verktygen och riskerna förändras för snabbt för årsvis översyn.