AI-policy för svenska organisationer
En färdig struktur för intern AI-policy — tillräckligt konkret att implementera, tillräckligt flexibel att växa med.
En bra AI-policy är kort, konkret och läsbar för alla anställda. Den ska svara på fyra frågor: vad får vi göra, vad får vi inte göra, hur får vi göra det och vem hjälper oss när vi är osäkra. Den här guiden ger en mall som fungerar som utgångspunkt — anpassa efter er verksamhet, låt juridik och HR granska, och versionshantera aktivt.
Snabbfakta
- Målgrupp
- HR, juridik, kommunikation
- Lästid
- 8 min
- Uppdaterad
- Juli 2026
- Nivå
- Grund
## Policyns fyra delar
En AI-policy behöver inte vara lång — 3-5 sidor är oftast rätt. Strukturera enligt:
1. **Syfte och omfattning** — vilka anställda, vilka verktyg, vilka data. 2. **Principer** — de värderingar som styr besluten (transparens, mänsklig tillsyn, dataintegritet). 3. **Regler** — vad är tillåtet, vad är förbjudet, vad kräver godkännande. 4. **Ansvar och kontakt** — vem beslutar i gråzoner.
## Mall — tillåtet utan godkännande
- Använda företagsgodkända AI-verktyg för egna arbetsuppgifter - Sammanfatta möten, generera utkast, översätta texter - Söka information och få förklaringar - Ställa frågor om öppen data eller egen data som ni är personuppgiftsansvarig för
## Mall — förbjudet
- Ladda upp klassad, hemligstämplad eller känslig persondata i publika AI-tjänster - Använda AI för att fatta slutgiltiga beslut om anställda eller kunder utan mänsklig granskning - Publicera AI-genererat innehåll utan att kontrollera fakta och källor - Skapa deepfakes eller manipulerat material av verkliga personer - Använda privata konton för arbetsuppgifter
## Mall — kräver godkännande
- Nya AI-verktyg utanför den godkända listan - AI som stödjer beslut om rekrytering, prestation eller löner - AI mot kunddata i produktion - Automatiserade agenter som utför handlingar (skriv, skicka, boka)
## Praktiska formuleringar
**Om upplysningsplikt gentemot kunder:** > "När AI genererar en väsentlig del av kommunikation till kund ska detta framgå tydligt."
**Om verifiering:** > "Ansvarig för publicerat innehåll är alltid personen som publicerar — inte AI-verktyget. Fakta ska kontrolleras mot minst en oberoende källa."
**Om incidenter:** > "Om ett AI-verktyg beter sig oväntat, läcker information eller producerar skadligt innehåll ska detta rapporteras till [ansvarig] inom 24 timmar."
## Rullande underhåll
En AI-policy som inte uppdateras varje halvår är utdaterad. Sätt ett tydligt versionsnummer, datum och ägare. Kommunicera ändringar aktivt — bara publicera på intranätet räcker inte.
## Vanliga misstag
- **För abstrakt** — anställda vet inte vad som är tillåtet i praktiken. - **För detaljerad** — försöker lista alla verktyg och blir utdaterad på en månad. - **Ingen sanktion** — ingen vet vad som händer om policyn bryts. - **Ingen utbildning** — policy utan träning läses inte.
## Snabb självbedömning
Fråga tio slumpvis valda anställda: *"Får du använda ChatGPT för att sammanfatta ett kundmöte?"* Om ni får tio olika svar behöver ni en tydligare policy. Om alla säger samma sak — grattis, den funkar.