Behöver ert företag hjälp med att implementera AI? Kontakta oss och få prisoffert här →
AI Skolan AI säkerhet & GDPR
januari 4, 2026

AI policy mall

Lisa Granqvist Partner, Nodenordic.se

Många team använder AI i vardagen utan tydliga ramar – risken är dataläckor, felaktiga beslut och varumärkesrisk. En AI policy mall gör att ni snabbt kan styra användningen, skydda känslig information och få ut verklig effekt av AI, utan att bromsa innovationen. Den här guiden ger er en färdig struktur, exempeltexter och steg för införande – anpassad för svenska företag.

Ni får en konkret mall för roller, godkända verktyg, dataklasser, granskning av AI‑output, utbildning och uppföljning. Med detta kan ni minska riskerna och samtidigt öka tempot i förändringsarbetet.

Vi går igenom vad en policy ska innehålla, hur ni inför den på 30 dagar, exempeltexter att kopiera och hur ni knyter ihop det med GDPR och efterlevnad.

📌 Sammanfattning (TL;DR)

  • AI policy mall ger gemensamma spelregler för säker, etisk och effektiv AI‑användning i hela organisationen.
  • Inkludera styrning, verktygsval, dataskydd, mänsklig granskning, utbildning och incidentrapportering.
  • Inför på 30 dagar: inventera, besluta, utbilda, lansera, följ upp – med enkla checklistor och ansvar.
  • Koppla till GDPR och efterlevnad: dataklasser, leverantörsgranskning, loggning och regelbundna revisioner.

Varför varje svenskt företag behöver en AI policy mall

AI används redan brett i verksamheter, men styrning släpar efter. En genomtänkt AI policy mall minskar risken för bias, sekretessbrott och felaktiga beslut – och skapar tydlighet om vilka AI‑verktyg som är tillåtna, i vilka processer och på vilka villkor. Över 75% av företag har integrerat AI i minst en funktion, men endast 27% granskar AI‑genererat innehåll innan användning, vilket ökar riskerna för fel och juridiska problem[4]. Samtidigt saknar många anställda utbildning: 52% har inte fått någon vägledning i säker AI‑användning[7].

En policy skapar också förtroende gentemot kunder och partners genom transparens, ansvar och etik – centrala principer i etablerade mallar och ramverk[3].

Vad ska er AI‑policy innehålla?

Utgå från en tydlig struktur som täcker både risk och möjlighet. Enligt etablerade policy‑mallar bör följande finnas med[1][3][4]:

  • Syfte och omfattning: vilka roller omfattas (anställda, konsulter, leverantörer) och för vilka användningar.
  • Styrning och ansvar: AI‑styrgrupp (IT, juridik, säkerhet, etik) som godkänner use cases, verktyg och gör årliga översyner.
  • Etiska principer: rättvisa, transparens, ansvar och mänsklig kontroll. Krav på att kunna förklara AI‑påverkan i beslut.
  • Användningsregler: godkända verktyg, förbjudna användningar (t.ex. personalbeslut utan särskilt tillstånd), krav på mänsklig granskning av AI‑output innan publicering.
  • Dataskydd och sekretess: klassning av data, förbud mot att ladda upp konfidentiell information i externa verktyg utan avtal och godkännande, loggning och gallring.
  • Leverantörsval: säkerhets- och integritetsgranskning, licensvillkor, IP‑skydd och att modellen inte får “lära” på er data när så krävs[5].
  • Utbildning: obligatorisk utbildning i etik, dataskydd och verktygsspecifika risker före produktionssättning[6].
  • Uppföljning och regelefterlevnad: revisioner, incidenthantering, visselblåsning och disciplinära åtgärder vid övertramp[1][3][6].

Behöver ni fördjupning i lagkrav och etik runt AI, läs gärna AI compliance och AI etik.

Steg‑för‑steg: inför policyn på 30 dagar

  • Dag 1–5: Inventera AI‑användning och risk. Lista verktyg, processer och datatyper. Identifiera snabbrisker (t.ex. konfidentiell data i öppna verktyg)[1][6].
  • Dag 6–10: Sätt styrning. Utse AI‑styrgrupp, definiera roller, besluta principer för rättvisa, transparens och mänsklig granskning[3][4].
  • Dag 11–15: Godkänn verktyg och dataklasser. Skapa lista över godkända verktyg, process för undantag, och dataklasser (se nästa avsnitt)[5][8].
  • Dag 16–20: Skriv policy och exempeltexter. Inkludera ack‑signering, sanktioner och visselblåsarkanal[1][3][6].
  • Dag 21–25: Utbilda. Obligatorisk genomgång för alla berörda, med praktiska övningar på era verktyg och scenarier[6]. Läs också AI utbildning av anställda.
  • Dag 26–30: Lansera och börja mäta. Aktivera loggning, sätt upp incidentrutiner, planera första revision inom 90 dagar[6]. För riskramverk, se AI riskhantering.

Riktlinjer för data, sekretess och verktygsval

Skydda data först. Flera mallar betonar att konfidentiell, kund- eller persondata inte får delas med externa AI‑tjänster utan godkänd licens, juridiska skydd och tekniska kontroller[1][5]. FRSecure rekommenderar att all AI‑användning sker över säkra kanaler, att loggar gallras enligt policy och att leverantörer genomgår riskgranskning före användning[6]. Behöver ni helhetsgrepp om dataskydd, se AI dataskydd.

Praktisk dataklassning (exempel inspirerat av NTEN)[8]:

  • Tier 1 – mindre känsligt: publika texter, icke‑personliga utkast. Kan användas i godkända verktyg.
  • Tier 2 – känsligt: personuppgifter, avtalsreglerad info, kund- och HR‑data. Får endast användas i företagslicensierade verktyg med avtal, där modellen inte tränar på er data, och efter särskilt godkännande[5][8].

Vid verktygsval: säkerställ säkerhetsgranskning, IP‑skydd i avtal och att åtkomst styrs via roller/behörigheter. Upprätta en lista över godkända AI‑verktyg och process för att begära undantag[5][6]. Läs mer om införande i Säker AI implementering och regelverk i AI GDPR guide.

Roller, utbildning och efterlevnad

AI‑styrgrupp: IT, juridik/compliance, säkerhet och etik bör gemensamt godkänna use cases, verktyg och policyuppdateringar[3]. Inför regelbundna revisioner och en incidentplan för felaktig/biasad AI‑output[3][6].

Utbildning: gör utbildning obligatorisk för berörda roller innan verktyg används i skarpt läge och kör återkommande uppdateringar – något som flera mallar kräver[3][6]. Bristen på utbildning är utbredd: 52% av medarbetare uppger att de inte fått träning i säker AI‑användning[7].

Efterlevnad: inför loggning av AI‑användning, godkännande‑flöden för känslig data, visselblåsarkanaler och tydliga sanktioner vid brott mot policy[1][6]. Policyn bör signeras och uppdateras årligen[1].

Exempeltexter att kopiera in i er policy

Nedan exempel är inspirerade av etablerade mallar och kan anpassas till er verklighet[1][3][5][6]:

  • Användning: “AI‑verktyg får endast användas för arbetsrelaterade uppgifter med företagskonton. All AI‑genererad text, bild eller kod ska granskas av en människa innan extern publicering.”
  • Data: “Det är förbjudet att dela kund-, personal- eller avtalsreglerad information i AI‑verktyg utan styrgruppens skriftliga godkännande och giltigt leverantörsavtal som inkluderar sekretess, IP‑skydd och icke‑träning på vårt data.”
  • Verktyg: “Följ listan över godkända AI‑verktyg. Undantag kräver ansökan med syfte, datatyper och riskbedömning. Allt nytt verktyg omfattas av leverantörs- och säkerhetsgranskning.”
  • Beslut: “AI får inte användas för personalbeslut (t.ex. rekrytering, befordran) utan HR:s skriftliga medgivande och dokumenterad bias‑granskning.”
  • Incidenter: “Rapportera omedelbart felaktig, biasad eller riskfylld AI‑output. Incidenter utreds och kan leda till åtgärder inklusive avstängning av verktyg och disciplinära påföljder.”

Vanliga frågor

Vad är en AI-policy och varför behövs den?

En AI‑policy sätter ramar för verktyg, data och mänsklig granskning. Över 75% av företag använder redan AI, men bara 27% granskar AI‑output före användning[4]. Lägg till loggning och revisioner[6] och förbjud delning av sekretessdata utan godkännande[1][5].

Hur snabbt kan vi införa en AI policy mall?

På 30 dagar: inventera och riskbedöm, sätt styrgrupp, godkänn verktyg/dataklasser, skriv policy och utbilda, lansera med loggning och planera första revision. Kräv signering och årliga uppdateringar[1][6].

Vilka datapunkter får aldrig delas med externa AI‑verktyg?

Personuppgifter, kund- och personaldata samt avtalsreglerad info. Använd endast företagslicenser och godkännanden, med avtal som förbjuder träning på ert data och ger IP‑ och sekretessskydd[5][6][8].

Hur hanterar vi bias och felaktig AI‑output?

Inför krav på mänsklig granskning innan publicering, faktakoll och incidentrapportering[3][6]. Planera årliga revisioner och uppdatera policyn och utbildningen vid behov[3].

Hur kopplar vi policyn till GDPR och efterlevnad?

Använd dataklasser (t.ex. två nivåer), leverantörsgranskning och loggning. Säkerställ avtal om sekretess/IP och att modellen inte tränar på ert data vid behov[5][8]. Inför revisioner och sanktioner[6].

Vilka roller bör ingå i AI‑styrningen?

IT, juridik/compliance, informationssäkerhet och etik/HR i en AI‑styrgrupp[3]. Gruppen godkänner use cases, verktyg och policyändringar samt hanterar incidenter och revisioner[6].

Hur mycket utbildning behövs för anställda?

Obligatorisk grundutbildning innan produktionssättning, därefter återkommande uppdateringar[6]. 52% saknar träning i säker AI‑användning – bygg därför in regelbundna pass och verktygsspecifika riktlinjer[7].

Vad räknas som godkända användningsfall?

Exempel: interna utkast, icke‑känsliga sammanfattningar, kodstöd med mänsklig granskning[3][6]. Ej tillåtet: personalbeslut utan HR‑tillstånd, publicering utan faktakoll, uppladdning av konfidentiell data i öppna verktyg[1][5].

Måste vi ha en lista över godkända AI‑verktyg?

Ja. Upprätta lista över godkända verktyg, process för undantag och krav på leverantörsgranskning (säkerhet, IP, sekretess)[5][6]. Detta minskar skugg‑IT och förenklar revision.

Kan vi utgå från en nedladdningsbar mall?

Ja, men anpassa till er verksamhet: era verktyg, dataklasser, roller, sanktioner och juridiska krav. Låt alla signera och planera årliga uppdateringar[1][6]. Tips: förankra i utbildning och mätning.

Källor

  1. Workable: AI tool usage policy – https://resources.workable.com/ai-tool-usage-policy
  2. Lattice: AI Usage Policy Template – https://lattice.com/templates/ai-usage-policy-template
  3. AIHR: AI Policy Template: What To Include and Why – https://www.aihr.com/blog/ai-policy-template/
  4. Proskauer (PDF): AI Driven Tools in the Workplace Policy – https://www.proskauer.com/uploads/artificial-intelligence-ai-driven-tools-in-the-workplace-policy
  5. FRSecure: AI Acceptable Use Policy Template – https://frsecure.com/ai-acceptable-use-policy-template/
  6. YouCanBook.me: How to Create an AI Policy – https://youcanbook.me/blog/ai-policy-template
  7. NTEN (PDF): AI Policy Template – https://word.nten.org/wp-content/uploads/2024/08/AI-Policy-Template-by-ANB-Advisory.pdf

Kontakta oss

Hör av dig, så diskuterar vi hur just din verksamhet kan dra nytta av alla fantastiska möjligheter som AI skapar.

Våra tjänster Om Node Nordic
×

Använd mall

Få direkt tillgång till denna n8n-arbetsflödes JSON-fil

Kopiera och importera JSON-arbetsflödet i ditt n8n-arbetsflöde

Få prisoffert redan idag!
Få prisoffert redan idag!

Berätta vad ni behöver hjälp med så hör vi av oss inom en arbetsdag!

Få prisoffert redan idag!
Få prisoffert redan idag!

Berätta vad ni behöver hjälp med så hör vi av oss inom en arbetsdag!