Dina medarbetare använder redan AI. Frågan är om de gör det med eller utan riktlinjer.
Enligt Secure State Cyber är det troligt att anställda redan testar AI-verktyg på egen hand – och utan tydliga riktlinjer riskerar de att dela känslig företagsinformation, bryta mot GDPR eller skapa innehåll som företaget inte kan stå bakom. Sedan februari 2025 kräver dessutom EU:s AI-förordning att anställda som arbetar med AI har tillräcklig AI-kunnighet (artikel 4).
Jag ser det i nästan varje företag jag arbetar med: medarbetarna har redan börjat använda AI. Frågan är bara om det sker med riktlinjer eller utan. En AI-policy behöver inte vara ett juridiskt mastodontprojekt. I den här guiden får du en konkret struktur för hur du skapar AI-riktlinjer för ditt företag – från första utkastet till färdigt dokument.
Varför behöver ditt företag en AI-policy?
Det korta svaret: för att skydda företaget och ge medarbetarna trygghet att faktiskt använda AI.
Utan en policy hamnar du i ett av två lägen – och båda är problematiska. Antingen använder medarbetare AI-verktyg utan styrning, med risk för dataleakage och varumärkesskada. Eller så uppstår en tyst kultur där ingen vågar testa något, av rädsla för att göra fel.
Båda mönstren bottnar i samma sak: organisationen har hoppat över steget att skapa förståelse för varför AI ska användas och på vilka villkor, och gått direkt till verktygen – eller förbjudit dem helt. En policy är bron mellan förståelse och förmåga.
Tre konkreta skäl:
Juridiskt: EU:s AI-förordning ställer redan krav på AI-kunnighet. GDPR gäller fullt ut när personuppgifter matas in i AI-verktyg. Utan dokumenterade riktlinjer står företaget utan försvar vid en incident.
Operativt: En policy definierar vilka verktyg som är godkända, vad som får delas och vem som ansvarar. Det minskar osäkerhet och snabbar upp beslut i vardagen.
Kulturellt: Policyn signalerar att företaget tar AI på allvar – inte som ett hot, utan som ett verktyg som kräver omdöme. Det bygger förtroende hos både medarbetare och kunder.
Policy eller riktlinjer – vad är skillnaden?
Det finns en pågående debatt om terminologin. Grown argumenterar för att ”riktlinjer” är bättre än en ”policy”, eftersom AI utvecklas så snabbt att svart-vita regler snabbt blir inaktuella.
Det ligger något i det. Men i praktiken behöver de flesta företag både: en policy som sätter de fasta ramarna (vad som är förbjudet, vem som ansvarar, hur GDPR efterlevs) och riktlinjer som vägleder det dagliga arbetet (vilka verktyg rekommenderas, hur granskas AI-genererat innehåll).
I den här artikeln använder jag ”AI-policy” som samlingsbegrepp för båda delar. Det viktiga är inte vad du kallar dokumentet – det viktiga är att det finns och att medarbetarna förstår det.
Vad ska en AI-policy innehålla? Fem byggstenar
Här är en konkret struktur du kan använda som mall när du skapar en AI-policy för ditt företag:
1. Syfte och omfattning
Börja med varför policyn finns och vilka den berör. Var tydlig med att syftet inte är att begränsa utan att möjliggöra – att ge medarbetare rätt förutsättningar att använda AI på ett sätt som stödjer verksamheten.
Exempel: ”Denna policy gäller alla medarbetare, konsulter och praktikanter som använder AI-verktyg i sitt arbete. Syftet är att säkerställa ansvarsfull, säker och effektiv AI-användning.”
2. Godkända verktyg och användningsområden
Lista vilka AI-verktyg som är tillåtna och för vilka uppgifter. Gör skillnad mellan publika gratisversioner (t.ex. ChatGPT free) och företagsversioner med bättre dataskydd (t.ex. ChatGPT Enterprise, Microsoft Copilot). Wndy påpekar att publika gratisversioner ofta lagrar inmatad data och kan använda den för träning – något många medarbetare inte känner till.
Tips: hellre en kort whitelist (”Dessa tre verktyg är godkända”) än en lång blacklist. Det gör policyn enklare att följa och underhålla.
3. Dataskydd och sekretess
Det här är policbyns viktigaste avsnitt. Definiera tydligt vad som inte får matas in i AI-verktyg: personuppgifter, kundinformation, affärshemligheter, intern ekonomisk data, patientjournaler och liknande. CGI rekommenderar att börja med att se över befintliga GDPR-policys och komplettera med ett AI-perspektiv.
Tumregel: om du inte skulle mejla informationen till en okänd extern part, mata inte heller in den i ett publikt AI-verktyg.
4. Ansvar och granskning
Vem ansvarar för vad? Två principer är centrala. För det första: AI är aldrig ansvarig – det är alltid en människa som tar det yttersta ansvaret för resultatet. För det andra: allt AI-genererat innehåll som publiceras eller används externt ska granskas av en människa innan det går ut. Enligt Randstad bör policyn också beskriva en process för hur medarbetare rapporterar incidenter – exempelvis om känslig information har delats av misstag.
5. Utbildning och uppdatering
En policy som ingen läser är värre än ingen policy alls – den skapar en falsk trygghet. Planera för hur policyn kommuniceras (inte bara ett mejl, utan en genomgång i teamet) och hur ofta den ses över. Kvartalsvis är en rimlig frekvens i ett fält som rör sig så snabbt. Det här steget kopplar också direkt till EU:s krav på AI-kunnighet – utbildningen behöver vara dokumenterad.
En AI-policy är ett av de tre fundament vi säkerställer finns på plats i en AI Effektanalys – innan vi börjar titta på verktyg och automation. Utan spelregler får du antingen vilda västern eller totalförbud. Med en enkel policy på plats kan medarbetarna börja experimentera tryggare – och organisationen kan börja mäta effekten. Läs mer om hela processen: Så ser de första 30 dagarna med AI ut i ett företag.
[BILD: Infografik: de 5 byggstenarna som visuella block med ikoner och korta rubriker]
Tre vanliga misstag när företag skapar en AI-policy
Misstag 1: Totalförbud som första reaktion
Det är förståeligt men kontraproduktivt. Som Computer Sweden rapporterar är ”använd det inte” den vanligaste första policyn – men den leder till att medarbetare använder verktygen ändå, fast i det tysta, utan någon som helst styrning.
Misstag 2: Policyn skrivs av jurister, för jurister
Om dokumentet är 15 sidor juridisk text kommer ingen på golvet att läsa det. Håll policyn kort, konkret och skriven för den som faktiskt ska följa den. En sida med tydliga regler slår tio sidor med undantag.
Misstag 3: Ingen äger frågan
Om policyn inte har en tydlig ägare – någon som ansvarar för uppdatering, utbildning och uppföljning – blir den ett dött dokument inom månader. Det behöver inte vara en heltidstjänst, men det måste vara någons namngivna ansvar. Läs mer om vem som bör äga AI-frågan: Vem ansvarar för AI i organisationen? HR, IT eller verksamheten. Och varför det ytterst är en ledningsfråga: AI för företagsledare – varför det inte handlar om teknik.
Kopplingen till EU:s AI-förordning
Sedan februari 2025 gäller artikel 4 i EU:s AI-förordning: anställda som arbetar med AI ska ha tillräcklig AI-kunnighet. Det är inte samma sak som att ha en formell policy – men i praktiken är en AI-policy det naturliga verktyget för att uppfylla kravet.
För företag som använder AI i högriskområden (rekrytering, kreditbedömning, personalhantering) tillkommer ytterligare krav från augusti 2026: dokumentation, loggning, riskbedömning och mänsklig översikt. En AI-policy är första steget mot den strukturen.
Med andra ord: även om din primära motivation är praktisk (”vi vill att folk använder AI rätt”) får du en regulatorisk bonus på köpet. Läs mer: EU:s AI-förordning – så påverkas svenska företag.
Vanliga frågor
Hur lång ska en AI-policy vara?
Kärnpolicyn bör rymmas på 1–2 A4-sidor. Detaljerade riktlinjer för specifika verktyg eller avdelningar kan läggas som bilagor. Ju kortare kärndokumentet är, desto större är chansen att det faktiskt läses och följs.
Finns det en färdig AI-policy mall att använda?
Flera aktörer erbjuder mallar, bland annat Randstad. Men en mall är bara en startpunkt – den måste anpassas efter din verksamhet, bransch och riskprofil. En policy som inte speglar hur AI faktiskt används hos er ger falskt skydd.
Behöver små företag verkligen en AI-policy?
Ja, men den behöver inte vara komplex. För ett företag med fem anställda räcker det med en halv sida: vilka verktyg får användas, vad får inte matas in, vem ansvarar. Ju tidigare ni sätter ramarna, desto enklare är det att skala dem när organisationen växer.
En AI-policy är inte målet – det är startpunkten. Det riktiga arbetet börjar när medarbetarna förstår policyn, känner sig trygga att experimentera inom ramarna, och ser att ledningen menar allvar med både möjligheterna och ansvaret.
Vill du ha hela bilden av hur ditt företag kan börja med AI på ett strukturerat sätt? Läs: Komma igång med AI på jobbet – en praktisk guide.
Vill ni veta var er största effekt finns? Boka ett kostnadsfritt strategisamtal – 30 minuter där vi går igenom er situation och ni får klarhet i om en AI Effektanalys är rätt steg.
Har ditt företag en AI-policy? Vad var svårast att definiera? Berätta i kommentarerna.
Interna länkar:
- Pillar: timilindeman.com/komma-igang-med-ai-pa-jobbet/
- EU AI-förordningen: timilindeman.com/blogg/eu-ai-forordningen-svenska-foretag (3 förekomster)
- Kluster (ansvar): timilindeman.com/blogg/vem-ansvarar-ai-organisation
- Kluster (företagsledare): timilindeman.com/blogg/ai-for-foretagsledare
- NY5 (30 dagarna): timilindeman.com/blogg/forsta-30-dagarna-ai-foretag
- AI Effektanalys: timilindeman.com/ai-effektanalys/
Externa länkar:
- Secure State Cyber – Behöver vår verksamhet en AI-policy?
- Wndy – AI-policy för arbetsgivare
- CGI – Hur du kan gå till väga för att skapa en AI-policy
- Grown – AI-policy nej tack! Här är riktlinjerna ditt företag behöver
- Randstad – Så skapar du en policy för generativ AI (mall)
- Computer Sweden – Därför behöver ditt företag en policy för generativ AI
- Digg – AI-förordningen