Styrning & efterlevnad
Ansvarsfull AI i praktiken: från princip till genomförande
Vad är ansvarsfull AI och hur arbetar man med det i praktiken?
Ansvarsfull AI är principerna om rättvisa, transparens, ansvar och mänsklig kontroll omsatt till konkreta kontroller i hur ett AI-system byggs, driftas och följs upp, granskat, inte påstått.
De flesta organisationer har redan skrivit ner sina värderingar för AI. Rättvisa. Transparens. Mänsklig kontroll. Orden är riktiga, men de gör ingen skillnad förrän de blir till något ni faktiskt gör. Den här artikeln handlar om steget därifrån: hur en princip blir en kontroll, en logg, ett beslut med en namngiven ansvarig.
Varför principer inte räcker
Ett värdeord binder ingen. “Vi använder AI rättvist” går inte att granska, inte att överklaga och inte att förbättra. När ett system fattar fel beslut hjälper det inte den drabbade att organisationen menade väl.
Två saker har gjort skillnaden mellan princip och praktik akut. Det första är att AI flyttat in i beslut som påverkar människor, vem som får ett bidrag, hur ett ärende prioriteras, vilket svar en medborgare möter. Det andra är att kraven blivit juridiska. EU AI Act ställer för system med hög risk uttryckliga krav på riskhantering, dataunderlag, loggning, mänsklig tillsyn och transparens (Europaparlamentets och rådets förordning (EU) 2024/1689, i kraft sedan augusti 2024, tillämpas i huvudsak från augusti 2026). Det som tidigare var en värdering är på väg att bli ett krav som kan kontrolleras.
Ansvarsfull AI är svaret på frågan en revisor, en tillsynsmyndighet eller en drabbad medborgare ställer: visa mig hur ni vet att systemet gör rätt.
Hur, från princip till praktik
Fyra principer återkommer i alla ramverk: rättvisa, transparens, ansvar och mänsklig kontroll. Var och en har en konkret motsvarighet i arbetssätt. Här är hur de översätts.
Rättvisa blir biashantering
Bias i ett AI-system betyder att utfallet skiljer sig systematiskt mellan grupper på ett sätt som inte är sakligt motiverat. Den uppstår oftast inte i koden utan i datan: historiska mönster lärs in och upprepas.
Att hantera bias är ett återkommande arbete, inte en kontroll en gång:
- Kartlägg vilka grupper som kan påverkas, kön, ålder, geografi, språk, innan systemet byggs, inte efteråt.
- Mät skillnaden i utfall mellan grupperna med ett valt mått, till exempel skillnad i andel godkända beslut eller skillnad i felfrekvens.
- Sätt en gräns för vad som är acceptabelt och dokumentera valet. En gräns som ingen bestämt blir aldrig överskriden.
- Mät om på nytt när datan eller verkligheten förändras. En modell som var rättvis i fjol kan ha glidit.
Det viktiga är att en avvikelse går att upptäcka och åtgärda. Ett system som ingen mäter kan vara hur snedvridet som helst utan att någonsin avslöja det.
Transparens blir spårbarhet
Transparens i praktiken är spårbarhet: att i efterhand kunna visa varför systemet gjorde som det gjorde. För ett högrisksystem kräver EU AI Act loggning som gör händelser möjliga att följa.
Konkret betyder det att ni kan svara på tre frågor om ett enskilt beslut: vilken data låg till grund, vilken modellversion användes, och fattade en människa eller systemet det slutliga beslutet. När de tre frågorna har svar kan ett beslut granskas, överklagas och rättas. När de saknar svar är systemet en svart låda även för den som äger det.
Mänsklig kontroll blir en designad nivå av tillsyn
Mänsklig kontroll är inte en knapp som läggs till sist. Det är ett beslut om var i flödet en människa måste vara med, fattat utifrån risken.
Två nivåer är värda att skilja på. Human-in-the-loop betyder att en människa fattar eller bekräftar varje beslut och AI:n föreslår. Human-on-the-loop betyder att systemet agerar självständigt men en människa övervakar och kan ingripa. Ett förslag på svarsutkast till en handläggare klarar sig med lättare tillsyn. Ett beslut som påverkar en persons rättigheter ska en människa fatta. Att välja nivå medvetet, och skriva ner valet, är skillnaden mellan tillsyn och teater.
Ansvar blir ett ledningssystem
De tre första kontrollerna håller bara om någon äger dem. Det är vad ett ledningssystem är: roller, processer, riskbedömningar och uppföljning som gör att kontrollerna utförs och granskas i stället för att glömmas.
ISO/IEC 42001:2023 är världens första ledningssystemstandard för AI, fastställd i december 2023. Den beskriver inte vilken AI ni får bygga, utan hur ni styr arbetet: hur risker bedöms, hur ansvar fördelas, hur AI-systemen följs upp över sin livstid. Strukturen följer samma logik som ISO/IEC 27001 för informationssäkerhet, vilket gör att de två går att driva ihop. Skillnaden är att 27001 skyddar information, medan 42001 styr hur AI-system påverkar människor och verksamhet.
En certifiering enligt 42001 innebär att en oberoende part granskat att ledningssystemet finns och används. Det flyttar arbetet från påstått till granskat och det är den enda av de fyra delarna som kräver en utomstående.
När det passar, och vad det inte är
Ansvarsfull AI i full skala är inte gratis, och inte varje användning behöver allt. Ett internt verktyg som sammanfattar mötesanteckningar kräver inte samma tillsyn som ett system som prioriterar vårdärenden. Avgör nivån utifrån risken: vad händer om systemet har fel, och vem drabbas.
Ansvarsfull AI är inte ett dokument. En policy i en låda är inte ansvarsfull AI, arbetssätten och kontrollerna är det. Det är heller inte detsamma som att AI:n alltid har rätt; det är att fel går att upptäcka, förklara och rätta. Och det är inte en engångsinsats inför en revision, utan något som pågår så länge systemet är i drift.
Konkret exempel
Tänk er en kommun som inför ett AI-stöd som föreslår hur inkommande ärenden ska prioriteras. Principen “rättvisa” räcker inte långt. I praktiken ser arbetet ut så här:
Före driftsättning mäts om förslagen systematiskt nedprioriterar ärenden från vissa områden eller åldersgrupper, och en gräns sätts för vad som är acceptabel skillnad. Varje förslag loggas med vilken data och vilken modellversion som låg bakom, så att ett enskilt ärende kan granskas i efterhand. En handläggare fattar det faktiska beslutet, systemet föreslår en ordning, människan bestämmer. Och en namngiven person äger uppföljningen, med ansvar att mäta om bias när ärendemönstren ändras.
Samma fyra principer, men nu som något en revisor kan kontrollera och en medborgare kan överklaga.
Vanliga missförstånd
“Vi har en AI-policy, alltså arbetar vi ansvarsfullt.” Policyn är reglerna. Ansvarsfull AI är systemet som gör att reglerna efterlevs och kan granskas. Utan det blir dokumentet en avsiktsförklaring.
“Ansvarsfull AI bromsar utvecklingen.” Det motsatta är vanligare: organisationer som inte vågar driftsätta AI för att de inte kan visa att den är säker. Kontroller som gör risken synlig är det som gör det möjligt att gå i produktion med ett system som påverkar människor.
“Det räcker att människan finns med.” En människa som klickar “godkänn” på allt utan att kunna ifrågasätta är ingen kontroll. Mänsklig tillsyn kräver att personen har tid, mandat och information att faktiskt säga nej.
“Bias mäter man en gång.” Bias uppstår när verkligheten förändras. En modell som var rättvis vid driftsättning kan glida, därför är mätningen återkommande.
Digitalist var bland de första AI-leverantörerna i Sverige att certifieras enligt ISO/IEC 42001 (certifierat 7 oktober 2025). Det betyder att vårt eget arbete med ansvarsfull AI är granskat av en oberoende part, inte påstått av oss själva. Vill ni ta steget från princip till genomförande börjar det med att avgöra vilken nivå av tillsyn och kontroll era system faktiskt kräver.
Författare: Joakim Ekman
Vanliga frågor
- Ansvarsfull AI är en uppsättning principer, rättvisa, transparens, ansvar och mänsklig kontroll, omsatt till konkreta arbetssätt och kontroller i hur ett AI-system byggs, driftas och följs upp. Skillnaden mot AI-etik är att etiken beskriver vad som är önskvärt, medan ansvarsfull AI beskriver vad ni faktiskt gör för att uppnå det.
- Bias mäts genom att jämföra modellens utfall mellan olika grupper i datan, till exempel kön, ålder eller geografi, och se om träffsäkerhet eller beslut skiljer sig systematiskt. Vanliga mått är skillnad i andel godkända (demographic parity) och skillnad i felfrekvens mellan grupper. Mätningen görs både innan systemet tas i drift och löpande, eftersom bias kan uppstå när verkligheten förändras.
- Human-in-the-loop betyder att en människa fattar eller bekräftar beslutet, och AI:n föreslår. Det skiljer sig från human-on-the-loop, där människan övervakar ett system som agerar självständigt och kan ingripa. Vilken nivå som krävs beror på risken: ett förslag på e-postsvar kräver mindre tillsyn än ett beslut som påverkar en persons rättigheter.
- EU AI Act ställer konkreta krav för system med hög risk, riskhantering, dataunderlag, loggning, mänsklig tillsyn och transparens, som i praktiken är ansvarsfull AI omsatt i lag. Förordningen gäller stegvis från augusti 2024 och i huvudsak från augusti 2026. Även den som inte bygger högrisksystem berörs av kravet på AI-kunnighet sedan februari 2025.
- En AI-policy är dokumentet med reglerna. ISO/IEC 42001 är ett ledningssystem, roller, riskbedömningar, kontroller och uppföljning, som gör att reglerna efterlevs och granskas av en oberoende part. Policyn kan vara en del av ledningssystemet, men ett dokument utan system runt omkring blir liggande oanvänt.
- Nej, certifiering är inget krav för att arbeta ansvarsfullt, principerna och kontrollerna går att tillämpa utan den. En certifiering enligt ISO/IEC 42001 gör däremot arbetet granskat i stället för påstått, vilket betyder något i upphandlingar och för system som omfattas av EU AI Act.
Vad menas med ansvarsfull AI?
Hur mäter man AI-bias?
Vad är human-in-the-loop?
Kräver EU AI Act att vi arbetar med ansvarsfull AI?
Vad är skillnaden mellan ISO/IEC 42001 och en AI-policy?
Måste man vara certifierad för att arbeta ansvarsfullt med AI?
Vill ni omsätta det här i praktiken?
Boka ett kort samtal med en kundansvarig.