Digitalist

AI-grunderna

Så skapar du en effektiv AI-policy: guide och mall 2026

Hur skriver man en AI-policy för ett företag?

En AI-policy är ett styrande dokument som beskriver hur en organisation får använda artificiell intelligens, vilka verktyg, vilken data, vilket ansvar och vilka gränser som gäller.

Varför en AI-policy behövs

De flesta organisationer använder redan AI, oavsett om de bestämt sig för det. Medarbetare klistrar in text i ChatGPT, sammanfattar möten med ett verktyg ingen godkänt och laddar upp underlag till tjänster ingen granskat. Det kallas shadow AI, och det är inte ett tecken på olydnad utan på att verktygen är användbara. En policy som börjar med ett förbud driver bara användningen längre in i skuggan.

Sedan 2 februari 2025 ställer EU AI Act dessutom ett krav på AI-kunnighet (AI literacy) på organisationer som använder AI. En AI-policy är det enklaste sättet att visa att ni vet vad medarbetarna får göra och har gett dem förutsättningarna att göra det rätt.

Poängen med en policy är alltså inte att stoppa AI. Det är att göra det tryggt att använda den.

Vad en AI-policy ska innehålla

En effektiv AI-policy behöver inte vara lång. Den behöver vara konkret. De här delarna är de som faktiskt styr vardagen:

  1. Syfte och omfattning, vad policyn gäller och vilka den omfattar.
  2. Godkända verktyg, namngivna verktyg och versioner som får användas, och skillnaden mellan konsumentversioner och företagsavtal.
  3. Datahantering, vilken data som får matas in i vilka verktyg, kopplat till er dataklassning. Personuppgifter och sekretessreglerad information hör sällan hemma i en konsumentversion.
  4. Ansvar och roller, vem som äger policyn, vem som godkänner nya verktyg, vem medarbetaren frågar.
  5. Mänsklig kontroll, var en människa måste granska eller fatta beslutet, i stället för att lita på AI:ns svar rakt av.
  6. Transparens, när och hur ni berättar att AI använts, internt och mot kund.
  7. Utbildning, hur medarbetare lär sig verktygen och riskerna, vilket också svarar mot EU AI Acts literacy-krav.
  8. Incident och uppföljning, vad som händer när något går fel, och hur ofta policyn ses över.

Den här listan fungerar också som en mall, vill ni ha ett utkast anpassat efter er verksamhet hjälper vi till med det.

Så skriver du den, steg för steg

  1. Kartlägg nuläget. Ta reda på vilken AI som redan används, inklusive shadow AI. Det är där de verkliga riskerna finns, inte i det ni planerar.
  2. Förankra i ledningen och utse en ägare. En policy utan mandat och utan en namngiven ägare blir aldrig efterlevd.
  3. Klassa datan. Bestäm vad som aldrig får matas in i ett externt verktyg. Det här är den enskilt viktigaste raden i hela policyn.
  4. Välj godkända verktyg. Namnge dem, och skilj på konsument- och företagsversion. Ge medarbetarna ett tydligt ja, inte bara en lista nej.
  5. Sätt gränsen för mänsklig kontroll. Skriv ut var ett mänskligt beslut krävs, särskilt för det som rör människor eller pengar.
  6. Planera utbildningen. En policy som ingen förstår följs inte. Koppla den till konkret träning i verktygen.
  7. Publicera, förankra och följ upp. Sätt ett datum för nästa översyn redan när ni publicerar. AI-landskapet ändras snabbare än de flesta policyer.

Skillnaden mellan AI-policy och AI-governance

Skillnaden mellan en AI-policy och AI-governance är att policyn är dokumentet med reglerna, medan governance är hela styrsystemet som får reglerna att hålla: roller, processer, riskbedömningar, uppföljning och vid behov en certifiering enligt ISO/IEC 42001. Policyn är en del av governance. För en mindre organisation kan policyn räcka långt. För en som hanterar känslig data eller högrisk-användning enligt EU AI Act behövs styrningen runt omkring.

Vanliga misstag

Att kopiera en mall utan att förankra. En nedladdad mall blir ett dokument i en låda om den inte översätts till era verktyg, er data och era roller.

Att skriva den för restriktiv. En policy som förbjuder allt driver medarbetarna tillbaka till shadow AI. Tydliga ja väger tyngre än långa nej.

Att behandla den som ett engångsdokument. Verktygen och reglerna ändras varje kvartal. En policy utan ägare och översynsdatum är inaktuell inom ett halvår.

En bra AI-policy är kort nog att läsas, konkret nog att följas, och levande nog att hänga med. Börja med nuläget, sätt en ägare, och skriv ner det ni redan vet är sant.

Vanliga frågor

Vad ska en AI-policy innehålla?
En användbar AI-policy svarar på fem saker: vilka verktyg som är godkända, vilken data som får matas in i dem, vem som ansvarar för vad, var en människa måste fatta beslutet, och hur efterlevnaden följs upp. Allt annat är utfyllnad. Resten av den här guiden går igenom varje del.
Finns det en färdig AI-policy-mall?
Strukturen i den här guiden fungerar som en mall i sig, de åtta delarna under "Vad en AI-policy ska innehålla" är de som faktiskt styr vardagen. Vill ni ha ett utkast anpassat efter er verksamhet hjälper vi till med det; kontakta oss så tar vi det därifrån. En mall är ändå bara en startpunkt, den måste förankras i er verksamhet och er dataklassning för att betyda något.
Vad är skillnaden mellan en AI-policy och AI-governance?
En AI-policy är dokumentet med reglerna. AI-governance är hela styrsystemet runt omkring: roller, processer, riskbedömningar, uppföljning och vid behov en certifiering enligt ISO/IEC 42001. Policyn är en del av governance, inte tvärtom. Ett dokument utan styrsystem blir liggande i en låda.
Kräver EU AI Act att vi har en AI-policy?
EU AI Act kräver inte ett dokument som heter "AI-policy", men sedan 2 februari 2025 gäller ett krav på AI-kunnighet (AI literacy) för organisationer som använder AI. En policy som beskriver godkänd användning och utbildning är det enklaste sättet att visa att kravet är uppfyllt.
Vem ska äga AI-policyn?
En namngiven person, inte en avdelning. Oftast en AI-ansvarig, CISO eller digitaliseringschef, med mandat från ledningen. Utan en ägare blir policyn ingen som uppdaterar den när verktygen och reglerna ändras.
Tim Ohlén Affärsområdeschef, tillämpad AI · Digitalist Uppdaterad 3 juni 2026

Fördjupning

Relaterade tjänster

Vill ni omsätta det här i praktiken?

Boka ett kort samtal med en kundansvarig.

Kontakta oss
Kontakta oss