Så skriver du en AI-policy för företag
När team använder AI behövs tydliga riktlinjer. Här är en balanserad mall du kan använda direkt, oavsett om ni är 3 eller 300 personer.
Daniel Dahlén
4 februari 2026 • Uppdaterad 27 maj 2026
"Får man använda ChatGPT på jobbet?"
Frågan dyker upp allt oftare. Och svaret är ofta... tystnad. Eller ett nervöst "vet inte".
Om du driver ett företag och inte har klara riktlinjer för AI-användning har du ett problem. Inte för att AI är farligt i sig. Utan för att folk använder det ändå, och utan vägledning händer dumma saker.
Den här guiden hjälper dig skriva en AI-policy som funkar. Inte en som ingen läser. Inte en som förbjuder allt. En som faktiskt ger ditt team tydliga svar.
Varför du behöver en policy (även om ni är tre personer)
"Vi är ett litet företag, behöver vi verkligen en policy?"
Ja. Och här är varför.
Folk använder AI redan. Om du inte gett riktlinjer gissar de. Och gissningar leder till misstag.
Kunddata lämnar er kontroll. Någon klistrar in ett kundmejl i ChatGPT för att skriva ett svar. Nu behandlas informationen av en extern leverantör. Var det okej?
Juridiskt ansvar är på dig. Om något går fel är det företaget som ansvarar, inte den anställda som "inte visste".
Tydlighet minskar osäkerhet. Istället för att folk undrar vad som är okej har de ett dokument att kolla.
Det handlar om tydlighet, inte kontroll
En bra AI-policy förbjuder inte användning. Den gör det klart vad som är okej, vad som kräver eftertanke, och vad som är förbjudet. Poängen är att folk ska kunna använda AI tryggt.
Vad händer egentligen när du delar data med AI?
Innan vi går in på policyn behöver vi förstå vad som faktiskt händer tekniskt och juridiskt när någon klistrar in information i ChatGPT eller Claude.
Du överför data till en tredje part
Varje gång du skriver något i ett molnbaserat AI-verktyg skickas det normalt till leverantörens servrar eller molninfrastruktur (OpenAI, Anthropic, Google, etc.). Även om modellträning är avstängd kan din data fortfarande:
- Skickas över internet till deras servrar
- Behandlas av deras system
- Lagras under en period som varierar beroende på leverantör, plan och inställningar
- Omfattas av deras användarvillkor och integritetspolicy
Vad "opt-out of training" faktiskt innebär
Många tror att opt-out betyder att deras data är privat. Det stämmer inte helt.
| Aspekt | Med avstängd modellträning | Utan avstängd modellträning |
|---|---|---|
| Data skickas till servrar | Ja | Ja |
| Lagras av leverantören | Ja (retention varierar per plan) | Ja (retention varierar per plan) |
| Kan användas för modellträning | Normalt nej, men kontrollera undantag | Ja eller enligt leverantörens inställningar |
| Kan granskas eller analyseras | Ja, t.ex. för säkerhet, support eller flaggat innehåll | Ja, t.ex. för säkerhet, support eller flaggat innehåll |
| Du delar med tredje part | Ja | Ja |
Opt-out är inte samma sak som privat. Det betyder i praktiken att innehållet normalt inte ska användas för att förbättra leverantörens generella modeller. Men datan behandlas fortfarande av leverantören, kan lagras under en tid och kan omfattas av säkerhetsgranskning, supportflöden och rättsliga krav. Det viktiga är inte bara var bolaget har huvudkontor, utan om personuppgifter överförs utanför EU/EES och vilka skyddsåtgärder som gäller (t.ex. EU-US Data Privacy Framework, standardavtalsklausuler och tekniska kontroller).
GDPR-perspektivet
När du klistrar in personuppgifter i ett AI-verktyg händer följande juridiskt:
- Du (företaget) är normalt personuppgiftsansvarig för din användning
- Leverantören är ofta personuppgiftsbiträde i företagsupplägg där de behandlar för din räkning och där PUB-avtal/DPA finns. I konsumenttjänster kan leverantören behandla för egna ändamål, och då är rollfördelningen annorlunda
- Du behöver alltid en rättslig grund. I arbetslivet är samtycke sällan en bra grund (svårt att hävda frivillighet). Berättigat intresse eller avtal är oftare realistiskt. I många fall bör ni göra en riskbedömning (och vid behov DPIA) innan ni matar in personuppgifter
- Du behöver ett personuppgiftsbiträdesavtal (DPA/PUB-avtal) med leverantören i de fall de agerar biträde
Gratisversioner och personliga betalplaner saknar ofta de avtalsvillkor, DPA/PUB-avtal och admin-kontroller som företag behöver. Välj hellre företagsplaner som ChatGPT Business/Enterprise eller Claude Team/Enterprise när personuppgifter eller kunddata kan förekomma.
Företagshemligheter och NDA:er
Företagshemligheter kräver att innehavaren vidtagit rimliga åtgärder för att hemlighålla informationen. Om ni delar hemlig info via en konsumenttjänst utan avtal och kontroller kan det undergräva det kravet, vilket kan hota företagshemlighetsstatus. Om du har NDA:er med kunder eller partners kan delning av deras information vara avtalsbrott, oavsett vad AI-leverantören gör med datan.
EU:s AI Act
Utöver GDPR börjar EU:s AI-förordning (AI Act) tillämpas stegvis. AI-kompetens och förbjudna AI-praktiker gäller sedan 2 februari 2025. De flesta reglerna och flera transparenskrav börjar gälla 2 augusti 2026. Efter EU:s politiska överenskommelse om AI omnibus flyttas vissa högriskregler fram, bland annat till 2 december 2027 för vissa högriskområden och 2 augusti 2028 för högrisk-AI som är inbyggd i reglerade produkter.
Det viktigaste att ha koll på:
- AI-kompetens (AI literacy): Organisationer som använder AI-system ska, så långt det är möjligt, se till att personalen har tillräcklig kompetens för hur systemen används. Det är redan ett krav.
- Förbjudna användningar: Vissa typer av AI-användning är helt förbjudna, t.ex. social poängsättning och vissa former av manipulation.
- Högrisk-system: Om ni använder AI i sammanhang som HR-urval, kreditbedömning eller liknande kan ni omfattas av extra krav på riskhantering, transparens och dokumentation. Kontrollera kategorin och tidslinjen innan ni bygger in AI i sådana processer.
Vad innebär det i praktiken?
För de flesta företag som använder ChatGPT och Claude som produktivitetsverktyg är kraven hanterliga. Men det är bra att ha koll på reglerna, särskilt om ni använder AI i beslut som påverkar människor direkt.
Personliga konton vs företagskonton
Det här är en avgörande distinktion som många missar.
Vad du får med personliga konton
- Grundläggande funktionalitet
- Villkor som normalt är skrivna för individen, inte företaget
- Ofta ingen DPA/PUB-avtal för företagets behandling av personuppgifter
- Begränsad admin-kontroll, offboarding och central policy
- Modelltränings- och retentionsinställningar som varierar per leverantör och plan
Vad du får med företagskonton
ChatGPT Business/Enterprise och Claude Team/Enterprise:
- Ingen modellträning på arbetsytans eller kundens data som standard enligt företagsvillkoren
- Personuppgiftsbiträdesavtal (DPA/PUB-avtal) via företagsvillkor eller avtal
- Säkerhets- och compliance-dokumentation, t.ex. SOC 2
- Admin-kontroll över användare
- Identitets- och åtkomstkontroller som SSO, SCIM eller domänhantering beroende på plan
- Retention, audit logs och supportnivåer som varierar mellan Business, Team och Enterprise
Prisjämförelse (ungefärliga priser, kan ändras)
| Verktyg | Officiell prisnivå* | Bäst för |
|---|---|---|
| ChatGPT Free | 0 | Privatpersoner |
| ChatGPT Plus | $20/månad | Enskilda yrkesutövare |
| ChatGPT Business | $20/användare/månad vid årsbetalning, $25 månadsvis (valuta varierar) | Team (minst 2 användare) |
| Claude Free | 0 | Privatpersoner |
| Claude Pro | $20/månad | Enskilda yrkesutövare |
| Claude Team Standard | $20/användare/månad vid årsbetalning, $25 månadsvis | Team (minst 5 användare) |
*Exklusive moms/skatt där det gäller. Priser, valutor och funktioner ändras ofta, så kontrollera alltid leverantörens aktuella prissida innan du skriver inköpsunderlag.
Rekommendation
För företag med anställda: använd företagsversioner när AI används i arbetet. Kostnaden är liten jämfört med risken att sakna avtal, admin-kontroll, offboarding och dataskyddsrutiner. Men planen ger inte i sig en rättslig grund enligt GDPR. Den gör det bara lättare att uppfylla era egna skyldigheter.
De tre frågorna din policy måste svara på
Strunta i långa juridiska texter. Din policy behöver svara på tre frågor:
1. Vilka AI-verktyg får vi använda?
Lista godkända verktyg explicit:
- ChatGPT (via företagskonto eller personligt?)
- Claude
- Microsoft Copilot
- Google Gemini
- Branschspecifika verktyg
Var tydlig med om personliga gratiskonton är okej eller om ni kräver företagsversioner.
2. Vad får vi dela med AI-verktyg?
Det här är kärnfrågan. Kategorisera information:
Grönt (okej att dela):
- Offentlig information
- Generiska frågor utan företagsspecifik data
- Information som redan finns på er hemsida
Gult (tänk efter):
- Internt material som inte är hemligt
- Utkast och idéer
- Aggregerad data utan personuppgifter
Rött (dela inte utan särskild godkänd process):
- Personuppgifter (kunddata, personnummer, hälsoinformation)
- Lösenord och inloggningsuppgifter
- Konfidentiella avtal
- Icke-offentlig finansiell information
- Företagshemligheter
3. Vem ansvarar för vad?
Klargör ansvar:
- Varje anställd ansvarar för att följa policyn
- Chefer ansvarar för att deras team känner till policyn
- En namngiven person (eller funktion) äger frågor och uppdateringar
Checklista: vad får man dela?
Här är en praktisk checklista för vardagsbeslut:
Innan du klistrar in något i ett AI-verktyg, fråga dig:
☐ Innehåller detta personuppgifter? (namn + kontext, mejladresser, telefonnummer) ☐ Skulle kunden bli obekväm om de visste att jag delade detta? ☐ Är detta information som konkurrenter inte ska ha? ☐ Finns det ett NDA eller avtal som täcker denna information? ☐ Är det något som bara ska finnas internt?
Om du svarar ja på någon fråga: Antingen ta bort den känsliga informationen först, eller avstå.
GDPR och personuppgifter
Om du klistrar in personuppgifter i ChatGPT eller Claude behandlar du persondata hos en tredje part. Du behöver alltid en rättslig grund, och i arbetslivet är samtycke sällan en bra grund (svårt att hävda frivillighet). Berättigat intresse eller avtal är oftare realistiskt. I praktiken: anonymisera eller ta bort personuppgifter innan du använder AI-verktyg.
Mall: kopierbar AI-policy
Här är en mall du kan anpassa. Den är medvetet kort för att folk faktiskt ska läsa den.
[Företagsnamn] AI-policy
Version: 1.0 Datum: [Datum] Ansvarig: [Namn/roll]
Syfte
Denna policy ger riktlinjer för ansvarsfull användning av AI-verktyg i arbetet. Målet är att vi ska kunna dra nytta av AI samtidigt som vi skyddar kunddata och företagshemligheter.
Godkända verktyg
Följande AI-verktyg är godkända för arbetsrelaterad användning:
- [Lista era godkända verktyg]
Andra verktyg får användas efter godkännande från [ansvarig person].
Vad får delas med AI-verktyg
Okej att dela:
- Offentlig information
- Generiska frågor utan kunddata
- Egna texter och utkast (utan känslig info)
Kräver eftertanke (ta bort känslig info först):
- Internt material
- Affärsidéer och strategier
Förbjudet att dela:
- Personuppgifter (kundnamn, kontaktinfo, etc.)
- Lösenord och inloggningsuppgifter
- Konfidentiella avtal och dokument
- Finansiell information som inte är offentlig
Ansvar
- Varje medarbetare ansvarar för att följa denna policy
- Vid osäkerhet, fråga [ansvarig person]
- AI-genererat innehåll ska alltid granskas innan det används externt
Överträdelser
Brott mot denna policy hanteras enligt [ert normala förfarande].
Kopiera, anpassa, använd.
Så optimerar du företagets AI-setup
En policy är bra, men rätt teknisk setup gör det enklare att följa den. Här är en praktisk guide.
Steg 1: Välj rätt verktyg och plan
För team på 2-20 personer:
- ChatGPT Business eller Claude Team
- En admin som hanterar konton
- Gemensamma riktlinjer för alla
För större organisationer (20+):
- ChatGPT Enterprise eller Claude Enterprise
- SSO-integration med er identitetsleverantör
- Centraliserad administration och loggning
Steg 2: Konfigurera korrekt
- Skapa företagskonto (inte individuella betalplaner)
- Bjud in användare via admin-panelen
- Verifiera att DPA/PUB-avtal är på plats via företagsvillkor eller separat avtal
- Stäng av valfria datadelningsinställningar om ni är extra försiktiga
Steg 3: Inför tekniska skyddsräcken
Alternativ A: Lita på policy + utbildning
- Fungerar för de flesta små företag
- Kräver att folk följer riktlinjerna
Alternativ B: Använd API + egen applikation
- Bygg ett internt verktyg som filtrerar känslig data
- Mer kontroll, men kräver teknisk kompetens
Alternativ C: Specialiserade enterprise-lösningar
- Verktyg som Microsoft 365 Copilot behandlar kunddata inom Microsoft 365:s service boundary och följer användarens befintliga behörigheter
- Dyrare men högre kontroll
Steg 4: Skapa mallar och Custom Instructions
Hjälp ditt team använda AI effektivt:
- Custom Instructions i ChatGPT för att definiera kontext och ton
- Projects i Claude för att samla relevant information
- Interna promptmallar för vanliga uppgifter
Det minskar risken att folk behöver dela känslig kontext varje gång.
Checklista för optimal setup
☐ Företagskonto med DPA på plats ☐ Alla användare inbjudna via admin (inga personliga konton) ☐ Ingen modellträning på arbetsytans data enligt företagsvillkoren verifierad ☐ Policy dokumenterad och kommunicerad ☐ Utbildning genomförd ☐ Ansvarig person utsedd för frågor ☐ Påminnelse i kalendern för halvårlig översyn
Så inför du policyn (utan att folk ignorerar den)
En policy som ingen läser är värdelös. Så här gör du den verklig:
1. Håll den kort
En sida. Max två. Ingen läser tio sidor.
2. Förklara varför
"Vi vill att ni ska kunna använda AI. Den här policyn finns för att det ska vara tryggt." Inte "Ni måste följa reglerna."
3. Gå igenom den på ett möte
Skicka inte bara ett mejl. Ta 15 minuter på nästa möte. Svara på frågor.
4. Gör den tillgänglig
Lägg den där folk faktiskt hittar den. Inte i en mapp ingen öppnar.
5. Ge konkreta exempel
"Om du vill sammanfatta ett kundmöte, ta bort kundens namn och företag först." Konkret slår abstrakt.
6. Uppdatera regelbundet
AI-landskapet förändras snabbt. Planera att se över policyn var sjätte månad.
Börja med dialog
Innan du skriver policyn, fråga ditt team: Hur använder ni AI idag? Vad känns osäkert? Deras svar hjälper dig skriva en policy som adresserar verkliga frågor.
TLDR
- Du behöver en AI-policy även om ni är ett litet team. Folk använder AI ändå.
- Opt-out ≠ privat. Din data kan fortfarande skickas, behandlas och lagras. Den ska normalt inte användas för modellträning.
- Företagskonton är viktiga. De ger bättre avtal, admin-kontroll och dataskydd, men den rättsliga grunden är fortfarande ert ansvar.
- Tre frågor att svara på: Vilka verktyg? Vad får delas? Vem ansvarar?
- Grön/gul/röd för att kategorisera information gör det enkelt att förstå.
- Inför policyn ordentligt. Gå igenom på möte, ge exempel, uppdatera halvårsvis.
En bra policy förbjuder inte AI. Den gör det möjligt att använda det tryggt och mer juridiskt kontrollerat. En AI-policy är en del av en bredare AI-strategi som hjälper ditt företag att använda AI på rätt sätt.
Källor jag kontrollerade
- EU-kommissionens AI Act-tidslinje och AI Act-sammanfattning
- AI Act artikel 4 om AI-kompetens och Annex III om högrisk-AI
- OpenAI om ChatGPT Business, OpenAI pricing och OpenAI Business data privacy
- Anthropic om DPA, modellträning och Claude Team
- Microsoft 365 Copilot-arkitektur
- IMY om rättslig grund i arbetslivet, EU-kommissionen om personuppgiftsincidenter och lagen om företagshemligheter
Vanliga frågor
Räcker det med opt-out för att skydda vår data?
Nej. Opt-out betyder normalt bara att din data inte används för modellträning. Den kan fortfarande skickas till leverantörens servrar, behandlas, lagras och omfattas av deras villkor. Hur länge data sparas varierar beroende på leverantör, plan och inställningar. För personuppgifter i företagssammanhang behöver du normalt företagskonton med DPA/PUB-avtal och admin-kontroll.
Måste vi ha företagskonton eller räcker gratisversioner?
Juridiskt sett: gratisversioner och personliga betalplaner saknar ofta DPA/PUB-avtal och admin-kontroller. När leverantören behandlar personuppgifter som personuppgiftsbiträde behöver ni ett avtal enligt GDPR. För företag med anställda rekommenderas därför företagsversioner.
Vad händer om en anställd råkar dela kunddata?
Normalt är det företaget som ansvarar för behandlingen, inte den enskilda anställda. Därför är en tydlig policy viktig: den ger er dokumentation på att ni hade riktlinjer, och den minskar risken att det händer. Om det blir en personuppgiftsincident som sannolikt innebär risk för personer kan ni behöva rapportera till Integritetsskyddsmyndigheten inom 72 timmar från att ni fick kännedom om incidenten.
Är det säkert att använda AI för känsliga branscher (vård, juridik, finans)?
Det beror på hur ni sätter upp det. Reglerade branscher har ofta ytterligare krav (patientdatasekretess, advokatsekretess, finansiella regler). Använd enterprise-lösningar med högre säkerhet, tydliga avtal och godkända processer. Dela inte skyddad information utan att ni först har kontrollerat rättslig grund, avtal, behörigheter och säkerhetskrav.
Hur ofta ska vi uppdatera vår AI-policy?
Var sjätte månad som minimum. AI-landskapet, verktygen och lagstiftningen förändras snabbt. Sätt en återkommande påminnelse i kalendern.
Behöver du hjälp att ta fram en AI-policy anpassad för ditt företag? Boka ett samtal så sätter vi ihop något som funkar för er.
Behöver du hjälp med AI?
Vi hjälper företag implementera AI-lösningar som faktiskt fungerar. Boka ett kostnadsfritt samtal.
Boka konsultation