Strategi12 min läsning

Så skriver du en AI-policy för företag

Varje företag behöver AI-riktlinjer. Här är en balanserad mall du kan använda direkt, oavsett om ni är 3 eller 300 personer.

Daniel Dahlen

Daniel Dahlen

4 februari 2026

Read in English →
Dela

"Får man använda ChatGPT på jobbet?"

Frågan dyker upp allt oftare. Och svaret är ofta... tystnad. Eller ett nervöst "vet inte".

Om du driver ett företag och inte har klara riktlinjer för AI-användning har du ett problem. Inte för att AI är farligt i sig. Utan för att folk använder det ändå, och utan vägledning händer dumma saker.

Den här guiden hjälper dig skriva en AI-policy som funkar. Inte en som ingen läser. Inte en som förbjuder allt. En som faktiskt ger ditt team tydliga svar.

Varför du behöver en policy (även om ni är tre personer)

"Vi är ett litet företag, behöver vi verkligen en policy?"

Ja. Och här är varför.

Folk använder AI redan. Om du inte gett riktlinjer gissar de. Och gissningar leder till misstag.

Kunddata hamnar i fel händer. Någon klistrar in ett kundmejl i ChatGPT för att skriva ett svar. Nu finns den informationen hos OpenAI. Var det okej?

Juridiskt ansvar är på dig. Om något går fel är det företaget som ansvarar, inte den anställda som "inte visste".

Tydlighet minskar osäkerhet. Istället för att folk undrar vad som är okej har de ett dokument att kolla.

Det handlar om tydlighet, inte kontroll

En bra AI-policy förbjuder inte användning. Den gör det klart vad som är okej, vad som kräver eftertanke, och vad som är förbjudet. Poängen är att folk ska kunna använda AI tryggt.

Vad händer egentligen när du delar data med AI?

Innan vi går in på policyn behöver vi förstå vad som faktiskt händer tekniskt och juridiskt när någon klistrar in information i ChatGPT eller Claude.

Du överför data till en tredje part

Varje gång du skriver något i ett AI-verktyg skickas det till leverantörens servrar (OpenAI, Anthropic, Google, etc.). Det spelar ingen roll om du har "opt-out" aktiverat. Din data:

  • Skickas över internet till deras servrar
  • Behandlas av deras system
  • Lagras under en period som varierar beroende på leverantör, plan och inställningar
  • Omfattas av deras användarvillkor och integritetspolicy

Vad "opt-out of training" faktiskt innebär

Många tror att opt-out betyder att deras data är privat. Det stämmer inte helt.

| Aspekt | Med opt-out | Utan opt-out | | ------------------------- | -------------------------------- | -------------------- | | Data skickas till servrar | Ja | Ja | | Lagras av leverantören | Ja (retention varierar per plan) | Ja (kan vara längre) | | Används för träning | Nej | Ja | | Personal kan granska | Vid flaggat innehåll | Vid flaggat innehåll | | Du delar med tredje part | Ja | Ja |

Opt-out är inte samma sak som privat. Det betyder bara att din data inte används för att förbättra framtida modeller. Det viktiga är inte bara var bolaget har huvudkontor, utan om personuppgifter överförs utanför EU/EES och vilka skyddsåtgärder som gäller (t.ex. EU-US Data Privacy Framework, standardavtalsklausuler och tekniska kontroller).

GDPR-perspektivet

När du klistrar in personuppgifter i ett AI-verktyg händer följande juridiskt:

  1. Du (företaget) är normalt personuppgiftsansvarig för din användning
  2. Leverantören är ofta personuppgiftsbiträde i företagsupplägg där de behandlar för din räkning och där PUB-avtal/DPA finns. I konsumenttjänster kan leverantören behandla för egna ändamål, och då är rollfördelningen annorlunda
  3. Du behöver alltid en rättslig grund. I arbetslivet är samtycke sällan en bra grund (svårt att hävda frivillighet). Berättigat intresse eller avtal är oftare realistiskt. I många fall bör ni göra en riskbedömning (och vid behov DPIA) innan ni matar in personuppgifter
  4. Du behöver ett personuppgiftsbiträdesavtal (DPA/PUB-avtal) med leverantören i de fall de agerar biträde

Gratisversioner saknar ofta tillräckliga DPA:er och admin-kontroller för företagsanvändning. Kommersiella planer (t.ex. ChatGPT Team/Enterprise, Claude for Business) har detta på plats.

Företagshemligheter och NDA:er

Företagshemligheter kräver att innehavaren vidtagit rimliga åtgärder för att hemlighålla informationen. Om ni delar hemlig info via en konsumenttjänst utan avtal och kontroller kan det undergräva det kravet, vilket kan hota företagshemlighetsstatus. Om du har NDA:er med kunder eller partners kan delning av deras information vara avtalsbrott, oavsett vad AI-leverantören gör med datan.

EU:s AI Act

Utöver GDPR börjar EU:s AI-förordning (AI Act) tillämpas stegvis. Stora delar gäller från augusti 2026, men vissa delar (förbjudna användningar och krav på AI-kompetens) började gälla redan tidigare.

Det viktigaste att ha koll på:

  • AI-kompetens (AI literacy): Organisationer som använder AI-system ska se till att personalen har tillräcklig kompetens. Det är redan ett krav.
  • Förbjudna användningar: Vissa typer av AI-användning är helt förbjudna, t.ex. social poängsättning och manipulation.
  • Högrisk-system: Om ni använder AI i sammanhang som HR-urval, kreditbedömning eller liknande finns det extra krav på riskhantering, transparens och dokumentation.

Vad innebär det i praktiken?

För de flesta företag som använder ChatGPT och Claude som produktivitetsverktyg är kraven hanterliga. Men det är bra att ha koll på reglerna, särskilt om ni använder AI i beslut som påverkar människor direkt.

Gratiskonton vs företagskonton

Det här är en avgörande distinktion som många missar.

Vad du får med gratiskonton

  • Opt-out från träning (om du aktivt slår på det)
  • Grundläggande funktionalitet
  • Inga juridiska garantier för företagsanvändning
  • Ingen DPA (personuppgiftsbiträdesavtal)
  • Data kan lagras längre

Vad du får med företagskonton

ChatGPT Team/Enterprise och Claude for Business/Enterprise:

  • Opt-out från träning som standard
  • Personuppgiftsbiträdesavtal (DPA) inkluderat
  • SOC 2-certifiering
  • Kortare datalagring
  • Admin-kontroll över användare
  • SSO-integration (Enterprise)
  • Dedikerad support

Prisjämförelse (ungefärliga priser, kan ändras)

| Verktyg | Pris/användare/månad | Bäst för | | ------------------- | -------------------- | ------------------------- | | ChatGPT Free | 0 kr | Privatpersoner | | ChatGPT Plus | ~200 kr | Enskilda yrkesutövare | | ChatGPT Team | ~250 kr | Små team (2-149 personer) | | Claude Free | 0 kr | Privatpersoner | | Claude Pro | ~200 kr | Enskilda yrkesutövare | | Claude for Business | ~300 kr | Företag |

Rekommendation

För företag med anställda: använd företagsversioner. Kostnaden är försumbar jämfört med risken för GDPR-böter eller avtalsbrott. ChatGPT Team eller Claude for Business ger dig juridisk grund att stå på.

De tre frågorna din policy måste svara på

Strunta i långa juridiska texter. Din policy behöver svara på tre frågor:

1. Vilka AI-verktyg får vi använda?

Lista godkända verktyg explicit:

  • ChatGPT (via företagskonto eller personligt?)
  • Claude
  • Microsoft Copilot
  • Google Gemini
  • Branschspecifika verktyg

Var tydlig med om personliga gratiskonton är okej eller om ni kräver företagsversioner.

2. Vad får vi dela med AI-verktyg?

Det här är kärnfrågan. Kategorisera information:

Grönt (okej att dela):

  • Offentlig information
  • Generiska frågor utan företagsspecifik data
  • Information som redan finns på er hemsida

Gult (tänk efter):

  • Internt material som inte är hemligt
  • Utkast och idéer
  • Aggregerad data utan personuppgifter

Rött (aldrig):

  • Personuppgifter (kunddata, personnummer, hälsoinformation)
  • Lösenord och inloggningsuppgifter
  • Konfidentiella avtal
  • Icke-offentlig finansiell information
  • Företagshemligheter

3. Vem ansvarar för vad?

Klargör ansvar:

  • Varje anställd ansvarar för att följa policyn
  • Chefer ansvarar för att deras team känner till policyn
  • En namngiven person (eller funktion) äger frågor och uppdateringar

Checklista: vad får man dela?

Här är en praktisk checklista för vardagsbeslut:

Innan du klistrar in något i ett AI-verktyg, fråga dig:

☐ Innehåller detta personuppgifter? (namn + kontext, mejladresser, telefonnummer) ☐ Skulle kunden bli obekväm om de visste att jag delade detta? ☐ Är detta information som konkurrenter inte ska ha? ☐ Finns det ett NDA eller avtal som täcker denna information? ☐ Är det något som bara ska finnas internt?

Om du svarar ja på någon fråga: Antingen ta bort den känsliga informationen först, eller avstå.

GDPR och personuppgifter

Om du klistrar in personuppgifter i ChatGPT eller Claude behandlar du persondata hos en tredje part. Du behöver alltid en rättslig grund, och i arbetslivet är samtycke sällan en bra grund (svårt att hävda frivillighet). Berättigat intresse eller avtal är oftare realistiskt. I praktiken: anonymisera eller ta bort personuppgifter innan du använder AI-verktyg.

Mall: kopierbar AI-policy

Här är en mall du kan anpassa. Den är medvetet kort för att folk faktiskt ska läsa den.

[Företagsnamn] AI-policy

Version: 1.0 Datum: [Datum] Ansvarig: [Namn/roll]

Syfte

Denna policy ger riktlinjer för ansvarsfull användning av AI-verktyg i arbetet. Målet är att vi ska kunna dra nytta av AI samtidigt som vi skyddar kunddata och företagshemligheter.

Godkända verktyg

Följande AI-verktyg är godkända för arbetsrelaterad användning:

  • [Lista era godkända verktyg]

Andra verktyg får användas efter godkännande från [ansvarig person].

Vad får delas med AI-verktyg

Okej att dela:

  • Offentlig information
  • Generiska frågor utan kunddata
  • Egna texter och utkast (utan känslig info)

Kräver eftertanke (ta bort känslig info först):

  • Internt material
  • Affärsidéer och strategier

Förbjudet att dela:

  • Personuppgifter (kundnamn, kontaktinfo, etc.)
  • Lösenord och inloggningsuppgifter
  • Konfidentiella avtal och dokument
  • Finansiell information som inte är offentlig

Ansvar

  • Varje medarbetare ansvarar för att följa denna policy
  • Vid osäkerhet, fråga [ansvarig person]
  • AI-genererat innehåll ska alltid granskas innan det används externt

Överträdelser

Brott mot denna policy hanteras enligt [ert normala förfarande].

Kopiera, anpassa, använd.

Så optimerar du företagets AI-setup

En policy är bra, men rätt teknisk setup gör det enklare att följa den. Här är en praktisk guide.

Steg 1: Välj rätt verktyg och plan

För team på 2-20 personer:

  • ChatGPT Team eller Claude for Business
  • En admin som hanterar konton
  • Gemensamma riktlinjer för alla

För större organisationer (20+):

  • ChatGPT Enterprise eller Claude Enterprise
  • SSO-integration med er identitetsleverantör
  • Centraliserad administration och loggning

Steg 2: Konfigurera korrekt

  1. Skapa företagskonto (inte individuella betalplaner)
  2. Bjud in användare via admin-panelen
  3. Verifiera att DPA är på plats (oftast automatiskt med företagsplaner)
  4. Stäng av valfria datadelningsinställningar om ni är extra försiktiga

Steg 3: Inför tekniska skyddsräcken

Alternativ A: Lita på policy + utbildning

  • Fungerar för de flesta små företag
  • Kräver att folk följer riktlinjerna

Alternativ B: Använd API + egen applikation

  • Bygg ett internt verktyg som filtrerar känslig data
  • Mer kontroll, men kräver teknisk kompetens

Alternativ C: Specialiserade enterprise-lösningar

  • Verktyg som Microsoft Copilot for Microsoft 365 håller data inom er tenant
  • Dyrare men högre kontroll

Steg 4: Skapa mallar och Custom Instructions

Hjälp ditt team använda AI effektivt:

  • Custom Instructions i ChatGPT för att definiera kontext och ton
  • Projects i Claude för att samla relevant information
  • Interna promptmallar för vanliga uppgifter

Det minskar risken att folk behöver dela känslig kontext varje gång.

Checklista för optimal setup

☐ Företagskonto med DPA på plats ☐ Alla användare inbjudna via admin (inga personliga konton) ☐ Opt-out från träning aktiverat (default på företagsplaner) ☐ Policy dokumenterad och kommunicerad ☐ Utbildning genomförd ☐ Ansvarig person utsedd för frågor ☐ Påminnelse i kalendern för halvårlig översyn

Så inför du policyn (utan att folk ignorerar den)

En policy som ingen läser är värdelös. Så här gör du den verklig:

1. Håll den kort

En sida. Max två. Ingen läser tio sidor.

2. Förklara varför

"Vi vill att ni ska kunna använda AI. Den här policyn finns för att det ska vara tryggt." Inte "Ni måste följa reglerna."

3. Gå igenom den på ett möte

Skicka inte bara ett mejl. Ta 15 minuter på nästa möte. Svara på frågor.

4. Gör den tillgänglig

Lägg den där folk faktiskt hittar den. Inte i en mapp ingen öppnar.

5. Ge konkreta exempel

"Om du vill sammanfatta ett kundmöte, ta bort kundens namn och företag först." Konkret slår abstrakt.

6. Uppdatera regelbundet

AI-landskapet förändras snabbt. Planera att se över policyn var sjätte månad.

Börja med dialog

Innan du skriver policyn, fråga ditt team: Hur använder ni AI idag? Vad känns osäkert? Deras svar hjälper dig skriva en policy som adresserar verkliga frågor.

TLDR

  1. Du behöver en AI-policy även om ni är ett litet team. Folk använder AI ändå.
  2. Opt-out ≠ privat. Din data skickas och lagras oavsett. Den används bara inte för träning.
  3. Företagskonton är viktiga. De ger DPA, juridisk grund och bättre dataskydd.
  4. Tre frågor att svara på: Vilka verktyg? Vad får delas? Vem ansvarar?
  5. Grön/gul/röd för att kategorisera information gör det enkelt att förstå.
  6. Inför policyn ordentligt. Gå igenom på möte, ge exempel, uppdatera halvårsvis.

En bra policy förbjuder inte AI. Den gör det möjligt att använda det tryggt och juridiskt korrekt. En AI-policy är en del av en bredare AI-strategi som hjälper ditt företag att använda AI på rätt sätt.

Vanliga frågor

Räcker det med opt-out för att skydda vår data?

Nej. Opt-out betyder bara att din data inte används för träning. Den skickas fortfarande till leverantörens servrar, lagras och omfattas av deras villkor. Hur länge data sparas varierar beroende på leverantör och plan. För verkligt dataskydd behöver du företagskonton med DPA.

Måste vi ha företagskonton eller räcker gratisversioner?

Juridiskt sett: gratisversioner saknar ofta DPA (personuppgiftsbiträdesavtal) som krävs för GDPR-efterlevnad vid personuppgifter. För företag med anställda rekommenderas företagsversioner. Kostnaden är låg jämfört med risken.

Vad händer om en anställd råkar dela kunddata?

Företaget är ansvarigt, inte den anställde. Därför är en tydlig policy viktig: den ger er dokumentation på att ni hade riktlinjer, och den minskar risken att det händer. Vid GDPR-incident kan ni behöva rapportera till Integritetsskyddsmyndigheten inom 72 timmar.

Är det säkert att använda AI för känsliga branscher (vård, juridik, finans)?

Det beror på hur ni sätter upp det. Reglerade branscher har ofta ytterligare krav (patientdatasekretess, advokatsekretess, finansiella regler). Använd enterprise-lösningar med högre säkerhet, och var extra noga med att aldrig dela skyddad information.

Hur ofta ska vi uppdatera vår AI-policy?

Var sjätte månad som minimum. AI-landskapet, verktygen och lagstiftningen förändras snabbt. Sätt en återkommande påminnelse i kalendern.

Behöver du hjälp att ta fram en AI-policy anpassad för ditt företag? Boka ett samtal så sätter vi ihop något som funkar för er.

AI-policysäkerhetGDPRföretagriktlinjer

Gillade du artikeln?

Dela den med ditt nätverk

LinkedInFacebookX

Relaterade artiklar

Teknik

Vad är generativ AI? En komplett guide utan floskler

Teknik

AI-agenter förklarade: vad kan de egentligen?

Behöver du hjälp med AI?

Vi hjälper företag implementera AI-lösningar som faktiskt fungerar. Boka ett kostnadsfritt samtal.

Boka konsultation

Cookies och spårning

Vi använder Google Analytics för besöksstatistik och Sentry för felspårning för att förbättra tjänsten. Analysdata skickas via vår egen domän. Detta kräver ditt samtycke. Läs mer i vår integritetspolicy