AI-policy mal

AI-policy for bedrifter: hva den må dekke

Sist oppdatert: juni 2026 · 7 min lesetid

En AI-policy skal ikke være et dokument som sier "bruk sunn fornuft". Den skal gi ansatte konkrete regler for hvilke KI-verktøy som kan brukes, hvilke data som ikke kan deles, hvem som godkjenner nye verktøy, og hva som skjer når KI brukes i beslutninger.

Se opplæringskravet

Hvorfor

AI-policyen er første kontroll mot shadow AI

De fleste virksomheter får AI inn gjennom ansatte før ledelsen har tatt en beslutning. Noen bruker private ChatGPT-kontoer, noen aktiverer Copilot, noen kjøper SaaS-verktøy med innebygd KI, og noen bygger automatiseringer uten å kalle det AI. Policyen gjør at alle vet hva som er lov, hva som må vurderes, og hvem som bestemmer.

Struktur

Forslag til innhold i en AI-policy

1. Formål og virkeområde

Forklar hvorfor policyen finnes, hvem den gjelder for, og hvilke typer KI-verktøy den dekker.

2. Godkjente og forbudte verktøy

List godkjente verktøy, midlertidig tillatte verktøy og bruk som krever særskilt godkjenning.

3. Dataregler

Angi hva som aldri kan legges inn: personopplysninger, kundedata, kildekode, kontrakter, sikkerhetsinformasjon eller forretningshemmeligheter uten vurdering.

4. Beslutninger og menneskelig kontroll

Presiser at KI ikke alene skal ta beslutninger om ansatte, kunder eller rettigheter uten egen vurdering og godkjenning.

5. Risikoklassifisering

Knytt nye brukstilfeller til en enkel AI Act-vurdering: minimal, begrenset, høyrisiko eller uakseptabel risiko.

6. Opplæring og ansvar

Beskriv hvem som skal ha opplæring, hvem som eier AI-inventaret, og hvordan avvik håndteres.

Eksempel

Konkrete regler policyen bør inneholde

  • Ikke legg inn sensitive personopplysninger, kundedata, kontrakter eller sikkerhetsinformasjon i åpne KI-verktøy uten godkjenning.
  • KI-genererte svar skal kvalitetssikres før de brukes eksternt eller i beslutningsgrunnlag.
  • Bruk av KI i HR, rekruttering, kreditt, helse, utdanning eller sikkerhetskritisk drift skal vurderes særskilt før bruk.
  • Alle nye KI-verktøy skal registreres med formål, eier, leverandør, datatyper og risikoklasse.
  • AI-generert innhold skal merkes der mottaker rimeligvis bør vite at KI er brukt.
  • Ansatte skal vite hvor de kan spørre før de tester nye KI-verktøy.

AI Act-kobling

Policyen er ikke hele compliance-jobben

En AI-policy er et styringsdokument. Den erstatter ikke risikoklassifisering, personvernvurdering, leverandørkontroll eller teknisk dokumentasjon der det er nødvendig. Den gjør derimot resten av arbeidet mulig, fordi den gir virksomheten et felles språk for hva som er tillatt, hva som må stoppes og hva som må eskaleres.

Guide

Risikoklassifisering

Bruk policyen sammen med risikoklassene.

 Guide

AI-kompetanse

Policyen må følges opp med opplæring.

 Verktøy

Egenvurdering

Start med en konkret vurdering av KI-bruken.

FAQ

Vanlige spørsmål

Må en liten bedrift ha AI-policy?

Hvis ansatte bruker KI-verktøy, bør svaret være ja. Policyen kan være kort, men den må være tydelig nok til å styre faktisk bruk.

Bør policyen forby ChatGPT?

Ikke nødvendigvis. Forbud uten alternativer fungerer sjelden. En bedre policy sier hvilke verktøy som er godkjent, hva de kan brukes til, og hvilke data som aldri skal inn.

Vil du ha en policy som faktisk kan brukes?

SPADE kan lage en kort, praktisk AI-policy med tilhørende opplæring, inventar og risikoklassifisering.