← SPADE as a Service
SPADE Consulting
Våre prinsipper for bruk av AI
i kundeleveranser
Vi bruker kunstig intelligens i deler av arbeidet vårt.
Det bør verken skjules eller pakkes inn. Derfor har vi skrevet ned
hvordan vi gjør det, hva vi ikke gjør, og hvor ansvaret ligger.
Dette er ikke markedsføring. Det er regler du kan holde oss til.
Versjonsnummer og endringslogg hentes fra
den åpne GitHub-versjonen.
Slik er endringer sporbare, og andre kan bygge videre på prinsippene.
Hvorfor vi har skrevet dette ned
De fleste konsulentselskaper bruker AI i dag. Få sier tydelig hvordan.
Det er et tillitsproblem. Når du kjøper rådgivning, skal du vite hva
slags arbeid du betaler for, hvilke verktøy som er brukt, og hvilke
vurderinger som ligger bak resultatet.
SPADE Consulting arbeider med fag der detaljene betyr alt:
informasjonssikkerhet, personvern og etterlevelse. I disse fagene er
overflatisk eller udokumentert AI-bruk ikke bare uryddig. Det er en
reell risiko. AI-systemer produserer overbevisende tekst, også når den
er feil. En kilde som ikke finnes, en juridisk referanse som ikke
stemmer, eller en risikovurdering som overser noe vesentlig, kan koste
deg dyrt om det slipper gjennom.
Derfor publiserer vi disse prinsippene offentlig. De gjelder all vår
levering, til alle kunder. De er konkrete, ikke vage. De inneholder
hva vi gjør, hva vi ikke gjør, og hva du har rett til å forvente av oss.
Disse prinsippene er bindende for SPADE Consulting i alle oppdrag.
Avvik krever skriftlig avtale med deg som kunde.
Fire prinsipper
Praksisen vår hviler på fire prinsipper. De henger sammen, men hvert
punkt har praktiske konsekvenser.
- Åpenhet
- Sikkerhet og personvern
- Faglig ansvar og kvalitet
- Bevisst og begrenset bruk
Prinsipp 01
Åpenhet
Du skal alltid vite om AI er brukt i arbeidet vi leverer til deg,
og hvordan. Ingenting skjules, ingenting innpakkes, og ingenting
fremstilles som mer eller mindre menneskeskapt enn det er.
Hvorfor det betyr noe
Skjult AI-bruk gir et feil bilde av hvor mye håndverk som er lagt
ned, hvor godt kildegrunnlaget er, og hva som faktisk er kontrollert
av et menneske. Da blir det vanskeligere for deg å vurdere kvaliteten
på leveransen.
I praksis
- Merking i selve dokumentet. Hver leveranse som er helt eller delvis produsert ved hjelp av AI merkes synlig, vanligvis nederst på første side eller i dokumentets metadata.
- Detaljert sluttnotat. I siste avsnitt lister vi hvilke AI-verktøy som ble brukt, til hvilke deler, og hvilke menneskelige vurderinger som ble lagt på toppen.
- Tilgang til underlagsmateriale på forespørsel. Du kan be om å få se promptene som ble brukt i ditt prosjekt.
- Tydelig skille i muntlig leveranse. I møter og presentasjoner forteller vi når materiale har en betydelig AI-komponent.
- Offentlig dokumentasjon av praksis. Dette dokumentet er en del av åpenhetsprinsippet og oppdateres med endringslogg.
Det vi ikke gjør
- Vi leverer ikke AI-generert innhold uten merking, uansett kvalitet.
- Vi presenterer ikke AI-output som «vår analyse» uten kvalifisering.
- Vi unnlater ikke å nevne AI-bruken bare fordi den er begrenset.
Prinsipp 02
Sikkerhet og personvern
AI-verktøy behandles som tredjeparts databehandlere.
Vi bruker de samme prinsippene vi anbefaler kundene våre:
dataminimering, formålsbegrensning, kontroll på dataflyt og
dokumenterte rettslige grunnlag.
Hvorfor det betyr noe
Generative AI-tjenester er ofte hostet i tredjeland. Noen kan bruke
input til modelltrening hvis de ikke er riktig konfigurert, og
kvaliteten på databehandleravtaler varierer. Når vi som personvern-
og sikkerhetsrådgivere bruker disse verktøyene, må det ikke skape ny
risiko for kundene.
I praksis
- Klassifisering av data før AI-bruk. Åpen / intern / konfidensiell / personopplysninger / særlige kategorier. Klassifiseringen bestemmer hvilke verktøy som kan brukes.
- Personopplysninger anonymiseres eller pseudonymiseres. Navn, e-poster, telefonnumre og andre identifikatorer fjernes før vi sender innholdet til et AI-verktøy.
- Vi bruker business- eller enterprise-plan, ikke gratis konsumentversjoner. Disse planene har typisk zero retention og deaktivert modelltrening på kundeinput.
- Vi har oppdatert oversikt over alle AI-verktøy. Oversikten inneholder ROS og vurdering av tredjelandsoverføring. Se verktøylisten nedenfor.
- Schrems II og tredjelandsoverføring tas på alvor. Vi prioriterer EU/EØS-baserte verktøy og dokumenterer overføringsgrunnlag ved bruk av amerikanske tjenester.
Det vi ikke gjør
- Vi limer ikke personopplysninger inn i konsumentversjoner av AI-tjenester.
- Vi bruker ikke AI-tjenester uten avklart databehandleravtale ved behandling av personopplysninger.
- Vi behandler ikke særlige kategorier av personopplysninger i AI-verktøy uten eksplisitt avklaring og dokumentert vurdering.
Prinsipp 03
Faglig ansvar og kvalitet
Et menneske med relevant fagkompetanse signerer alltid for
leveransen. AI brukes som verktøy for produksjon, struktur og
utforskning, ikke som erstatning for vurdering, kildekontroll eller
faglig ansvar.
Hvorfor det betyr noe
Generative AI-modeller kan produsere innhold som ser autoritativt ut,
men som inneholder feil: fabrikerte kilder, foreldede regler og
manglende nyanser. En leveranse uten kvalifisert gjennomgang kan være
statistisk overbevisende, men faglig usikker. Det vil vi ikke selge.
I praksis
- Alt som leveres er gjennomgått av Amund Kristiansen personlig. Ingen leveranse til kunde går ut uten manuell gjennomgang og signering.
- Vi bruker AI bare i fagområder der vi har dokumentert ekspertise. ISO 27001/27005, NIS2, GDPR, AI Act og norsk rett knyttet til digitale tjenester.
- Juridiske referanser, paragrafer og rettskilder verifiseres manuelt. Hver henvisning til lov, forskrift eller rettspraksis bekreftes mot original kilde.
- Statistikk, tall og spesifikke påstander verifiseres. Hvis et tall står i leveransen din, har Amund verifisert det.
- Vi tar fullt ansvar for sluttproduktet. Vi gjemmer oss ikke bak verktøyet.
Det vi ikke gjør
- Vi videresender ikke AI-output direkte til kunde.
- Vi gir ikke juridiske vurderinger basert på AI uten egen verifikasjon.
- Vi outsourcer ikke faglig ansvar til verktøyet. Signaturen er menneskelig.
Prinsipp 04
Bevisst og begrenset bruk
AI brukes der det forbedrer leveransen, ikke der det bare reduserer
vår arbeidsinnsats. Det finnes oppgaver der AI er feil verktøy.
Dem løser vi uten AI. Du har også rett til å be om at vi ikke bruker
AI i ditt oppdrag i det hele tatt.
Når vi bruker AI
- Strukturering og første utkast. Disposisjoner, kapittelinndelinger, mal-tilpasninger, utkast til policyer og prosedyrer.
- Oppsummering og syntetisering av lange kildedokumenter. Korte sammendrag som vi deretter gjennomgår og utvider.
- Formatering og presentasjon. Slides, tabeller, struktur i lange rapporter.
- Utforskning av alternativer. Sparring på ulike tilnærminger til et problem.
- Kvalitetssikring og «red teaming». Vi ber AI om å peke på svakheter i utkast, som ekstra par øyne og ikke som siste ord.
Når vi ikke bruker AI
- Faglige sluttvurderinger og anbefalinger. Konklusjoner om compliance, risiko eller strategi er menneskelige vurderinger.
- Juridiske råd om nye eller uavklarte spørsmål. AI er trent på historiske data og kan ikke vurdere rettsutvikling pålitelig.
- Autonom handling i kundens systemer. Vi lar ikke AI-agenter gjøre endringer, sende e-poster eller utføre handlinger uten menneskelig autorisasjon.
- Når du har bedt om det. Intern policy, sektorkrav eller personlige preferanser respekteres fullt ut.
AI-verktøy vi bruker
Følgende verktøy benyttes i ulike deler av arbeidet vårt.
Listen oppdateres når vi tar i bruk nye verktøy eller faser ut gamle.
Verktøy som ikke er på listen, brukes ikke i kundearbeid.
Hva vi ikke bruker og hvorfor
- Gratis konsumentversjoner for kundearbeid. De mangler klare betingelser for databehandling og kan bruke input til modelltrening.
- AI-tjenester uten klar databehandleravtale. Hvis vi ikke kan dokumentere hva som skjer med data, bruker vi ikke tjenesten.
- AI-agenter med autonome handlingsrettigheter. Vi gir ikke AI rett til å sende e-poster, opprette saker eller endre konfigurasjon uten eksplisitt godkjenning.
- AI for å vurdere enkeltpersoner. Vi bruker ikke AI til å vurdere ansatte, søkere eller andre enkeltpersoner.
- AI som «black box» der forklaringskrav gjelder. Leveranser som skal stå seg ved tilsyn, krever dokumenterbar resonnering.
Dine rettigheter som kunde
- Rett til å vite. Du har rett til å få vite om AI er brukt i din leveranse, hvilke verktøy som er brukt, og til hvilke deler. Mer detaljert dokumentasjon kan bestilles når som helst.
- Rett til AI-fri leveranse. Du kan be om at vi ikke benytter AI i ditt oppdrag, helt eller delvis. Vi bekrefter skriftlig og angir om det påvirker pris eller tid.
- Rett til innsyn i underlag. Du kan be om å se promptene som ble brukt og hvilke data som ble behandlet i hvilke verktøy.
- Rett til å reise innvendinger. Hvis du mener vi har avveket fra disse prinsippene, ønsker vi å høre om det direkte og raskt.
- Rett til oppdaterte vurderinger. Tar vi i bruk et nytt AI-verktøy som påvirker din løpende leveranse, varsler vi deg og du kan reservere deg.
Hold oss ansvarlige
Et offentlig prinsipprogram uten en måte å holde oss til det på, er bare markedsføring.
- Direkte tilbakemelding. Send e-post til [email protected] med emnefelt «AI-prinsipper». Vi svarer innen 5 virkedager, og avviksbehandling dokumenteres.
- Avvik medfører kompensasjon. Hvis vi har avveket og du melder fra, retter vi det opp uten ekstra kostnad. Ved vesentlige avvik refunderer vi den aktuelle delen av oppdraget.
- Endringer i prinsippene varsles. Vesentlige endringer varsles aktive kunder på e-post før de trer i kraft.
- Endringsloggen er offentlig. Hver versjon dateres og arkiveres. Du kan se hva som er endret, når, og hvorfor.
Forholdet til AI Act og norsk rett
EUs forordning om kunstig intelligens (AI Act) trer i kraft trinnvis frem mot 2026/2027
og setter krav til transparens, dokumentasjon, risikovurdering og menneskelig tilsyn.
GDPR gjelder fullt ut for behandling av personopplysninger gjennom AI.
Våre prinsipper er utformet for å være kompatible med disse rammeverkene, og i flere tilfeller strengere enn dem.
- Transparenskrav (AI Act art. 50): Vår merking av AI-bruk i leveranser ligger over minimumskravet ved at vi spesifiserer verktøy, omfang og menneskelig kvalitetssikring.
- Menneskelig tilsyn (AI Act art. 14): Alt vi leverer er gjennomgått av kvalifisert menneske. Ingen autonome AI-leveranser.
- GDPR-prinsipper: Dataminimering, formålsbegrensning og konfidensialitet anvendes også på dataflyt til AI-verktøy.
Endringslogg
Dette dokumentet oppdateres når praksis, verktøy eller forståelse av regelverk endres.
Eldre versjoner ligger i
GitHub-historikken.
-
Versjon 0.1.0, 25. mai 2026
Første åpne GitHub-versjon. Etablerer fire prinsipper, kundens rettigheter, verktøyliste, ansvarlighetsmodell og CC BY 4.0-lisens.
Spørsmål til hvordan vi bruker AI?
Disse prinsippene er ment å være praktisk anvendelige, ikke perfekte.
Vi tar gjerne en samtale om hvordan de anvendes i ditt konkrete tilfelle.