← SPADE as a Service
SPADE Consulting
Våre prinsipper for bruk av AI
i kundeleveranser
Vi bruker kunstig intelligens i deler av arbeidet vårt.
Det forteller vi åpent om — og vi har dokumentert nøyaktig hvordan.
Dette er ikke en markedsføringstekst. Det er et offentlig regelverk
vi forplikter oss til, som du kan bruke til å holde oss ansvarlige.
Hvorfor vi har skrevet dette ned
De fleste konsulentselskaper bruker AI i dag, men få forteller om det.
Det er et tillitsproblem. Når du ansetter en rådgiver, har du krav på å
vite hva slags arbeid du betaler for, hvilke verktøy som er brukt,
og hvilke vurderinger som ligger bak resultatet.
SPADE Consulting er bygget på fagområder der detaljene betyr alt:
informasjonssikkerhet, personvern og etterlevelse. I disse fagene
er overflatisk eller udokumentert AI-bruk ikke bare uryddig — det er
en reell risiko. AI-systemer produserer overbevisende tekst,
også når den er feil. En kilde som ikke finnes,
en juridisk referanse som ikke stemmer, en risikovurdering som
overser noe vesentlig — alt dette kan koste deg dyrt om det
slipper gjennom.
Derfor publiserer vi disse prinsippene offentlig.
De gjelder all vår levering, til alle kunder.
De er konkrete, ikke vage. De inneholder hva vi gjør,
hva vi ikke gjør, og hva du har rett til å forvente av oss.
Disse prinsippene er bindende for SPADE Consulting i alle oppdrag.
Avvik fra prinsippene krever skriftlig avtale med deg som kunde.
Fire prinsipper
Vår praksis hviler på fire prinsipper. De henger sammen,
men hvert prinsipp har egne, konkrete praksiser.
- Åpenhet
- Sikkerhet og personvern
- Faglig ansvar og kvalitet
- Bevisst og begrenset bruk
Prinsipp 01
Åpenhet
Du skal alltid vite om — og hvordan — AI er brukt i arbeidet vi
leverer til deg. Ingenting skjules, ingenting innpakkes,
ingenting fremstilles som mer eller mindre menneskeskapt enn det er.
Hvorfor det betyr noe
Skjult AI-bruk skaper falske inntrykk av hvor mye håndverk som er lagt ned,
hvor pålitelig kildegrunnlaget er, og hva som faktisk er gjennomgått av et menneske.
Det undergraver din mulighet til å vurdere kvaliteten på leveransen.
I praksis
- Merking i selve dokumentet. Hver leveranse som er helt eller delvis produsert ved hjelp av AI merkes synlig — vanligvis nederst på første side eller i dokumentets metadata.
- Detaljert sluttnotat. I siste avsnitt lister vi: hvilke AI-verktøy som ble brukt, til hvilke deler, og hvilke menneskelige vurderinger som ble lagt på toppen.
- Tilgang til underlagsmateriale på forespørsel. Du kan be om å få se promptene som ble brukt i ditt prosjekt.
- Tydelig skille i muntlig leveranse. I møter og presentasjoner forteller vi når materiale har en betydelig AI-komponent.
- Offentlig dokumentasjon av praksis. Dette dokumentet — som du leser nå — er en del av åpenhetsprinsippet og oppdateres med endringslogg.
Det vi ikke gjør
- Vi leverer ikke AI-generert innhold uten merking, uansett kvalitet.
- Vi presenterer ikke AI-output som «vår analyse» uten kvalifisering.
- Vi unnlater ikke å nevne AI-bruken bare fordi den er begrenset.
Prinsipp 02
Sikkerhet og personvern
AI-verktøy behandles som tredjeparts databehandlere.
Vi anvender de samme prinsippene vi underviser kundene våre i:
dataminimering, formålsbegrensning, kontroll på dataflyt og
dokumenterte rettslige grunnlag.
Hvorfor det betyr noe
Generative AI-tjenester er ofte hostet i tredjeland, kan bruke input til modelltrening
om de ikke er korrekt konfigurert, og varierer i kvaliteten på databehandleravtaler.
Når vi som personvern- og sikkerhetsrådgivere bruker disse verktøyene, må vi gjøre
det på en måte som ikke skaper risiko for kundene.
I praksis
- Klassifisering av data før AI-bruk. Åpen / intern / konfidensiell / personopplysninger / særlige kategorier — klassifiseringen bestemmer hvilke verktøy som kan brukes.
- Personopplysninger anonymiseres eller pseudonymiseres. Navn, e-poster, telefonnumre og andre identifikatorer fjernes før vi sender innholdet til et AI-verktøy.
- Vi bruker business- eller enterprise-plan, ikke gratis konsumentversjoner. Disse planene har typisk zero retention og deaktivert modelltrening på kundeinput.
- Vi har oppdatert oversikt over alle AI-verktøy med ROS og vurdering av tredjelandsoverføring. Se verktøylisten nedenfor.
- Schrems II og tredjelandsoverføring tas på alvor. Vi prioriterer EU/EØS-baserte verktøy og dokumenterer overføringsgrunnlag ved bruk av amerikanske tjenester.
Det vi ikke gjør
- Vi limer ikke personopplysninger inn i konsumentversjoner av AI-tjenester.
- Vi bruker ikke AI-tjenester uten avklart databehandleravtale ved behandling av personopplysninger.
- Vi behandler ikke særlige kategorier av personopplysninger i AI-verktøy uten eksplisitt avklaring og dokumentert vurdering.
Prinsipp 03
Faglig ansvar og kvalitet
Et menneske med relevant fagkompetanse signerer alltid for leveransen.
AI brukes som verktøy for produksjon, struktur og utforskning —
ikke som erstatning for vurdering, kildekontroll eller faglig ansvar.
Hvorfor det betyr noe
Generative AI-modeller kan produsere innhold som ser autoritativt ut, men som inneholder feil
— fabrikerte kilder, foreldede regler, manglende nyanser. En leveranse uten kvalifisert
gjennomgang har en kvalitet som er statistisk overbevisende, men epistemisk usikker.
Det vil vi ikke selge.
I praksis
- Alt som leveres er gjennomgått av Amund Kristiansen personlig. Ingen leveranse til kunde går ut uten manuell gjennomgang og signering.
- Vi bruker AI bare i fagområder der vi har dokumentert ekspertise. ISO 27001/27005, NIS2, GDPR, AI Act og norsk rett knyttet til digitale tjenester.
- Juridiske referanser, paragrafer og rettskilder verifiseres manuelt. Hver henvisning til lov, forskrift eller rettspraksis bekreftes mot original kilde.
- Statistikk, tall og spesifikke påstander verifiseres. Hvis et tall står i leveransen din, har Amund verifisert det.
- Vi tar fullt ansvar for sluttproduktet. Vi gjemmer oss ikke bak verktøyet.
Det vi ikke gjør
- Vi videresender ikke AI-output direkte til kunde.
- Vi gir ikke juridiske vurderinger basert på AI uten egen verifikasjon.
- Vi outsourcer ikke faglig ansvar til verktøyet. Signaturen er menneskelig.
Prinsipp 04
Bevisst og begrenset bruk
AI brukes der det forbedrer leveransen, ikke der det bare reduserer
vår arbeidsinnsats. Det finnes oppgaver der AI er feil verktøy —
og dem løser vi uten AI. Du har også rett til å be om at vi ikke
bruker AI i ditt oppdrag i det hele tatt.
Når vi bruker AI
- Strukturering og første utkast. Disposisjoner, kapittelinndelinger, mal-tilpasninger, utkast til policyer og prosedyrer.
- Oppsummering og syntetisering av lange kildedokumenter. Korte sammendrag som vi deretter gjennomgår og utvider.
- Formatering og presentasjon. Slides, tabeller, struktur i lange rapporter.
- Utforskning av alternativer. Sparring på ulike tilnærminger til et problem.
- Kvalitetssikring og «red teaming». Vi ber AI om å peke på svakheter i utkast — som ekstra par øyne, ikke som siste ord.
Når vi ikke bruker AI
- Faglige sluttvurderinger og anbefalinger. Konklusjoner om compliance, risiko eller strategi er menneskelige vurderinger.
- Juridiske råd om nye eller uavklarte spørsmål. AI er trent på historiske data og kan ikke vurdere rettsutvikling pålitelig.
- Autonom handling i kundens systemer. Vi lar ikke AI-agenter gjøre endringer, sende e-poster eller utføre handlinger uten menneskelig autorisasjon.
- Når du har bedt om det. Intern policy, sektorkrav eller personlige preferanser respekteres fullt ut.
AI-verktøy vi bruker
Følgende verktøy benyttes i ulike deler av arbeidet vårt.
Listen oppdateres når vi tar i bruk nye verktøy eller faser ut gamle.
Verktøy som ikke er på listen, brukes ikke i kundearbeid.
Hva vi ikke bruker — og hvorfor
- Gratis konsumentversjoner for kundearbeid. Mangler klare betingelser for databehandling og kan bruke input til modelltrening.
- AI-tjenester uten klar databehandleravtale. Hvis vi ikke kan dokumentere hva som skjer med data, bruker vi ikke tjenesten.
- AI-agenter med autonome handlingsrettigheter. Vi gir ikke AI rett til å sende e-poster, opprette saker eller endre konfigurasjon uten eksplisitt godkjenning.
- AI for å vurdere enkeltpersoner. Vi bruker ikke AI til å vurdere ansatte, søkere eller andre enkeltpersoner.
- AI som «black box» der forklaringskrav gjelder. Leveranser som skal stå seg ved tilsyn, krever dokumenterbar resonnering.
Dine rettigheter som kunde
- Rett til å vite. Du har rett til å få vite om AI er brukt i din leveranse, hvilke verktøy, og til hvilke deler. Mer detaljert dokumentasjon kan bestilles når som helst.
- Rett til AI-fri leveranse. Du kan be om at vi ikke benytter AI i ditt oppdrag — helt eller delvis. Vi bekrefter skriftlig og angir om det påvirker pris eller tid.
- Rett til innsyn i underlag. Du kan be om å se promptene som ble brukt og hvilke data som ble behandlet i hvilke verktøy.
- Rett til å reise innvendinger. Hvis du mener vi har avveket fra disse prinsippene, ønsker vi å høre om det direkte og raskt.
- Rett til oppdaterte vurderinger. Tar vi i bruk et nytt AI-verktøy som påvirker din løpende leveranse, varsler vi deg og du kan reservere deg.
Hold oss ansvarlige
Et offentlig prinsipprogram uten en måte å holde oss til det på, er bare markedsføring.
- Direkte tilbakemelding. Send e-post til [email protected] med emnefelt «AI-prinsipper». Vi svarer innen 5 virkedager, og avviksbehandling dokumenteres.
- Avvik medfører kompensasjon. Hvis vi har avveket og du melder fra, retter vi det opp uten ekstra kostnad. Ved vesentlige avvik refunderer vi den aktuelle delen av oppdraget.
- Endringer i prinsippene varsles. Vesentlige endringer varsles aktive kunder på e-post før de trer i kraft.
- Endringsloggen er offentlig. Hver versjon dateres og arkiveres. Du kan se hva som er endret, når, og hvorfor.
Forholdet til AI Act og norsk rett
EUs forordning om kunstig intelligens (AI Act) trer i kraft trinnvis frem mot 2026/2027
og setter krav til transparens, dokumentasjon, risikovurdering og menneskelig tilsyn.
GDPR gjelder fullt ut for behandling av personopplysninger gjennom AI.
Våre prinsipper er utformet for å være kompatible med — og i flere tilfeller strengere enn — disse rammeverkene.
- Transparenskrav (AI Act art. 50): Vår merking av AI-bruk i leveranser ligger over minimumskravet ved at vi spesifiserer verktøy, omfang og menneskelig kvalitetssikring.
- Menneskelig tilsyn (AI Act art. 14): Alt vi leverer er gjennomgått av kvalifisert menneske. Ingen autonome AI-leveranser.
- GDPR-prinsipper: Dataminimering, formålsbegrensning og konfidensialitet anvendes også på dataflyt til AI-verktøy.
Endringslogg
Dette dokumentet oppdateres når praksis, verktøy eller forståelse av regelverk endres.
Eldre versjoner arkiveres og er tilgjengelige på forespørsel.
-
Versjon 1.0 — 14. mai 2026
Første publiserte versjon. Etablerer fire prinsipper, verktøyliste, kunderettigheter og ansvarlighetsmodell.
Spørsmål til hvordan vi bruker AI?
Disse prinsippene er ment å være praktisk anvendelige, ikke perfekte.
Vi tar gjerne en samtale om hvordan de anvendes i ditt konkrete tilfelle.