AI-policy for bedrifter: mal, sjekkliste og eksempler (2025)

Hvorfor en AI-policy nå?

AI brukes allerede i e‑post, dokumenter, kundeservice og analyse. Uten tydelige rammer oppstår tre problemer: utrygg deling av data, ujevn kvalitet og uklarhet om ansvar. En enkel, praktisk AI‑policy gjør at teamet kan bruke verktøyene trygt – uten å bremse innovasjon.

Risikoene policyen adresserer

• Personvern og datasikkerhet: utilsiktet deling av personopplysninger eller hemmeligheter i åpne verktøy.
• Kvalitet og etterprøvbarhet: svar uten kildegrunnlag, «hallusinasjoner» og uforutsigbar stil.
• Etterlevelse og sporbarhet: manglende logging, uklart eierskap og fravær av godkjenning i kritiske prosesser.
• Skykost og skygge‑IT: ukontrollerte lisenser, forbruk og uautoriserte apper.

Kilde: Datatilsynet – Virksomhetenes plikter (https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/)

Gevinster ved tydelige rammer

• Trygg bruk: team vet hva som kan deles, og hvilke verktøy som er godkjent.
• Bedre kvalitet: kildekrav, maler og «menneske‑i‑løkken» der det trengs.
• Raskere adopsjon: opplæring og støtte på plass, mindre tvil og venting.
• Styring: logging, måling og budsjettgrenser fra dag én.

Kilde: NIST AI Risk Management Framework (https://www.nist.gov/itl/ai-risk-management-framework)

Hva bør AI‑policyen inneholde? (mal)

Bruk dette som utgangspunkt. Tilpass til virksomhetens risiko, bransje og data.

Formål og scope

• Formål: muliggjøre trygg, effektiv og etisk bruk av AI.
• Omfang: gjelder alle ansatte, konsulenter og systemer som bruker AI‑tjenester i arbeid.
• Unntak: egne regler for forskning, testmiljøer eller anbudsprosesser der det er nødvendig.

Kilde: Regjeringen – Nasjonal strategi for kunstig intelligens (https://www.regjeringen.no/no/dokumenter/nasjonal-strategi-for-kunstig-intelligens/id2685594/)

Definisjoner (LLM, RAG, personopplysninger)

• Generativ AI/LLM: modeller som produserer tekst, kode eller bilder.
• RAG (Retrieval Augmented Generation): svar forankres i egne dokumenter med kildevisning.
• Personopplysninger: alle opplysninger som kan knyttes til en person.

Roller og ansvar

• Eier av policy (CIO/CMO/COO etter behov): oppdaterer og forvalter policyen.
• Dataeier: godkjenner kilder som kan brukes i AI‑verktøy.
• Fagansvarlig: kvalitetssikrer svar i regulatoriske prosesser.
• Sikkerhet/Personvern: gjennomfører DPIA ved behov og overvåker avvik.
• Sluttbrukere: følger policy, melder avvik og forbedringsforslag.

Data og personvern (GDPR)

• Behandlingsgrunnlag: avklar samtykke/avtale/berettiget interesse før bruk av personopplysninger.
• Dataminimering: del kun nødvendige opplysninger. Anonymiser der mulig.
• Lagring og region: prioriter EU/EØS. Bruk databehandleravtaler og egnede overføringsmekanismer.
• Innsyn/sletting: dokumenter hva som lagres, hvor og hvorfor. Ha rutiner for sletting.

Kilde: Datatilsynet – Virksomhetenes plikter (https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/)

Brukerregler: hva kan og ikke kan deles

• Ikke del: personopplysninger, kundedata, forretningshemmeligheter eller sikkerhetsinformasjon i åpne/verifiserte‑ikke verktøy.
• Del trygt: offentlige tekster, anonymiserte eksempler, generisk innhold.
• Bruk kun godkjente verktøy med SSO/RBAC og logging.

Kvalitet og kildebruk

• Krav om kildegrunnlag i svar som brukes eksternt eller i beslutningsstøtte.
• «Menneske‑i‑løkken» i juridiske, finansielle og regulatoriske prosesser.
• Maler for tone, struktur og kildehenvisning.

Sikkerhet, logging og sporbarhet

• Aktiver logging og revisjon av AI‑forespørsler i virksomhetsverktøy.
• Tilgangsstyring: minste privilegium, separate miljøer (test/produksjon).
• Kostkontroll: caps, varsler og månedlig rapport per team.

Kilde: NIST AI RMF (https://www.nist.gov/itl/ai-risk-management-framework)

Opplæring og støtte

• Kortkurs for alle: brukeregler, kilder og eksempler.
• «Prompt‑bibliotek» og maler på intranett.
• Kanal for spørsmål/avvik (f.eks. #ai‑policy i samhandlingsverktøy).

Sjekkliste for ledere

Minimumskrav før pilot

• Definert use case, mål og akseptkriterier
• Godkjente datakilder og eierskap avklart
• Valgt verktøy med SSO/RBAC og logging
• DPIA vurdert ved behandling av personopplysninger
• Maler for tone/kilder, «menneske‑i‑løkken» definert
• Kosttak og varslingsgrenser satt

Krav i produksjon

• Kilder versjonert og oppdatert (RAG der det er relevant)
• Dashbord for kvalitet (presisjon, kildeandel) og effekt (tid/kost)
• Hendelseshåndtering og revisjonsrutiner etablert
• Kvartalsvis policy‑review med eier, personvern og fagansvarlige

Implementering på 30–60–90 dager

0–30: Forankring, mal og risikovurdering (DPIA)

• Forankre mål og policy hos ledelse og fagansvarlige.
• Tilpass denne malen til bransje og risiko.
• Kartlegg data og vurder DPIA ved personopplysninger.
• Velg godkjente verktøy og sett opp testmiljø med logging.

For grunnleggende begreper og bruksområder for AI i virksomheten, les mer om dette i vår hovedartikkel: les mer om dette i vår hovedartikkel.

31–60: Pilot og policy i praksis

• Kjør pilot med 10–30 brukere, bruk maler og kildekrav.
• Mål kvalitet (presisjon, kildeandel) og effekt (tid spart).
• Juster policy, maler og datakilder basert på funn.

61–90: Utrulling og forbedring

• Rull ut til flere team. Etabler opplæring og støttekanaler.
• Sett faste rapporter: kvalitet, effekt, kost og avvik.
• Planlegg neste use case. Skaler der gevinsten er dokumentert.

Kilde: Regjeringen – Nasjonal strategi for kunstig intelligens (overordnede prinsipper) (https://www.regjeringen.no/no/dokumenter/nasjonal-strategi-for-kunstig-intelligens/id2685594/)

Eksempler på policyformuleringer

• Deling og data
  • «Det er ikke tillatt å legge inn personopplysninger, kundedata eller forretningshemmeligheter i åpne AI‑tjenester.»
  • «Kun godkjente dokumentkilder kan indekseres for RAG. Dataeier godkjenner kilder.»
• Kvalitet og kilder
  • «Svar som brukes eksternt eller i beslutningsstøtte skal vise kilder. Mangler kildegrunnlag, skal svar kvalitetssikres av fagansvarlig.»
• Sikkerhet
  • «AI‑bruk skal skje på verktøy med SSO/RBAC, logging og EU/EØS‑lagring der mulig.»
• Ansvar
  • «Bruker er ansvarlig for å følge policy. Fagansvarlig godkjenner i kritiske prosesser. Avvik meldes i etablerte kanaler samme dag.»

Måling og etterlevelse (governance)

KPIer: kvalitet, risiko, kost

• Kvalitet: presisjon, andel svar med kilde, avvik oppdaget før utsendelse.
• Effekt: tid spart per oppgave, gjennomløpstid i prosess, agent‑/brukertilfredshet.
• Kost: lisens + forbruk per team, kost per løst henvendelses‑case.

Kilde: NIST AI RMF (https://www.nist.gov/itl/ai-risk-management-framework)

Revisjon og hendelseshåndtering

• Kvartalsvis policy‑review og stikkprøver av svar.
• Hendelser: stopp regel, varsel til sikkerhet/personvern, rotårsaksanalyse, forbedringstiltak.
• Dokumentasjon: sporbarhet for hvem som gjorde hva, når og hvorfor.

Vanlige feil – og hvordan du unngår dem

• Uklare grenser for deling: lag enkel «grønn/gul/rød»‑liste for data.
• Manglende kilder: innfør RAG der presisjon er viktig, og krev kildevisning.
• Ingen «menneske‑i‑løkken»: definér godkjenning i juridiske/finansielle løp.
• Skygge‑IT: godkjenn et minimumssett verktøy og gjør dem lett tilgjengelige.
• Ingen måling: sett nullpunkt før pilot og følg utvikling ukentlig første 8 uker.

Neste steg (CTA)

• Book en prat – vi hjelper deg å tilpasse AI‑policy og implementere 30–60–90‑planen.
• Få gratis AI‑vurdering – rask sjekk av dataflyt, verktøyvalg og risikopunkter.

FAQ: Ofte stilte spørsmål om AI‑policy

Må vi ha en AI‑policy for å teste AI internt?

Ja, men start enkelt. En én‑siders policy + godkjente verktøy og kildekrav kommer langt i en pilot.

Hvordan sikrer vi at ansatte faktisk følger policyen?

Gjør det lett å gjøre rett: godkjente verktøy, maler, kortkurs og en lavterskel kanal for spørsmål.

Må alle svar ha kildehenvisning?

Nei, men svar som brukes eksternt eller i beslutningsstøtte bør ha kilder. Internt utkast kan være uten, men kvalitetssjekkes.

Når trenger vi DPIA?

Når dere behandler personopplysninger i nye eller endrede prosesser med AI‑teknologi. Vurder alltid risiko først.

Kilde: Datatilsynet – Virksomhetenes plikter (https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/)

Er generativ AI lovlig å bruke i bedriften?

Ja, men bruken må følge GDPR, sikkerhetskrav og interne policyer for data og kvalitet.

Hva er RAG – og når bør vi bruke det?

RAG henter utdrag fra egne dokumenter som grunnlag for svar. Bruk det når presisjon og etterprøvbarhet er viktig (kundeservice, policy, kontrakt).

Kilde: NIST AI RMF (rammer for kvalitet og risiko) (https://www.nist.gov/itl/ai-risk-management-framework)