AI-användningspolicy för företag Sverige

AI-användningspolicyn för företag i Sverige är ett internt styrdokument som reglerar hur organisationens anställda, konsulter och leverantörer använder artificiell intelligens (AI) och AI-drivna verktyg i sin dagliga verksamhet, i enlighet med Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 om harmoniserade regler för artificiell intelligens (EU AI-akten), dataskyddsförordningen GDPR (EU 2016/679), Digital Services Act – DSA (EU 2022/2065) och upphovsrättslagen (1960:729).

EU AI-akten är den första övergripande rättsliga regleringen av AI-system i världen och utgör ett paradigmskifte i hur AI-teknik regleras. Förordningen använder en riskbaserad ansats med fyra riskkategorier: oacceptabel risk (förbjudna AI-tillämpningar per artikel 5), hög risk (AI-system i samhällskritiska kontexter per bilaga III), begränsad risk (AI-system med transparensskyldigheter per artikel 50) och minimal risk (inga specifika skyldigheter). Dessutom introduceras kategorin 'allmänna AI-modeller' (GPAI, General Purpose AI Models) för stora AI-modeller som GPT-4, Claude och Gemini, med specifika skyldigheter för leverantörerna.

Tidtabell för ikraftträdande av EU AI-akten: förordningen trädde i kraft den 1 augusti 2024. Artikel 5 (förbjudna AI-tillämpningar) tillämpas från den 2 februari 2025. Bestämmelserna om allmänna AI-modeller (kapitel V) tillämpas från den 2 augusti 2025. Bestämmelserna om högrisk-AI-system (kapitel III) och övriga bestämmelser tillämpas fullt från den 2 augusti 2026. Europeiska byrån för artificiell intelligens (EU AI Office), inrättad den 21 maj 2024 under EU-kommissionen, har tillsyn över allmänna AI-modeller.

AI-användningspolicyn hanterar fyra nyckelutmaningar för moderna företag. För det första rättslig efterlevnad av EU AI-aktens krav, GDPR:s krav på lämpliga säkerhetsåtgärder vid AI-behandling av personuppgifter, och DSA:s märkningskrav. För det andra dataskydd – personuppgifter och konfidentiell affärsinformation ska inte matas in i AI-verktyg utan tillräckliga garantier. För det tredje kvalitet och tillförlitlighet – AI-hallucineringar och felaktigheter kräver mänsklig granskning, särskilt vid juridiska, finansiella och medicinska analyser. För det fjärde transparens och förtroende – kunder och affärspartners behöver veta när AI-genererat innehåll används.

IMY (Integritetsskyddsmyndigheten), imy.se, Drottninggatan 29, 111 51 Stockholm, är tillsynsmyndighet för AI-relaterade dataskyddsfrågor i Sverige och har publicerat vägledning om AI och GDPR. EDPB (Europeiska dataskyddsstyrelsen) har utfärdat yttrande 28/2024 om AI och dataskydd. Konsumentverket tillämpar marknadsföringslagen (2008:486) på AI-genererad reklam. På forms-legal.com finns kompletta mallar för GDPR- och AI-relaterade policydokument.

AI-användningspolicyn i Sverige behövs och rekommenderas i alla organisationer där anställda använder AI-verktyg i sin dagliga verksamhet.

Organisationer med anställda som använder AI-produktivitetsverktyg. Microsoft Copilot för M365, Google Workspace AI, ChatGPT Enterprise, GitHub Copilot och liknande verktyg integreras allt mer i arbetsflöden. Utan tydlig policy riskerar anställda att av misstag mata in personuppgifter om kunder, konfidentiella affärshemligheter eller patentskyddad information i AI-system vars träningsdatabehandling kan innebära GDPR-brott eller immateriell rättighetsintrång.

Kunskap- och tjänsteföretag. Advokatbyråer, revisionsbolag, konsultföretag, reklambyråer och mediaföretag hanterar konfidentiell klientinformation och personuppgifter dagligen. Advokatsamfundets etiska regler och tystnadsplikt kräver att klientinformation inte matas in i externa AI-system utan tillräckliga garantier. Revisorslagen (2001:883) och yrkesetiska regler för revisorer ger liknande begränsningar.

Hälso- och sjukvård och life science. AI-verktyg för journalsammanfattning, diagnostikstöd, läkemedelsutveckling och administrativt arbete används allt mer i hälso- och sjukvård. Patientdatalagen (2008:355) och Socialstyrelsens vägledning om AI i vården ger specifika krav. EU AI-akten klassificerar medicinsk AI-diagnostik och AI-enheter i klass IIb och III som högrisk per bilaga III punkt 5. Medicintekniska förordningen (MDR, EU 2017/745) och det medicintekniska direktivet tillämpas parallellt.

Rekrytering och HR. AI-verktyg för CV-genomgång, kandidatbedömning och kompetenstest klassificeras som högrisk-AI per bilaga III punkt 4 i EU AI-akten (AI för sysselsättning och hantering av arbetstagare). Arbetsgivare som driftsätter sådana system från och med 2 augusti 2026 ska genomföra grundläggande rättighetskonsekvensbedömning per artikel 27 EU AI-akten och säkerställa mänsklig tillsyn. Diskrimineringslagen (2008:567) förbjuder diskriminerande AI-rekrytering.

Finansmarknaden och fintech. Kreditbedömning, bedrägeridetektering, riskmodellering och investeringsrådgivning via AI är högrisk-AI per bilaga III punkt 5 EU AI-akten. Finansinspektionen har gett ut vägledning om AI i finanssektorn. DORA-förordningen (EU 2022/2554) ger ytterligare krav på robust AI i finansiella entiteter.

Marknadsföring och kommunikation. Generativ AI för reklam, pressmeddelanden, webbinnehåll och sociala medier kräver tydliga regler om märkning och granskning. DSA artikel 26 kräver märkning av AI-genererad reklam på stora plattformar. Swedish Advertising Ombudsman (RON) och ICC:s reklamkod kräver äkthet. Djupfalskad reklamfilm (deepfake) och syntetiska influencers kräver tydlig märkning.

Offentlig förvaltning. Myndigheter som använder AI för ärendehantering, beslutsstöd, dokumentgranskning eller medborgarkommunikation måste säkerställa efterlevnad av förvaltningslagen (2017:900), Europakonventionen om mänskliga rättigheter och EU AI-aktens krav på transparens och mänsklig tillsyn för högrisk-AI. EU AI-akten bilaga III punkt 8 klassificerar AI i offentlig förvaltning för rättskipning och demokratiska processer som högrisk.

AI-användningspolicyn i Sverige bör innehålla följande element för att uppfylla EU AI-aktens krav, skydda organisationen och ge tydlig vägledning till anställda.

Syfte och rättslig ram. Policyns syfte och tillämpningsområde (all personal, konsulter, leverantörer). Tydlig hänvisning till EU AI-akten (EU 2024/1689) med ikraftträdandetidtabell, GDPR (EU 2016/679), DSA (EU 2022/2065), och tillämplig upphovsrättslagstiftning. Organisationens övergripande principer för ansvarsfull AI-användning.

AI-governance och ansvar. Utsedd AI-ansvarig (CISO, CDO, CTO-funktion) per EU AI-akten artikel 26. Styrelseansvar för AI-risker och AI-governance-resurser. Anmälningsväg för nya AI-system. Godkännandeprocess för icke-listade AI-verktyg.

Godkänd AI-verktygslista. Specificerade verktyg med villkor (för vilka ändamål, vilka data är tillåtna). Krav för att ett verktyg ska godkännas (DPA-avtals granskning, GDPR-efterlevnad, säkerhetscertifieringar). Process för godkännande av nya verktyg.

Förbjudna AI-tillämpningar per EU AI-akten artikel 5. Biometrisk massövervakning, sociala poängsystem, manipulativa AI-system, automatiserad brottslighetsprognosbedömning av individer. Organisationsspecifika förbud (generering av deepfakes, automatiserade HR-beslut utan mänsklig granskning).

Högrisk-AI per EU AI-aktens bilaga III. Lista tillämpliga högrisk-AI-kategorier. Krav på grundläggande rättighetskonsekvensbedömning per artikel 27 EU AI-akten. Krav på mänsklig tillsyn per artikel 26.2. Loggning och dokumentation per artikel 26.5. Gäller fullt från 2 augusti 2026.

Dataskydd och personuppgifter i AI. Förbud mot att mata in personuppgifter i icke-godkända AI-system. GDPR artikel 22 om automatiserade beslut med rätt till mänsklig granskning. DPIA per artikel 35 GDPR vid högrisk-AI-behandling. Krav på personuppgiftsbiträdesavtal med AI-verktygs-leverantörer per artikel 28 GDPR.

Transparens och märkning. Märkning av AI-assisterat innehåll i kommunikation med kunder. EU AI-akten artikel 50 om transparens för AI-interaktion och AI-genererat syntetiskt innehåll. DSA märkningskrav för AI-genererad reklam. Förbud mot vilseledande AI-användning.

Upphovsrätt och IP. Regler om upphovsrätt vid AI-genererat innehåll. Deklarationsplikt för AI-assistans vid externt levererat arbete. Organisationens ägande av AI-assisterat arbete per anställningsavtal. På forms-legal.com finns mallar för GDPR-integritetspolicy och cybersäkerhetspolicy.

AI-användningspolicyn i Sverige fylls i och implementeras korrekt enligt följande steg.

Steg 1 - Inventera AI-användning. Kartlägg alla AI-verktyg och AI-tjänster som används eller planeras i organisationen. Inkludera inbyggd AI i befintliga programvaror (Microsoft 365, Google Workspace, Salesforce Einstein, HubSpot AI) utöver fristående AI-verktyg (ChatGPT, Claude, Gemini). Dokumentera ändamål, typ av data som matas in och leverantörens dataskyddsvillkor.

Steg 2 - Klassificera AI-system per EU AI-akten. För varje AI-system: är det förbjudet per artikel 5? Är det högrisk per bilaga III? Har det transparensskyldigheter per artikel 50? Förordningens artikel 6 definierar högrisk-AI-system. EU AI Office:s klassificeringsguide och ENISA:s vägledning ger stöd. MSB:s arbete med AI-säkerhet ger nationell vägledning.

Steg 3 - Utse AI-ansvarig. Utse en person eller funktion med formellt ansvar för AI-governance. EU AI-aktens artikel 26 kräver detta för högrisk-AI-driftsättare. AI-ansvarig bör ha teknisk förståelse av AI-system och juridisk förståelse av EU AI-aktens krav. Utnyttja externa rådgivare vid behov.

Steg 4 - Skapa godkänd AI-verktygslista. Lista specifikt godkända verktyg med villkor. Gör granskning av leverantörers DPA och integritetsvillkor. Säkerställ att personuppgiftsbiträdesavtal per GDPR artikel 28 är på plats med AI-verktygs-leverantörer som behandlar personuppgifter. Konsumentriktade AI-verktyg (ChatGPT free, Gemini free) saknar vanligtvis DPA och ska inte användas med kunddata.

Steg 5 - Definiera tydliga förbud. Specificera förbjudna tillämpningar baserade på EU AI-akten artikel 5 och organisationsspecifika riskbedömningar. Var konkret – 'mata inte in kundpersonnummer i AI-verktyg' är tydligare än 'hantera personuppgifter korrekt'. Inkludera specifika scenarier som är relevanta för er bransch.

Steg 6 - Hantera högrisk-AI. Om organisationen driftsätter högrisk-AI-system per bilaga III ska ni förbereda för EU AI-aktens krav från 2 augusti 2026: grundläggande rättighetskonsekvensbedömning per artikel 27, dokumentation av human oversight-procedurer, loggning av AI-beslut per artikel 26.5. Konsultera en AI-jurist för specifik vägledning.

Steg 7 - Utbilda personal. Cybersäkerhets- och AI-riskutbildning för all personal, med fokus på: varför AI-regler behövs, vad som är tillåtet och förbjudet, hur man rapporterar AI-incidenter eller -missbruk. EU AI-akten artikel 26.6 kräver att driftsättare säkerställer att personalen har tillräcklig AI-kompetens.

Steg 8 - Planera för 2 augusti 2026. EU AI-aktens regler om högrisk-AI och allmänna AI-modeller tillämpas fullt från 2 augusti 2026. Planera uppdatering av policyn och processer inför detta datum. Följ EU AI Office:s implementeringsstandarder och vägledning (tillgängliga på digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence).

AI-användningspolicyn i Sverige regleras av ett snabbt växande rättsligt ramverk som kombinerar EU-förordningar, dataskyddslagstiftning och sektorsspecifika regler.

EU AI-akten (EU 2024/1689). Europaparlamentets och rådets förordning (EU) 2024/1689 av den 13 juni 2024 är den primära rättsliga grunden. Artikel 5 AI-akten förbjuder, med verkan från 2 februari 2025, ett antal oacceptabla AI-tillämpningar inklusive manipulativa AI-system, biometriska massövervakningssystem och sociala poängsystem. Artikel 26 AI-akten reglerar driftsättares skyldigheter för högrisk-AI. Artikel 27 AI-akten kräver grundläggande rättighetskonsekvensbedömning för högrisk-AI vid offentliga myndigheter och privata aktörer som tillhandahåller tjänster till allmänheten. Artikel 50 AI-akten kräver transparens om AI-interaktion och AI-genererat syntetiskt innehåll. Bilaga III AI-akten listar högrisk-AI-system i 8 kategorier.

GDPR artikel 22 – automatiserade individuella beslut. Registrerade ska ha rätt att inte underkastas ett beslut som enbart vilar på automatiserad behandling, inbegripet profilering, som har rättsliga eller liknande effekter. Automatiserade beslut med rättsliga effekter kräver rätt till mänsklig granskning, rätt att framföra synpunkter och rätt att bestrida. EDPB:s riktlinjer 5/2020 om samtycke och EDPB:s yttrande 28/2024 om AI och dataskydd ger vägledning.

GDPR artikel 35 – konsekvensbedömning. AI-behandling som sannolikt leder till hög risk för registrerades rättigheter och friheter kräver DPIA (Data Protection Impact Assessment). IMY:s vägledning om DPIA specificerar situationer där DPIA krävs vid AI-system. Automatiserade beslut, storskalig behandling av känsliga uppgifter och biometrisk behandling är typiska DPIA-krav.

DSA – Digital Services Act (EU 2022/2065). Artikel 26 DSA kräver tydlig märkning av reklam i rekommendationssystem och AI-genererat innehåll på väldigt stora plattformar. Artikel 27 DSA reglerar transparens om rekommendationssystem. DSA tillämpas på plattformar men påverkar indirekt annonsörer och innehållsproducenter.

AI Act och upphovsrätt. DSM-direktivet (EU 2019/790) artikel 4 skapar ett 'text and data mining'-undantag som tillåter AI-träning på upphovsrättsligt skyddat material om inte rättighetshavaren uttryckligen reserverat sig. Leverantörer av AI-modeller tränade på upphovsrättsligt skyddat material utan tillstånd riskerar rättslig exponering (Getty Images stämning mot Stability AI). Användare av AI bör vara medvetna om upphovsrättsrisker vid AI-genererat innehåll.

Sanktioner vid brott mot EU AI-akten. Artikel 5-förbud: upp till 35 miljoner euro eller 7% av global omsättning. Högrisk-AI skyldigheter: upp till 15 miljoner euro eller 3% av global omsättning. Övriga skyldigheter: upp till 7,5 miljoner euro eller 1,5% av global omsättning. EU AI Office och nationella tillsynsmyndigheter (Konsumentverket, IMY) delar tillsynsansvar i Sverige.

Säkerhetsskyddslagen (2018:585) och AI. AI-system som hanterar säkerhetsskyddsklassad information eller tillhör säkerhetskänslig verksamhet ska uppfylla säkerhetsskyddslagens krav. Säkerhetsskyddsmyndigheten (SÄPO) och FMV har tillsyn. Molnbaserade AI-tjänster för säkerhetsskyddsklassad information kräver SÄPO-godkännande.

Vanliga misstag vid utformning och implementering av AI-användningspolicy i Sverige.

Misstag 1 - Policy utan inventering av faktisk AI-användning. Policyn upprättas utan att organisation kartlagt vilka AI-verktyg som faktiskt används av personalen. Skugganvändning (shadow IT) av AI är utbredd – anställda använder ChatGPT, Gemini, Claude och liknande utan tillstånd. En policy utan inventering riskerar att missa verklig AI-användning. Genomför en AI-inventering via enkät och IT-logganalys innan policyn utformas.

Misstag 2 - Oklar godkännandelista. Policyn anger generella regler utan lista på specifikt godkända AI-verktyg. Anställda vet inte vilka verktyg de får använda och tar egna beslut. En tydlig lista med specifika verktyg och villkor (vilka ändamål, vilka data) ger klarhet. Uppdatera listan regelbundet när nya verktyg godkänns.

Misstag 3 - Personuppgifter i konsument-AI-tjänster. Anställda matar in kundpersonuppgifter (namn, e-post, personnummer, hälsouppgifter) i gratisversioner av ChatGPT, Gemini eller Claude.ai vars dataskyddsvillkor inte uppfyller GDPR. Konsumentriktade AI-tjänster saknar vanligtvis DPA. OpenAI:s Enterprise-version har DPA; freeversionen har det normalt inte. Policyn ska explicit förbjuda personuppgifter i icke-godkända verktyg.

Misstag 4 - Förbiser EU AI-aktens tidtabell. Policyn hanterar inte att EU AI-aktens bestämmelser om högrisk-AI och GPAI-modeller träder i kraft 2 augusti 2026. Organisationer som driftsätter högrisk-AI (rekrytering, kreditbedömning) behöver förbereda rättighetskonsekvensbedömning och human oversight-procedurer i god tid. Planera uppdatering av policyn senast Q1 2026.

Misstag 5 - Ingen transparensregel för AI-genererat innehåll. Policyn saknar krav på märkning av AI-genererat innehåll i kundkommunikation. EU AI-akten artikel 50, DSA och RON:s tolkning av ICC:s reklamkod kräver transparens. Djupfalska syntetiska medier (deepfakes) och AI-genererade influencers skapar rättsliga risker. Specificera när märkning krävs och hur.

Misstag 6 - Upphovsrätt negligeras. Policyn hanterar inte upphovsrättsliga risker vid AI-genererat innehåll. Organisationer som publicerar AI-genererade bilder (Midjourney, DALL-E, Adobe Firefly) eller text utan mänsklig kreativ bearbetning riskerar upphovsrättsintrång om AI-modellen tränats på upphovsrättsligt skyddat material. Kräv mänsklig granskning och bearbetning av AI-genererat innehåll avsett för extern publicering.

Misstag 7 - Ingen utbildningskomponent. Policy utan tillhörande utbildning är ineffektiv. EU AI-akten artikel 26.6 kräver att driftsättare av högrisk-AI säkerställer att personalen har tillräcklig kompetens om AI-systemens kapaciteter och begränsningar. Skapa obligatorisk AI-riskutbildning med konkreta scenarier relevanta för er verksamhet. Uppdatera utbildningen årligen.

Misstag 8 - Automatiserade beslut utan mänsklig granskning. Organisationer driftsätter AI-system för HR-beslut, kundkreditbedömning eller liknande utan att säkerställa rätten till mänsklig granskning per GDPR artikel 22 och EU AI-akten. Felaktiga automatiserade beslut kan leda till skadeståndskrav och IMY-sanktioner. Implementera alltid mänsklig granskningsfunktion vid automatiserade beslut med rättsliga eller liknande konsekvenser.