MAL OG SJEKKLISTE

AI-policy mal

En skriftlig AI-policy er det første steget mot ansvarlig bruk av kunstig intelligens i arbeidslivet. Denne siden gir deg en ferdig mal du kan kopiere og tilpasse, pluss en praktisk sjekkliste for rask gjennomgang.

Kort oppsummert

En AI-policy definerer hvem som kan bruke hvilke verktøy, hvilke data som er tillatt, og hvem som har ansvar.
Malen under dekker formål, virkeområde, godkjente verktøy, personvern, sikkerhet, ansvar, opplæring, etikk og bruddshåndtering.
GDPR gjelder fullt ut: krev databehandleravtale, vurder DPIA og foretrekk EØS-basert datalagring.
Policyen bør revideres minst årlig — teknologien og regelverket endrer seg raskt.

Norske bedrifter adopterer AI i raskt tempo. Uten klare retningslinjer oppstår det en uformell "skygge-IT" der ansatte bruker verktøy ledelsen ikke kjenner til, med dataflyt som verken IT eller personvernombud har vurdert. En skriftlig AI-policy reduserer denne risikoen, øker tilliten internt og gir ledelsen kontroll.

Hva er en AI-policy?

En AI-policy er et internt styringsdokument som fastsetter hvordan bedriften bruker, evaluerer og kontrollerer kunstig intelligens. Den svarer på tre spørsmål: Hva er lov? (godkjente verktøy og bruksområder), hva er ikke lov? (forbudte data og risikofylte bruksmønster), og hvem bestemmer? (ansvar, godkjenning og rapportering).

Policyen er ikke en erstatning for databehandleravtaler, sikkerhetsrutiner eller lovpålagte vurderinger — den er et overordnet rammeverk som binder disse elementene sammen og kommuniserer reglene til alle ansatte.

Hva bør en AI-policy dekke?

Basert på veiledning fra Datatilsynet, Nkom og Digital Norway bør en norsk AI-policy inneholde følgende elementer:

Virkeområde: Hvem gjelder policyen for — alle ansatte, konsulenter, underleverandører?
Godkjente verktøy: En vedlikeholdt liste over verktøy som er vurdert og godkjent, med krav til databehandleravtale.
Dataregler: Hvilke typer data kan og ikke kan legges inn i AI-verktøy. Forbud mot personopplysninger og konfidensielle data i ikke-godkjente løsninger.
Personvern: Krav om behandlingsgrunnlag, DPIA ved høyrisiko, innsynsrett og sletting.
Sikkerhet: Autentisering, tilgangsstyring, logging og krav om EØS-lagring eller gyldige overføringsmekanismer.
Ansvar og roller: Hvem som er AI-ansvarlig, godkjenningsløp for nye verktøy, og rapporteringslinje ved avvik.
Opplæring: Krav til opplæring ved oppstart, årlig repetisjon og dokumentasjon av gjennomført kurs.
Etikk: Krav til menneskelig kontroll, merking av AI-generert innhold, og forbud mot diskriminerende eller villedende bruk.
Bruddshåndtering: Konsekvenser ved brudd på policyen, og rutine for å rapportere avvik uten frykt for represalier.

Eksempelmal – AI-policy for [Bedriftsnavn]

Kopier teksten nedenfor, erstatt [Bedriftsnavn] med ditt selskaps navn, og tilpass punktene etter behov.

AI-policy for [Bedriftsnavn]

Gjelder fra: [dato] | Sist revidert: [dato]
Godkjent av: [navn og stilling]

1. Formål

Denne policyen skal sikre at [Bedriftsnavn] bruker kunstig intelligens (AI/KI) på en måte som er trygg, lovlig, etisk og i samsvar med bedriftens sikkerhetskrav og personvernregler. Policyen skal også fremme innovasjon ved å gi ansatte tydelige rammer for eksperimentering og bruk.

2. Virkeområde

Policyen gjelder for alle ansatte, innleid personell, konsulenter og underleverandører som utfører arbeid for [Bedriftsnavn]. Den gjelder all bruk av AI-verktøy på bedriftens enheter, nettverk og i bedriftens regi, uavhengig av hvor arbeidet utføres.

3. Godkjente verktøy

Kun verktøy som er vurdert og godkjent av [AI-ansvarlig / IT-direktør] kan brukes i bedriftens regi. Den oppdaterte listen finnes på [intern side]. Nye verktøy skal søkes godkjent skriftlig før bruk. Godkjenning baseres på vurdering av sikkerhet, personvern, databehandleravtale og datalagringssted.

4. Databruk og personvern

Ansatte skal ikke legge inn personopplysninger, sensitive data, forretningshemmeligheter eller kundedata i ikke-godkjente AI-verktøy. For godkjente verktøy skal det foreligge databehandleravtale som oppfyller GDPR og norsk personopplysningslov. Data skal lagres innenfor EØS dersom verktøyet tilbyr det. Overføring utenfor EØS krever gyldige standardkontrakter (SCC) eller tilsvarende mekanismer.

5. Sikkerhet

All bruk av godkjente AI-verktøy skal skje via bedriftens autentiseringsløsninger (SSO). Deling av påloggingsinformasjon er forbudt. Output fra AI-verktøy skal behandles med samme konfidensialitetsnivå som tilsvarende manuelt produsert materiale. IT skal føre oversikt over godkjenningslogger og tilgangsrettigheter.

6. Ansvar og roller

[Navn / stilling] er utnevnt som AI-ansvarlig og eier denne policyen. AI-ansvarlig godkjenner nye verktøy, koordinerer opplæring, mottar avviksrapporter og rapporterer til ledelsen kvartalsvis. Den enkelte leder har ansvar for at egne medarbeidere kjenner til og følger policyen. Den enkelte ansatte er ansvarlig for egen bruk i henhold til denne policyen.

7. Opplæring

Alle nyansatte skal gjennom opplæring i denne policyen innen fire uker etter oppstart. Eksisterende ansatte skal gjennom årlig repetisjon. Opplæringsprogrammet dekker: godkjente verktøy, dataregler, etiske retningslinjer, og hvordan AI-output skal kvalitetssikres før bruk.

8. Etiske retningslinjer

AI skal ikke brukes til å ta avgjørelser som vesentlig påvirker enkeltpersoner uten menneskelig kontroll. AI-generert innhold som publiseres eksternt skal merkes tydelig der det er relevant. Bruk av AI skal ikke føre til diskriminering, villedende framstilling eller brudd på opphavsrett. Ansatte skal alltid kvalitetssikre output før det brukes i kunde- eller offentlig sammenheng.

9. Brudd og sanksjoner

Brudd på denne policyen kan medføre disiplinære tiltak i henhold til bedriftens personalhåndbok. Alvorlige brudd — som uautorisert innsending av personopplysninger til ikke-godkjente verktøy — vil bli behandlet som sikkerhetshendelse og kan medføre oppsigelse. Ansatte oppfordres til å rapportere avvik eller tvil til AI-ansvarlig uten frykt for represalier.

10. Revisjon

Denne policyen revideres minst en gang i året, eller ved vesentlige endringer i regelverk, teknologi eller bedriftens virksomhet. AI-ansvarlig står for revisjonen og legger fram forslag til endringer for ledelsen.

Sjekkliste for rask gjennomgang

Bruk listen under for å sjekke at bedriftens AI-policy er komplett før den implementeres:

Vi har en oppdatert oversikt over alle AI-verktøy som brukes internt.
Vi har inngått databehandleravtale med leverandørene av godkjente verktøy.
Vi har vurdert om AI-bruken krever DPIA etter GDPR.
Vi har definert hvem som er AI-ansvarlig og godkjenningsrutiner.
Vi har regler for hva som ikke kan legges inn i AI-verktøy (personopplysninger, konfidensielle data).
Vi har krav om EØS-datalagring eller gyldige overføringsmekanismer.
Vi har retningslinjer for merking av AI-generert innhold.
Vi har en plan for opplæring av alle ansatte ved oppstart og årlig repetisjon.
Vi har beskrevet konsekvenser ved brudd på policyen.
Vi har satt opp årlig revisjon og rutine for å oppdatere godkjenningslisten.

Ansvarsfraskrivelse

Malen og sjekklisten på denne siden er redaksjonelle hjelpemidler basert på offentlig tilgjengelig veiledning fra Datatilsynet, Nkom, EU-kommisjonen og Digital Norway. De erstatter ikke juridisk rådgivning, personvernombudets vurderinger eller avklaringer med relevante tilsynsmyndigheter. Tilpass alltid policyen til bedriftens spesifikke virksomhet, bransjeregler og eventuelle tariffavtaler.

Ofte stilte spørsmål.

Er denne AI-policy-malen juridisk bindende?

Nei. Malen er et praktisk utgangspunkt og erstatter ikke juridisk rådgivning. Den bør tilpasses bedriftens spesifikke virksomhet, bransjekrav og eventuelle kollektive avtaler. Vurder alltid med juridisk rådgiver eller personvernombud før den vedtas.

Hvilke verktøy bør en AI-policy godkjenne?

Start med verktøyene bedriften allerede betaler for, som Microsoft 365 Copilot, ChatGPT Business/Enterprise eller Google Workspace AI. Legg til bransjespesifikke løsninger etter behov. Godkjenningslisten bør oppdateres kvartalsvis, og nye verktøy bør vurderes av IT og personvernombud før bruk.

Hvem bør ha ansvar for AI-policyen?

En leder med tilstrekkelig myndighet bør utnevnes som AI-ansvarlig — ofte i samarbeid mellom IT-direktør, personvernombud og HR. Denne rollen eier policyen, godkjenner nye verktøy, koordinerer opplæring og rapporterer til ledelsen om avvik og bruk.

Hvordan håndterer vi personvern i AI-policyen?

Policyen må kreve at ansatte ikke legger inn personopplysninger, konfidensielle data eller opphavsrettslig beskyttet materiale i ikke-godkjente verktøy. For godkjente verktøy skal det inngås databehandleravtale, og data skal lagres innenfor EØS der det er mulig. DPIA vurderes ved høyrisiko-behandling.