En AI-policy som faktisk brukes av ansatte

Dette er din guide til å opprette en AI-policy som støtter virksomhetens langsiktige strategi, GDPR og som hele organisasjonen faktisk tar i bruk.

Tenk deg følgende: En selger hos deg sitter med en krevende kundemail, limer hele dialogen inn i ChatGPT, får et godt forslag til svar og sender det. Effektivt? Ja. Trygt? Tja. I tråd med virksomhetens strategi, personvern og verdier? Det vet verken selger eller ledelse.

Det er her en AI-policy er nyttig. Du har egentlig allerede en, den står bare ikke skrevet noe sted. Den består av magefølelse, raske beslutninger i møterommet og noen muntlige «dette bør du helst ikke gjøre»-beskjeder på gangen.

I denne artikkelen viser jeg deg, steg for steg:

• Hvorfor din virksomhet trenger en tydelig AI-policy
• Hva en AI-policy faktisk er (forklart for ledelse og styret)
• Hvem som eier den
• Hvilke spørsmål du må stille for å få en AI-policy som beskytter og utvikler virksomheten

Målet: En AI-policy som gir ledelsen tydelige rammer og som gjør det tryggere for ansatte å bruke AI i hverdagen.

Les også: Klar for AI-agenter? 20 punkters sjekkliste for SMBer

Innhold:

1. Hvorfor din virksomhet trenger en AI-policy
2. Hva er en AI-policy, fra et lederperspektiv
3. Hvem eier AI-policyen? Roller for styret, ledelsen og ansatte
4. 5 enkle spørsmål som gir deg riktig AI-policy for din virksomhet
5. Byggesteinene i en god AI-policy
6. Forslag til mal: Slik kan din AI-policy se ut i praksis
7. Hvordan få ansatte til faktisk å bruke AI-policyen i hverdagen
8. AI-policy som motor i digital transformasjon og innovasjon
9. Slik holder du AI-policyen relevant: revisjon, måling og læring over tid
10. Oppsummert, og hva du kan gjøre allerede denne uka

Hvorfor din virksomhet trenger en AI-policy

De fleste ledergrupper jeg snakker med, er omtrent her:

• Noen ansatte bruker allerede AI-verktøy som ChatGPT, Copilot eller Gemini.
• Bruken er uformell, ofte skjult, og styret har aldri diskutert det skikkelig.
• Ledelsen kjenner både presset om å ta i bruk AI og usikkerheten rundt hvor dypt teknologien vil endre prosesser, kompetanse og ansvar.

Uten en tydelig AI-policy styrer du på magefølelse. Det kan gå bra en stund. Men for en virksomhet som skal gjennom digital transformasjon, er det en dårlig strategi.

Det er særlig tre grunner til at du trenger en AI-policy nå, selv om dere så vidt har begynt med AI:

1. Risiko og ansvar
   Du trenger klare rammer for hva slags data som kan deles med AI-verktøy, hvordan personopplysninger håndteres, og hvem som har ansvar hvis noe går galt. Dette handler om alt fra GDPR til omdømme.
   
2. Kvalitet og tillit
   Tekster, analyser og beslutningsgrunnlag laget med AI kan være glimrende eller fullstendig feil. En AI-policy gjør det tydelig hvem som skal kontrollere hva, og hvordan innhold godkjennes før det brukes eksternt eller i styrende dokumenter.
   
3. Fart og innovasjon
   En god AI-policy er ikke en brems, men et startskudd. Når ansatte vet hva som er lov og ønsket, tør de å eksperimentere mer innenfor trygge rammer. Det er slik du får fart på både effektivisering og innovasjon, ikke ved å «forby alt» eller «slippe alt løs».

Kort sagt: En gjennomtenkt AI-policy gir deg styring, forutsigbarhet og tempo i én og samme pakke.

Les også: Den nye lederrollen med AI: fra magefølelse til presis vekststrategi

Hva er en AI-policy, fra et lederperspektiv

En AI-policy er rett og slett et sett med enkle, skriftlige kjøreregler for hvordan din virksomhet skal bruke kunstig intelligens, og hvordan dere ikke skal bruke det.

Det er ikke:

• En teknisk manual
• En strategi for hele virksomheten
• Et juridisk dokument som bare advokaten skjønner

En god AI-policy for en norsk virksomhet skal:

• Være skrevet på vanlig norsk, ikke overteknisk språk
• Være forståelig for alle, fra produksjonsmedarbeider til styreleder
• Koble tydelig til virksomhetens mål: bedre kundeservice, økt effektivitet, høyere kvalitet, lavere risiko
• Være konkret på bruk av AI-verktøy i arbeidshverdagen

Tenk på AI-policyen som broen mellom strategi og praksis:

• Strategien sier hvor dere skal, og…
• Hvordan dere skal (og ikke skal) bruke AI for å komme dit.

Har du det bildet klart, blir resten mye enklere.

Les også: Hva er agentflyt? Skreddersydde AI-løsninger for skalering og vekst

Hvem eier AI-policyen? Roller for styret, ledelsen og ansatte

Et ofte stilt spørsmål er: «Hvem skal egentlig ta ansvar for AI-policyen?» Det korte svaret: Den kan ikke eies av IT-avdelingen alene. Rollene bør se omtrent slik ut:

Styret

• Stilller krav om at virksomheten har en AI-policy.
• Definerer hvor mye risiko virksomheten tåler.
• Følger opp at policyen faktisk brukes og revideres.

Daglig leder / ledergruppen

• Eier selve AI-policyen på vegne av virksomheten.
• Sikrer at AI-policyen henger sammen med strategi, risiko og kompetanseplaner.
• Prioriterer tid og ressurser til opplæring, implementering og forbedring.

Støttefunksjoner (IT, HR, juridisk/personvern)

• Bidrar med fagkunnskap om teknologi, sikkerhet, GDPR, avtaler og arbeidsrett.
• Oversetter krav og regelverk til praktiske føringer i AI-policyen.

Ledere på alle nivåer

• Gjør AI-policyen konkret for egen avdeling.
• Følger opp etterlevelse i hverdagen på samme måte som andre retningslinjer.

Ansatte

• Skal ikke bare «følge» AI-policyen, men også bidra med erfaringer og forbedringsforslag.
• Er de som faktisk vet hvor AI sparer tid og skaper verdi i praksis.

En AI-policy fungerer bare når det er felles eierskap. Hvis den blir oppfattet som «noe IT har funnet på», vil den verken beskytte virksomheten eller drive utvikling.

Les også: AI i norske SMBer: Hva skiller vinnerne de neste to årene

5 enkle spørsmål som gir deg riktig AI-policy for din virksomhet

Før du begynner å skrive selve dokumentet, bør du samle ledergruppen – gjerne sammen med en representant for styret – og svare ærlig på fem enkle spørsmål som gir retning for hele AI-policyen:

1. Hva vil vi egentlig oppnå med AI?
   
   Er målet først og fremst effektivisering, bedre kundeopplevelser, mer innsikt eller alt samtidig? Jo tydeligere du er på formålet, jo lettere er det å prioritere hvilke AI-tiltak som gir mest verdi.
   
2. Hvilke data er «hellige» hos oss?
   
   Hvilken informasjon skal aldri inn i et eksternt AI-verktøy? Kundedata, personopplysninger, forretningshemmeligheter, strategier, avtaler? Dette er grunnlaget for tydelige, praktiske grenser i AI-policyen.
   
3. Hvem skal få bruke hvilke AI-verktøy, og til hva?
   
   Skal alle ansatte ha tilgang, eller bare noen roller? Hvilke verktøy godkjenner dere sentralt, og hvilke er forbudt? Og til hvilke oppgaver er det greit å bruke AI? Utkast til tekst, idémyldring, koding, analyse?
   
4. Hvordan skal vi kvalitetssikre innhold laget med AI?
   
   Hvem har siste ordet? Hvilke typer innhold må alltid leses av et menneske før det går til kunde, publiseres eller brukes som beslutningsgrunnlag? Her legger du rammene som hindrer at «maskinen får siste ord».
   
5. Hvilken kompetanse trenger vi for å bruke AI trygt og nyttig?
   
   Hvilke basiskunnskaper skal alle ha? Hva trenger lederne å kunne? Hvem skal være interne «superbrukere»? Dette henger tett sammen med både digital transformasjon og kontinuerlig læring i virksomheten.

Når du har gode, konkrete svar på disse fem spørsmålene, har du egentlig skissen til en AI-policy som er tilpasset din virksomhet, ikke en generisk mal fra internett.

Les også: AI i ledergruppen: Beslutningsguide for pilot på 90 minutter

 

Byggesteinene i en god AI-policy 

Nå har vi snakket om hvorfor du trenger en AI-policy, og hva det er. La oss gå over i det praktiske: Hva må faktisk stå i en god AI-policy for din virksomhet?

Tenk på dette kapitlet som byggesettet. Du kan starte enkelt, og heller bygge ut etter hvert.

En gjennomtenkt AI-policy bør som et minimum dekke:

1. Formål, omfang og definisjoner
2. Hvilke AI-verktøy som er greie å bruke, og til hva
3. Data, konfidensialitet, sikkerhet og personvern
4. Kvalitet, ansvar og godkjenning av innhold laget med AI
5. Kompetanse, opplæring og kontinuerlig læring
6. Etterlevelse, avvik og revisjon

La oss ta dem én for én i klartekst, ikke utviklerspråk.

1. Formål, omfang og definisjoner

Her svarer du på tre enkle spørsmål: Hvorfor, på hva og for hvem gjelder AI-policyen.

Du kan for eksempel ha med:

Formål

• Hvordan bruk av AI skal støtte virksomhetens mål: bedre kundereiser, mer effektiv drift, høyere kvalitet, lavere risiko.
• At AI skal brukes ansvarlig, transparent og i tråd med lover og regler.

Omfang

• Gjelder alle ansatte, innleide, konsulenter og eventuelle partnere som bruker virksomhetens systemer.
• Omfatter både gratis AI-tjenester (som ChatGPT i nettleser) og AI som er bygget inn i verktøy dere allerede bruker (Office, CRM, økonomisystem osv).

Definisjoner

Du trenger noen få, enkle definisjoner, ikke en ordliste på 4 sider. For eksempel:

• Hva dere mener med «AI-verktøy»
• Hva dere mener med «sensitive data»
• Hva dere legger i «AI-generert innhold»

Målet med denne delen er at ingen skal sitte igjen og lure på: «Gjelder dette meg?» eller «Er dette verktøyet en del av AI-policyen?».

2. Hvilke AI-verktøy er greit å bruke, og til hva?

Dette er kanskje den mest etterspurte delen av en AI-policy: «Hva har vi lov til å bruke, og til hva har vi lov til å bruke det?»

En praktisk måte å svare på dette på er å dele verktøy og bruk i tre kategorier:

Godkjente AI-verktøy

• Verktøy som virksomheten har vurdert, godkjent og gjerne satt opp egne kontoer/brukere på.
• Her kan dere være konkrete: «Disse verktøyene er godkjent til bruk i jobbsammenheng.»

Tillatt med begrensninger

• For eksempel åpne, gratis AI-tjenester på nett, der dere legger strenge føringer for hva slags data som ikke skal legges inn.
• Her er det ofte: «Kun til idémyldring, formuleringer og generelt innhold som ikke inneholder interne eller personlige opplysninger.»

Ikke tillatt

• Verktøy dere vet ikke oppfyller krav til sikkerhet, personvern eller avtaler.
• AI-tjenester som automatisk lagrer og gjenbruker kundedata uten kontroll.

I tillegg er det lurt å være like tydelig på brukstyper som på verktøy:

Eksempel: Det er greit å bruke AI til:

• Å skrive førsteutkast til tekster, presentasjoner, stillingsannonser osv.
• Å oppsummere lange tekster, møter eller rapporter (uten sensitive detaljer)
• Å foreslå forbedringer av språk, struktur og formidling
• Å hjelpe til med idéutvikling, kampanjeforslag og konseptskisser

Det er ikke greit å bruke AI til:

• Å ta endelige juridiske vurderinger
• Å gi faglig råd til kunder uten at en fagperson har lest og godkjent
• Å generere analyser eller rapporter som går rett til styret uten kvalitetssikring

Når dette er skrevet tydelig og enkelt, opplever ansatte AI-policyen som et hjelpemiddel, ikke en bremsekloss.

3. Data, konfidensialitet, sikkerhet og personvern (inkl. GDPR)

Her blir mange litt usikre, og da blir det ofte enten altfor løst («bruk sunn fornuft») eller altfor strengt («ikke legg noe som helst i noe som helst»).

Du trenger ikke være jurist for å få dette til å fungere i praksis. En enkel modell er å dele data i tre nivåer:

Rødt: Aldri inn i eksterne AI-verktøy

• Personopplysninger (navn, e-post, telefon, CV, lønn, medarbeidersamtaler osv.)
• Kundedata som kan kobles til enkeltpersoner
• Forretningshemmeligheter, priser, strategier, bud, tilbud og avtaler
• Alt som er taushetsbelagt eller underlagt lovpålagt konfidensialitet

Gult: Kun i godkjente, kontrollerte AI-løsninger

• Interne dokumenter som ikke er spesielt sensitive, men som likevel ikke skal ut av huset.
• Her kan dere sette krav til databehandleravtaler, lagring i EU/EØS, tilgangsstyring osv.

Grønt: Kan brukes fritt til AI

• Åpne, offentlige tekster, generisk faginformasjon, innhold som uansett skal publiseres åpent.
• AI-policyen bør forklare dette med eksempler fra din virksomhet: Hvilke typer data er røde, gule og grønne hos dere?

I tillegg bør AI-policyen si noe om:

Personvern (GDPR)

• At personopplysninger bare kan behandles i tråd med gjeldende regler og virksomhetens personvernerklæring.
• At nye AI-løsninger som håndterer persondata, må vurderes av personvernombud/juridisk før de tas i bruk.

Tilgang og sikkerhet

• Krav til passord, tofaktor, deling av brukere og lisenser.
• Rutiner for hva man gjør hvis man har delt noe man ikke burde med et AI-verktøy.

Poenget er ikke å skremme folk fra å bruke AI, men å gi dem trygge rammer. Da slipper du både de stille risikoene og det stille AI-forbudet.

4. Kvalitet, ansvar og godkjenning av innhold laget med AI

«AI er et hjelpemiddel. Mennesket har alltid det endelige ansvaret.»

AI-policyen bør være tydelig på:

• At AI-genererte tekster, analyser, forslag og beslutningsgrunnlag alltid skal leses kritisk
• At AI aldri skal være eneste kilde for viktige beslutninger
• At innhold fra AI må kvalitetssikres på samme nivå som annet innhold

Du kan for eksempel innføre en enkel «4-punktsjekk» før AI-generert innhold tas i bruk:

1. Fakta: Stemmer det som står ut fra det vi vet?
2. Kilder: Henvises det til kilder som faktisk finnes og er riktige?
3. Tone og innhold: Passer dette med våre verdier og vår måte å kommunisere på?
4. Konfidensialitet: Avslører teksten eller analysen informasjon som ikke burde vært delt?

AI-policyen kan også beskrive godkjenningsnivåer, for eksempel:

• Hvilke tekster en medarbeider kan godkjenne selv (interne notater, kladder, utkast).
• Hvilke som alltid må leses av leder eller fagansvarlig (kundekommunikasjon, offentlige uttalelser, styreunderlag).

Da får du en rutine der AI faktisk sparer tid uten at kvaliteten går i gulvet.

5. Kompetanse, opplæring og kontinuerlig læring i bruk av AI

Hvis du vil at AI-policyen skal bli et verktøy for digital transformasjon – og ikke en engangsøvelse – må den kobles til kompetanse og læring.

Her kan AI-policyen sette noen klare forventninger:

Basiskompetanse for alle ansatte

• Alle skal få en enkel innføring i hva AI er, hvordan den fungerer i grove trekk, og hvordan den brukes trygt i arbeidshverdagen.
• Dette trenger ikke være avansert; målet er trygghet og nysgjerrighet, ikke at alle blir teknologer.

Forventninger til ledere

• Ledere skal forstå hvordan AI påvirker egen avdeling, arbeidsprosesser og risiko.
• De skal kunne diskutere AI med ansatte, ikke bare «sende det videre til IT».

Superbrukere / AI-ambassadører

• Noen utvalgte får ekstra opplæring og tid til å eksperimentere og støtte andre.
• De blir bindeledd mellom ledelsen, IT og «gulvet» når dere videreutvikler AI-policyen og praktisk bruk.

Strukturer for erfaringsdeling

• Enkle arenaer: «AI-fredag» en gang i måneden, interne webinarer, deling av gode eksempler på intranett.
• Hensikten er å gjøre AI til en del av en kultur for kontinuerlig læring, ikke et engangsprosjekt.

Når kompetanse og AI-policy henger sammen, blir AI-policyen et levende dokument, ikke bare en regelbok.

6. Etterlevelse, avvik og revisjon av AI-policy

Til slutt: Hvordan sikrer du at AI-policyen faktisk blir fulgt, og ikke bare signert på? Her anbefaler jeg en enkel og ufarlig tilnærming:

Lav terskel for å melde fra

• Gjør det lett å rapportere «nesten-hendelser» og feil bruk av AI uten å risikere å bli hengt ut.
• Målet er læring, ikke jakten på syndebukker.

Enkel rutine for avvik

• Hvem mottar meldinger?
• Hva skjer videre: vurdering, tiltak, tilbakemelding?

Plan for revisjon

• AI-policyen bør ha et tidspunkt for gjennomgang: for eksempel minimum én gang i året, eller oftere hvis dere har høy AI-aktivitet.
• Styret kan få en kort årlig status: Hvordan brukes AI? Hvilke gevinster ser vi? Hvilke risikoer har vi oppdaget?

Dette henger direkte sammen med virksomhetens egen modenhet på digital transformasjon:
Du går fra «ad hoc-bruk» til styrt, lærende og systematisk bruk av AI med AI-policyen som ramme.

Les også: Ansvarlig AI-integrasjon: Sjekkliste for bedrifter

Forslag til mal: Slik kan din AI-policy se ut i praksis

Under finner du en mal du kan klippe og lime rett inn i et dokument, og tilpasse virksomheten din. Bytt ut klammeparenteser […] med egne navn, roller og formuleringer.

Malen er først og fremst et styringsverktøy for styre, ledelse, HR og IT. Den sørger for at ansvar, GDPR og risiko er på plass slik at dere trygt kan gi ansatte større frihet til å teste og bruke AI i praksis.

AI-POLICY FOR [NAVN PÅ VIRKSOMHET]

Versjon: [DATO]
Eier av policy: [ROLLE, f.eks. Daglig leder / Chief Digital Officer]
Godkjent av: [STYRET / DAGLIG LEDER]
Gjelder for: [ANSATTE, INNLEIDE, KONSULENTER, PARTNERE]

1. Formål og kobling til virksomhetsstrategien

1.1 Formål med AI-policyen

Denne AI-policyen skal sikre at [NAVN PÅ VIRKSOMHET]:

• Bruker kunstig intelligens på en trygg, ansvarlig og etisk måte
• Understøtter vår forretningsstrategi og mål
• Beskytter kunder, ansatte og forretningskritisk informasjon
• Bygger en kultur for læring, forbedring og digital transformasjon

1.2 Overordnede mål for bruk av AI

Vi bruker AI for å støtte følgende mål for [PERIODE, f.eks. 2025–2028]:

• Økt effektivitet i interne prosesser (f.eks. dokumenthåndtering, rapportering, analyse)
• Bedre kundedialog og kundereiser
• Raskere utvikling og forbedring av tjenester/produkter
• Bedre beslutningsgrunnlag for ledelse og styre

1.3 Omfang

Denne AI-policyen gjelder for:

• Alle ansatte i [NAVN PÅ VIRKSOMHET]
• Innleide konsulenter og midlertidige medarbeidere
• Andre som bruker våre systemer og data etter avtale

Policyen gjelder for:

• dedikerte AI-verktøy (f.eks. ChatGPT, Microsoft Copilot, Google Gemini)
• AI-funksjonalitet innebygget i verktøy vi allerede bruker (f.eks. Office, CRM, ERP, fagsystemer)
• interne AI-løsninger utviklet eller kjøpt inn av [NAVN PÅ VIRKSOMHET]

1.4 Enkle definisjoner

I denne policyen mener vi med:

• AI-verktøy: Digitale verktøy som bruker kunstig intelligens til å generere tekst, bilder, analyser eller anbefalinger.
• AI-generert innhold: Tekst, bilder, kode, analyser og forslag laget helt eller delvis av et AI-verktøy.
• Sensitive data: Personopplysninger, kundedata, økonomiske nøkkeltall, strategi, priser, avtaler og annen informasjon som ikke skal deles utenfor virksomheten.

2. Roller, ansvar og beslutningsmyndighet

2.1 Styret

Styret i [NAVN PÅ VIRKSOMHET]:

• Godkjenner overordnede rammer for bruk av AI
• Følger opp at virksomheten har en oppdatert AI-policy
• Får årlig rapport om status på bruk av AI, risiko og gevinster

2.2 Daglig leder / toppledelse

Daglig leder / ledergruppen:

• Eier denne AI-policyen på vegne av virksomheten
• Sikrer at AI-policyen er koblet til strategi, risiko og kompetanseutvikling
• Prioriterer ressurser til opplæring, implementering og forbedring

2.3 AI-ansvarlig / digitaliseringsansvarlig

[Rolle, f.eks. «AI-ansvarlig», «Digitaliseringsleder», «IT-sjef»] har ansvar for å:

• Koordinere arbeid med AI-verktøy, retningslinjer og opplæring
• Holde oversikt over godkjente AI-verktøy
• Foreslå justeringer av AI-policyen til ledergruppen

2.4 IT, HR og juridisk/personvern

IT

• Vurderer tekniske og sikkerhetsmessige sider ved AI-verktøy
• Sørger for sikre løsninger, pålogging og tilgangsstyring

HR

• Integrerer AI-policy i onboarding og opplæring
• Følger opp eventuelle brudd i tråd med personalpolitikk

Juridisk/personvern / personvernombud

• Sikrer at bruk av AI følger GDPR og annet relevant regelverk
• Deltar i vurdering av nye AI-løsninger som berører personopplysninger

2.5 Ledere i linjen

Ledere på alle nivåer skal:

• Gjøre AI-policyen konkret for egen avdeling
• Følge opp at retningslinjene etterleves i hverdagen
• Legge til rette for at ansatte kan lære og teste AI innenfor trygge rammer

2.6 Ansatte

Alle ansatte skal:

• Gjøre seg kjent med og følge denne AI-policyen
• Bruke AI innenfor de rammene som er beskrevet her
• Melde fra om avvik, usikkerhet eller forbedringsforslag

3. Retningslinjer for bruk av AI i virksomheten

3.1 Godkjente AI-verktøy

Følgende AI-verktøy er godkjent for bruk i [NAVN PÅ VIRKSOMHET]:

• [Navn på verktøy, f.eks. «ChatGPT Enterprise» til intern bruk uten sensitive data]
• [Navn på verktøy, f.eks. «Microsoft Copilot» som del av M365]
• [Navn på verktøy, f.eks. «AI-funksjon i CRM/ERP-system»]
• [Andre godkjente verktøy]

Listen oppdateres av [AI-ansvarlig / IT] og publiseres på [intranett / Teams / annet].

3.2 Verktøy som er tillatt med begrensninger

Følgende verktøy kan brukes, men uten at sensitive data deles:

• Åpne AI-tjenester i nettleser (f.eks. gratisversjoner av ChatGPT, Gemini, Claude)
• Andre generelle AI-verktøy godkjent av [AI-ansvarlig / IT]

Tillatt bruk:

• Idémyldring, generelle forslag og struktur
• Forbedring av språk og formuleringer
• Oppsummering av åpne, ikke-sensitive tekster

3.3 Verktøy som ikke er tillatt

Følgende er ikke tillatt i jobbsammenheng:

• AI-verktøy som lagrer eller deler data ukontrollert med tredjepart
• Verktøy som IT/AI-ansvarlig eksplisitt har svartelistet
• Bruk av private AI-verktøy med private kontoer til behandling av virksomhetens data

3.4 Generelle «greit / ikke greit»-regler for bruk av AI

Greit å bruke AI til:

• Førsteutkast til tekster (epost, notater, presentasjoner, stillingsannonser osv.)
• Forslag til struktur på dokumenter, rapporter og presentasjoner
• Forklaringer på fagbegreper, oversettelser og språkvask
• Idémyldring for kampanjer, kundekonsepter og forbedringsforslag

Ikke greit å bruke AI til (uten særskilt godkjenning):

• Å legge inn personopplysninger om ansatte eller kunder
• Å legge inn forretningshemmeligheter, priser, avtaler, interne strategier
• Å ta endelige juridiske vurderinger eller gi juridisk rådgivning til kunder
• Å lage rapporter eller beslutningsgrunnlag til styret uten menneskelig kvalitetssikring

3.5 Avdelingsvise retningslinjer (eksempler – tilpass selv)

Salg og marked

• Kan bruke AI til idéutvikling, tekstforslag og struktur på kampanjer.
• Kan ikke legge inn kundelister, avtaler eller konkrete kundecaser med identifiserbare opplysninger i åpne AI-verktøy.

HR

• Kan bruke AI til utkast til stillingsannonser, intervjuguider og interne retningslinjer.
• Kan ikke legge inn CV-er, medarbeidersamtaler, lønnsinformasjon eller andre personopplysninger i åpne AI-verktøy.

Økonomi og finans

• Kan bruke AI til forklaringer på begreper, standardtekster og struktur på rapporter.
• Kan ikke legge inn detaljerte regnskapstall, budsjetter eller sensitiv økonomiinformasjon i ikke-godkjente AI-løsninger.

Kunde- og driftsavdelinger

• Kan bruke AI til forslag til svarmaler, FAQ-tekster og servicemanualer.
• Kan ikke dele konkrete kundesaker med navn, kontaktinfo eller andre personopplysninger i åpne AI-verktøy.

[Legg til flere avdelinger/funksjoner ved behov.]

4. Håndtering av data, sikkerhet og personvern

4.1 Klassifisering av data

[NAVN PÅ VIRKSOMHET] deler data inn i tre nivåer:

Rødt: Aldri inn i eksterne AI-verktøy:

• Personopplysninger (ansatte, kunder, kandidater)
• Forretningshemmeligheter, priser, strategier, bud og tilbud
• Informasjon underlagt taushetsplikt

Gult: Kun i godkjente og kontrollerte AI-løsninger:

• Interne dokumenter som ikke er høygradig sensitive, men ikke offentlige
• Interne prosedyrer, rutiner og analyser

Grønt: Kan brukes fritt i AI-verktøy:

• Åpent, publisert innhold
• Generiske fagtekster og ikke-sensitive beskrivelser

[ ] Vi har beskrevet egne eksempler på røde, gule og grønne data for vår virksomhet i vedlegg [X].

4.2 Personvern (GDPR)

Ved bruk av AI som behandler personopplysninger skal:

• Behandlingen være i tråd med vår personvernerklæring og GDPR
• Personvernombud/juridisk involveres før verktøy tas i bruk
• Det gjennomføres nødvendig vurdering (f.eks. DPIA) ved større løsninger

4.3 Tilgangsstyring og sikkerhet

• AI-verktøy skal så langt som mulig integreres i virksomhetens eksisterende påloggingsløsninger
• Deling av brukerkontoer og passord er ikke tillatt
• Brukere skal logge ut ved fravær fra arbeidsstasjon der AI-verktøy står åpne

4.4 Håndtering av feil bruk og deling

Hvis du har delt informasjon i et AI-verktøy som du mistenker ikke burde vært delt, skal du:

• Umiddelbart varsle [IT / AI-ansvarlig / nærmeste leder]
• Beskrive hva som ble delt, når og i hvilket verktøy
• Følge videre instruksjoner for skadebegrensning og eventuelle varslinger

5. Opplæring, støtte og løpende forbedring

5.1 Opplæring av ansatte

[NAVN PÅ VIRKSOMHET] forplikter seg til å gi:

• Grunnleggende opplæring i trygg og effektiv bruk av AI til alle ansatte
• Ekstra opplæring til ledere om hvordan AI påvirker prosesser, risiko og ansvar
• Løpende oppdatering når nye verktøy og retningslinjer tas i bruk

5.2 AI-ambassadører / superbrukere

Vi utpeker [ANTALL] AI-ambassadører / superbrukere som skal:

• Teste og dele gode måter å bruke AI på i sin avdeling
• Være første kontaktpunkt ved spørsmål om praktisk bruk
• Gi tilbakemeldinger til AI-ansvarlig om behov og erfaringer

5.3 Støtte og spørsmål

Ansatte som er usikre på om noe er innenfor denne AI-policyen, kan:

• Kontakte [AI-ansvarlig / IT / leder]
• Bruke [egen Teams/Slack-kanal / intranett-skjema] for spørsmål og forslag

5.4 Løpende forbedring og revisjon

Denne AI-policyen skal:

• Gjennomgås minst én gang per år av ledergruppen og AI-ansvarlig
• Justeres ved vesentlige endringer i teknologi, lovverk eller virksomhetsstrategi
• Oppdateres med versjonsnummer og dato. Kun siste versjon skal være gjeldende

Vi samler inn erfaringer gjennom:

• Rapporterte avvik og nesten-hendelser
• Innmeldte forbedringsforslag fra ansatte
• Faste punkter på ledermøter om status på AI-bruk

---

Signaturer

Daglig leder: ______________________ Dato: _______________

Styreleder: ________________________ Dato: _______________

Hvordan få ansatte til faktisk å bruke AI-policyen i hverdagen

En AI-policy i seg selv får ingen til å kaste seg over nye AI-verktøy. Den gjør én ting: Den gir trygge rammer, slik at du som leder kan si til folk: «Dette har du lov til å teste. Dette skal du styre unna.»

Så må jobben med å få policyen ut i hverdagen skje gjennom ledelse, struktur og små vaner, ikke gjennom flere sider tekst.

Her er en konsis oppskrift du kan bruke.

1. Snakk om AI-policy på vanlig norsk

Hvis du selger inn AI-policyen som «et nytt styringsdokument», har du tapt før du begynner. Ram det heller inn som:

• «Dette er vår felles oppskrift på hvordan vi kan bruke AI trygt og smart.»
• «Denne AI-policyen gjør at du vet hva du har lov til og hva du bør styre unna.»

Hold lanseringen enkel:

• Et kort allmøte eller videohilsen fra daglig leder
• En én-siders «AI-policy på 3 minutter» med de viktigste prinsippene
• Tydelig lenke til fullversjonen for de som trenger detaljene

Dokumentet kan være langt, terskelen må være lav.

2. Ledere må gå foran og vise hvordan

Ansatte gjør som lederne gjør, ikke som de signerer på.

Som leder bør du derfor bruke AI selv og vise det:

• Til møtenotater
• Til struktur på presentasjoner
• Til førsteutkast på e-poster og rapporter

Det er også viktig å være åpen om begrensningene

• «Her fikk jeg et godt utkast, men måtte justere fakta.»
• «Dette så smart ut, men var faktisk feil.»

Koble AI til konkrete mål:

• «Vi bruker AI for å frigjøre tid til mer kundearbeid.»
• «Vi skal teste tre konkrete AI-bruksområder i avdelingen i år.»

Da blir AI-policyen et verktøy i lederhverdagen, ikke bare «noe HR og IT holder på med».

3. Bygg AI-policy inn i rutiner og systemer

Folk følger ikke dokumenter. De følger rutiner og verktøy.

Koble AI-policyen til det dere allerede gjør:

Onboarding

• Kort gjennomgang av AI-policy for alle nyansatte
• To–tre konkrete eksempler: «Dette er greit. Dette er ikke greit.»

Maler og sjekklister

Legg inn en enkel AI-sjekk nederst i viktige maler (tilbud, rapporter, presentasjoner):

• Har vi brukt AI?
• Er innholdet kvalitetssikret av menneske?
• Inneholder dette sensitiv informasjon?

Verktøyene dere bruker fra før

• Korte tips på intranett
• Lenke til AI-policy i Teams/Slack-kanal om digitalisering
• Standardspørsmål i prosjekter: «Kan AI gjøre noe av dette enklere?»

Jo mer AI-policyen sitter i flyten, jo mindre trenger du å minne folk på dokumentet.

4. Gjør det trygt å spørre og lov å feile

Mange lar være å bruke AI fordi de er redde for å trå feil. Det betyr ikke at de er negative til teknologien.

Gi derfor en tydelig beskjed:

• Det er lov å prøve.
• Det er lov å være usikker.
• Det er lov å gjøre feil så lenge vi lærer av dem.

Sett ett tydelig kontaktpunkt:

• Én e-postadresse eller person å spørre
• Gjerne en egen kanal i Teams/Slack for spørsmål og deling av erfaringer

Da blir AI-policyen et hjelpemiddel, ikke en fallgruve.

5. Bruk gode eksempler – ikke bare pek på brudd

Hvis AI-policyen bare dukker opp når noe går galt, skaper du frykt, ikke læring. Bruk den heller aktivt til å løfte fram gode eksempler:

• Team som har brukt AI innenfor policyen og spart tid
• Avdelinger som har laget nye rutiner med AI, men med tydelig menneskelig kontroll

To–tre konkrete historier i året, forankret i AI-policyen, gjør mer for etterlevelse enn tjue paragrafer til.

Poenget er enkelt: Policyen gir rammene. Det er gjennom språk, ledelse og små, praktiske grep at du får en AI-policy som faktisk brukes i praksis.

Les også: Markedsføring med KI: Slik øker du effekten mens kostnadene kuttes

AI-policy som motor i digital transformasjon og innovasjon

La oss løfte blikket litt. En AI-policy handler ikke bare om å unngå trøbbel. Den kan bli en av de viktigste motorene i virksomhetens digitale transformasjon, hvis du bruker den riktig.

Hvordan?

1. Bruk AI-policyen til å prioritere de riktige AI-initiativene

En vanlig felle er at alle små AI-initiativ lever hvert sitt liv:

• Litt i salg
• Litt i HR
• Litt i økonomi
• Litt på IT

Ingen vet helt hva som pågår, og hver enkelt pilot gir litt verdi, men endrer ikke måten dere jobber på.

En AI-policy gir deg mulighet til å:

• Avklare hvilke typer prosesser det er ekstra interessant å bruke AI på
• Prioritere de områdene som har størst effekt på strategi, kunder og kostnader
• Si høflig nei til initiativ som ikke passer med retning og risiko

Plutselig blir ikke AI «noe vi bare tester litt rundt omkring», men en del av en planlagt, styrt transformasjon.

2. Gjør AI-policyen til en del av innovasjonsarbeidet

De fleste virksomheter har allerede:

• Løpende forbedringsarbeid
• Innovasjonsprosjekter
• Eller i det minste en liste over «ting vi burde gjøre noe med».

Koble AI-policyen direkte til dette:

• Be avdelingene identifisere prosesser der AI kan teste forbedring.
• Lag en enkel mal:
  

• Hva er dagens prosess?
• Kan AI ta 20–50 % av jobben?
• Hvilke data berører det (rød/gul/grønn)?
• Hvem har ansvar for å teste og evaluere?

Når AI-policyen gir rammene, blir det enklere å eksperimentere uten å måtte ta hele risikovurderingen og den juridiske diskusjonen på nytt hver gang.

3. Tenk «kompetanseløft» i stedet for «engangskurs»

Digital transformasjon handler ikke først og fremst om systemer. Den handler om mennesker som jobber på nye måter.

En AI-policy som nevner kontinuerlig læring, men ikke støttes av konkrete grep, blir fort tom. Sørg for at dere:

• Regelmessig setter av tid til å øve på bruk av AI
• Blander fagfolk, ledere og «teknologinerder» i felles læringsøkter
• Lar ansatte selv vise fram hvordan de bruker AI i praksis

Da blir AI-policyen et stillas som holder oppe en reell læringskultur heller enn et dokument som samler støv.

4. Bruk AI-policyen i dialogen med styret

Til slutt: Styret trenger også et konkret grep å holde i når dere snakker om kunstig intelligens.

AI-policyen gjør det enklere å:

• Diskutere risiko og muligheter på en strukturert måte
• Vise hvilke prinsipper dere styrer etter
• Dokumentere hvordan dere jobber med kontinuerlig læring og digital transformasjon

For mange styrer er en tydelig AI-policy faktisk et modningssteg i seg selv.

Les også: Styre med AI: fem spørsmål styret må stille i 2026

Slik holder du AI-policyen relevant: revisjon, måling og læring over tid

Kunstig intelligens utvikler seg raskt. Det betyr ikke at du må endre AI-policyen annenhver uke, men det betyr at den ikke kan være statisk. Her er en enkel modell for å holde AI-policyen relevant uten å gjøre det tungvint.

1. Bestem hva dere skal måle

Hvis du vil vite om AI-policyen virker, må du se på mer enn «har vi et dokument». Du kan for eksempel måle:

Bruk

• Hvor mange avdelinger har konkrete AI-bruksområder?
• Hvor mange ansatte har fått opplæring?

Effekt

• Eksempler på tidsbesparelse (timer spart per måned i en prosess).
• Bedre kvalitet (færre feil, raskere svar til kunder).

Risiko

• Antall rapporterte avvik eller nesten-hendelser.
• Har dere hatt faktiske brudd på AI-policyen, og hva lærte dere?

Det viktigste er ikke å ha perfekte tall, men å skape oversikt og dialog.

2. Legg inn fast revisjon – kort og effektiv

En god regel er:

Minst én gang i året:

• Ledergruppe og evt. styre får en kort status på AI-bruk og AI-policy
• De viktigste erfaringene samles
• Det besluttes om noe i AI-policyen må justeres

Ved større endringer:

• Når dere tar i bruk et nytt, omfattende AI-system
• Når lovverket endrer seg vesentlig
• Når dere går inn i nye markeder eller tjenester der AI får større rolle

Revisjon trenger ikke bety en ny, stor prosess hver gang. Ofte holder det å:

• Stramme litt til på datasiden
• Åpne for nye bruksscenarier
• Presisere ansvar og roller etter erfaringer fra året som gikk

3. Samle inn læring systematisk

Hvis læring om AI bare skjer «når vi husker det», vil AI-policyen sakte men sikkert miste kontakt med virkeligheten. Gjør det enkelt og systematisk:

• Kort skjema for å melde inn nye bruksområder, erfaringer og behov
• Fast punkt på et ledermøte i kvartalet: «Hva har vi lært om AI siden sist?»
• Egne møter eller frokoster der ansatte viser fram konkrete eksempler

Når erfaringer samles og brukes til å endre både praksis og AI-policy, får du en lærende organisasjon rundt kunstig intelligens i stedet for enkeltpersoner som tester litt alene.

4. Tydelig versjonering og kommunikasjon

Til slutt: Hver gang AI-policyen oppdateres, bør ansatte få:

• En kort oversikt over hva som er endret
• Et par helt konkrete eksempler på hvordan det påvirker dem
• Mulighet til å stille spørsmål

Unngå at folk sitter med fem ulike versjoner på egen PC. Én masterversjon på et kjent sted (intranett, kvalitetssystem), tydelig merket med dato og versjonsnummer, gjør det enkelt for alle å vite hva som gjelder.

Les også: Forretningsutvikling uten AI er umulig: Utdaterte strategier og nye løsninger

Oppsummert, og hva du kan gjøre allerede denne uka

La oss trekke trådene sammen.

En god AI-policy er ikke et juridisk monster eller en teknisk murstein. Den er:

• En enkel, forståelig beskrivelse av hvordan din virksomhet bruker AI trygt og smart
• Et felles rammeverk for styre, ledelse og ansatte
• En motor for digital transformasjon, kompetanseutvikling og innovasjon

For å få en AI-policy som faktisk brukes av ansatte, trenger du:

1. Klare byggesteiner: formål, verktøy, data, kvalitet, kompetanse, etterlevelse.
2. En praktisk mal som er koblet til strategi, roller, avdelinger og læring.
3. Aktivt lederskap, tydelig kommunikasjon og lav terskel for spørsmål og forbedring.
4. En enkel modell for måling, revisjon og kontinuerlig læring.

Hvis du vil komme i gang nå, kan du denne uka:

• Sette av én time i ledergruppen til å svare på de fem nøkkelspørsmålene om AI-policy
• Bruke malen vi har gått gjennom til å lage første utkast
• Involvere én–to avdelinger i å gjøre AI-policyen konkret for deres hverdag
• Planlegge en enkel lansering for alle ansatte med eksempler

Da har du tatt et viktig steg: Fra magefølelse og tilfeldigheter til en AI-policy som faktisk brukes, og som gir virksomheten din fart, trygghet og læringskraft i møte med kunstig intelligens.

Les mer: AEO vs. GEO vs. SEO: Slik skapes innhold for synlighet på KI-plattformer

FAQ om AI-policy

Trenger SMBer en AI-policy?

Ja. En AI-policy gir små og mellomstore bedrifter klare rammer for bruk av kunstig intelligens, reduserer risiko (særlig rundt data og omdømme) og gjør det tryggere for ansatte å ta i bruk AI i hverdagen.

Hvordan henger AI-policy sammen med GDPR?

AI-policyen oversetter GDPR til praktiske regler for bruk av AI: hvilken type data som kan brukes, hvilke verktøy som er lov, og hvilke vurderinger som må gjøres før personopplysninger behandles med AI.

Hvilke AI-verktøy bør nevnes konkret i AI-policyen?

Ta med de verktøyene dere faktisk bruker eller tillater: for eksempel ChatGPT, Microsoft Copilot, Google Gemini og AI-funksjoner i Office, CRM- og fagsystemer. Tydeliggjør også hvilke som er godkjent til jobbbruk.

Hvordan får vi ansatte til å følge AI-policyen i praksis?

Skriv AI-policyen på klart norsk, bygg den inn i rutiner og verktøy, gi enkel opplæring, og la ledere gå foran som gode eksempler, kombinert med lav terskel for å stille spørsmål.

Hva gjør vi dersom ansatte bryter AI-policyen?

Behandle det som et avvik: begrens eventuell skade, dokumenter hendelsen, bruk den til læring og forbedring av rutiner. Håndter alvorlige eller gjentatte brudd etter virksomhetens vanlige HR- og personalsystem.