No products added!
Mange organisationer har allerede AI i hænderne på medarbejderne, længe før ledelsen har et fælles sprog for, hvad der er okay, hvad der kræver godkendelse, og hvad der aldrig må ske. En AI-politik er derfor ikke primært et dokument til skuffen, men en praktisk aftale om adfærd, ansvar og risikostyring, der kan følge med teknologiens tempo.
Samtidig skal en AI-politik give plads til læring og afprøvning. Den skal være tydelig nok til at beskytte data, kunder og medarbejdere, og fleksibel nok til ikke at lamme innovation.
Hvad en AI-politik skal kunne i praksis
Det mest effektive er at betragte AI-politikken som en styringsramme, der binder strategi, compliance, sikkerhed og kompetencer sammen. Den skal kunne bruges af både jurister, IT, ledere og fagteams uden at blive til en roman.
Når politikken fungerer, skaber den ro: Medarbejdere tør bruge AI, fordi de ved, hvor grænserne går, og hvem de kan spørge.
En god politik gør typisk tre ting samtidig: den sætter retning, den reducerer risiko, og den standardiserer beslutninger, så man undgår tilfældige “ja/nej” fra gang til gang.
Efter at have set mange organisationer lykkes med implementeringen, går nogle gevinster igen:
- Hurtigere ibrugtagning
- Færre datalæk
- Mere ensartet kvalitet i leverancer
- Tydeligere ansvar ved fejl
Principper først, regler bagefter
AI ændrer sig hurtigt, og det gør brugsmønstrene også. Derfor bør politikken starte med principper, som kan holde til nye værktøjer og nye use cases.
Efter en kort værdidel kan I skrive konkrete regler. Principperne hjælper jer med at træffe valg, når ingen har set situationen før. Reglerne hjælper jer i hverdagen.
En enkel, men stærk principdel kan typisk rumme retfærdighed, gennemsigtighed, ansvarlighed, sikkerhed, privatlivsbeskyttelse og menneskelig kontrol. Skriv dem i jeres egne ord, og knyt dem til jeres kerneopgave.
Skabelon: En AI-politik, der kan kopieres og tilpasses
Nedenfor er en skabelon, der kan indsættes i jeres interne dokumenter. Den er bygget, så den kan udvides, men stadig fungere i en mellemstor organisation uden tungt bureaukrati.
AI-POLITIK (version X.Y) – [Organisationens navn]
Gyldig fra: [dato] | Næste revision: [dato] | Ejer: [funktion]
1. Formål
- Hvorfor har vi politikken?
- Hvilke mål skal den støtte? (kvalitet, sikkerhed, effektivitet, innovation)
2. Omfang
- Hvem er omfattet? (ansatte, konsulenter, leverandører)
- Hvilke systemer? (generativ AI, ML-modeller, automatisering, beslutningsstøtte)
- Hvilke lande/enheder?
3. Definitioner
- “AI-værktøj”, “følsomme data”, “persondata”, “høj risiko”, “model”, “prompt”, “output”
4. Grundprincipper
- [princip 1-6] med 1-2 linjer om hvad det betyder hos os
5. Tilladt brug og forbudt brug
- Tilladte anvendelser: [eksempler]
- Forbudte anvendelser: [eksempler]
- Krav om godkendelse: [eksempler]
6. Data og informationssikkerhed
- Klassifikation af data (offentlig, intern, fortrolig, strengt fortrolig)
- Hvad må aldrig deles med eksterne AI-tjenester?
- Logning, adgangsstyring, sletning og opbevaring
7. Kvalitet, bias og faglig kontrol
- Krav til validering af output
- Bias-test og faglig review
- “Human-in-the-loop” hvornår og hvordan
8. Transparens og dokumentation
- Hvordan dokumenteres brug af AI i leverancer?
- Hvornår skal kunder/brugere oplyses?
- Krav til sporbarhed (data, model, versioner)
9. Risikovurdering og godkendelsesproces
- Kriterier for risikoniveau
- Hvem godkender hvad?
- Kontrolpunkter før udrulning og ved ændringer
10. Leverandører og tredjepart
- Krav til databehandleraftaler, sikkerhed, underleverandører
- Vurdering af modeltræning på vores data
- Exit-plan og portabilitet
11. Hændelser og afvigelser
- Hvad er en AI-hændelse? (datadeling, fejloutput, diskrimination, sikkerhedsbrud)
- Rapportering: kanal, responstid, ansvar
- Læring og korrigerende handlinger
12. Kompetencer og træning
- Minimumskrav til træning pr. rolle
- Onboarding og årlig genopfriskning
- Test af kendskab til politikken
13. Revision og vedligehold
- Revision mindst årligt eller ved større ændringer i lovgivning/teknologi
- Målepunkter (KPI’er) og intern audit
Roller og governance, uden at gøre det tungt
Governance behøver ikke være en stor komité med lange møder. Det afgørende er, at det er tydeligt, hvem der bestemmer hvad, og hvem der hjælper medarbejderne hurtigt videre.
En pragmatisk model er at udpege en politikkejer, en tværfaglig godkendelsesgruppe til højrisiko-cases, og lokale kontaktpersoner i afdelingerne.
Her er et eksempel på en enkel ansvarsfordeling, som mange kan genkende:
- AI-politikkejer: opdaterer politikken, koordinerer revision, følger op på målepunkter
- Jura/Compliance: vurderer lovkrav, kontrakter, dokumentationskrav, kundekommunikation
- IT/Sikkerhed: godkender værktøjer, styrer adgang, vurderer datarisici, fastlægger tekniske kontroller
- Forretning/Fagteams: beskriver use cases, udfører faglig validering, ejer kvaliteten af output
- HR/Læring: planlægger træning, onboarding, lederstøtte og intern kommunikation
En risikobaseret tilgang, der matcher virkeligheden
AI-politikker fejler ofte på to måder: enten bliver de for vage, eller også bliver de så restriktive, at folk omgår dem. En risikomodel midt imellem gør det lettere at træffe beslutninger hurtigt.
Det kan gøres med simple niveauer, hvor kontrollerne følger risikoen.
| Risikoniveau | Typiske AI-use cases | Krav før brug | Drift og opfølgning |
|---|---|---|---|
| Lav | Sprogforbedring, idéudkast, opsummering af egne noter uden følsomme data | Ingen særskilt godkendelse, men medarbejderen følger dataregler | Stikprøvekontrol ved behov |
| Mellem | Kundevendt tekst, interne beslutningsoplæg, analyse baseret på interne data | Godkendt værktøj, faglig review, dokumentation af prompt og kilder | Månedlig kvalitetsmåling, feedback-loop |
| Høj | HR-screening, kredit/risikovurdering, sundheds- eller sikkerhedskritiske vurderinger | Formel risikovurdering, jura- og sikkerhedsgodkendelse, test for bias, plan for menneskelig kontrol | Løbende monitorering, auditspor, hændelsesberedskab |
Det er også her, internationale rammer kan hjælpe jer med at være systematiske. EU’s etikretningslinjer for troværdig AI, OECD-principper, NIST AI Risk Management Framework og ISO/IEC 42001 giver sprog og struktur, som kan oversættes til jeres interne praksis.
Regler for generativ AI, som medarbejdere faktisk kan følge
Generativ AI kræver ofte de mest jordnære regler, fordi grænsefladen er en chat, og friktionen er lav. Medarbejdere kan komme til at dele mere, end de tror, og output kan lyde korrekt uden at være det.
Efter en kort forklaring i politikken kan I indsætte et “husk”-afsnit, der står tydeligt i intranet og onboarding.
Det virker bedst, når det er konkret og handlingsorienteret:
- Del aldrig strengt fortrolige oplysninger i eksterne AI-tjenester
- Tjek altid kilder, tal og citater før publicering
- Angiv når AI har bidraget væsentligt til en leverance, hvis det har betydning for modtagerens tillid eller beslutning
Dokumentation: Lidt, men rigtigt
Dokumentation bliver let et irritationsmoment, hvis den er for tung. Omvendt er den jeres sikkerhedsnet, når nogen spørger: “Hvordan kom I frem til det her?”
Et lavpraktisk kompromis er at kræve et minimum af dokumentation ved mellem og høj risiko:
- Formål og kontekst: hvad skulle AI hjælpe med, og hvad må den ikke afgøre?
- Data og værktøj: hvilke datatyper blev brugt, og hvilket værktøj eller hvilken modelversion?
- Kontrol og resultat: hvem validerede output, og hvad blev ændret før anvendelse?
Det kan bo i jeres sagsstyring, et simpelt skema eller en side i jeres projektmodel.
Træning som en del af politikken, ikke en kampagne
Politikken bliver først levende, når medarbejdere kan omsætte den til valg i deres daglige arbejde. Derfor bør træning være et krav i selve politikken, med niveauer der passer til roller.
Et godt greb er at koble læring direkte til konkrete situationer: “Hvad gør du, når du skal indsætte et kundedokument i et AI-værktøj?” eller “Hvordan håndterer du et output, der lyder overbevisende, men mangler belæg?”
I Danmark peger både praksiserfaringer og nye standardinitiativer på, at AI-færdigheder og ansvarlig brug bliver et ledelsesansvar. Det giver mening at tænke træning ind som en kontinuerlig rytme med onboarding, opdateringer og korte refreshers, ikke et enkelt kursus.
Implementering, der føles let, men er robust
Når I ruller politikken ud, så begynd med de situationer, der giver flest fejl eller mest usikkerhed. Det er ofte datahåndtering, brug af offentlige AI-tjenester og kundevendt kommunikation.
En trinvis udrulning med pilotafdeling og justeringer giver typisk højere accept. Samtidig kan I sætte en klar godkendelsesvej, så medarbejdere ikke går i stå.
Det hjælper at formulere et par interne serviceprincipper for governance-teamet, så politikken ikke opleves som en stopklods:
- Svarfrist på godkendelser ved mellem risiko: fx få arbejdsdage
- Fast kanal til spørgsmål og hurtige afklaringer
- Synlig liste over godkendte værktøjer og tilladte data-typer
Politikken som et levende arbejdsredskab
En AI-politik skal kunne tåle, at værktøjer skifter, og at lovgivningen strammes. Planlæg derfor revision som en normal del af driften, og bind den til konkrete signaler: nye AI-funktioner, nye leverandører, nye risici, nye krav fra EU og branchemyndigheder.
Det er en styrke at måle få, men meningsfulde ting: gennemført træning pr. rolle, antal registrerede AI-hændelser, resultater af stikprøver på kvalitet og dokumentation, samt tid fra idé til godkendt pilot.
Når rytmen er på plads, bliver politikken ikke en bremse, men en motor for sikker, professionel og ambitiøs brug af AI i hele organisationen.
