AI-Politik for Virksomheder: Sådan Laver Du Retningslinjer for AI
70 procent af danske virksomheder bruger i dag kunstig intelligens (AI) i en eller anden form. Men ifølge Dansk Erhverv har de færreste formaliseret, hvordan medarbejderne egentlig må bruge det. Resultatet er det, branchen kalder "skygge-AI": medarbejdere der bruger ChatGPT, Copilot og andre AI-værktøjer på egen hånd, med firmadata, kundeoplysninger og fortroligt materiale, uden at virksomheden har taget stilling til om det er i orden.
Siden den 2. februar 2025 har det ikke bare været et praktisk problem, men også et juridisk. AI-forordningens artikel 4 kræver, at alle virksomheder, der anvender AI-systemer, sikrer at deres medarbejdere har tilstrækkelige AI-færdigheder. En intern AI-politik er det mest konkrete skridt, en virksomhed kan tage for at opfylde det krav og samtidig beskytte sig selv mod de risici, der følger med ukontrolleret AI-brug.
Denne artikel guider dig gennem hvad en AI-politik bør indeholde, hvordan du undgår de mest almindelige fejl, og hvad der juridisk set allerede gælder for din virksomhed.
Hvorfor Har Din Virksomhed Brug for en AI-Politik?
Lad os starte med det åbenlyse: dine medarbejdere bruger sandsynligvis allerede AI. Spørgsmålet er, om du ved hvordan. En undersøgelse fra Dansk Erhverv viser, at seks ud af ti virksomheder bruger ChatGPT eller lignende sprogmodeller som deres primære AI-værktøj. Mange medarbejdere eksperimenterer med AI til opgaver som tekstudkast, mailbesvarelser, dataanalyse og oversættelse, ofte uden at ledelsen er involveret.
Det skaber tre konkrete risici. Den første er datasikkerhed. Når en medarbejder kopierer en kundeliste, et kontraktudkast eller interne salgstal ind i et AI-værktøj, forlader den data virksomhedens kontrol. Afhængig af værktøjet og abonnementet kan oplysningerne potentielt bruges til at træne AI-modellen, hvilket reelt betyder, at fortrolige oplysninger deles med tredjeparter. Det kan udgøre et brud på GDPR, især hvis der indgår personoplysninger.
Den anden risiko er kvalitet og ansvar. AI-genereret indhold kan indeholde faktuelle fejl, fabricerede kilder eller juridisk problematisk materiale. Hvis en medarbejder sender et tilbud, en rapport eller en juridisk vurdering baseret på AI-output uden tilstrækkelig kontrol, bærer virksomheden ansvaret for indholdet. En AI-politik definerer, hvornår og hvordan AI-output skal kvalitetssikres, og hvem der har det endelige ansvar.
Den tredje risiko er lovgivningsmæssig. AI-forordningens artikel 4 stiller krav om AI-færdigheder hos alle medarbejdere, der arbejder med AI, uanset om systemet er klassificeret som højrisiko eller ej. Digitaliseringsstyrelsen har præciseret, at kravet handler om tre ting: teknologisk forståelse for hvordan AI-systemer fungerer, praktisk forståelse for korrekt anvendelse, og etisk forståelse for risici og begrænsninger. En AI-politik er det mest naturlige sted at forankre disse krav organisatorisk.
Hvad Skal en AI-Politik Indeholde?
En god AI-politik behøver ikke at være et langt juridisk dokument. Den skal være kort nok til at folk faktisk læser den, og konkret nok til at den kan bruges i hverdagen. Dansk Erhverv og Dansk Industri har begge udgivet skabeloner, som kan give et udgangspunkt, men de er generiske. Din politik bør tilpasses jeres virksomhed, jeres risikoprofil og de AI-værktøjer, I reelt bruger.
Det første element er en oversigt over godkendte værktøjer. Angiv konkret, hvilke AI-værktøjer medarbejderne må bruge til arbejdsopgaver. Er det kun ChatGPT med virksomhedens betalte abonnement? Er Microsoft Copilot godkendt? Hvad med gratis AI-værktøjer i browseren, AI-funktioner i Canva eller oversættelsesværktøjer som DeepL? Skygge-AI opstår typisk, fordi virksomheden aldrig har taget stilling. En eksplicit liste fjerner tvivlen.
Det andet element er regler for hvilke data der må bruges. Det er her de fleste virksomheder fejler. Definer klart, hvilke typer information medarbejderne aldrig må dele med AI-værktøjer: personoplysninger om kunder eller medarbejdere, fortrolige forretningsoplysninger, kontraktmateriale, sundhedsdata, finansielle data der ikke er offentligt tilgængelige. Vær konkret. "Brug ikke følsomme data" er for vagt. "Du må aldrig kopiere kundenavne, CPR-numre, kontrakter eller interne salgstal ind i AI-værktøjer" er brugbart.
Det tredje element er krav til kvalitetskontrol af output. En AI-politik bør slå fast, at AI-genereret indhold altid skal gennemgås af et menneske, før det deles eksternt. Det gælder tilbud, rapporter, juridisk materiale, kundesvar og offentligt indhold. Medarbejderen er ansvarlig for det endelige resultat, ikke AI'en. Det kan virke selvindlysende, men det er overraskende mange virksomheder, der ikke har formuleret det eksplicit.
Det fjerde element er regler for mærkning og gennemsigtighed. Fra august 2026 kræver AI-forordningen, at AI-genereret indhold som billeder, video og lyd mærkes tydeligt over for modtageren. Men allerede nu er det god praksis at tage stilling til, hvornår I internt og eksternt bør oplyse, at indhold er genereret med AI-assistance. Skal kunder informeres, hvis en chatbot besvarer deres henvendelser? Skal det fremgå, hvis et blogindlæg eller et tilbud er udarbejdet med hjælp fra AI? Tag stilling, så medarbejderne ikke selv skal opfinde reglerne.
Det femte element er ansvarsfordeling. Hvem ejer AI-politikken i virksomheden? Hvem opdaterer den, når nye værktøjer eller regler kommer til? Hvem skal medarbejderne kontakte, hvis de er i tvivl om et konkret AI-relateret spørgsmål? I en mindre virksomhed kan det være ejeren eller en specifik leder. I større organisationer kan det være en kombination af IT, HR og ledelse. Det vigtige er, at nogen har ansvaret.
De Mest Almindelige Fejl
Den hyppigste fejl er at lave en politik, der er så restriktiv, at medarbejderne ignorerer den. Hvis din politik i praksis siger "brug ikke AI," vil medarbejderne stadig bruge det, de vil bare holde op med at fortælle dig om det. Det er værre end ingen politik, fordi det skaber en kultur af skjult brug, hvor du mister al indsigt i, hvad der foregår med virksomhedens data.
Den næsthyppigste fejl er at lave en politik og aldrig følge op. En AI-politik er ikke et dokument, du skriver én gang og arkiverer. AI-landskabet ændrer sig hurtigt, nye værktøjer dukker op konstant, og lovgivningen strammes. En politik, der blev skrevet i 2024 og nævner specifikke versioner af ChatGPT, er allerede forældet. Planlæg en halvårlig revision som minimum, og sæt det i kalenderen.
Den tredje fejl er at glemme træningsdelen. En AI-politik uden oplæring er bare et stykke papir. AI-forordningens krav om AI-færdigheder handler netop om, at medarbejderne skal forstå teknologien, ikke bare have modtaget et dokument. Det behøver ikke være en dyr uddannelse. En intern workshop på en time, hvor I gennemgår politikken, viser eksempler på god og dårlig AI-brug, og besvarer spørgsmål, er ofte tilstrækkeligt som udgangspunkt. Dokumenter hvem der har deltaget og hvornår. Det er jeres compliance-dokumentation.
Hvad Siger Lovgivningen Konkret?
AI-forordningens krav til AI-færdigheder (artikel 4) har været gældende siden den 2. februar 2025. Det er ikke et krav der kommer, det gælder allerede nu. Kravet er formuleret bredt: virksomheder skal sikre et "tilstrækkeligt niveau" af AI-færdigheder hos alle medarbejdere, der er involveret i drift eller anvendelse af AI-systemer. Hvad der er tilstrækkeligt afhænger af konteksten. En sælger der bruger ChatGPT til at formulere tilbudstekster har brug for anden forståelse end en HR-medarbejder der bruger AI til CV-screening.
Dansk Standard har i samarbejde med TDC Net, IDA og flere andre lanceret en gratis guide, DS/PAS 2500-4:2025, der hjælper virksomheder med at leve op til kravene. Digitaliseringsstyrelsen, som er national koordinerende tilsynsmyndighed for AI-forordningen, har også udgivet vejledning om AI-færdigheder. Begge ressourcer er frit tilgængelige og giver en god ramme for, hvad jeres interne politik bør dække.
Fra august 2026 kommer de næste lag: gennemsigtighedskrav for AI-genereret indhold, krav til højrisiko-AI-systemer og regler om mærkning af deepfakes. Hvis din virksomhed bruger AI til rekruttering, kreditvurdering, eller andre beslutninger der væsentligt påvirker mennesker, stiger kravene markant. En AI-politik, der er skrevet med disse fremtidige krav in mente, sparer dig for at skulle lave grundlæggende ændringer om få måneder. Elevais guide til AI Actdækker de juridiske krav i detaljer, hvis du vil gå dybere.
Hvad Bør Du Gøre Nu?
Start med at kortlægge den faktiske AI-brug i jeres virksomhed. Spørg medarbejderne direkte: hvilke AI-værktøjer bruger I, til hvad, og med hvilke data? De fleste ledere bliver overraskede over omfanget. Denne kortlægning er i sig selv et krav i forberedelsen til AI-forordningen, og den giver jer det fundament, jeres politik skal bygges på.
Udpeg derefter en ansvarlig person. Det behøver ikke være en ny stilling. Det skal bare være klart, hvem der ejer politikken, hvem der opdaterer den, og hvem medarbejdere kan henvende sig til. I en virksomhed med 10-50 ansatte er det typisk ejeren, en driftsleder eller en HR-ansvarlig.
Skriv derefter selve politikken. Hold den kort, gerne under to sider, og brug et sprog, som alle medarbejdere forstår. Fokuser på de fem elementer: godkendte værktøjer, dataregler, kvalitetskontrol, mærkning og ansvarsfordeling. Distribuer den, gennemgå den med medarbejderne, og dokumenter at det er sket.
Planlæg endelig en halvårlig revision. AI-landskabet ændrer sig for hurtigt til, at en årlig gennemgang er tilstrækkelig. Nye værktøjer, nye lovkrav og nye risici dukker op løbende. En kort kvartalsvis check af, om nye AI-værktøjer er taget i brug i virksomheden, tager en halv time og kan spare store problemer.
Konklusion
En AI-politik er ikke et bureaukratisk dokument, du laver for at tilfredsstille en EU-forordning. Det er et praktisk værktøj, der beskytter din virksomhed mod reelle risici og samtidig giver medarbejderne frihed til at bruge AI produktivt og ansvarligt. De fleste danske virksomheder befinder sig i en situation, hvor medarbejderne allerede bruger AI dagligt, men hvor der mangler klare rammer. Det er en risiko, og den vokser for hver dag uden retningslinjer.
Den gode nyhed er, at det for de fleste danske SMV'er hverken behøver at være dyrt eller tidskrævende. En gennemtænkt AI-politik kan udarbejdes på to til fire uger med intern indsats, uden behov for ekstern rådgivning. Det kræver ikke teknisk ekspertise. Det kræver, at nogen tager ansvar og sætter rammerne. Den vigtigste ting er at komme i gang.
Hos Elevai hjælper vi danske virksomheder med at omsætte AI-strategi til praksis, fra retningslinjer og kortlægning til konkret implementering. Hvis du har brug for sparring om jeres AI-politik eller vil have hjælp til at vurdere, hvordan jeres virksomhed bedst bruger AI inden for rammerne af den nye lovgivning, er du velkommen til at kontakte os. Vi udvikler skræddersyede AI-løsninger med fokus på både effektivitet og compliance.
