De beste AI-retningslinjene er de alle forstår
Du trenger ikke en ferdig policy for å komme i gang. Enkle retningslinjer holder lenge. Resten tar du etter hvert som bruken vokser. Noen ting bør du likevel ha på plass fra dag én.
Ansatte i de fleste organisasjoner bruker AI allerede. For mange er det uklart hva som er greit, hva som er risikabelt, og hvem de skal spørre. Da blir det opp til hver enkelt å vurdere hva som er greit. Det er der risikoen oppstår.
Problemet er ikke at ingen bryr seg. Det er at retningslinjene enten er for kompliserte til å nå frem, eller for tynne til å beskytte noe som helst.
Dette er ikke et IT-spørsmål
En vanlig feil er å delegere AI-styring til IT eller sikkerhet. De skal absolutt involveres. Men de viktigste spørsmålene er ikke tekniske.
Hva er risikoappetitten vår? Hva er vi komfortable med at ansatte gjør med AI? Hvem eier bruken? Hvem svarer når en kunde spør om vi har brukt AI i leveransen?
Det er forretningsspørsmål. IT kan ikke svare på dem alene. De trenger retning fra ledelsen.
Du trenger ikke forstå hvordan språkmodeller fungerer. Du trenger å ta noen grunnleggende valg om rammer, risiko og ansvar.
"Bruk sunn fornuft" feiler i praksis
Mange organisasjoner styrer AI-bruk med en uformell forventning. Bruk sunn fornuft. Ikke gjør noe dumt. Det høres rimelig ut. I praksis holder det ikke.
Sunn fornuft ser ulik ut fra person til person. Utvikleren tenker at det er greit å lime kildekode inn i et chatverktøy. Rådgiveren tenker at et møtereferat med kundenavn er uskyldig. Markedsføreren ser ingen grunn til å opplyse om at en tekst er AI-generert.
Ingen av dem handler i vond tro. Det er der risikoen oppstår.
Konsekvensene er reelle, ikke hypotetiske
AI-bruk uten rammer er ikke bare ukomfortabelt. Det koster penger og tillit.
Bruker du AI på data om kunder eller ansatte, gjelder GDPR. Du må vite hvilken leverandør du bruker, om de lagrer dataene, og om bruken er avklart. Har du ikke den oversikten, beveger du deg raskt inn i en gråsone.
EU AI Act skiller mellom lav og høy risiko. Mye intern bruk er lavrisiko og krever lite. Men brukes AI i beslutninger om ansettelse, kreditt, helse eller juridiske rettigheter, gjelder strengere krav til dokumentasjon, testing og menneskelig kontroll. Dette er ikke bare noe som kommer. Regelverket er allerede under innføring, og flere krav gjelder allerede.
Kompliserte retningslinjer gir samme resultat som ingen
Løsningen er ikke en 40-siders policy. Organisasjoner som lager den ser det samme som de som ikke lager noe: folk finner egne veier.

Det som faktisk skaper trygg AI-bruk er tre ting i kombinasjon.

Start der risikoen er lav
Den største feilen er å gjøre AI-styringen for stor fra dag én. Det tar måneder. I mellomtiden bruker folk AI uansett, bare uten rammer.
Start der risikoen er lav og læringen er høy. Intern tekstproduksjon, idéarbeid, oppsummering av åpne kilder, kodehjelp i kontrollerte miljøer. Oppgaver der konsekvensen av at AI bommer er begrenset.

Noen regler er ikke valgfrie
Dersom bruken innebærer behandling av personopplysninger, gjelder GDPR uavhengig av hvilket verktøy du bruker. Personopplysninger er alt som kan knyttes til en enkeltperson, som navn, e-postadresser, ansattnummer og kundehistorikk. Bruker dere et eksternt AI-verktøy til å behandle slike opplysninger på vegne av virksomheten, må behandlingen skje i tråd med GDPR. Det innebærer ofte blant annet en databehandleravtale og en vurdering av hvordan dataene behandles. Sjekk at den finnes før du setter i gang.
EU AI Act gjelder i EØS fra 2025 og 2026. Loven deler AI-systemer i risikoklasser. Systemer som tar beslutninger om ansettelse, kredittvurdering eller medisinsk diagnostikk er høyrisiko. De krever dokumentasjon, menneskelig kontroll og risikovurdering. Interne produktivitetsverktøy er som regel lavrisiko og krever lite utover vanlig sikkerhetspraksis.
Fem ting som alltid må være tydelige
Du trenger ikke en perfekt løsning fra dag én. Men noen ting kan være lurt å ha på plass.
Oversikt over godkjente verktøy. Hvilke AI-verktøy kan ansatte bruke, til hva, med hvilke data? Uten denne oversikten oppstår skygge-AI.
Klare regler om data. Kundedata, personopplysninger, kildekode og forretningshemmeligheter skal aldri deles uten avklaring. Tommelfingerregelen er enkel. Ville du sendt dette til en ekstern leverandør på e-post uten å tenke deg om? Hvis ikke, avklar før du limer det inn i et AI-verktøy.
En enkel risikovurdering. Ikke et skjema med 40 felter. Åtte spørsmål holder.
- Hva er formålet?
- Hvilke data brukes, og er det avklart?
- Hvilket verktøy, og er det godkjent?
- Hvem internt eier og er ansvarlig for løsningen?
- Hvordan kvalitetssikres resultatet?
- Skal kunden informeres?
- Hva gjør vi hvis noe går galt?
- Når evaluerer vi på nytt?
Tydelig ansvar. Hvem eier AI-styringen? Hvem skal ansatte spørre når de er usikre? Uten et tydelig svar havner spørsmålene ingen steder.
Åpenhet om AI-bruk. Når skal dere fortelle at AI er brukt? Kunder reagerer sjelden på selve AI-bruken. De reagerer på å oppdage den selv. Avklar når dere informerer, før kunden spør.
Like viktig: Dette skal du ikke gjøre
Det du forbyr er like viktig som det du tillater. Det er særlig to ting du ikke skal gjøre:
X Ikke del personopplysninger uten klarhet
Mange AI-verktøy kan bruke innholdet du legger inn til videre modellutvikling dersom dette ikke er slått av eller regulert gjennom avtale. Derfor bør virksomheten vite hvilke innstillinger og avtaler som gjelder for verktøyene som brukes.
X Ikke anta at output er korrekt
Språkmodeller er overbevisende også når de tar feil. Kvalitetssikring er ikke valgfritt.
Slik kommer du i gang
Fem steg holder.

Enkelt er ikke en snarvei
Enkelt betyr ikke overfladisk. Det betyr at folk faktisk bruker det. Retningslinjer som ingen leser er ikke retningslinjer.
Spørsmålet er ikke om du har tid til å lage noe perfekt. Spørsmålet er om det du har i dag er enkelt nok til å brukes, og grundig nok til å beskytte.
Hvis du ikke vet svaret, vet de ansatte det heller ikke.
