Vad är en AI-policy och måste alla företag ha en?

En AI-policy är ett internt dokument som beskriver hur ert företag får använda AI-verktyg, vad som är förbjudet, hur känslig data hanteras och vem som ansvarar. Det finns inget formellt krav i lagen på att ha ett dokument som heter AI-policy. Men EU AI Act kräver från 2 augusti 2026 att alla anställda som jobbar med eller påverkas av AI-system ska få utbildning om hur de får användas. En policy är det enklaste sättet att bevisa att ni gjort jobbet.

Vad händer om vi inte har någon AI-policy när EU AI Act träder in?

Det blir inte direkta böter för att sakna policy. Men om något går snett, en dataläcka, fel beslut, en klagomål till IMY, så är policyn det första de frågar efter. Saknar ni den ligger ni i underläge direkt.

Måste vi följa EU AI Act om vi bara använder ChatGPT och Claude?

Ni räknas som 'användare' av AI, inte 'leverantör'. De flesta krav landar på leverantörerna. Men ni måste säkerställa att personalen har AI-kompetens, att ni inte använder verktygen på förbjudna sätt (t.ex. känsloövervakning av anställda), och att ni har koll på var data hamnar.

Hur rullar man ut en AI-policy i organisationen?

Tre steg: ladda ner mallen och anpassa godkända verktyg, kör en timmes workshop med ledningen för att stämma av att den landar i ert sätt att jobba, och rulla ut med utbildning (inte bara ett mejl). Det är precis det satori-uppstart gör — tre till sex månader där vi inte bara skriver dokument utan ser till att de fastnar i organisationen. Hör av er på connect@satoriml.se.

Är en färdig ai policy mall tillräcklig för EU AI Act?

En ai policy mall är ett bra startläge, men inte en kompletta compliance-lösning. EU AI Act kräver också att personalen får utbildning i AI-kompetens (artikel 4), att ni har en riskbedömning för era användningsfall och att ni dokumenterar hur ni hanterar känslig data. Mallen täcker policy-delen — utbildning och process är ert eget arbete eller något ni gör via satori-uppstart.

Vad ska en AI-policy innehålla? Mall + checklista 2026

Din IT-chef har bestämt sig. Claude rullas ut till hela bolaget i nästa vecka. Allt är på plats: licenser, single sign-on, en intern Slack-kanal med tips. Stämningen är hög.

Och så ringer HR.

"Vänta lite. Vad har vi för policy? Vad får folk faktiskt göra med det här?"

Tystnad i andra änden.

Det här är inte en hypotetisk situation. Det är vardag på svenska företag våren 2026. Och båda har rätt. IT vill röra sig snabbt. HR vill täcka ryggen. En AI-policy är inte byråkrati. Det är broen mellan de två.

Den här guiden ger er en konkret ai policy mall plus åtta sektioner som svenska företag faktiskt behöver. Färdig att kopiera, fri att använda.

Varför just nu?

Två datum spelar roll just nu, och båda landar på den här sidan av sommaren.

2 augusti 2026. Det är när merparten av EU:s AI-förordning, AI Act, börjar tillämpas fullt ut¹. Förordningen trädde i kraft redan 1 augusti 2024, men huvuddelen av kraven har en tvåårig anpassningsperiod. Den löper ut nu i sommar. (Uppdatering maj 2026: efter Omnibus-avtalet 7 maj sköts merparten av högrisk-kraven till 2 december 2027. Vi har skrivit en komplett guide till de nya AI Act-deadlinerna.)

Redan idag, faktiskt. Sedan februari 2025 gäller artikel 4 i AI Act, som säger att alla anställda som jobbar med eller påverkas av AI ska ha tillräcklig AI-kompetens². Det betyder utbildning, inte ett mejl med en länk till ChatGPT.

Och så har vi GDPR, som inte är ny men som blir betydligt synligare när AI är inblandat. Integritetsskyddsmyndigheten, IMY, har sagt rakt ut att det kommer ett stort behov av vägledning om hur AI Act och GDPR samverkar³. De är de som följer upp.

Inget av det här betyder att en policy är en juridisk räddningsväst. Men den är det första du blir tillfrågad om när något går snett.

Vad ska faktiskt stå i en AI-policy?

Här är det som vi sett funkar för svenska företag i 15-50 miljonersklassen. Inte hundra sidor jurisitka. Inte heller en post-it-lapp. Något som folk faktiskt läser.

1. Syfte och omfattning

En kort öppning som säger varför policyn finns och vilka den gäller. Anställda, ja. Konsulter, ja. Praktikanter och styrelsemedlemmar, oftast ja. Externa partners som hanterar er data, kanske.

Ärlighet före byråkrati. Skriv som ni pratar.

2. Definitioner

Vad menar ni med "AI-verktyg"? Vad är "känslig information"? Vad räknas som personuppgift? Det här är inte tråkigt: det är där förvirring stoppas innan den börjar.

3. Grundprinciper

Fem korta meningar duger. Datasskydd. Syfte. Kvalitet (folk ansvarar för det de skickar ut). Ansvar. Etik.

Inte längre än så. En person ska kunna komma ihåg dem.

4. Riskfyllt vs säkert

Konkreta exempel. Inte teori.

Riskfyllt: "Anna Andersson, 19801201-1234, har problem med beställning."

Säkert: "En kund har problem med sin beställning."

När folk ser skillnaden i text, klickar det. När de bara läser principer, gör det inte det.

5. Godkända verktyg

Vilka AI-verktyg får man använda i jobbet? Vilka inte? Och varför.

ChatGPT Enterprise med träning avstängd? Ja. Privata gratiskonton för arbetsdata? Nej. Microsoft Copilot för M365? Ja, om ni har företagslicens. Claude for Work? Ja, hostad i Frankfurt med GDPR-data-processing agreement⁴. Klang? Ja, för transkribering, inom de möten där alla har sagt ok.

Lista dem med status. Folk vill ha en checklista, inte en filosofi.

6. Incidenthantering

Vad gör man om man råkat klistra in en kundlista i ett gratisverktyg?

Stoppa. Dokumentera. Rapportera till dataskyddsansvarig inom två timmar. Lärdom till alla i kvartalsbrevet.

Tre rader räcker. Folk ska veta att det inte är hängbart att rapportera, och att rutinen är enkel.

7. AI-transkribering

Det här är nytt sedan ett år tillbaka. Klang och liknande verktyg har gjort transkribering till en standardgrej. Bra. Men det måste finnas regler.

Bara godkända transkriberare. Alla deltagare informeras innan mötet. Känsliga möten transkriberas inte alls.

Ett stycke. Klart.

8. Efterlevnad och uppföljning

Hur ofta uppdateras policyn? Vad händer om någon bryter mot den? Vem är ägare?

Årlig revision räcker, plus en ad-hoc-uppdatering när lagen ändras (alltså, runt augusti 2026 till exempel). Brott hanteras enligt vanliga arbetsavtal. En person, oftast dataskyddsombudet eller IT-chefen, är ägare.

En färdig ai policy mall ni kan kopiera

Vi har lagt upp en komplett mall på sajten. Den täcker alla åtta sektioner ovan plus några till: licensansökan, snabb-checklista innan man skickar en prompt, godkända verktyg med status. Allt i ett dokument ni kan ta in i ert intranät, byta ut företagsnamnet och vara igång på en eftermiddag.

Hämta mallen här

Ni får använda den hur ni vill. Vi tjänar inget på att ni laddar ner den. Men om ni märker att rutan inte räcker, att ni vill ha hjälp att få den att leva i organisationen, då vet ni var vi finns.

Tre fallgropar att undvika

Fallgrop 1: En policy som ingen läser. Det tråkigaste man kan göra är att skriva tjugo sidor och lägga dem på Sharepoint. Då lever de inte. Bättre med fyra sidor som faktiskt diskuteras på ett team-möte.

Fallgrop 2: Lista verktyg utan status. "Vi tillåter ChatGPT" säger ingenting. Vilken version? Med eller utan träning på er data? På företagskonto eller privat? Specificera, annars tolkar var och en själv.

Fallgrop 3: Glömma utbildningsbiten. AI Act artikel 4 är tydlig. Personalen ska ha kompetens. Det betyder workshop, inte en intern wiki². Och nej, en timmes lunchföredrag räcker inte. Räkna med en halv dag per roll, plus uppföljning.

Och hur kommer ni igång?

Tre steg. Ingen raketteknik.

Ladda ner mallen (här). Byt ut företagsnamn och anpassa godkända verktyg.
Kör en workshop med ledningen för att stämma av att den landar i ert sätt att jobba. En timme räcker.
Rulla ut den med utbildning, inte bara ett mejl. AI-Trappans steg 3 (utbilda med riktiga uppgifter) handlar precis om det här.

Om ni inte har bandwidth eller tid att köra det själva, så är det vad satori-uppstart gör. Tre till sex månader där vi sätter oss bredvid teamet, lyssnar, förstår hur ni jobbar, och bygger in policy och praktik samtidigt. Det blir inte ett dokument på en server. Det blir något som folk använder.

Ni når oss på connect@satoriml.se.

Och om ni redan har börjat: bra. Bättre att ha en halvfärdig policy som lever än en perfekt som ligger död.

Källor

Footnotes

Företagarna (2025). Har mitt företag skyldigheter enligt EU:s AI-förordning?. https://www.foretagarna.se/juridisk-faq/artificiell-intelligens-ai/har-mitt-foretag-skyldigheter-enligt-eus-ai-forordningen/ ↩
Almega (2025). AI-förordningen — vad gäller just nu?. https://www.almega.se/2025/02/ai-forordningen-vad-galler-just-nu/ ↩ ↩²
Integritetsskyddsmyndigheten (2025). Frågor och svar om AI-förordningen. https://www.imy.se/blogg/fragor-och-svar-om-ai-forordningen/ ↩
Anthropic (2026). Claude Enterprise: Data processing and EU hosting. https://www.anthropic.com/enterprise ↩

Vad ska en AI-policy innehålla? Mall + checklista 2026

Varför just nu?

Vad ska faktiskt stå i en AI-policy?

1. Syfte och omfattning

2. Definitioner

3. Grundprinciper

4. Riskfyllt vs säkert

5. Godkända verktyg

6. Incidenthantering

7. AI-transkribering

8. Efterlevnad och uppföljning

En färdig ai policy mall ni kan kopiera

Tre fallgropar att undvika

Och hur kommer ni igång?

Källor

Footnotes

EU AI Act 2026: nya deadlines efter Omnibus-avtalet

GDPR stoppar inte ert AI-projekt — ni gör det

Claude för företag: Så använder svenska team AI 2026

Svensk AI med Data i Sverige: Satoris Vision

AI-Policy (Mall)

satori-uppstart

satori-claude | Claude AI-konsult Sverige