Skriv jeres AI-politik på én side

En AI-politik behøver kun fem punkter. Få færdige eksempel-formuleringer til alle fem, begrundelsen bag hvert punkt, og se hvad du roligt kan lade ude.

Skriv jeres AI-politik på én side

En AI-politik skal kunne tre ting: fortælle en ny medarbejder præcis hvad der er tilladt, beskytte jeres data mod at havne de forkerte steder, og fungere som dokumentation den dag nogen spørger hvordan I har styr på AI. Alt det kan stå på én side. Erhvervsorganisationerne har skabeloner, men DI's ligger i DI Docs bag medlemsadgang, og Dansk Erhvervs er målrettet deres medlemmer. Her er i stedet hele politikken som færdige formuleringer du kan skrive af efter og tilpasse på en time.

Politikken løser samtidig en opgave mange ikke har opdaget de har: AI-forordningens krav om AI-kompetencer hos medarbejderne har været gældende siden februar 2025, og en politik plus en dokumenteret gennemgang af den er den simpleste måde at opfylde og bevise det på.

Punkt 1: Godkendte værktøjer

Skriv hvilke AI-værktøjer der må bruges til arbejdsopgaver, og hvem der godkender nye. Eksempel-formulering:

"Til arbejdsopgaver bruger vi kun AI-værktøjer fra listen over godkendte værktøjer (se bilag). Ønsker du et nyt værktøj godkendt, spørger du [navn/rolle], som vurderer det inden brug. Private AI-konti må ikke bruges til arbejdsdata."

Begrundelsen er ikke kontrol for kontrollens skyld. Forskellen på et godkendt og et tilfældigt værktøj er typisk databehandleraftalen og trænings-vilkårene: om jeres data bliver brugt til at træne udbyderens modeller. Den vurdering skal ligge ét sted, ikke hos hver enkelt medarbejder i en travl situation.

Punkt 2: Data der aldrig må indtastes

Det vigtigste punkt i hele politikken, for det er her skaden sker først. Eksempel-formulering:

"Følgende må aldrig indtastes i AI-værktøjer, medmindre værktøjet udtrykkeligt er godkendt til det: personoplysninger om kunder og kolleger (navne, CPR, helbred, sager), fortrolige forretningsoplysninger (priser, kontrakter, strategi) og alt materiale vi har fået i fortrolighed af andre."

Reglen bag er GDPR: behandler et eksternt værktøj persondata for jer, kræver det behandlingsgrundlag og en databehandleraftale. En medarbejder der indsætter en kundemail med navne i en gratis chatapp, har reelt overført persondata til en leverandør I ingen aftale har med. Politikken gør den fejl til noget man kan undgå i stedet for noget man opdager bagefter.

Punkt 3: Menneskelig kontrol af output

Fastlæg hvornår AI-output SKAL efterses før det bruges. Eksempel-formulering:

"AI-genereret indhold er altid et udkast. Alt der sendes til kunder, offentliggøres eller har juridisk eller økonomisk betydning, skal læses og godkendes af et menneske før brug. Den der sender, har ansvaret for indholdet, uanset om AI har skrevet det."

Den sidste sætning er punktets kerne. AI-værktøjer laver fejl med stor selvsikkerhed, og ansvaret må aldrig kunne parkeres hos "det var AI'en". Når ansvaret følger afsenderen, opstår kontrollen af sig selv.

Punkt 4: Mærkning og åbenhed

Fra 2. august 2026 kræver AI-forordningens artikel 50 at chatbots oplyser at de er AI, og at AI-genereret indhold kan identificeres; hele forordningens betydning for jer har vi gennemgået i guiden om AI Act for danske virksomheder. Eksempel-formulering:

"Vores chatbots og automatiske svar præsenterer sig altid som AI. AI-genereret materiale der offentliggøres i stort set uredigeret form, mærkes i overensstemmelse med gældende regler. Vi udgiver aldrig AI-indhold som en navngiven persons arbejde uden at personen har gennemgået og står inde for det."

Punkt 5: Ansvar, træning og opdatering

Politikken skal have en ejer og en rytme, ellers dør den. Eksempel-formulering:

"[Navn/rolle] ejer denne politik og reviderer den hvert halve år samt ved nye værktøjer. Alle medarbejdere gennemgår politikken ved ansættelse og ved væsentlige ændringer; gennemgangen registreres med navn og dato. Spørgsmål og usikkerhed rettes til [navn/rolle], hellere én gang for meget."

Registreringen med navn og dato er ikke bureaukrati. Det er præcis den dokumentation for AI-kompetencer som artikel 4 lægger op til, og den koster jer to minutter per medarbejder.

Det du roligt kan lade ude

De fleste AI-politikker der fejler, fejler ved at ville for meget. Lad definitionsafsnit om hvad kunstig intelligens er, blive i skuffen, det hører til i træningen, ikke i reglerne. Drop paragraf-gengivelser af GDPR og AI-forordningen, politikken skal oversætte reglerne til adfærd, ikke citere dem. Og undgå forbud I ikke mener: en politik der forbyder al AI-brug, mens hele afdelingen dagligt bruger det, lærer bare medarbejderne at reglerne ikke gælder. Skriv de fem punkter, sæt navne på, og lad den fylde én side. En læst side beskytter mere end ti ulæste.

Ofte stillede spørgsmål

En AI-politik er virksomhedens skrevne regler for brug af AI-værktøjer: hvilke værktøjer der er godkendt, hvilke data der aldrig må indtastes, hvornår AI-output skal kontrolleres af et menneske, hvordan AI-genereret indhold mærkes, og hvem der har ansvaret for reglerne.

Ikke direkte, men den er den letteste vej til at opfylde to krav der ER lov: AI-forordningens artikel 4 om medarbejdernes AI-færdigheder (gældende siden februar 2025) og artikel 50 om mærkning af AI-interaktion (fra 2. august 2026). Politikken plus en dokumenteret gennemgang med medarbejderne dækker det meste.

Én side. En politik på ti sider bliver ikke læst, og en politik der ikke bliver læst, beskytter ingen. Fem konkrete punkter med klare regler slår lange juridiske afsnit hver gang.

Sæt en fast kadence, fx hvert halve år, plus når I tager nye AI-værktøjer i brug. AI-udviklingen går for hurtigt til en politik der skrives én gang og glemmes.

Michael Nielsen

Michael Nielsen

Michael Nielsen er AI-konsulent hos Nordium ApS og skriver om AI fra et praktisk standpunkt - hvad virker, hvad er hype, og hvordan danske virksomheder kan bruge teknologien til at skabe reel værdi. Han følger udviklingen tæt og dækker alt fra konkrete værktøjer og automatisering til de større tendenser, der former fremtidens arbejdsmarked.