Framtagande av AI-policy
En AI policy är ett viktigt stöd för att säkerställa rättssäker, etisk och effektiv användning av AI. Inom kort kommer den även bli central för att uppfylla kraven i EU:s AI-förordning. Genom att ta fram en AI-policy skapar kommunen tydlighet, minskar risker och stärker tilliten till hur AI används i verksamheten.
Bakgrund
DIGG (Myndigheten för digital förvaltning) rekommenderar att kommuner och andra offentliga aktörer tar fram en AI-policy eller motsvarande styrdokument. En sådan policy bör ingå i verksamhetens ordinarie styr- och ledningssystem och ange hur, när och på vilket sätt AI får användas – samt vilka ansvar och begränsningar som gäller. DIGG lyfter särskilt behovet av transparens, kvalitetssäkring och mänsklig kontroll vid användning av AI-baserat beslutsstöd.
Samtidigt är EU:s AI-förordning (AI Act) på väg att få praktisk betydelse för kommunernas arbete. Förordningen innebär att AI-system framöver måste riskklassas och att organisationer som använder vissa typer av AI kommer att behöva dokumentera, följa upp och kvalitetssäkra användningen. En AI-policy blir därför ett konkret verktyg för att kunna visa att kommunen styr och följer lagkraven.
Därför har Norstedts Juridik tagit fram en checklista som kommuner kan använda för att stegvis och strukturerat arbeta fram en egen AI-policy. Checklistan ger stöd i att identifiera behov, förankra arbetet i organisationen, skapa tydliga principer och rutiner samt säkerställa att användningen av AI sker på ett rättssäkert och ansvarsfullt sätt. Den kan användas både som utgångspunkt för att starta arbetet och som stöd vid uppdatering av befintliga styrdokument.
Materialet är framtaget för att ge allmän vägledning kring hur en kommun kan arbeta med att utveckla en AI-policy. Innehållet är inte att betrakta som juridisk rådgivning och ersätter inte en självständig juridisk bedömning.
Notera att Norstedts Juridiks AI-tjänst, JUNO AI, inte anses som ett s.k. högrisk-system enligt AI Act.
Checklista
Så här tar ni fram en AI-policy för er kommun
1. Skapa mandat och förankring
- Säkerställ att arbetet ägs på ledningsnivå (t.ex. kommunledning, förvaltningschef eller digitaliseringsansvarig).
- Bestäm vilka delar av organisationen som ska omfattas.
- Utse en intern arbetsgrupp med kompetenser inom:
- Verksamhet/ledning
- Juridik/dataskydd (DSO)
- IT/Informationssäkerhet
- Kommunikation/HR (för intern förankring)
Mål
Säkerställa att arbetet är formellt godkänt och förankrat.
2. Kartlägg befintlig användning av AI
- Gör en inventering av:
- Vilka AI-verktyg som redan används (t.ex. textgenereringsverktyg, översättningsverktyg, beslutsstöd).
- Vilka enheter och roller som använder dem.
- Vilken typ av data som matas in och behandlas.
- Identifiera även ”shadow use” dvs verktyg som medarbetare använder utan godkännande.
Mål
Ge kommunen en bild av nuläget och risker.
3. Identifiera mål och syfte med AI-användningen
- Vad vill kommunen uppnå med AI?
- Vilka värden ska tekniken stödja (t.ex. effektivitet, kvalitet, tillgänglighet)?
- Vilka arbetsprocesser eller behov är prioriterade?
Mål
Bidra till att policyn får en tydlig riktning.
4. Definiera centrala begrepp
Det är viktigt att kommunen gemensamt förstår t.ex.:
- Vad avses med AI?
- Vad är generativ AI?
- Vad är automatiserat beslutsfattande?
- Vad är beslutsstöd kontra beslut?
Använd gärna DIGG:s definitioner som stöd.
Mål
Bidrar till att alla talar samma språk.
5. Ta fram principer för ansvarsfull AI-användning
Fastställ grundprinciper, t.ex.:
- Transparens (det ska vara tydligt när AI används)
- Mänsklig kontroll (AI får inte ersätta myndighetsutövning utan granskning)
- Rättssäkerhet (beslut ska vara möjliga att motivera)
- Integritet och dataskydd (GDPR ska följas)
- Informationssäkerhet (ingen känslig info i icke-godkända verktyg)
- Likabehandling och icke-diskriminering
Mål
Säkerställa att policyn vilar på tydliga värderingar.
6. Bestäm vilka typer av AI-verktyg som får användas
- Upprätta lista över godkända verktyg.
- Dokumentera verktyg som kräver prövning innan användning.
- Ange förbjudna användningsområden (t.ex. mata in känsliga personuppgifter i publika tjänster).
Mål
Ge tydliga spelregler för medarbetare.
7. Sätt regler för dataskydd och informationssäkerhet
- Ange om och när personuppgifter får behandlas i AI-verktyg.
- Kräv riskbedömning (och vid behov Data Protection Impact Assessment, DPIA) innan införande.
- Kontrollera datalagring och överföring (tredje land/leverantörsvillkor).
- Dokumentera vem som ansvarar för uppföljning.
Mål
Säkerställa efterlevnad av GDPR och bidra till säker informationshantering.
8. Hantera beslutsfattande och granskning
- Klargör att AI inte får fatta myndighetsbeslut.
- Kräv mänsklig kontroll och kvalitetssäkring vid underlag som rör individer, ekonomi, socialtjänst, utbildning etc.
- Definiera vad som måste dokumenteras när AI används som beslutsstöd.
Mål
Värna rättssäkerhet och klargöra ansvar tydligt.
9. Utbilda organisationen
- Ta fram introduktionsutbildning för alla medarbetare.
- Utbilda chefer om ansvar.
- Ta fram riktlinjer för hur AI ska användas i vardagen (konkreta exempel).
Mål
Bidra till att alla vet hur de ska agera.
10. Inför process för godkännande av nya AI-verktyg
- Skapa en checklista för godkännande (juridik + säkerhet + verksamhetsnytta).
- Utse funktion eller råd som fattar beslut (t.ex. digitaliseringsråd).
Mål
Ger en tydlig väg från idé till godkänd användning.
11. Följ upp, mät och revidera
- Bestäm hur ofta policyn ska ses över (t.ex. årligen).
- Följ upp hur AI används och om risker uppstår.
- Uppdatera efter utveckling i lagstiftning (t.ex. AI-förordningen).
Mål
Säkerställa att policyn hålls levande och relevant.
12. Kommunicera policyn internt och externt
- Gör policyn lätt att hitta för medarbetare.
- Utforma en version eller sammanfattning för medborgare, om AI används i externa tjänster.
Mål
Transparens och förtroende.
Ladda ner mall för AI policy
som kan anpassas till er kommun.