AI Governance – Varför styrning behöver komma före skala

Enkla AI-verktyg och agenter sprider sig snabbt i svenska företag. Transkribering av möten, automatiserade sammanfattningar, chattbotar i kundtjänst, AI-stöd för rekrytering. Verktygen är tillgängliga, ofta billiga och lätta att komma igång med. Just den enkelheten gör det lätt att missa vad som faktiskt händer under ytan.

Varje AI-verktyg som hanterar text, röst eller bild i er verksamhet hanterar med stor sannolikhet också personuppgifter. Och i samma ögonblick som det sker gäller regler. Regler som ingen i säljledet brukar nämna.

Säljarna som glömmer GDPR

Ett konkret exempel som just nu dyker upp i många svenska företag: AI-driven transkribering av telefonsamtal. Leverantören ringer, gör en demo och visar hur enkelt det är att få alla samtal dokumenterade automatiskt. ”Det räcker att en person i samtalet vet att det spelas in”, säger säljaren.

Men det stämmer inte.

Enligt GDPR har den som spelar in och transkriberar ett samtal ett ansvar att informera alla parter om att deras data behandlas, och att förklara varför, hur länge och på vilken rättslig grund. Samtycke är en möjlig grund, men inte den enda. I vissa fall kan berättigat intresse räcka, till exempel vid kvalitetssäkring. Oavsett vilken grund som används gäller informationsplikten fullt ut: den som spelas in ska veta att inspelning sker, varför och hur datan hanteras. Tyst samtycke eller att ”en person vet” räcker inte för att uppfylla dessa krav [1][2].

Konsekvensen är att företaget plötsligt blir personuppgiftsansvarigt för data det aldrig planerat att samla in. Namn, familjeförhållanden, hälsoinformation och annat känsligt som nämns i ett vanligt telefonsamtal hamnar i en databas. Utan att informationsplikten uppfyllts och utan att personuppgiftspolicyn uppdaterats.

Leverantören har gått vidare till nästa kund. Ansvaret ligger kvar hos er.

Detta är ett exempel på vad som händer när AI-verktyg köps in som produktivitetslösningar utan att någon har ställt frågan: vilka skyldigheter följer med?

Varifrån kommer missförståndet?

Påståendet att ”det räcker att en person vet att samtalet spelas in” har en kärna av sanning, men den gäller fel lag. Enligt Brottsbalken (4 kap. 9a §) [3] är det fullt lagligt att spela in ett samtal man själv deltar i, utan att informera den andra parten. Det är alltså inte ett brott i straffrättslig mening.

Men för ett företag som spelar in samtal i sin verksamhet slutar det inte där. GDPR gäller parallellt, och en samtalsinspelning där personuppgifter nämns räknas som personuppgiftsbehandling. Då krävs en rättslig grund, tydlig information till den som spelas in och en plan för hur datan hanteras och raderas. Lägger man dessutom till AI-driven transkribering skapas ytterligare personuppgifter i textform, med samma krav.

Att det inte är brottsligt att spela in betyder alltså inte att det är fritt fram att behandla datan som uppstår. Det är precis den typen av glidning som uppstår när verktyg införs utan att någon har ställt frågan: vilka skyldigheter följer med?

Vad AI Governance innebär

AI Governance är det ramverk av policyer, processer och roller som styr hur en organisation använder AI. Det handlar om att skapa tydlighet kring tre frågor:

Vad får vi göra? Vilka typer av AI-användning är tillåtna inom vår verksamhet, och under vilka förutsättningar?

Vem ansvarar? Vem äger beslutet att införa ett AI-verktyg, vem säkerställer att det följer regelverken, och vem följer upp?

Hur kontrollerar vi? Vilka processer finns för att utvärdera risker, spåra data och säkerställa att användningen förblir ansvarsfull över tid?

För de flesta små och medelstora företag behöver det inte vara komplicerat. Men det behöver finnas. Och det behöver finnas innan verktygen rullas ut, inte efter.

Regelverken som redan gäller

GDPR

GDPR är inte nytt, men dess tillämpning på AI-verktyg är fortfarande oklar för många organisationer. Grundprincipen är enkel: om ett AI-verktyg behandlar personuppgifter gäller GDPR fullt ut. Det innebär krav på rättslig grund, informationsplikt, lagringsminimering och möjlighet för den registrerade att få sina uppgifter raderade.

Det som gör AI-verktyg särskilt känsliga ur GDPR-perspektiv är att de ofta samlar in mer data än vad som är uppenbart. En transkriberingstjänst fångar inte bara vad som sägs, utan ofta vem som säger det, i vilket sammanhang och ibland med känsliga uppgifter som aldrig var tänkta att dokumenteras.

AI Act

AI Act är EU:s förordning för artificiell intelligens. Den trädde i kraft i augusti 2024 och tillämpas stegvis: förbud mot oacceptabel AI-risk gäller sedan februari 2025, regler för generella AI-modeller sedan augusti 2025. Krav för högrisk-AI-system ska enligt nuvarande plan börja gälla från augusti 2026 [4]. Högrisk-AI inbäddad i redan reglerade produkter, som medicintekniska system, har förlängd övergångsperiod till augusti 2027 [5]. EU-kommissionen föreslog dock i november 2025 att högriskdatumet kan skjutas fram upp till 16 månader om nödvändiga standarder inte är klara. Förslaget är ännu inte antaget.

Förordningen klassificerar AI-system i riskklasser: minimalt, begränsat, högt och oacceptabelt. För de flesta företag är det den höga riskklassen som är relevant att förstå. AI-system som används i rekrytering, kreditbedömning, arbetsplatsövervakning eller tillgång till väsentliga tjänster klassas som högrisk och omfattas av krav på dokumentation, transparens, mänsklig tillsyn och riskhantering.

Men även AI-system med begränsad risk, dit exempelvis chattbotar hör, har krav på sig. Användare måste informeras om att de interagerar med en AI [4]. Det låter enkelt, men det är ett krav som många missar.

Poängen är inte att ni behöver bli experter på AI Act. Poängen är att ni behöver veta att den finns, att den gäller er och att ni bör ha en uppfattning om vilka av era AI-verktyg som kan hamna i vilken riskklass.

NIS2

NIS2-direktivet har i Sverige genomförts genom cybersäkerhetslagen (2025:1506), som trädde i kraft den 15 januari 2026 [6]. Lagen ställer krav på riskhantering och incidentrapportering för organisationer i samhällsviktiga och viktiga sektorer. Det är inte ett AI-specifikt regelverk, men om AI-verktyg är en del av er IT-miljö och ni omfattas av NIS2 kan de falla under samma krav på säkerhet och kontroll. Det är ytterligare en anledning att ha översikt över vilka AI-verktyg som finns i verksamheten och hur de hanterar data.

Eftertanke är inte passivitet

Det finns en frustration i marknaden just nu. ”Alla pratar om AI men ingen gör något.” Det hörs i ledningsgrupperna, på konferenser och i LinkedIn-flöden. Och det finns en poäng i det. Att fastna i utredning utan att komma till handling är inte bra.

Men lösningen är inte att kasta sig in utan plan. Att köpa in AI-verktyg utan att ha ställt grundfrågorna om dataskydd, ansvar och styrning är inte att ”komma igång”. Det är att bygga en teknisk skuld som förr eller senare kommer att kosta, i pengar, i förtroende eller i en tillsynsanmärkning.

Att göra hemläxan är att agera. Att ta fram en AI-policy, klassificera era nuvarande och planerade AI-verktyg, utbilda era medarbetare och bygga in styrning från start. Det är det som skiljer en medveten AI-strategi från en som baseras på magkänsla och säljpresentationer.

Vad företag bör ha på plats

Ni behöver inte lösa allt på en gång, men det finns ett antal grundstenar som bör vara på plats innan AI-användningen skalar:

AI-policy En tydlig policy som beskriver vilka typer av AI-verktyg som får användas, under vilka förutsättningar och med vilka begränsningar. Den behöver inte vara lång, men den behöver finnas och vara känd i organisationen.

Riskklassificering En grundläggande kartläggning av vilka AI-verktyg ni använder i dag och vilken risknivå de innebär. Både ur ett GDPR-perspektiv och i förhållande till AI Acts riskklasser.

Roller och ansvar Vem äger frågan internt? I de flesta små och medelstora företag finns ingen AI-ansvarig, och det behövs heller inte en heltidstjänst. Men det behöver vara tydligt vem som fattar beslut, vem som granskar och vem som följer upp.

Utbildning Medarbetare behöver förstå vad de får och inte får göra med AI-verktyg för att ge dem trygghet. En medarbetare som vet var gränserna går vågar använda verktygen mer, inte mindre.

Uppdaterade policyer Er personuppgiftspolicy, integritetspolicy och eventuella IT-policyer behöver spegla verkligheten. Om ni har infört AI-verktyg som behandlar personuppgifter och era policyer inte nämner det, har ni ett gap.

Vem äger frågan?

AI Governance är en affärsfråga som berör juridik, HR, kommunikation och ledning. Beslutet att införa AI-verktyg fattas ofta decentraliserat, av enskilda medarbetare eller team som vill lösa ett konkret problem. Det är förståeligt. Men ansvaret för konsekvenserna hamnar hos ledningen.

Att etablera en genomtänkt AI Governance tidigt ger er tre saker: trygghet i att ni följer regelverken, kontroll över hur AI används i organisationen, och en plattform för att skala AI-användningen på ett sätt som faktiskt stöttar affären.

Nästa steg

Om ni vill veta mer om hur ni kan få koll på AI Governance är ni välkomna att höra av er. Vi börjar alltid med ett samtal om var ni befinner er i dag och vad som skulle göra störst skillnad för er.

Boka ett första möte här.

Eller läs mer om våra tjänster inom IT-ledning för små och medelstora företag.