AI-POLICY FÖR HR
HR behöver en egen AI-policy
En generell organisationspolicy för AI täcker sällan det som är specifikt för HR — diskrimineringsrisken i rekrytering, hanteringen av känsliga personkategorier, EU AI Act-kraven för HR-system, och rollfördelningen i beslut om individer.
En HR-specifik policy behöver svara på:
- Vilka AI-verktyg är godkända för HR-data, och vilka är det inte?
- Var går gränsen för AI-stöd i rekryteringsbeslut?
- Hur säkerställer vi att AI inte bidrar till diskriminering?
- Hur dokumenterar vi AI-användning i beslut som påverkar individer?
Vem ansvarar för vad
HR-personal:
- Använder bara godkända AI-verktyg för personuppgifter
- Granskar allt AI-genererat material med diskrimineringsperspektiv
- Fattar alltid egna beslut i ärenden som rör individer — delegerar inte till AI
- Rapporterar oklarheter och incidenter till HR-chef och DSO
HR-chef:
- Tar fram och kommunicerar HR-specifika AI-riktlinjer
- Säkerställer att HR-teamet har nödvändig kompetens
- Hanterar incidenter och eskalerar vid dataskyddsbrott
- Reviderar policyn minst en gång per år
IT och dataskyddsombud:
- Godkänner AI-verktyg efter säkerhetsbedömning och GDPR-granskning
- Säkerställer att personuppgiftsbiträdesavtal finns för godkända verktyg
- Är kontaktperson vid dataskyddsincidenter
- Hanterar eventuell EU AI Act-compliance för HR-system
Mall att ta med till HR-chefen
AI-POLICY FÖR HR-FUNKTIONEN — [ORGANISATIONENS NAMN]
Antagen: [DATUM] | Revideras: [DATUM, MINST EN GÅNG PER ÅR]
SYFTE
AI ska användas för att effektivisera HR-arbetet och höja kvaliteten
på text och dokumentation — aldrig för att ersätta professionellt
omdöme i beslut som påverkar individer.
GODKÄNDA VERKTYG
Följande AI-verktyg är godkända för HR-arbete:
- [VERKTYG 1] — godkänt för [ändamål, t.ex. generell textproduktion utan persondata]
- [VERKTYG 2] — godkänt för [ändamål, t.ex. dokumenthantering inom Microsoft 365]
Verktyg som INTE är godkända för personuppgifter om anställda
eller kandidater utan explicit godkännande: [lista]
PERSONUPPGIFTER — ABSOLUTA GRÄNSER
Följande personuppgifter får ALDRIG matas in i icke-godkända verktyg:
- Namn, personnummer och kontaktuppgifter kopplade till anställda/kandidater
- Löneuppgifter, förmåner och anställningsvillkor för identifierbara individer
- Hälsoinformation, sjukfrånvaro och rehabiliteringsärenden
- Facklig tillhörighet
- Disciplinärenden och varningar
- Känsliga uppgifter om etnicitet, religion, sexuell läggning
REKRYTERING
AI får användas för:
- Platsannonser och kravprofilsarbete (utan data om specifika kandidater)
- Intervjuguider och bedömningskriterier
- Kandidatkommunikation i mallform
AI får INTE:
- Rangordna, sortera eller bedöma kandidater
- Bidra till urvalsbeslut utan aktiv mänsklig granskning
- Behandla CV-data eller ansökningsinformation i icke-godkänt verktyg
BESLUT OM INDIVIDER
Alla beslut som påverkar enskilda medarbetare eller kandidater —
anställning, befordran, varning, avsked — fattas av en människa.
AI-stöd i beslutsprocessen dokumenteras.
DISKRIMINERING
AI-genererat material granskas alltid med diskrimineringsperspektiv
innan det används. Alla sju diskrimineringsgrunder beaktas.
INCIDENTER
Vid misstänkt dataskyddsbrott: rapportera till HR-chef och DSO
samma dag. GDPR kräver rapportering till IMY inom 72 timmar.
ANSVARIG FÖR POLICYN
[NAMN OCH ROLL] — revideras senast [DATUM]
Att införa policyn i praktiken
- Kartlägg nuläget. Vad används redan av HR-teamet? Är det godkänt? Vad vet teamet om AI och GDPR?
- Förankra med IT och DSO. Vilka verktyg uppfyller kraven? Finns personuppgiftsbiträdesavtal? Gäller EU AI Act för era rekryteringsverktyg?
- Kommunicera tydligt till HR-teamet. Vad är tillåtet, vad är förbjudet, varför. Konkreta exempel är mer användbara än abstrakta principer.
- Bygg in granskning i arbetsflödena. Diskrimineringsgranskning av platsannonser som ett steg i publiceringsprocessen — inte en efterhandskontroll.
- Revidera regelbundet. AI-lagstiftningen och verktygen förändras snabbt. Policyn ska revideras minst en gång per år — och när ny lagstiftning träder i kraft.