AI-POLICY

STYRNING // RIKTLINJER // IMPLEMENTERING

VARFÖR

Varför din enhet behöver en AI-policy

Utan tydliga riktlinjer riskerar du tre saker: personal som använder AI osäkert, juridiska risker kring klientdata, och ojämlik hantering av AI på enheten — beroende på vem som råkar veta vad.

En policy behöver inte vara lång eller komplex. Den behöver vara tydlig om tre saker: vilka verktyg som är godkända, vad som aldrig får matas in, och vem som ansvarar för vad.

Socialtjänstens höga krav på rättssäkerhet, sekretess och professionellt omdöme gör det extra viktigt att dessa ramar är tydliga — inte minst för att skydda personalen från att omedvetet begå sekretessbrott.

POLICY = SKYDD FÖR KLIENTEN
OCH TRYGGHET FÖR PERSONALEN

MINIMINIVÅ

Vad alla enheter behöver ha på plats

  1. Lista på godkända AI-verktyg — vilka är IT-godkända och DSO-godkända för yrkesbruk på denna enhet?
  2. Tydligt förbud mot att mata in klientdata i icke-godkända verktyg — kommunicerat till all personal, inklusive timanställda
  3. Rutin för incidentrapportering — vad gör personalen om de råkat dela fel information?
  4. Grundläggande kompetens — all personal ska veta vad AI är, vad den inte kan och hur sekretessen gäller
  5. Ansvarig utsedd — vem på enheten håller riktlinjerna uppdaterade?

UTAN DESSA FEM → INGEN KONTROLL
MED DESSA FEM → EN SÄKER GRUND

MINIMIKRAV

ROLLFÖRDELNING

Vem ansvarar för vad

Socialsekreterare och handläggare:

  • Ansvarar fullt ut för allt innehåll de skriver under — oavsett om AI hjälpt till att formulera det
  • Granskar alltid AI-genererat material med professionellt omdöme
  • Säkerställer att klienters och barns röster faktiskt finns med i utredningstexter
  • Rapporterar oklarheter och incidenter till enhetschef

Behandlare, familjehemssekreterare och stödpersonal:

  • Använder AI endast för administrativa och kommunikativa uppgifter utan klientdata om inget annat är godkänt
  • Stämmer av med ansvarig handläggare vid osäkerhet

Enhetschef:

  • Tar fram och kommunicerar lokala riktlinjer i linje med förvaltningens policy
  • Säkerställer att all personal genomgått grundläggande utbildning
  • Hanterar incidenter och rapporterar vidare till DSO
  • Håller riktlinjerna uppdaterade minst en gång per år

IT och dataskyddsombud (DSO):

  • Godkänner AI-verktyg efter säkerhetsbedömning och GDPR-analys
  • Säkerställer att avtal med leverantörer uppfyller OSL och GDPR
  • Är kontaktperson vid dataskyddsincidenter
  • Håller sig uppdaterade om ny vägledning från IMY och Socialstyrelsen

TYDLIGA ROLLER = TYDLIGT ANSVAR

ANSVAR

POLICYMALL

Mall att ta med till enhetschefen

Kopiera, fyll i hakparenteserna och använd som underlag för ett samtal med chef, jurist eller dataskyddsombud.

AI-POLICY FÖR [ENHETENS NAMN], [FÖRVALTNING] Antagen: [DATUM] | Revideras: [DATUM, MINST EN GÅNG PER ÅR] SYFTE AI ska användas för att effektivisera administrativt arbete och förbättra kommunikation — aldrig för att ersätta den professionella bedömningen. Klientens rättigheter, integritet och rättssäkerhet går alltid före. GODKÄNDA VERKTYG Följande AI-verktyg är godkända för användning i tjänsten: - [VERKTYG 1] — för [ändamål] - [VERKTYG 2] — för [ändamål] Övriga verktyg kräver IT-godkännande och DSO-godkännande innan de används i tjänsten. KLIENTDATA — ABSOLUTA GRÄNSER Följande får aldrig matas in i AI-verktyg som inte är explicit godkända för klientdata (OSL 26 kap.): - Namn + uppgifter om social situation i kombination - Personnummer - Utredningstext, journalanteckningar eller ärendeuppgifter - Uppgifter om barn och deras situation - Uppgifter om missbruk, psykisk hälsa eller kriminalitet kopplade till en individ - Adresser — i synnerhet skyddade adresser PROFESSIONELLA GRÄNSER AI används inte för att: - Göra riskbedömningar om barn eller vuxna - Formulera grunden för LVU- eller LVM-beslut - Fatta eller formulera beslut med rättsverkan utan handläggargranskning - Ersätta mötet med och bedömningen av den enskilde ANSVAR All personal ansvarar fullt ut för innehållet i de dokument de signerar eller skickar ut. AI-stöd förändrar inte detta ansvar. OFFENTLIGHETSPRINCIPEN AI-konversationer i tjänsten kan utgöra allmänna handlingar. Skriv alltid som om texten kan begäras ut av allmänheten. INCIDENTER Vid misstänkt sekretessbrott: rapportera till enhetschef samma dag. Dataskyddsombud: [NAMN OCH KONTAKT]. GDPR kräver rapportering till IMY inom 72 timmar om incidenten riskerar att påverka enskildas rättigheter. ANSVARIG FÖR POLICYN [NAMN OCH ROLL], revideras senast [DATUM].

IMPLEMENTERING

Hur du inför policyn i praktiken

  1. Kartlägg nuläget. Vad används redan? Vad vet personalen? Finns det IT-godkända verktyg som ännu inte använts?
  2. Förankra med IT, jurist och DSO. Kontrollera att de verktyg du tänker tillåta faktiskt uppfyller OSL, GDPR och kommunens IT-säkerhetspolicy.
  3. Kommunicera tydligt till all personal. En kort genomgång på ett APT-möte räcker för grunderna. Alla måste känna till förbudet mot att mata in klientdata. Använd den här guiden som utbildningsmaterial.
  4. Börja i liten skala. Låt intresserade kollegor prova på administrativa uppgifter utan klientdata och återkoppla — innan hela enheten byter arbetssätt.
  5. Följ upp och revidera. AI-landskapet och lagstiftningen förändras. Policyn ska revideras minst en gång per år — och vid förändringar i OSL, ny vägledning från Socialstyrelsen eller IMY, eller vid byte av IT-system.

EN POLICY SOM INTE ANVÄNDS ÄR INGEN POLICY

PROCESS

NÄSTA STEG

PROMPTBIBLIOTEKET // FÄRDIGA PROMPTS ATT KOPIERA