Økonomi & Besparelser

Hvem har ansvaret, når virksomheder bruger generativ AI?

Gitte Lindberg
Gitte Lindberg
Redaktør, Sparly
 · 28. april 2026 · 10 min læsning

Din organisation kan spare timer med Copilot eller ChatGPT – og alligevel ende med at bruge uger på oprydning, hvis ingen har styr på ansvar, rollefordeling og risici.

I denne artikel får du et praktisk overblik over, hvordan virksomheder bør organisere brugen af generativ AI i hverdagen: hvem der har ansvaret for hvad, hvilke risici der typisk opstår (juridisk, sikkerhed, kvalitet, omdømme), og hvilke konkrete arbejdsgange der reducerer fejl. Du får også eksempler fra typiske kontorprocesser, enkle tjeklister og klare “do’s and don’ts”, så du kan gå fra entusiasme til kontrolleret implementering.

Hvad betyder “ansvar” egentlig, når I bruger generativ AI?

Generativ AI (fx ChatGPT, Microsoft Copilot og lignende) er software, der kan producere tekst, kode, billeder eller analyser ud fra prompts – baseret på mønstre i træningsdata og den kontekst, du giver den. Det betyder noget, fordi output kan lyde overbevisende uden at være korrekt, og fordi brugen ofte involverer data, som kan være fortrolige eller personhenførbare.

Ansvar handler derfor ikke kun om “hvem trykkede på knappen”, men om hvem der har pligt til at sikre korrekthed, lovlighed, datasikkerhed og sporbarhed i processen – fra input til beslutning og videre til publicering.

Mini-konklusion: I praksis er AI et værktøj i en proces, og ansvaret følger processen – ikke modellen.

Hvor opstår risikoen i praksis? De 6 klassiske risikozoner

De fleste AI-fejl i virksomheder opstår ikke i “avancerede” use cases, men i helt almindelige opgaver: mails, referater, tilbud, HR-tekster, support-svar og rapporter. Når man kortlægger risici, giver det mening at dele dem op i konkrete zoner, så man kan placere ansvar og kontroller.

  • Fejl og hallucinationer: AI kan opdigte fakta, tal, kilder eller citater og formulere det, så det lyder sikkert.
  • Fortrolige data og lækage: Medarbejdere kan komme til at indsætte kundedata, kontraktuddrag eller interne strategier i et værktøj, der ikke er godkendt.
  • Persondata (GDPR): CV’er, sygefravær, performance-noter og kundesager kan udgøre personoplysninger – også når de “anonymiseres” ufuldstændigt.
  • IP og ophavsret: Output kan ligne eksisterende værker, og input kan være beskyttet materiale (fx manualer, kode eller betalte rapporter).
  • Bias og diskrimination: Tekster til rekruttering, performancevurdering eller kundesegmentering kan få skæve vinkler.
  • Omdømme og compliance: En forkert formulering i en pressemeddelelse, et investor-slide eller et kundesvar kan få stor effekt.

Mini-konklusion: Risikoen ligger ofte i input og anvendelse – ikke i selve outputtet på skærmen.

Rollefordeling: Hvem ejer hvad i en “AI-understøttet” arbejdsproces?

En robust rollefordeling gør to ting: Den forhindrer “ansvars-vakuum”, og den gør det lettere at skalere brugen på tværs af teams. Jeg anbefaler at skelne mellem produktansvar, procesansvar og indholdsansvar – og at man ikke forveksler dem.

De centrale roller (og deres konkrete ansvar)

  • Procesejer (typisk teamleder): Definerer hvor AI må bruges i processen, og hvilke godkendelser der kræves.
  • Faglig reviewer (SME): Verificerer indhold (tal, faglige påstande, jura, sikkerhedskrav). AI-output er “udkast”, ikke sandhed.
  • Dataansvarlig/IT-sikkerhed: Godkender værktøjer, adgang, logging og dataflow. Sikrer at medarbejdere ikke bruger “shadow AI”.
  • DPO/juridisk (ved persondata og compliance): Afklarer behandlingsgrundlag, dataminimering, leverandørvilkår og DPIA hvor relevant.
  • Redaktør/kommunikationsansvarlig: Ejer tone, brand, claims og risiko for vildledning – især ved eksternt indhold.

Et simpelt princip, der virker i hverdagen

Hvis et menneske før AI havde ansvaret for at godkende, publicere eller beslutte noget, har det menneske stadig ansvaret. AI kan ændre hastigheden, men ikke ansvarsplaceringen.

Mini-konklusion: Udpeg én procesejer pr. use case – og gør reviewerrollen obligatorisk, når risikoen er høj.

Fra “smart tekst” til beslutningsgrundlag: Hvordan kvalitetssikrer man AI-output?

Det største praktiske problem er, at AI leverer svar med høj sproglig sikkerhed, også når det er upræcist. En god kvalitetssikringsmodel skal derfor være hurtig nok til, at folk faktisk bruger den – og streng nok til, at fejl ikke slipper igennem.

En 3-trins kontrol, der kan indføres på en uge

  1. Faktatjek: Marker påstande, tal, datoer, lovhenvisninger og citater. Tjek mod primærkilder (kontrakt, ERP, HR-system, officielle sites).
  2. Kildekrav: Hvis AI nævner “studier” eller “rapporter”, kræv konkrete referencer. Ingen reference = behandl som hypotese.
  3. Konsekvensvurdering: Hvad sker der, hvis dette er forkert? Ved høj konsekvens kræves dobbelttjek eller specialistgodkendelse.

Eksempel: Salgstilbud med AI-hjælp

Forestil dig en account manager, der bruger Copilot til at skrive et tilbud. AI kan foreslå en formulering som “vi garanterer 99,9% oppetid” eller “inkluderer 24/7 support” baseret på tidligere tekster. Hvis det ikke matcher jeres faktiske SLA, er det en kontraktuel risiko. Her er løsningen ikke “brug ikke AI”, men at indbygge en fast tjekliste: SLA, pris, leverance, forbehold og databehandleraftale skal valideres mod standardvilkår.

Midt i den type overvejelser giver det også mening at orientere sig i rammerne for ansvar ved brug af generativ AI, fordi compliance-krav og dokumentation kan få direkte betydning for jeres interne kontroller.

Mini-konklusion: Kvalitetssikring handler ikke om perfektion – men om at identificere “høj-konsekvens”-felter og sikre dem systematisk.

Datasikkerhed og GDPR: Hvad må medarbejdere egentlig indsætte i ChatGPT og Copilot?

“Hvad må vi?” er et af de mest almindelige spørgsmål. Det korte, praktiske svar er: Det afhænger af værktøjet, jeres aftalevilkår, jeres tenant-opsætning og dataklassifikation. Det lange svar handler om at styre data – ikke at stole på, at medarbejdere gætter rigtigt.

Lav en dataklassifikation, der kan bruges i hverdagen

En god dataklassifikation er enkel nok til at huske. Mange virksomheder lykkes med fire niveauer, fx: Offentligt, Internt, Fortroligt, Strengt fortroligt. Og så en klar regel: Hvilke niveauer må bruges i hvilke AI-værktøjer.

  • Offentligt: Må typisk bruges i de fleste værktøjer.
  • Internt: Kun i godkendte enterprise-værktøjer med korrekt opsætning.
  • Fortroligt: Kun med eksplicit godkendelse og dokumenteret formål; ofte “nej” som udgangspunkt.
  • Strengt fortroligt: Må ikke indsættes (kundekontrakter, M&A, sikkerhedshændelser, helbredsdata).

De typiske GDPR-fejl (og hvordan du undgår dem)

Fejl opstår især, når HR eller kundeservice “lige” indsætter en sag i et chatvindue for at få en bedre formulering. Undgå det ved at:

  • kræve dataminimering: brug kun de felter, der er nødvendige
  • bruge pseudonymisering, hvis det overhovedet er relevant
  • have en godkendt prompt-skabelon til persondatasager
  • sikre leverandørvurdering og databehandleraftaler, hvor det er påkrævet

Mini-konklusion: Den bedste GDPR-praksis er at gøre det nemt at gøre det rigtige – og besværligt at gøre det forkerte.

Jura, ophavsret og ansvar for tekst: Hvem “ejer” output, og hvem hæfter?

Et andet typisk spørgsmål er “hvem ejer teksten?” I praksis er det sjældent ejerskab, der vælter projekter – det er risikoen for, at AI-output indeholder fejl, vildledning eller uønskede ligheder med andres materiale. I Danmark vil virksomheden som udgangspunkt stå med ansvaret for det, der publiceres eller sendes til kunder, også når det er AI-assisteret.

Det er derfor klogt at have klare interne regler for:

  • hvornår AI-tekst må bruges direkte, og hvornår den kun er et udkast
  • hvordan man dokumenterer ændringer og godkendelser
  • hvordan man håndterer claims, superlativer og garantier i salg og marketing
  • hvornår jurister skal involveres (fx kontrakter, ansvarsfraskrivelser, regulerede områder)

Mini-konklusion: Publicering er et ledelsesansvar – AI ændrer ikke på, hvem der hæfter for budskabet.

Hvad koster det at gøre det ordentligt? Et realistisk billede af tid og ressourcer

“Hvad koster det?” bliver ofte misforstået som licenspris. Men den største omkostning ligger typisk i implementering: governance, træning, skabeloner, kontrolrutiner og tid til review. Licenser kan være lette at budgettere; fejl er dyre og svære at forudsige.

Som tommelfingerregel ser jeg ofte, at virksomheder undervurderer review-tid i starten. Hvis AI sparer 30 minutter på et udkast, men du bruger 15 minutter på faktatjek og tone, er gevinsten stadig solid – og risikoen markant lavere. Mange ender med en stabil “netto-besparelse” på 20–40% på skrive- og opsummeringsopgaver, når processerne er sat.

Mini-konklusion: Budgettér med implementeringsomkostninger – og mål gevinsten på netto-tid efter review, ikke på “wow-effekten” ved første udkast.

De mest almindelige fejl, når virksomheder ruller ChatGPT og Copilot ud

De samme mønstre går igen på tværs af brancher. Her er de faldgruber, jeg oftest ser – og hvad du kan gøre i stedet.

  1. Ingen klare use cases: Man giver adgang “til alle”, men uden at definere hvor AI skaber værdi. Start med 3–5 processer (fx referater, første udkast til kundemails, intern videnssøgning).
  2. Ingen datagrænser: Medarbejdere gætter på, hvad de må dele. Løsning: en 1-sides politik + korte eksempler.
  3. Ingen reviewerrolle: Man antager, at AI “nok er rigtigt”. Løsning: gør review obligatorisk ved ekstern kommunikation og beslutningsgrundlag.
  4. Shadow AI: Folk bruger gratisværktøjer, fordi de er hurtige. Løsning: tilbyd et godkendt alternativ, der er lige så nemt.
  5. Overautomatisering: Man lader AI sende svar uden menneskelig kontrol. Løsning: hold mennesket i loop’et på højrisko-sager.
  6. Manglende log og sporbarhed: Ingen kan senere se, hvorfor noget blev godkendt. Løsning: enkel dokumentation i jeres eksisterende system (ticket, sag, CRM-note).

Mini-konklusion: De fleste AI-problemer er procesproblemer forklædt som teknologiproblemer.

Best practice: En implementeringsplan, der giver kontrol uden at dræbe tempoet

Hvis du vil have en plan, der kan gennemføres uden at starte et halvårigt “AI-program”, så hold den stram og praktisk. Målet er at skabe en gentagelig måde at bruge AI på, der passer til jeres risikoprofil.

  • Trin 1: Vælg værktøjer og godkend dataniveauer (IT-sikkerhed + DPO): Hvad er godkendt, og hvad må indsættes?
  • Trin 2: Definér 3–5 use cases (forretningen): Start der, hvor værdien er tydelig, og risikoen håndterbar.
  • Trin 3: Lav prompt- og output-skabeloner (fagteam): Fx “kundemail med 3 tonevalg” eller “referat med beslutninger og action points”.
  • Trin 4: Indfør review-regler: Hvad kræver faglig godkendelse? Hvad må sendes internt? Hvad må aldrig sendes uden tjek?
  • Trin 5: Træn medarbejdere i fejltyper: Hallucinationer, falske kilder, forkerte garantier, uheldig tone.
  • Trin 6: Mål og justér: Tid sparet, fejl fundet, compliance-hændelser, adoption pr. team.

Hvis du vil gøre det ekstra effektivt, så opret en “AI-redaktion” eller et lille governance-forum, der mødes 30 minutter hver 14. dag. Det er ofte nok til at opdatere skabeloner, dele læring og lukke huller, før de bliver dyre.

Mini-konklusion: Små, faste rutiner slår store, sjældne projekter – især når AI ændrer sig løbende.

Sådan ved du, om I har styr på ansvaret (en hurtig selvtest)

Hvis du kun skal tage én ting med, så brug denne selvtest i ledergruppen eller i teamet, der ruller AI ud. Kan I svare klart på disse spørgsmål, er I allerede foran mange andre.

  • Hvilke AI-værktøjer er godkendt – og hvilke er forbudt?
  • Hvilke datatyper må medarbejdere bruge i hvilke værktøjer?
  • Hvem er procesejer for hver use case?
  • Hvornår er faglig review obligatorisk, og hvordan dokumenteres den?
  • Hvordan håndterer I fejl, klager eller sikkerhedshændelser relateret til AI?
  • Hvordan træner I nye medarbejdere, så praksis er ens på tværs?

Mini-konklusion: Klarhed vinder: Når ansvar og roller er synlige, falder både risiko og intern friktion – og AI bliver et værktøj, I faktisk kan stole på i drift.

Gitte Lindberg
Gitte Lindberg
Skribent & redaktør · Sparly
Gitte har over 10 års erfaring inden for privatøkonomi og forbrugerbeslutninger. Hun hjælper danske familier med at optimere deres økonomi gennem praktiske guides og evidensbaserede råd.

Relaterede artikler