Labs Support
SV EN
ISO/IEC 42001

Era medarbetare använder redan AI Har ni styrning?

Enligt Eurostats senaste mätning använde 35 procent av svenska företag med fler än 10 anställda AI, tredje mest i EU. ChatGPT, Copilot, bildgenerering: AI-verktyg sprids snabbt i organisationer. Utan styrning riskerar ni dataläckor, etiska snedsteg och regelbrott. ISO 42001 ger ramverket. AmpliFlow gör det praktiskt.

Boka demo Se hur det fungerar

AmpliFlow deltog i ISO:s arbetsgrupp för ISO/IEC 42001.

Utmaningar

AI-kaos eller AI-styrning?

Utan kontroll över AI-användningen växer riskerna snabbt.

Skugg-AI på arbetsplatsen

Enligt Eurostats senaste mätning använder 35 procent av svenska företag AI, men majoriteten saknar policyer för hur. Anställda klistrar in kunddata, avtal och källkod i ChatGPT utan att arbetsgivaren vet. Utan styrning blir varje anställd en potentiell datarisk.

Copilot-attacken

Säkerhetsforskare visade hur en angripare kunde lura Microsoft 365 Copilot att läsa konfidentiella dokument och skicka innehållet vidare genom att gömma dolda instruktioner i ett delat dokument. Ingen användarinteraktion krävdes.

Air Canada-domen

Air Canadas chatbot hittade på en återbetalningspolicy som inte existerade. Flygbolaget hölls ansvarigt av domstol. AI-genererad information behandlas som företagets löften.

GDPR-böter för AI

OpenAI fick 15,6 miljoner euro i böter av italienska datainspektionen, december 2024. Anledning: brister i rättslig grund och transparens kring personuppgiftsbehandling i ChatGPT. AI utan dokumenterad styrning är en GDPR-risk.

EU AI Act: böter upp till €15M för deployers

EU:s AI-förordning träder i kraft stegvis: förbjudna system sedan februari 2025, högrisk-system från augusti 2026. Brott mot deployer-skyldigheterna (Art 26) och transparenskraven (Art 50) ger böter upp till 15 miljoner euro eller 3 procent av global omsättning. Brott mot förbudet mot förbjudna AI-system (Art 5) kan ge upp till 35 miljoner euro eller 7 procent.

Advokaten som litade på ChatGPT

En New York-advokat använde ChatGPT för att hitta rättspraxis och lämnade in sex helt påhittade rättsfall till domstolen. Domaren kallade fallen 'falska med falska citat och falska hänvisningar'. Advokaten och byrån bötfälldes med 5 000 dollar.

DPD:s chatbot gick rogue

Efter en systemuppdatering började paketleverantören DPD:s AI-chattbot svära åt kunder, skriva dikter om hur dåligt företaget var, och rekommendera konkurrenter. Inlägget blev viralt med 800 000 visningar på ett dygn. DPD tvingades stänga av sin AI-chattbot.

Tillägg som skördar AI-samtal

Åtta webbläsartillägg med över 8 miljoner användare samlade tyst in kompletta konversationer från ChatGPT, Claude, Copilot och fem andra AI-tjänster, inklusive prompter, svar och tidsstämplar. Datan såldes vidare för marknadsanalys. Sju av tilläggen hade Googles och Microsofts 'Featured'-märkning.

DoNotPay: böter för AI-bluff

Amerikanska FTC bötfällde DoNotPay med 193 000 dollar för att ha marknadsfört sin AI-chattbot som 'världens första robotadvokat'. Företaget hade aldrig testat om AI:ns svar höll juridisk kvalitet och hade inga jurister anställda.

Verklighetscheck

Vad ni säger vs vad revisorn letar efter

Det finns en skillnad mellan att ha ett AI-ledningssystem och att leva det. Här är vad revisorn faktiskt kollar:

Vad ni säger Vad ISO 42001 kräver Vad revisorn letar efter
"Vi har en AI-policy"
Policy styr faktiskt vilka verktyg som får användas, med vilken data, och av vem
Revisorn frågar medarbetare vilka AI-verktyg de använder och jämför svaren med policyn
"Vi har koll på riskerna"
Risker kopplade till specifika AI-system med dokumenterade åtgärder och uppföljning
Revisorn följer en AI-risk från identifiering till åtgärd och verifierar att åtgärden hade effekt
"Vi har gjort en konsekvensbedömning"
Dokumenterad bedömning av påverkan på individer (A.5.4) och samhälle (A.5.5) för varje AI-system
Revisorn vill se att ni bedömt både individuell och samhällelig påverkan, inte bara teknisk risk
"Vi följer EU AI Act"
Ni har klassificerat era AI-system och kan visa compliance-status per system
Revisorn vill se riskklassificering per system och spårbarhet till regelkrav
"Ledningen har godkänt AI-användning"
Ledningen har allokerat resurser, satt mål och följer upp AI-relaterade risker regelbundet
Protokoll från ledningens genomgång med beslut och resurstilldelning
Lösningen

AI-styrning med inbyggda ISO 42001-kontroller

AmpliFlow har alla ISO 42001 Annex-kontroller inbyggda. AI hjälper er generera innehåll per kontroll, SoA skapas automatiskt och ni kan tilldela uppgifter och följa status per kontroll. Vi använder själva ISO 42001 för att styra vår egen AI-användning.

AI-driven riskanalys

AmpliFlows AI genererar riskscenarier och konsekvensanalyser automatiskt. Kombinera det med ORA för att bedöma AI-risker enligt ISO 42001 (6.1.2).

Konsekvensbedömning för AI-system

Dokumentera hur era AI-system påverkar individer och samhället. Ett unikt krav i ISO 42001 (6.1.4, A.5).

Statement of Applicability (SoA)

SoA genereras automatiskt baserat på era ställningstaganden per kontroll. Motivera inkluderade och exkluderade kontroller direkt i kontrollregistret (6.1.3e).

Lagbevakning för EU AI Act

Lägg till EU AI Act i lagregistret. Sätt måldatum för när ni ska vara klara med anpassningar.

Processkartor för AI-påverkade processer

Dokumentera vilka processer som använder AI och hur. Koppla AI-verktyg till processteg.

AI-policyer via Pages

Skapa AI-policyer i den inbyggda textredigeraren (wiki). Organisera i mappar och dela med medarbetare.

Intressentanalys med ISO 42001-koppling

Kartlägg intressenter som påverkas av er AI-användning och deras krav.

Åtgärdshantering för AI-initiativ

AmpliFlows AI föreslår åtgärder och förbättringar. Följ upp med ansvariga och deadlines.

Se hur det fungerar
AI-principer

Ansvarsfull AI i praktiken

ISO 42001 bygger på principer för ansvarsfull AI. AmpliFlow hjälper er omsätta principer till konkreta åtgärder.

Transparens

Förklara hur AI-system fungerar och fattar beslut

Rättvist

Undvik bias och säkerställ likabehandling

Ansvarsskyldighet

Tydligt ägande och ansvar för AI-beslut

Säkerhet

Skydda mot missbruk och oavsiktlig skada

EU AI Act

Förbered er för EU:s AI-förordning

EU AI Act är världens första omfattande AI-lagstiftning. ISO 42001 underlättar arbetet med att möta kraven.

Risklassificering

Klassificera era AI-system enligt EU:s risknivåer: oacceptabel, hög, begränsad eller minimal risk.

Dokumentationskrav

Uppfyll kraven på teknisk dokumentation, användarinstruktioner och kvalitetsledning.

Efterlevnadsbevis

Visa tillsynsmyndigheter att ni har kontroll. ISO 42001-certifiering ger trovärdig bevisning.

Tidslinje

EU AI Act träder i kraft stegvis: förbjudna AI-system sedan februari 2025, krav på GPAI-modeller sedan augusti 2025, högrisk-system från augusti 2026. Böter upp till 35 miljoner euro eller 7 procent av global omsättning. Observera: ISO 42001 är inte en harmoniserad standard under AI Act och ger ingen presumtion om överensstämmelse, men den ger en beprövad struktur som stödjer efterlevnad.

Klassificera ert AI-system

Besvara tre frågor om ert AI-system och se vilken risknivå det hamnar på enligt EU AI Act.

Fråga 1 av 3

Vad används AI-systemet till?
AI-riskhantering

Från AI-system till trygg användning

ISO 42001 kräver riskbaserat tänkande för AI. AmpliFlow gör det konkret.

Inventera Vilka AI-system?
Klassificera Vilken risknivå?
Bedöma Vilka risker?
Konsekvensbedömning Påverkan på individer och samhälle?
Behandla Vilka åtgärder?
Övervaka Fungerar det?
Lär dig mer om riskhantering
I praktiken

Vad förändras i vardagen?

ISO 42001 handlar inte om att skriva dokument som ingen läser. Det handlar om konkreta förändringar i hur ni arbetar med AI:

Från "alla gör som de vill" till godkända verktyg

En tydlig lista över vilka AI-verktyg som får användas, med vilken data, och vem som ansvarar. Medarbetare vet vad som gäller utan att behöva fråga.

AI-utbildning från dag ett

Nya medarbetare får introduktion i organisationens AI-policy och verktyg. Inte en PowerPoint, utan en praktisk genomgång av vad som är tillåtet och varför.

AI-incidenter rapporteras och utreds

När något går fel med ett AI-system finns en process: rapportera, utreda, åtgärda, lära sig. Precis som för kvalitetsavvikelser, men anpassat för AI-specifika risker.

Regelbunden uppföljning

Kvartalsvis genomgång av AI-användning, incidenter och risker. Ledningen fattar beslut baserat på fakta, inte antaganden.

Implementeringsresan

Från start till AI-styrning

En realistisk tidslinje för ISO 42001-implementering. Tiden varierar beroende på organisationens storlek och AI-mognad.

1

AI-inventering

1-2 v

Kartlägg alla AI-system och användningsområden i organisationen

2

Gap-analys

1-2 v

Jämför nuvarande styrning mot ISO 42001-kraven

3

Riskbedömning

2-3 v

Bedöma risker för varje AI-system enligt EU AI Acts risknivåer

4

Konsekvensbedömning

1-2 v

Bedöm hur era AI-system påverkar individer och samhället (6.1.4). Dokumentera enligt A.5.

5

Policy & processer

4-8 v

Utveckla AI-policy, riktlinjer och styrdokument

6

Tillämplighetsförklaring (SoA)

1-2 v

Dokumentera vilka Annex A-kontroller ni tillämpar och motivera inkluderingar och undantag (6.1.3e)

7

Implementering

4-12 v

Inför kontroller, utbilda personal och börja tillämpa

8

Internrevision

1-2 v

Granska AIMS-effektivitet och åtgärda brister

Fördelar

Varför ISO 42001?

Försprång i AI-eran.

Stärk kundförtroendet

Kunder och partners vill veta att ni hanterar AI ansvarsfullt. Certifiering visar det konkret.

Ansvarsfull AI-användning

Minimera risker för bias, integritetsbrott och felaktiga beslut.

Minskad risk

Strukturerad AI-styrning minskar risken för incidenter och regelbrott.

Ligg steget före

Var tidiga. ISO 42001 är nytt, certifiera er före konkurrenterna.

Fördjupning

Läs mer om ISO 42001

Vad är ISO/IEC 42001?

En genomgång av standarden för AI-ledningssystem: vad den kräver, hur den relaterar till andra standarder och varför den finns.

Läs artikeln →

AmpliFlow i arbetsgruppen för ISO 42001

Hur AmpliFlow bidrar till utvecklingen av standarden och vad det betyder för våra kunder.

Läs artikeln →
Vem behöver detta?

ISO 42001 är inte bara för AI-företag

Alla organisationer som använder AI-verktyg behöver AI-styrning. Det handlar inte om att utveckla AI - det handlar om att använda AI ansvarsfullt.

Företag där medarbetare använder ChatGPT eller Copilot
Organisationer som använder AI i kundkontakt eller beslutsstöd
Företag som köper AI-tjänster från leverantörer
Offentlig sektor med krav på transparens och rättssäkerhet
Företag med kunder som ställer krav på AI-etik
Organisationer som vill vara förberedda för EU AI Act

Utvecklar ni egen AI? Då är ISO 42001 ännu viktigare - men standarden är utformad för alla som använder AI, inte bara de som bygger den.

Relaterade områden

AI-styrning hänger ihop med annat

ISO 42001 integreras naturligt med andra delar av ledningssystemet. AmpliFlow kopplar samman allt.

Riskhantering

Grunden för AI-styrning. Identifiera och hantera AI-risker.

Lagbevakning

Håll koll på EU AI Act och annan AI-lagstiftning.

Dokumentation via Pages

AI-policyer och riktlinjer samlade och tillgängliga.

Datastyrning (A.7)

Dokumentera datakvalitet, ursprung och hantering för AI-träningsdata och indata. ISO 42001 kräver kontroller för dataförvärv, kvalitet, härkomst och förberedelse.

Kompetenshantering

Säkerställ AI-kompetens i organisationen.

Informationssäkerhet

Skydda data som används i AI-system.

Tredjepartsstyrning (A.10)

Hantera leverantörer som OpenAI och Microsoft. Fördela ansvar, ställ krav i avtal och säkerställ transparens mot kunder som påverkas av AI-beslut.

Checklistor för revision

Granska er AI-styrning regelbundet med checklistor.
Vanliga frågor

Frågor om ISO 42001

Svar utan AI-jargong.

Vad är ett AI Management System (AIMS)?

AIMS är ett ledningssystem specifikt för AI-användning. Det definierar hur organisationen styr, övervakar och förbättrar sin AI-användning. Precis som ett ISMS för informationssäkerhet eller QMS för kvalitet.

Behöver vi ISO 42001 om vi inte utvecklar egen AI?

Ja, om ni använder AI-verktyg som ChatGPT, Copilot eller AI-baserade tjänster. ISO 42001 handlar om ansvarsfull användning av AI - inte bara utveckling. Alla organisationer där medarbetare använder AI-verktyg har nytta av standarden.

Hur hänger ISO 42001 ihop med EU AI Act?

EU AI Act är lagstiftning med krav och sanktioner. ISO 42001 är en frivillig standard som stödjer ert arbete med att möta lagkraven. Att implementera ISO 42001 underlättar EU AI Act-efterlevnad, men ISO 42001 är inte en harmoniserad standard och ger ingen automatisk presumtion om överensstämmelse.

Kan vi använda samma verktyg som för ISO 27001?

Ja. AmpliFlow har inbyggda kontroller för både ISO 27001 och ISO 42001 med AI-stöd, automatisk SoA och uppgiftshantering per kontroll. Utöver kontrollregistren delar standarderna samma verktyg: riskanalys, dokumentation via Pages, åtgärdshantering och checklistor.

Hur lång tid tar implementering?

Det beror på hur många AI-system ni har, hur mogen er nuvarande styrning är och om ni redan har andra ISO-certifieringar. Tiden handlar om att förankra nya arbetssätt, inte om att skriva dokument.

Måste vi certifiera oss?

Nej, certifiering är frivillig. Ni kan implementera ISO 42001 utan extern revision. Men certifiering ger trovärdig bevisning för kunder, partners och tillsynsmyndigheter.

Kan AI-modeller medvetet undvika kontroller?

Ja. Antropics forskning (december 2024) visade att AI-modeller kan uppvisa så kallad "alignment faking", att de beter sig annorlunda när de vet att de övervakas. I 12 procent av fallen agerade modellen mot sina instruktioner när den trodde sig vara oövervakad. Det är därför ISO 42001 kräver löpande övervakning, inte bara initial testning.

Vad är prompt injection och varför spelar det roll?

Prompt injection innebär att en angripare manipulerar AI-systemets instruktioner genom dold text i dokument eller webbsidor. Microsoft 365 Copilot-demonstrationen visade hur en angripare kunde extrahera känslig data genom att bädda in dolda instruktioner i ett delat dokument. ISO 42001 föreskriver inte specifika tekniska kontroller. Istället adresseras detta genom riskbedömning (6.1.2) som identifierar prompt injection som en risk, riskbehandling (6.1.3) som väljer lämpliga kontroller från Annex A, och krav på drift och övervakning (A.6.2.6) av AI-system.

Vad gör vi åt skugg-AI?

Skugg-AI (när medarbetare använder AI-verktyg utan organisationens vetskap) är en av de vanligaste riskerna. Steg ett: kartlägg faktisk AI-användning, inte bara godkänd användning. Steg två: skapa tydliga riktlinjer för vilka verktyg som får användas och med vilken data. Steg tre: gör det lättare att använda godkända verktyg än att gå runt systemet. ISO 42001 formaliserar detta genom krav på AI-policy och medvetandehöjning.

Fler frågor?

Vi hjälper er gärna komma igång med ISO 42001.

Kontakta oss
Kontakt

Redo för ansvarsfull AI?

Boka en demo så visar vi hur AmpliFlow kan hjälpa er med AI-styrning.