AI-utveckling och riskhantering: Så navigerar din organisation mellan teknik och juridik
Publicerad: 11 februari 2026
Senast uppdaterad: 11 februari 2026
Att implementera AI i en verksamhet är idag inte bara en teknisk utmaning, utan i allra högsta grad en juridisk och säkerhetsmässig sådan. I ett samtal mellan Lantero och experten Joakim Karlén belyses de komplexa frågor som uppstår när stora språkmodeller (LLM) möter europeisk lagstiftning som GDPR och den nya AI-förordningen.
Innovation i USA, reglering i EU
Teknikutvecklingen drivs till stor del av amerikanska bolag, men för svenska och europeiska organisationer är det den lokala lagstiftningen som sätter ramarna. Joakim Karlén konstaterar att dynamiken är utmanande eftersom innovationstakten är rasande snabb medan regleringen är ny. Det saknas ännu tydlig praxis och domstolsavgöranden, vilket ställer höga krav på organisationers egen förmåga till riskanalys, inte minst inom cybersäkerhetsområdet.
Krocken mellan GDPR och AI:ns dynamik
En av de mest centrala frågorna är hur AI-system, som till sin natur är dynamiska och icke-deterministiska, kan leva upp till GDPR:s krav på korrekthet. Traditionella IT-system är statiska; man vet vad man matar in och vad man får ut. En LLM fungerar annorlunda. Genom att simulera mänskligt beteende med en grad av slumpmässighet blir utdatan inte alltid förutsägbar. Detta skapar en fundamental osäkerhet kring individens rättigheter och korrektheten i den data som behandlas.
Från chatbotar till autonoma agenter
Vi ser en tydlig förflyttning från enkla chatbotar till autonoma agenter som kan utföra arbete självständigt. Detta medför nya riskvektorer. Joakim betonar att en organisation som driftsätter ett AI-system betraktas som en "deployer" enligt AI-förordningen och bär därmed det juridiska ansvaret. Särskilt kritiskt blir det när agenter ges mandat att agera utan mänsklig handpåläggning. Risken för felaktiga beslut eller slumpmässigt beteende gör att spårbarheten – att kunna förklara varför en maskin agerat på ett visst sätt – blir en teknisk och juridisk utmaning.
Interna risker och "Oversharing"
Många fokuserar på externa hackare, men en av de största riskerna är intern. Begreppet "oversharing" beskriver när en AI-agent, på grund av bristande rättighetsstyrning eller klassificering, ger medarbetare tillgång till känslig information de inte har behörighet att se. Att skydda själva "maskinen" och dess tillgång till interna datakällor blir därför lika viktigt som att skydda den råa datan.
Metodiken vinner i längden
För att lyckas föreslår Joakim en metodisk ansats. Istället för att bara testa sig fram bör man börja med en helhetsanalys utifrån AI-förordningen, GDPR och Cybersäkerhetslagen (NIS2). Genom att förstå syftet med tekniken och ha kontroll på sin informationsstruktur kan man bygga rätt från början.