Trin for Trin

Før I kan tage stilling til, hvordan I må og bør bruge kunstig intelligens, er det nødvendigt at få et fælles overblik over, hvor AI allerede indgår i jeres hverdag. Mange bruger i dag AI-baserede værktøjer uden at tænke over det – og netop derfor er synlighed første skridt mod ansvarlig brug.

Formål: Overblikket gør det lettere at se, hvor AI er i spil, opdage mulige faldgruber og sikre korrekt håndtering af personoplysninger. Ved løbende at holde overblikket opdateret sikrer I samtidig dokumentation af, at I overholder GDPR og AI-forordningen.

1. Start i hverdagen
Tag udgangspunkt i alle de AI-systemer, I allerede bruger – i undervisning, administration og ledelse. Spørg: Hvilke systemer bruger vi – og hvad hjælper de os med?

2. Lav en fælles oversigt
Saml både store og små løsninger i en simpel tabel eller liste, fx:

• undervisningsværktøjer
• læringsplatforme
• administrative systemer
• generative AI-værktøjer

3. Fokusér på synlighed – ikke perfektion
Det gør ikke noget, hvis I er i tvivl. Formålet er at skabe fælles forståelse, ikke at ramme juridisk korrekt fra starten.

4. Husk personoplysninger
Hvis systemet bruger eller genererer personoplysninger, gælder GDPR – både for input og output.

5. Opdatér løbende
Kortlægning er en proces, ikke en engangsopgave. Dokumentér jeres overblik i en simpel tabel, som I nemt kan opdatere løbende. Selve opdateringsprocessen kan I med fordel også planlægge fra starten.

6. Gennemgå jeres overblik
Gå nu jeres overblik igennem, tjek om de data, der bruges, og de resultater, systemet leverer, følger GDPR. Eventuelt fremhæv dem, som I er i tvivl om, og som I skal tjekke nærmere.

Når I ved, hvilke AI-systemer I bruger, skal I afklare jeres rolle og ansvar. Rollen afgør, hvilke krav I er underlagt – både efter GDPR og AI-forordningen.

Formål: At skabe klarhed over skolens ansvar, så I ved, hvornår I har ansvar for brugen af AI, og hvornår ansvaret ligger hos leverandører eller brugere. Et tydeligt rolleoverblik gør det lettere at overholde reglerne og kommunikere ansvar klart.

1. Afklar jeres rolle efter GDPR
Spørg jer selv, om I er:

• dataansvarlige (I bestemmer formål og hjælpemidler), eller
• databehandlere (I behandler data på andres vegne)

I langt de fleste tilfælde er skolen dataansvarlig, når personoplysninger behandles til skolens egne formål, fx undervisning, planlægning eller eksamen.

2. Vær opmærksom på leverandørernes rolle
It- og AI-leverandører vil typisk være databehandlere, der handler efter skolens instruks. Det ændrer dog ikke på, at skolen fortsat har det overordnede ansvar.

3. Afklar hvornår skolen ikke har ansvar
Hvis elever på eget initiativ bruger AI-værktøjer på privat udstyr uden skolens anvisning, er skolen som udgangspunkt hverken dataansvarlig eller databehandler.

4. Vær opmærksom på skolens instruktioner
Hvis skolen instruerer, opfordrer til eller stiller en bestemt AI-løsning til rådighed, vil skolen normalt være dataansvarlig – også for korrekt og sikker brug.

5. Afklar jeres rolle efter AI-forordningen
Undersøg om I er:

• idriftsættere (typisk, når I bruger færdigudviklede AI-løsninger), eller
• udbydere (hvis I ændrer formål, foretager større ændringer eller markedsfører løsningen under eget navn)

At være udbyder medfører et større ansvar.

6. Kommunikér roller og ansvar tydeligt
Når jeres rolle er afklaret, er det vigtigt at formidle den klart til både ansatte og elever, så alle ved, hvilket ansvar de har i brugen af AI.

Når I har overblik over jeres AI-systemer og jeres rolle, er næste skridt at vurdere, om systemerne må bruges – og på hvilke vilkår.

Formål: At sikre, at I ikke anvender forbudte AI-løsninger, og at AI-systemer med risiko bruges korrekt, gennemsigtigt og ansvarligt – især når de påvirker elever, undervisning eller beslutninger.

1. Tjek om systemet er forbudt
AI er forbudt, hvis det manipulerer, udnytter sårbare grupper eller fx aflæser elevers følelser via kamera, stemme eller biometriske data. Sådanne systemer må ikke anvendes.

2. Vurder om systemet er højrisiko
AI betragtes som højrisiko, hvis det fx:

• overvåger elever (fx snyd eller adfærd)
• vurderer læringsudbytte
• påvirker adgang til uddannelse
• styrer elevers læringsforløb

Højrisiko-AI kræver særlig overvågning, dokumentation og ofte en konsekvensanalyse.

3. Vurder om systemet har begrænset risiko
Chatbots, generative værktøjer og virtuelle assistenter er typisk AI med begrænset risiko. Her skal brugerne altid informeres om, at de interagerer med AI, og AI-genereret indhold skal markeres tydeligt.

4. Identificér systemer med minimal risiko
Hjælpeværktøjer som stavekontrol, oversættelse og læringsspil kan bruges frit og kræver ingen særlige tiltag.

5. Tjek brugen af personoplysninger
Alle AI-systemer skal overholde GDPR. Der skal være et lovligt behandlingsgrundlag, klare formål og tydelig information til dem, hvis data bruges.

6. Vær opmærksom på skævheder og fejl
AI må ikke give urimelige eller diskriminerende resultater. Vær særligt kritisk over for generativ AI, som kan give forkerte eller opdigtede svar.

7. Gennemgå leverandørernes vilkår
Tjek altid, hvordan leverandører bruger data. Elevers og medarbejderes oplysninger må ikke anvendes til leverandørens egne formål.

Når I har afklaret, at et AI-system er lovligt at bruge, skal I vurdere, hvilke risici brugen kan medføre – både for elever, medarbejdere og institutionen som helhed. Risiko handler ikke kun om datasikkerhed, men også om fairness, gennemsigtighed og kvalitet.

Formål: At identificere og håndtere risici ved brugen af AI, så systemerne anvendes på en måde, der er sikker, rimelig og i overensstemmelse med lovgivningen – og som ikke skaber skadelige konsekvenser.

1. Identificér mulige risici
Overvej hvilke konsekvenser AI-systemet kan have, fx:

• diskrimination eller bias
• fejlinformation eller upræcise resultater
• manglende gennemsigtighed i beslutninger
• negativ påvirkning af elevernes trivsel eller retssikkerhed

2. Vurdér behovet for en konsekvensanalyse (DPIA)
AI-systemer, der behandler personoplysninger, vil ofte kræve en konsekvensanalyse. Det gælder især systemer, der bruges til fx karaktergivning og overvågning.

En konsekvensanalyse eller DPIA (Data Protection Impact Assessment) skal bl.a. beskrive:

• formålet med systemet
• hvordan persondata behandles og bruges
• hvilke risici der er, og hvordan de håndteres

3. Iværksæt sikkerhedsforanstaltninger
Sørg for, at AI-systemet er beskyttet mod uautoriseret adgang, fx gennem:

• kryptering
• adgangskontrol
• it-sikkerhedsforanstaltninger
• løbende opdateringer

Medarbejdere, der bruger systemet, skal kende de relevante procedurer.

4. Overvåg og evaluér løbende
Følg systemets brug og effekter over tid. Inddrag feedback fra både medarbejdere og elever, og vær opmærksom på fejl eller konsekvenser.

Risikovurdering er ikke en engangsopgave – den skal gentages, når systemet ændres, eller brugen udvikler sig.

Når I bruger AI-systemer, der behandler personoplysninger, har I pligt til at informere de registrerede – dvs. elever, forældre og medarbejdere – om, hvordan deres data bruges, og hvilke rettigheder de har. Klar og forståelig information er en grundlæggende del af ansvarlig og lovlig AI-brug.

Formål: At sikre gennemsigtighed og tillid ved, at de registrerede ved, hvilke oplysninger der behandles, til hvilke formål – og hvordan de kan udøve deres rettigheder efter GDPR.

1. Giv tydelig og målrettet information
Oplys om:

• hvilke personoplysninger der behandles
• formålet med behandlingen
• hvordan AI-systemet bruges
• hvilke rettigheder de registrerede har (indsigt, rettelse, sletning, indsigelse)

Informationen skal være let at forstå og tilpasset målgruppen – også elever i forskellige aldre.

2. Gør informationen let at finde
Placér oplysningerne der, hvor brugerne er, fx:

• skolens hjemmeside (privatlivspolitik)
• elev- eller personalehåndbøger
• intranet, Aula eller læringsplatforme
• direkte i de systemer, hvor AI anvendes

3. Hav klare procedurer for rettigheder
Sørg for, at informere om deres rettigheder, såsom retten til:

• indsigt
• berigtigelse
• sletning
• Indsigelse mod behandling

4. Dokumentér håndteringen
Registrér anmodninger og de tiltag, der iværksættes. Det skaber overblik, sporbarhed og dokumentation for, at reglerne overholdes.

Når I bruger AI og samtidig behandler personoplysninger, skal der være klare politikker og retningslinjer, som gør det tydeligt, hvad der er tilladt, og hvad der ikke er. Det er både et lovkrav og en forudsætning for tryg og ansvarlig brug af AI i hverdagen.

Formål: At skabe klare rammer for brugen af AI, så medarbejdere, elever og forældre ved, hvordan data håndteres, hvilke værktøjer der må bruges, og hvem der har ansvar for hvad.

1. Opdatér eller udarbejd en persondatapolitik
Sørg for, at jeres privatlivs- eller persondatapolitik også dækker brugen af AI. Politikken bør tydeligt beskrive:

• hvem der er dataansvarlig
• hvilke oplysninger der behandles
• formålet med behandlingen
• opbevaringsperiode og evt. videregivelse
• de registreredes rettigheder

Informationen skal være let at forstå og aktivt formidlet – ikke kun gemt på en hjemmeside.

2. Fastlæg klare retningslinjer for brug af AI
Udarbejd konkrete retningslinjer målrettet medarbejdere, der fx beskriver:

• hvilke AI-værktøjer der er godkendt
• hvordan værktøjerne må bruges
• hvad der ikke må indtastes (fx fortrolige eller følsomme oplysninger)
• at AI bruges som støtte – ikke som erstatning for faglige vurderinger
• at AI-output altid skal vurderes kritisk

3. Gør det let at vælge rigtigt
Lav fx:

• en liste over godkendte værktøjer med korte instruktioner
• simple “dos and don’ts” for brug af AI

Jo mere konkrete retningslinjerne er, desto nemmere er de at følge.

4. Fordel ansvar og fastlæg procedurer
Beskriv tydeligt:

• hvem der har ansvar for AI-politikker og opfølgning
• hvordan rettighedsanmodninger håndteres
• hvornår DPO skal inddrages (fx ved sikkerhedsbrud eller konsekvensanalyser)

Klare roller og procedurer gør det lettere at handle korrekt – også når der opstår tvivl eller problemer.

Ansvarlig og lovlig brug af AI forudsætter, at medarbejdere forstår både teknologien og de rammer, den bruges inden for. Oplæring i AI handler derfor ikke kun om værktøjer, men også om etik, data og pædagogisk anvendelse.

Formål: At sikre, at medarbejdere bruger AI bevidst, sikkert og ansvarligt – i overensstemmelse med lovgivning, interne politikker og pædagogiske mål.

1. Giv grundlæggende AI-forståelse
Sørg for, at medarbejdere forstår:

• hvordan AI – især generativ AI – fungerer
• hvilke data der bruges
• hvad systemerne kan og ikke kan

2. Træn praktisk anvendelse
Oplæringen bør give konkrete redskaber, fx:

• god og sikker prompting
• kritisk vurdering af AI-output
• pædagogisk og didaktisk brug af AI som støtteværktøj

3. Styrk etisk og juridisk bevidsthed
Medarbejdere skal kende:

• institutionens politikker og retningslinjer
• regler for personoplysninger og datasikkerhed
• risici som bias, diskrimination og manglende gennemsigtighed

4. Gør oplæring løbende
AI udvikler sig hurtigt. Sørg for, at kompetenceudvikling opdateres regelmæssigt og tilpasses nye værktøjer og ændringer i lovgivningen.

5. Skab en tryg kultur
Gør det legitimt at stille spørgsmål, dele erfaringer og reagere, hvis der opstår problemer med AI-systemer.

6. Udpeg ansvar og lav en enkel plan
Overvej at:

• udpege en ansvarlig for AI-kompetencer
• planlægge faste kurser eller temamøder
• koble oplæring tæt til jeres politikker og praksis