top of page
Søg

10 spørgsmål bestyrelsen bør stille ledelsen om AI

  • for 23 timer siden
  • 5 min læsning
bestyrelse i workshop om AI sikkerhed

AI er naturligt blevet et bestyrelsesanliggende. Det handler ikke om, at bestyrelsesmedlemmer skal være tekniske eksperter. Det handler om at stille de rigtige spørgsmål og sikre sig, at ledelsen har styr på området.

Denne artikel er tænkt som en praktisk ramme du kan bringe med til næste bestyrelsesmøde. Det er de ti spørgsmål vi oftest hører bestyrelser diskutere med ledelser, og som er afgørende for at kunne udfylde tilsynsansvaret ordentligt.


Derfor er AI et bestyrelsesansvar

Bestyrelsen har tilsynsansvar for strategi, risiko, compliance og investering. AI berører alle fire.

  • Strategi: AI påvirker forretningsmodel, produktudvikling og konkurrenceevne.

  • Risiko: Persondata, fortrolighed, IP og omdømme er alle i spil.

  • Compliance: GDPR, sektorregulering og i stigende grad AI-specifik lovgivning (EU AI Act).

  • Investering: AI-licenser og kompetenceløft er en betydelig post på budgettet.

Bestyrelsen behøver ikke vide hvordan Transformer-modeller fungerer. Men den skal kunne vurdere om ledelsen er på sporet. De ti spørgsmål her giver grundlag for den vurdering.


De 10 spørgsmål der bør stilles:


Spørgsmål 1: Har vi en skriftlig AI-politik, og hvem er ansvarlig for den?

Det grundlæggende. Hvis der ikke er en nedskrevet politik, er der reelt ikke governance. Politikken skal besvare: Hvilke AI-værktøjer er godkendte? Hvilke datatyper må ikke uploades? Hvem håndhæver? Hvad er konsekvenserne ved brud?

ℹ️ Hvad skal du lytte efter: Et klart svar med et dokument der kan fremlægges, og en navngivet ansvarlig person (typisk CIO, CFO eller CDO).

⚠️ Advarselstegn: Vi er ved at lave en politik eller Det er op til den enkelte afdeling.


Spørgsmål 2: Hvilke AI-værktøjer bruger vi, og har vi underskrevne databehandleraftaler?

Alle godkendte AI-værktøjer skal have en underskrevet databehandleraftale. Det er GDPR, det er ikke en anbefaling. Ledelsen skal kunne fremvise listen og aftalerne.

ℹ️ Hvad skal du lytte efter: En konkret liste (f.eks. Microsoft 365 Copilot, Claude Enterprise, ChatGPT Enterprise) med underskrevne DPA'er for hver.

⚠️ Advarselstegn: Vi bruger det der findes eller Det tjekker vi på.


Spørgsmål 3: Træner leverandørerne på vores data?

Det korte svar skal være nej. Enterprise-versioner af Microsoft, Anthropic og OpenAI træner ikke på kundedata som default. Men det skal dokumenteres, ikke antages.

ℹ️ Hvad skal du lytte efter: Et klart nej, med henvisning til leverandørernes enterprise-vilkår.

⚠️ Advarselstegn: Uklarhed, eller at ledelsen ikke ved det.


Spørgsmål 4: Hvor ligger vores AI-data geografisk?

GDPR og god praksis tilsiger EU-baseret behandling eller et klart juridisk fundament for overførsel til tredjelande. Microsoft tilbyder EU Data Boundary. Anthropic tilbyder EU-residency for enterprise. OpenAI tilbyder det for ChatGPT Enterprise.

ℹ️ Hvad skal du lytte efter: Konkret svar, f.eks. vores Copilot-data behandles i EU under Microsoft EU Data Boundary.

⚠️ Advarselstegn: Det er Cloud, så det er svært at sige.


Spørgsmål 5: Har vi gennemgået adgangsrettigheder før Copilot-rollout?

Microsoft 365 Copilot bruger medarbejdernes eksisterende rettigheder. Hvis rettighedsstyringen er sjusket, bliver Copilot en risiko i stedet for et værktøj. Derfor skal adgangsrettigheder i SharePoint, OneDrive og Teams gennemgås før rollout.

ℹ️ Hvad skal du lytte efter: Dokumentation for at der er lavet en rettighedsgennemgang, og at løbende processer er etableret.

⚠️ Advarselstegn: Det bruger vi ikke eller Det løser IT efterhånden.


Spørgsmål 6: Hvordan måler vi skyggebrug?

Skyggebrug er medarbejdere der bruger ikke-godkendte AI-værktøjer på private konti. Det er typisk den største reelle risiko. Ledelsen bør kunne svare på om der måles, f.eks. via DLP-løsninger eller netværkslog, og om der er initiativer for at reducere det.

ℹ️ Hvad skal du lytte efter: Et ærligt svar om at det måles, og at alternativer tilbydes.

⚠️ Advarselstegn: Det sker ikke her (det gør det).


Spørgsmål 7: Hvor meget investerer vi i AI-kompetencer, ikke kun licenser?

Licenser uden træning giver ringe afkast. God praksis er at investere mindst lige så meget i opkvalificering som i licenser. Det kan være interne træningsforløb, eksterne kurser eller læringsplatforme.

ℹ️ Hvad skal du lytte efter: Konkret tal eller budgetpost til AI-kompetenceløft, og antal medarbejdere der har været igennem struktureret træning.

⚠️ Advarselstegn: Kun licens-tal, ingen kompetence-tal.


Spørgsmål 8: Hvor er vi i forhold til konkurrenter og branche?

Bestyrelsen skal kunne vurdere om virksomheden er på niveau med sin peer group. Det behøver ikke være teknisk benchmark, men en kvalitativ vurdering: Er vi foran, på niveau, eller sakker vi bagud?

ℹ️ Hvad skal du lytte efter: En nuanceret vurdering med eksempler på hvad peers gør.

⚠️ Advarselstegn: Vi er foran alle uden dokumentation, eller Det ved vi ikke.


Spørgsmål 9: Hvordan håndterer vi risikoen for fejlinformation og hallucinationer?

AI kan generere plausibelt men forkert indhold (hallucinationer). For en virksomhed er risikoen størst hvor AI-output går direkte ud til kunder, investorer eller bestyrelse uden menneskelig validering.

ℹ️ Hvad skal du lytte efter: En klar kvalitetskontrol-proces, f.eks. at AI-assisteret materiale til eksterne parter altid reviewes af et menneske.

⚠️ Advarselstegn: AI'en er jo blevet meget god (sandt, men irrelevant for ansvarsspørgsmålet).


Spørgsmål 10: Hvordan rapporterer I til bestyrelsen om AI?

AI bør være fast punkt eller underpunkt på årshjulet mindst to gange årligt. Rapporteringen bør dække: hvad er nyt, hvilke initiativer kører, hvor er vi i forhold til planen, hvilke risici er nye, og hvad er budgettet fremadrettet.

ℹ️ Hvad skal du lytte efter: Forslag til rapporteringsformat og -kadence.

⚠️ Advarselstegn: Vi rapporterer løbende (det gør de sjældent).


Sådan bruger du de 10 spørgsmål aktivt

Vi foreslår tre forskellige anvendelser afhængigt af bestyrelsens nuværende niveau.


Hvis AI endnu ikke er på bestyrelsens dagsorden: Bring spørgsmålene med som forberedelse til næste møde. Bed om at AI bliver punkt på dagsordenen. Lad ledelsen forberede skriftlige svar.


Hvis AI allerede er på dagsordenen men uformelt: Brug spørgsmålene til at strukturere den dybere samtale. Definér hvilke af de ti spørgsmål der er mest relevante for jeres situation.


Hvis I har en moden AI-praksis: Brug spørgsmålene som årligt tjek. Ændrer svarene sig? Er der nye risici? Er kompetence-investeringen fulgt med AI-modning?


Om EU AI Act og regulatorisk udvikling

EU AI Act trådte formelt i kraft i 2024 med trinvis indfasning frem til 2027. For de fleste danske SMV'er er de konkrete krav beskedne, især hvis I ikke udvikler AI-systemer selv men kun bruger tredjeparts-værktøjer som Microsoft Copilot eller Claude.

Men der er områder I skal holde øje med:


  • AI-literacy-kravet (artikel 4) gælder fra februar 2025. Medarbejdere der arbejder med AI, skal have tilstrækkelig kompetence. Det betyder konkret: I skal tilbyde træning.


  • Forbudte AI-anvendelser (social scoring, manipulation mv.) er det de færreste rammer ind i.


  • Højrisiko-systemer har strengere krav, men gælder primært specifikke domæner (HR, kreditvurdering, kritisk infrastruktur).


Hvis I er i en af de højrisiko-sektorer, skal bestyrelsen sikre sig at ledelsen har juridisk rådgivning på området. Ellers er AI Act håndterbar som del af normal GDPR- og risikohåndtering.


Praktisk forslag: Gør det til et årligt tjek

Vi anbefaler at AI bliver et årligt punkt på bestyrelsens dagsorden med følgende struktur:

  • Status fra ledelsen (10 minutter): Hvad er ændret siden sidst?

  • Risiko-opdatering (10 minutter): Nye trusler, nye sårbarheder?

  • Mulighed-opdatering (10 minutter): Nye use cases, nye værktøjer?

  • Investerings-opdatering (10 minutter): Er vi på sporet med licenser og kompetencer?

  • Beslutning (10 minutter): Skal der ændres på ressourcer eller retning?


Omkring en times tid to gange om året. Det er tilstrækkeligt til at bestyrelsen udfylder tilsynsansvaret uden at drukne i detaljer og administration.


Hvordan Toolpack hjælper bestyrelser

Toolpack har siden 2002 hjulpet danske virksomheder med økonomi- og ledelsesværktøjer, og siden 2023 specifikt med AI-forankring. Vi tilbyder tre ydelser målrettet bestyrelser:


💡AI-briefing til bestyrelsen: En fokuseret halvdags-seance hvor hele bestyrelsen får samme grundforståelse af AI-landskabet, jeres specifikke eksponering og konkrete governance-krav. Vi har leveret denne briefing til en række danske bestyrelser.


💡 Praktisk AI træning: En firma workshop tilpasset danske SMV'er. I får et vores best practice guides der tager udgangspunkt i use cases der sparer tid fra dag 1.


💡 Rapporteringsstruktur til bestyrelsen: Vi hjælper ledelsen med at opsætte en Bestyrelsesplatform der fungerer, og som giver bestyrelsen det overblik den har brug for.



Vi er Microsoft Partner og medlem af AI Kompetencepagten i Danmark. Vi har siden 2002 hjulpet over 3.000 danske virksomheder med økonomi- og ledelsesværktøjer. Vi er baseret i København og Silkeborg.

bottom of page