AI-tjänster i skolan: köpa eller bygga eget?

Dags att investera i någon form av AI?

AI-tjänster kan skapa stor nytta i undervisning och administration och de behöver hanteras på samma strukturerade sätt som andra digitala tjänster, men med extra frågor kring data, transparens, ansvar och AI-förordningen.

Innan ni köper in, aktiverar eller funderar på att bygga en AI-lösning behöver ni förstå vilket behov som ska lösas, vilken data som hanteras, vilka regler som gäller, vilka roller som behöver involveras samt hur konkurrens och marknad påverkas.

Den här sidan i vår guide om AI-förordningen är tänkt som ett praktiskt stöd och hjälper er att veta vilka frågor ni behöver ställa innan ni går vidare. 

Sidan hänvisar till flera av de guider vi har här på Edtechkartan och den checklista för AI-transparens vi tagit fram. Den bygger också på den interimslösning som tagits fram av SKR och Ifous tillsammans med 16 olika organisationer, däribland oss, och som lanseras 1 juni 2026. 

Ja, AI är nytt – men i grunden data och informationshantering

Oavsett om ni ska köpa in en AI-tjänst, börja använda AI i en befintlig tjänst eller funderar på att bygga en egen AI-lösning behöver ni börja i samma grundfrågor. Har ni en rutin för köp av edtech/it-lösningar, utgå från den och lägg på frågor som är specifika för AI.

Utgå från era vanliga processer

AI-tjänster är digitala tjänster. Ni bör redan ha processer och modeller för inköp här som fångar frågor kring allt från behov och nyttor till införskaffning, välja och värdera, implementering, informationssäkerhet, avtal, förvaltning och uppföljning.

💡 Följ er vanliga modell för införskaffning av digitala tjänster och lägg på ett AI-raster.

Ta hjälp av våra guider

Vad är specifikt för AI?

Mycket kring införskaffning, implementering, informationssäkerhet och förvaltning är samma frågor som gäller för andra digitala tjänster. Det som är specifikt och extra viktigt för AI handlar framför allt om:

  • transparens
  • ansvar
  • dataanvändning
  • automatisering
  • AI-förordningen
  • hur AI påverkar människor och beslut

Börja alltid här:

(oavsett digital tjänst)

  • Vilket problem ska tjänsten lösa?
  • För vem skapas värde?
  • Vilka behov finns i verksamheten?
  • Finns redan en tjänst som löser samma behov?
  • Ska tjänsten komplettera eller ersätta något?
  • Hur ska tjänsten användas i praktiken?
  • Vilka effekter eller nyttor förväntas?
  • Är nyttan tillräckligt tydlig för att motivera kostnad, risk och införande?

💡 Många AI-initiativ drivs av entusiasm. Se till att ni tar fasta på behoven och börjar där.

Vad innebär AI-förordningen för er?

En viktig del när ni ska investera i AI på ett eller annat sätt är att ta reda på hur AI-förordningens olika delar gäller för er och leverantören. 

  • Vilken roll har ni enligt AI-förordningen?
  • Är AI-systemet högrisk, begränsad risk eller låg risk?
  • Behöver användare informeras om AI-användning?
  • Finns krav på dokumentation eller transparens?
  • Vem ansvarar om något går fel?

💡 AI-förordningen handlar om ansvar, transparens och riskhantering.

Kort om regelverken

Användning av AI-funktionalitet i utbildning omfattas av både dataskyddsförordningen (GDPR) och EU:s AI-förordning. När AI används i en tjänst och behandlar personuppgifter gäller samma grundläggande regler som för annan digital behandling av elev- och användardata. Det handlar bland annat om att det ska finnas en tydlig rättslig grund, att uppgifter bara får användas för bestämda ändamål och att användarna ska få tydlig information om hur deras data används.

Om AI används som stöd vid bedömning, progression eller tillgång till funktioner behöver det säkerställas att det finns mänsklig kontroll och att besluten kan förklaras. I vissa fall kan det också vara aktuellt att göra en konsekvensbedömning (DPIA), precis som vid andra behandlingar som innebär förhöjd risk. Huvudmannen ansvarar för att personuppgiftsbehandlingen sker korrekt i den egna organisationen, medan leverantören ansvarar för att tjänsten är utformad så att den kan användas på ett sätt som uppfyller regelverkets krav.

AI-förordningen kompletterar GDPR genom att ställa krav på transparens och dokumentation för AI-system. För vissa användningar inom utbildning, till exempel om AI används för att påverka bedömning eller tillträde, kan ytterligare krav gälla. Det innebär i praktiken att leverantören behöver ha ordning på riskhantering och dokumentation, och att kunden behöver säkerställa att tjänsten införs och används på ett ansvarsfullt sätt.

I mångt och mycket handlar det om vanligt informationssäkerhets- och dataskyddsarbete: ju mer direkt ett AI-system påverkar individer eller använder personuppgifter för att förbättra modeller, desto viktigare är det med tydlig ansvarsfördelning, dokumentation och intern genomgång före införande.

Vad är det för sorts AI?

AI kan betyda väldigt olika saker. Börja med att förstå vilken typ av AI det handlar om för att sedan gå vidare till om den påverkar beslut eller människor, vilken data som hanteras och huruvida den tränas på er data eller inte.

Är det generativ AI, språkmodell, AI-assistent eller AI-agent? Är AI en central funktion eller bara ett stöd? Är AI:n leverantörens egen eller från tredje part? Går det att förstå hur AI:n fungerar och används? Är AI-funktionen valbar eller aktiveras den automatiskt? 

💡 AI-tjänster kan använda data på andra sätt än traditionella digitala tjänster.

PS. Kika på sidan Vad är AI och vad behöver ni ha koll på? för exempel på AI

AI-specifika frågor: vår checklista för transparens

För leverantörer som erbjuder AI-funktionalitet i sina tjänster, har vi en checklista för transparens och dialog att använda. Här svarar leverantören på frågor som rör användningsområde, påverkan på beslut, eventuell modellträning och kompletterande frågor gällande dataskydd. Checklistan utgår från tre kategorier av AI: 

  • AI hjälper,
  • AI föreslår,
  • AI avgör.
Vad menas med att “bygga egen AI”?

Begreppet används ofta väldigt brett. I praktiken kan det handla om allt från att skriva en prompt till att utveckla ett helt eget AI-system. Skillnaden är viktig eftersom ansvar, kostnader och konkurrensfrågor förändras beroende på vad man faktiskt gör.

Att använda färdiga AI-tjänster, som ChatGPT eller AI-funktioner i befintliga system, innebär främst frågor om datahantering, transparens och användning i verksamheten.

Att skapa egna GPT:er, AI-assistenter eller AI-agenter innebär oftast att man bygger ovanpå en befintlig AI-modell från exempelvis OpenAI, Microsoft eller Google. Då utvecklar man normalt inte själva AI-modellen, men man ansvarar fortfarande för hur lösningen används, vilken data som hanteras och hur den förvaltas över tid. Här tillkommer ofta kostnader för tokenanvändning, API-anrop, support och förvaltning.

Att utveckla en helt egen AI-lösning är något betydligt större. Då handlar det om långsiktig utveckling, drift, säkerhet, juridik, kompetens och ansvar enligt AI-förordningen. Kostnaderna ligger sällan bara i att bygga första versionen, utan framför allt i förvaltning, integrationer, uppdateringar och specialistkompetens över tid.

Egenutveckling kan också väcka frågor kopplat till konkurrenslagen. Offentlig verksamhet behöver vara försiktig så att man inte utvecklar lösningar som redan finns på marknaden på ett sätt som riskerar att snedvrida konkurrensen eller tränga undan befintliga leverantörer. Därför är det viktigt att först undersöka vilka lösningar som redan finns och om behovet kan lösas genom upphandling eller samverkan med marknaden istället.

💡 Fokus bör normalt vara att använda och vidareutveckla marknadens lösningar där det är möjligt, inte att konkurrera med marknaden i onödan.

Funderar ni på att bygga eget?

Att bygga egen AI innebär ofta betydligt större ansvar, komplexitet och kostnader än många först tror. Det handlar inte bara om att “koppla på AI”, utan om långsiktig utveckling, drift, säkerhet, förvaltning och ansvar.

Det innebär ett större ansvar enligt AI-förordningen, större ansvar för data och säkerhet och krav på långsiktig förvaltning, förutom de lagliga frågorna gällande konkurrens och en fri, sund marknad. Utöver det ska så klart era behov av rätt kompetens samt löpande kostnader för AI-modeller och drift räknas in. 

Läs mer om konkurrens på rättvisa villkor på Swedish Edtech:s webb nedan.

Viktiga frågor att ta ställning till: 

  • Vad exakt är det ni vill “bygga”? 
  • Får ni bygga, dvs är det sanktionerat i er organisation?
  • Finns lösningen på marknaden idag? 
  • Finns leverantörer att använda som utvecklings- och samarbetspartners? 
  • Hur kommer det ni vill utveckla fungera i ert ekosystem av tjänster? Vilka beroenden finns att ta hänsyn till?
  • Vilka anledningar finns till att utveckla själva? 
  • Är det förenligt med LOU och konkurrenslagen?
  • Har ni resurser och kompetens för långsiktig förvaltning?

Kostnader att räkna med

AI-modeller och tokenkostnader

Många AI-lösningar bygger på externa AI-modeller från exempelvis OpenAI, Anthropic, Google eller Microsoft. Då kan bland annat kostnader per användning, betalning per token, avgifter för API-anrop, kostnader för datalagring och kostnader för avancerade modeller eller högre kapacitet tillkomma.

💡 Kostnaderna kan öka snabbt beroende på antal användare, mängden data och hur avancerade AI-funktionerna är.

Utveckling och kompetens

Egen AI-utveckling kräver kompetens i form av bland annat utvecklare, it-arkitekter, säkerhetskompetens, juridisk kompetens, dataskyddskompetens. 

Fråga därför:

  • Har vi rätt kompetens internt?
  • Behöver vi externa konsulter eller partners?
  • Finns resurser för långsiktig utveckling och support?
Förvaltning och drift

AI-lösningar kräver, precis som andra digitala tjänster, löpande arbete även efter lansering. Det kan handla om uppdateringar, integrationer, support, behörighetshantering, informationssäkerhet, övervakning och loggning, hantering av förändringar i AI-modeller och utbildning av användare. 

💡 Kostnaden ligger ofta inte i att bygga första versionen utan i att förvalta lösningen över tid. 

Juridik och ansvar

Beroende på lösningens användning kan kostnader också uppstå kring:

  • DPIA och dataskyddsarbete
  • juridisk granskning
  • avtal
  • incidenthantering
  • dokumentation enligt AI-förordningen
  • krav på transparens och mänsklig kontroll

Enkel vägvalskoll

Om svaret är ja…

…på någon av dessa frågor, involvera alltid  juridik/upphandling/DSO innan ni går vidare:

  • Tjänsten hanterar elevdata eller känsliga uppgifter.
  • AI används för bedömning, rekommendationer eller beslut.
  • Leverantören vill träna AI på er data.
  • Ni vill bygga en egen AI-lösning.
  • Liknande tjänster finns redan på marknaden.
  • AI-funktioner aktiveras i en befintlig tjänst utan nytt beslut.
Kortfattat
  1. Gör behovschecken.
  2. Inventera befintliga lösningar och marknaden.
  3. Gör en informationssäkerhetsklassning av data som hanteras/ska hanteras.
  4. Stäm av AI-förordningen, GDPR och konkurrensfrågan.
  5. Gå vidare till upphandling, avtal och införande först när ansvar och risker är tydliga.

Nedan finns flera checklistor att använda, framtagna inom det nationella interimsstödet AI för skolhuvudmän.

Olika perspektiv

Hur ska du veta om och hur ni kan investera i en AI-tjänst? Vilka perspektiv behöver du ha med för att ta ett välinformerat beslut? Det börjar i verksamhetens behov, men handlar också mycket om att identifiera vilken data som hanteras, hur verksamhetskritisk den är, vilka lagrum som finns att förhålla sig till och hur ni rent praktiskt ska använda tjänsten.

Behov

Grunden allt ska börja i. Vilka är behoven, varför behövs en ny tjänst eller produkt och vad förväntas den leda till? Effekter, nyttor, mål. Viktigt inför inköp och kanske ännu viktigare efter, dvs för uppföljning, utvärdering, utveckling.

Här ingår även följande delar:

  • Inventering.
    Ekosystemet av digitala tjänster som används. Vad finns idag, tjänster som täcker samma behov eller inte? Hur ska en ev ny AI-tjänst passa in. Ska den komplettera, ersätta?
    -> Se vår guide Att köpa Edtech (t.ex. sidan Systemkartan)
    -> Se även guiden Att välja digitala lärverktyg (ett stöd för lärarnas val av lärverktyg)
  • Identifiering
    Vad det är för AI-tjänst ni vill investera i?
  • Implementering
    Vilka behov finns i verksamheten när det kommer till implementering och användning. Support, utbildning, uppföljning. Riktlinjer.
    -> Se vår guide Att komma igång med Edtech
Data

AI-tjänsten är identifierad och nu kommer perspektivet datahantering in.

  • Vad är det för data/information som hanteras och varför. Personuppgifter, andra uppgifter, fritext, bearbetning osv.
  • Hur viktig är informationen? Hur verksamhetskritisk? Hur viktigt är det att den är tillgänglig (dygnet runt, vissa tider). Hur stor är skadan om något sker med informationen (läcker, hackas, försvinner, ändras)

Det är frågor som ligger till grund för informationssäkerhetsklassningen, dvs att avgöra hur skyddsvärdig informationen är och vilka lagar och regler som ni behöver följa. Klassningen hjälper er på vägen och bör göras med flera olika perspektiv (roller/kompetenser) med i arbetet.

Stöd: se bland annat SKR:s verktyg KLASSA.

Juridik

GDPR, AI-förordningen, Lagen om offentlig upphandling, Konkurrenslagen… De juridiska perspektiven är många. Informationssäkerhetsklassningen guidar er i vilka lagrum som är tillämpbara för att se till att ni använder AI-tjänsten på rätt sätt, att eventuella avtal finns på plats och att it-miljön är anpassad utifrån kraven.  

LOU behöver ni också ha koll på, dvs hur/om ni får lov att köpa AI-tjänsten. Ramavtal, direktupphandling osv. Läs mer om inköpsprocessen hos Upphandlingsmyndigheten nedan.

-> Se även vår guide Att köpa Edtech.

It-miljö & förvaltning

AI-tjänsten behöver fungera i er it-miljö. Det kan handla om hur användarkonton ska skapas, vilken sorts inloggning som behövs och vilken data som hanteras i AI-tjänsten och mellan den tjänsten och övriga ni använder. 

Även här är informationssäkerhetsklassningen en grundbult. Klassningen identifierar hur skyddsvärd informationen är, vilket i sin tur ställer relevanta krav på t.ex. inloggningen. 

Beroende på vad det är för AI-tjänst kommer ni behöva någon form av (system)förvaltning med koll på allt från eventuella integrationer, till uppdateringar, support och användning. Utgå från er vanliga modell för systemförvaltning.

Olika roller i arbetet

Vilka olika personer med olika perspektiv kommer du möta – behöver du möta –  i valet av AI-tjänster? Hur kan du vara trygg i att AI-tjänsterna ni använder är i enlighet med allt från verksamhetens behov till lagar och regler och att de hanteras och används på rätt sätt?  De olika rollerna och olika perspektiven är viktiga och allas kompetens behövs. Nedan några exempel på roller och perspektiv.

Skolchef

”Som skolchef är mitt perspektiv alltid helheten och verksamhetsnyttan, men också den ekonomiska hållbarheten i verksamheten. Budgeten ska räcka till alla områden och det gäller att leverera på vårt uppdrag. Som skolchef är därför mitt främsta fokus vid beslut om eventuell införskaffning av AI att lösningen har hög kvalitet, är säker och ekonomiskt hållbar för att ge långsiktigt värde för hela organisationen.”

  • Hur bidrar AI-lösningen till högre kvalitet i verksamheten?
  • Har vårt dataskyddsombud blivit inkopplad på frågan?
  • Är AI-lösningen ekonomiskt hållbar på lång sikt?
IKT-strateg

”Som IKT-strateg vill jag främja införandet av AI som kan stärka både undervisningen och skolans verksamhet i stort. Jag vill stötta lärarna i arbetet så att vi gör det här på rätt sätt. De tjänster vi använder behöver  snabbt och smidigt integreras i skolans it-infrastruktur och bli en naturlig del av vår digitala vardag.”

  • Hur kan AI bidra till att effektivisera arbetet och skapa mervärde för både elever och personal?
  • Vilken kompetensutveckling behövs för att personalen ska känna sig trygg och inspirerad att använda AI?
  • Hur vet jag att jag gör rätt som strateg? Att de AI-tjänster som lärarna använder är ok?
Systemförvaltare/It

”För mig som ska ansvara för att AI-tjänsten fungerar i drift och att de som ska ha behörighet och tillgång får det utan problem är det viktigt att det finns en tydlig kravspec på vad som ska göras, kanske utvecklas och förvaltas. En klassning av informationen som hanteras ger oss tydliga krav på vilken sorts inloggning som behövs t.ex.”

  • Från vilket/vilka andra system ska vi hämta information om användarna för att kunna skapa (provisionera) användarkonton?
  • Vilka beroenden finns till andra it-system som används, integrationer, data som ska överföras osv?
  • Vilka roller och behörigheter finns i tjänsten?
  • Behövs 2-faktorinloggning för alla, några, inga?
Dataskyddsombud (DSO)

”För mig är det avgörande att AI-tjänster, oavsett om de köps in eller utvecklas internt, hanteras med samma noggrannhet som andra It-tjänster när det gäller personuppgiftsbehandling. De måste uppfylla kraven enligt GDPR, vilket innebär att det ska finnas tydlig information om hur personuppgifter samlas in, används och lagras. Vi behöver göra en konsekvensbedömning av dataskyddet (DPIA) före implementering, särskilt om den behandlar känsliga uppgifter eller kan ha betydande påverkan på individers rättigheter och friheter.”

  • Hur säkerställs att AI-tjänsten uppfyller kraven enligt GDPR och den nya AI-förordningen (AI Act)?
  • Har en konsekvensbedömning av dataskyddet (DPIA) gjorts?
  • Hur är organisationen förberedd på att hantera incidenter, frågor om personuppgifter och utbilda personalen kring risker och möjligheter med AI?
Leverantören

”För oss som leverantörer är det viktigt att det finns ett avtal på plats som reglerar affären och talar om vilka tekniska och organisatoriska förutsättningar som finns, så vi förstår vad vi eventuellt behöver tänka på, utveckla, förbereda och hur vår kontakt framåt ser ut och fungerar.”

  • Vilka systemberoenden finns för att integrera tjänsten i ert ekosystem?
  • Vilka sätt för provisionering och inloggning används?
  • Vilka kontaktpersoner har vi hos er, vår kund? För avtal, för implementering, för support osv.

Läst hela vägen hit och tänker att du vill ha hela sidan i en pdf? Klicka här!

Synpunkter

Har du frågor eller funderingar gällande materialet?
Hör gärna av dig till oss på Swedish Edtech!