KÄLLKOD OCH IP
Exempel för ingenjörer
När en ingenjör förklarar en teknisk avvikelse för kollegor utanför specialistgruppen är huvudfrågan inte om AI kan skriva texten, utan vilka uppgifter, beslut och ansvar som får hanteras. Dokumentera dataklass, vem som granskar och vilket underlag som måste verifieras.
Källkod är ofta organisationens viktigaste immateriella tillgång
Att skicka källkod till ett externt AI-system innebär att koden lämnar din organisations kontrollerade miljö. Beroende på vilket AI-verktyg du använder och vilket avtal din organisation har, kan den koden potentiellt lagras, analyseras eller i värsta fall bli en del av träningsdata.
Det är en avvägning som måste göras medvetet — inte av slentrian.
Kod och data som aldrig matas in i icke-godkända system
- Affärskritisk proprietär kod. Algoritmer, affärslogik och kärnkomponenter som utgör er konkurrensfördel.
- Säkerhetskritisk kod. Autentisering, krypteringsimplementationer, säkerhetspolicyer och behörighetslogik.
- API-nycklar och hemligheter. Aldrig i klartext i en prompt. Ersätt med platshållare som `API_KEY_HERE` innan du klistrar in kod.
- Personuppgifter i koden. Testdata, loggfiler eller databasscheman som innehåller verkliga personuppgifter.
- Kod under NDA. Om du arbetar med en kunds kodbas under sekretessavtal täcker det sekretessen även när du ber om AI-hjälp.
AI-genererad kod och immateriella rättigheter
AI-genererad kod skapar juridiska frågor som inte är fullt ut avgjorda. Några saker att vara medveten om:
- Äganderätt. De flesta AI-leverantörers villkor anger att du äger output du genererar. Men kontrollera din leverantörs aktuella villkor.
- Licensrisker. AI-modeller är tränade på kod med varierande licenser. Det är oklart om genererad kod kan vara skyddad av open source-licenser (t.ex. GPL). Vid kommersiell kod i känsliga sammanhang — rådgör med juridik.
- Upphovsrätt till AI-output. I de flesta jurisdiktioner kan inte AI-genererat innehåll skyddas av upphovsrätt (kräver en mänsklig skapare). Det påverkar hur ni kan skydda AI-genererad kod kommersiellt.
Vilka AI-verktyg är okej för källkod?
- GitHub Copilot Business/Enterprise: Microsofts och GitHubs avtal för betalversioner garanterar att kod inte används för träning. Vanligtvis godkänt för proprietär kod om din organisation har enterprise-licens.
- Claude for Work / ChatGPT Enterprise: Databehandlingsavtal finns. Kontrollera att din organisations avtal täcker den kod du vill arbeta med.
- Lokalt körda modeller (Ollama, LM Studio): Koden lämnar aldrig din maskin. Bästa alternativet för känsligaste källkod — kräver lokal hårdvara.
- Gratis konsumentkonton: Undvik proprietär och affärskritisk kod. Bra för generella frågor, lärande och icke-känslig kod.
En snabb kontroll innan AI-kod går vidare
- Kontrollera licensrisken: särskilt om lösningen liknar kod du själv inte skulle ha skrivit på det sättet.
- Kontrollera säkerheten: validering, autentisering, felhantering och loggning måste granskas manuellt.
- Kontrollera versionspassning: AI föreslår ofta syntax eller API-anrop som inte matchar din faktiska stack.
- Kontrollera datakällan: ingen hemlig testdata, riktiga nycklar eller känsliga loggar ska finnas kvar.
- Kontrollera ägarskapet: om det råder tvekan om avtal, NDA eller kundkod ska frågan lyftas innan något checkas in.
NIS2-direktivet och säkerhetskritiska system
NIS2-direktivet (EU 2022/2555), implementerat i Sverige 2024, ställer krav på cybersäkerhet för essentiella och viktiga entiteter — energi, transport, hälsa, vattenförsörjning, digital infrastruktur och flera andra sektorer. Om du arbetar med system i dessa sektorer är följande relevant:
- Riskhantering för AI-verktyg. Organisationen måste ha processer för riskhantering. Att introducera AI-genererad kod i kritiska system utan tillräcklig granskning kan strida mot dessa krav. AI-verktyg som används i kritiska processer räknas som mjukvaruleverantörer i leverantörskedjan.
- Incidentrapportering. Säkerhetshändelser kopplade till AI-verktyg — t.ex. en prompt injection som lett till dataintrång — kan behöva rapporteras till MSB. Allvarliga incidenter: tidig varning inom 24 timmar, fullständig rapport inom 72 timmar, slutrapport inom en månad.
- Proprietär kod och IP-äganderätt. AI-genererad kod saknar normalt upphovsrättsskydd (ingen mänsklig skapare → ingen upphovsrätt). Det skapar en lucka: kod ditt företag "äger" men som inte skyddas. Granska era anställningsavtal och policies kring IP — och kontrollera vad er AI-leverantörs villkor säger om äganderätt till output i enterprise-avtal.
Primärkällor för regler som påverkar AI för ingenjörer och utvecklare
- EU-kommissionen — AI Act (transparenskrav, högrisksystem, skyldigheter för AI-leverantörer) (öppnas i ny flik)
- Myndigheten för samhällsskydd och beredskap (MSB) — vägledningar för cybersäkerhet och NIS2 (öppnas i ny flik)
- Integritetsskyddsmyndigheten (IMY) — GDPR och inbyggt dataskydd (privacy by design) (öppnas i ny flik)
- EU-kommissionen — NIS2-direktivet (cybersäkerhet för kritisk infrastruktur) (öppnas i ny flik)
NÄSTA STEG
Etik och juridik
Får jag klistra in proprietär kod i AI-verktyg?
Inte i konsumentversionen av ChatGPT, Claude eller Gemini. Använd GitHub Copilot Business/Enterprise eller anpassade enterprise-instanser med dokumenterad ingen-träning-policy. Aldrig hemlig kod, API-nycklar eller credentials.
Hur ansvarar jag för säkerhetshål som AI har genererat?
Som om du själv skrivit koden. AI-genererad kod kräver samma security review, dependency check och peer review som handskriven kod. CVE:er, injektionssårbarheter och felaktig kryptering är ditt ansvar.
Vad gäller för AI och öppen källkod?
AI-genererad kod kan innehålla mindre snuttar från träningsdata. Granska alltid om koden liknar känd GPL- eller AGPL-licensierad kod innan publicering, särskilt vid kommersiell användning.