Vad är Stacken.ai och vem är den för?

Stacken.ai är en AI-plattform byggd på öppen källkod som låter offentlig sektor köra AI i en miljö de själva kontrollerar, utan att data lämnar Sverige eller EU.

Miljön kan vara egen drift eller ett dedikerat EU-moln. Den är för CIO:er och IT-chefer som vill använda AI brett men inte vill lägga sin data och sina modeller i en publik molntjänst de inte styr över. Kort sagt: en stack av AI-kapabiliteter där ni äger datan, väljer modellerna och kan se exakt vad som händer.

Varför det spelar roll

Svenska myndigheters AI-användning ökar, men många är fortfarande i en tidig fas. Regeringens sammanställning av 25 myndigheters AI-redovisning visar att AI redan bidrar till bättre beslutsstöd och effektivare processer, samtidigt som mognaden varierar kraftigt (källa: regeringen.se, 24 oktober 2025). Statlig sektor har kommit längre: omkring två tredjedelar av organisationerna i statlig sektor använde tekniken, medan andelen i regioner och kommuner låg på ungefär en fjärdedel (källa: SCB 2023, refererad i Nationalekonomiska Föreningen, “AI i offentlig sektor”, hämtad 2026-06).

Marknaden rör sig alltså uppåt, men den saknar säker infrastruktur att bygga på. Det är där frågan om var AI:n körs blir avgörande. En publik AI-tjänst innebär ofta att känsliga uppgifter, prompts och svar passerar en leverantör i tredje land. För en myndighet där medborgare inte kan välja bort behandlingen, och där offentlighets- och sekretesslagen styr, är det inte en bekvämlighetsfråga utan en kontrollfråga.

Det regulatoriska trycket pekar åt samma håll. Digg och Integritetsskyddsmyndigheten lanserade nationella riktlinjer för generativ AI i offentlig förvaltning den 21 januari 2025, med syftet att stärka förmågan att använda AI säkert, etiskt och effektivt (källa: Digg, pressmeddelande 2025-01-21). IMY har dessutom pekat ut AI i offentlig sektor som ett av tre prioriterade områden för vägledning och tillsyn 2026, vid sidan av barn och unga samt brottsbekämpning, just för att medborgare i kontakt med offentliga verksamheter ofta inte kan välja bort behandlingen och för att AI-system där kan hantera känsliga personuppgifter (källa: imy.se, “IMY:s prioriteringar 2026”, publicerad 2026-02-03, hämtad 2026-06).

Bakom riktlinjerna ligger en fråga om datasuveränitet, alltså vem som ytterst råder över var data lagras och vilka lagar den lyder under. En publik AI-tjänst driven av en amerikansk leverantör kan i princip omfattas av tredjelandslagstiftning, oavsett var servern fysiskt står. För en svensk myndighet är det en risk som inte går att avtala bort fullt ut. En plattform som körs i en miljö ni själva kontrollerar tar bort den osäkerheten vid roten, i stället för att hantera den i efterhand.

Hur det fungerar

Stacken är inte ett enskilt verktyg utan en stapel, flera AI-kapabiliteter samlade på en gemensam bas av öppen källkod. Namnet beskriver just det: en “stack” där modellkörning, säkerhet, drift och tjänster ligger i lager ovanpå varandra.

Botten är öppna komponenter ni kan granska. Modeller körs via Ollama, ett ramverk för att köra open source-språkmodeller lokalt, så att ni kan välja och byta modell i stället för att vara låsta vid en leverantörs urval. Allt driftas på Kubernetes, ett system för att köra och skala applikationer i containrar, vilket ger en säkerhetsarkitektur med löpande patchning och övervakning.

Tre saker definierar plattformen i praktiken:

• Var den körs. On-premise i ert eget datacenter eller i ett dedikerat EU-moln. Datan stannar i Sverige eller EU och förs inte över till tredje land.
• Vad ni styr. Ni väljer modellerna, ni äger datan, och ni har detaljerad loggning över vad systemet gör, vilket är precis vad spårbarhetskraven förutsätter.
• Vem som sköter driften. Stacken levereras som en managerad tjänst. Säkerhetsövervakning, sårbarhetshantering och patchning ingår, förstärkt av att Digitalist är ISO 27001-certifierat för informationssäkerhet.

Ovanpå basen bygger ni de faktiska AI-tjänsterna: assistenter, agenter och RAG-applikationer (Retrieval-Augmented Generation, en arkitektur där modellen hämtar information från era egna källor innan den svarar). Eftersom hela kedjan ligger i en miljö ni kontrollerar går det att logga varje steg, vilken modell som svarade, på vilket underlag, och när.

Den loggningen är inte ett tekniskt sidospår. Den är det som gör en AI-tjänst granskbar. När en handläggare får ett svar och frågar varför, ska det gå att visa vilket dokument svaret byggde på och vilken modellversion som genererade det. I en publik tjänst sker det resonemanget bakom en leverantörs stängda dörr. På Stacken sker det i loggar ni själva äger och kan exportera. Det är samma princip som gör open source-basen viktig, kontroll bygger inte på löften, utan på att ni faktiskt kan se efter.

Affärsmodellen följer samma logik som driften. I stället för en licens per användare betalar ni en fast månadsavgift för plattform, applikation och drift i ett paket. Det gör kostnaden förutsägbar och tar bort licenstrappan som annars växer med varje ny användare. Stacken har en instegsnivå på 5 000 kronor; den fullständiga prislistan presenteras separat.

Det är här jämförelsen med en publik AI-tjänst blir konkret. Skillnaden mellan Stacken.ai och Microsoft Copilot är inte i första hand vad de kan, utan var de kör och vem som styr. Copilot lever i Microsofts moln, med ett urval modeller Microsoft bestämmer och en licens per användare. Stacken kör i er miljö, med modeller ni väljer och en fast avgift för helheten. Copilot vinner på snabb utrullning i en organisation som redan lever i Microsoft 365. Stacken vinner när datakontroll, modellvalfrihet och loggning väger tyngre än färdig integration. Det ena är inte bättre än det andra i absolut mening, de optimerar för olika saker.

När det passar

Stacken passar er som behöver använda AI på data ni inte får eller vill skicka ut ur EU. Det gäller särskilt:

• Offentlig sektor som behandlar uppgifter under offentlighets- och sekretesslagen, där kontroll över var data hamnar är ett krav, inte en preferens.
• Vård, finans och samhällsviktig verksamhet med motsvarande sekretess- och säkerhetskrav.
• Organisationer som vill skala AI brett och slippa att kostnaden stiger linjärt med antalet användare.
• Verksamheter som förbereder sig för EU AI Act och NIS2 och vill ha transparens, loggning och modellvalfrihet inbyggt från start i stället för påklistrat i efterhand.

Att bygga in spårbarhet och kontroll från början är billigare än att eftermontera dem när kraven slår till. EU AI Act trädde i kraft 1 augusti 2024. Delar av högrisk-reglerna sköts upp: efter den preliminära politiska överenskommelsen om Digital Omnibus den 7 maj 2026 flyttas tillämpningen för fristående Annex III-system till 2 december 2027 (källa: Europeiska unionens råd, 7 maj 2026). Men kraven på spårbarhet, loggning och riskhantering försvinner inte. De skjuts upp, inte bort. Transparenskraven för AI-genererat innehåll i artikel 50 träder dessutom i kraft redan 2 december 2026 (källa: Europeiska unionens råd, 7 maj 2026), så den som producerar innehåll med AI har kortare tid på sig än rubrikerna om “uppskjuten AI-förordning” antyder.

Open source-transparensen är inte en bonus i det sammanhanget utan själva poängen. När komponenterna är öppna går det att granska hur systemet fungerar, och när loggningen är detaljerad går det att visa vad det gjorde. Det är inbyggt, inte efterhandsklätt. För en organisation som ska kunna stå för sin AI inför tillsyn är skillnaden konkret: ni dokumenterar inte ett system ni inte kan se in i, ni läser av ett ni själva kör.

När det inte passar

Stacken är inte rätt för alla. Den som redan lever djupt i Microsoft 365 och vill ha AI inbäddat direkt i Word, Outlook och Teams får det snabbare med Microsoft Copilot. Stacken ersätter inte den integrationen, och för en organisation utan särskilda suveränitets- eller sekretesskrav kan en publik molntjänst vara både enklare och billigare att komma igång med.

En egen, kontrollerad AI-miljö innebär också att någon måste äga arkitekturen och besluten kring den. Vill ni inte ta det ansvaret, ens som managerad tjänst, utan bara ha en färdig assistent direkt ur lådan, är en publik tjänst en rakare väg. Stacken ger kontroll, och kontroll förutsätter att kontrollen används.

Plattformen är heller inget undantag från regelverket i sig. Den ger den tekniska grunden för att möta EU AI Act och NIS2, men det formella ansvaret för efterlevnad, dataskydd och riskbedömning ligger kvar hos er organisation. Tekniken bär er en bra bit, men inte hela vägen av sig själv.

Valet står alltså inte mellan bra och dåligt, utan mellan kontroll och bekvämlighet. Stacken väljer kontroll.

Konkret exempel

En svensk myndighet vill låta handläggare ställa frågor i naturligt språk mot sitt eget regelverk och sina egna ärenden, utan att uppgifterna lämnar landet. Lösningen blir en RAG-applikation på Stacken: en open source-språkmodell körs i myndighetens dedikerade EU-miljö, hämtar svar ur myndighetens egna dokument, och loggar varje fråga, källa och svar.

Resultatet är en assistent som svarar på verksamhetens egen data, där ingen prompt eller känslig uppgift passerar en leverantör i tredje land, och där loggarna ger det spårbarhetsunderlag som både EU AI Act och intern revision efterfrågar. När en ny modell blir bättre byts den ut utan att resten av plattformen rivs, modellvalfriheten är inbyggd.

Det avgörande är vad som inte händer. Inget medborgarärende lämnar EU. Ingen prompt hamnar i en träningsmängd ni inte styr över. Ingen funktion försvinner för att en leverantör beslutar att pensionera den. Myndigheten kan börja smalt med ett enda användningsfall och skala när tryggheten finns på plats, eftersom plattformen är densamma oavsett om en eller hundra tjänster körs ovanpå den.

Det är så Digitalist arbetar med AI i produktion generellt: spårbarhet och EU AI Act-mognad från start, inte ett labbexperiment som aldrig kommer fram. Som generell trovärdighetssignal mäter vi oss i resultat, inte i timmar, NPS 61. Och styrningen är granskad, inte påstådd: Digitalist var bland de första i Sverige att certifieras enligt ISO 42001, standarden för styrning av AI-system, av DNV Business Assurance (källa: DNV, 2025).

Vanliga missförstånd

“Open source betyder att vi måste bygga och drifta allt själva.” Stacken är byggt på öppen källkod men levereras som en managerad tjänst. Ni får transparensen och friheten från lock-in som den öppna basen ger, utan att själva behöva sköta drift, patchning och säkerhetsövervakning. Öppen källkod och färdig drift utesluter inte varandra.

“En privat AI-plattform betyder att vi är låsta vid en sämre modell.” Tvärtom, poängen med Stacken är modellvalfrihet. Eftersom modeller körs via Ollama kan ni välja bland öppna modeller och byta när en bättre kommer, utan att lämna plattformen. Ni är inte låsta vid en leverantörs urval, vilket är just vad en publik molntjänst ofta innebär.

“AI-förordningen sköts upp, så vi kan vänta med allt det här.” Uppskjutningen av högrisk-reglerna ger andrum, inte amnesti. Kraven på spårbarhet, loggning och riskhantering kommer, och Sverige rör sig dessutom snabbare än EU-tidslinjen, IMY granskar AI i offentlig sektor redan 2026. Att förbereda nu, på en plattform som redan är byggd för kraven, är billigare än att retrofitta 2027.

Frågan är till sist inte om ni ska använda AI, utan vem som ska äga datan, modellerna och loggarna när ni gör det. Stacken är svaret för dem som vill att det ska vara de själva.