Avslöjar: 1,5 miljoner berörda i Arbetsförmedlingens AI-härva

Aftonbladet och Publikt har tidigare rapporterat om turerna kring Arbetsförmedlingens it-avdelning. Techtidningens genomgång av anmälan visar nu nya uppgifter om omfattningen av personuppgiftshanteringen – och om hur data hämtades från Skatteverket efter att en intern funktion sagt nej.

Kontrollplattformen började utvecklas 2023 för att hjälpa Arbetsförmedlingen att upptäcka felaktiga utbetalningar och välfärdsbrottslighet. För att fungera behövde plattformen stora mängder data.

Avdelningen AI och data ville först hämta uppgifter från Arbetsförmedlingens Masterdata, där myndighetens samlade data hanteras. Men ansvariga för Masterdata sa nej eftersom Arbetsförmedlingens interna säkerhetsprocess, Säkerhetsresan, inte var genomförd.

Därefter hämtades uppgifterna i stället från Skatteverkets databas Navet, enligt Arbetsförmedlingen.

Totalt gäller det personuppgifter kopplade till cirka 1,5 miljoner personer. Myndigheten framhåller att uppgifterna inte användes i ordinarie verksamhet, utan i testverksamhet.

Två incidenter anmäldes till Integritetsskyddsmyndigheten

I anmälan beskrivs kontrollplattformen som en miljö med flera databaser och tekniska lösningar. Där ingick bland annat en grafdatabas, som kunde hitta kopplingar mellan personer, företag och andra aktörer, samt en språkmodell som skulle tolka och visa informationen.

Enligt Arbetsförmedlingen behandlades personuppgifter i plattformen under 2023 och 2024, trots att Säkerhetsresan inte var genomförd.

Först under 2025 inleddes processen. När laglighetsbedömningen senare blev klar konstaterades att en konsekvensbedömning behövde göras. Innan den var avslutad fick personuppgifter inte behandlas, enligt Arbetsförmedlingens bedömning.

Den 29 och 30 januari 2026 anmälde Arbetsförmedlingen två personuppgiftsincidenter till Integritetsskyddsmyndigheten, IMY. Den ena gäller uppgifter från Skatteverkets Navet. Den andra gäller uppgifter från en källa som är maskad i dokumentet.

Myndigheten skriver att den, utan en fullständig säkerhetsprocess och konsekvensbedömning, ännu inte har säkerställt att plattformen uppfyller kraven på informationssäkerhet och dataskydd.

Arbetsförmedlingen bedömer att hanteringen innebar en stor risk.

Myndigheten: Borde ha reagerat

Arbetsförmedlingen anser att Krister Dackland, som chef för verksamhetsområde it, hade ansvar för att projekten inom området följde gällande regler.

I anmälan skriver myndigheten att han informerades om utvecklingsarbetet och måste ha förstått att säkerhetsprocessen inte hade inletts när personuppgifter började behandlas.

Myndigheten hänvisar bland annat till en sms-konversation från juni 2023. Där ska Krister Dackland ha fått bekräftat att stora mängder uppgifter hade laddats ner från Navet till kontrollplattformen.

Krister Dackland har, enligt anmälan, invänt att kontrollplattformen var en försöksverksamhet och att Säkerhetsresan därför inte behövde vara genomförd tidigare, eftersom systemet inte var i produktion. Han har också uppgett att han varit långt från den operativa verksamheten och inte haft full insyn i alla detaljer.

Kritiken mot kontrollplattformen är inte den enda punkten i anmälan. Arbetsförmedlingen riktar också kritik mot Krister Dacklands medverkan i en annonskampanj för Capgemini, resor där leverantörer ska ha stått för kostnader och rekryteringar där myndigheten anser att regler har frångåtts.

Arbetsförmedlingen skriver att bristerna sammantaget visar på ett ”systematiskt och återkommande åsidosättande av regelverk och kontrollsystem”.

Myndigheten begär därför att Statens ansvarsnämnd i första hand ska besluta om avskedande. I andra hand vill Arbetsförmedlingen att Krister Dackland ska få en disciplinpåföljd.

Techtidningen har sökt Krister Dackland för kommentar via Arbetsförmedlingen. Arbetsförmedlingens presschef Hans G Larsson uppger att frågorna har vidarebefordrats till Krister Dackland och hans ombud.