Tel: 70 26 48 50
Opret din support sag       Remote support 

Alternativ til Microsoft 365: skift eller sikr det I har?

IT-chef der sammenligner alternativ til Microsoft 365 med tjekliste for EU-data og kryptering

Alternativ til Microsoft 365: skift eller sikr det I har?

Af Sten Albert Person A-one Solutions ·
·
Kategori: Compliance & Sikkerhed

Presset for at droppe amerikansk IT rammer ofte midt i en travl hverdag: I skal være GDPR-sikre, NIS2-klare og stadig kunne arbejde effektivt. Hvis I vælger et alternativ til Microsoft 365 uden at kortlægge data og kontrolkrav, ender I typisk med flere systemer, flere supportaftaler og flere risici. I kan ofte nå samme “digitale suverænitet” ved at hærde Microsoft 365 korrekt med EU-placering, styring og kryptering. Her får I en beslutningsmodel, der kan bruges i et ledelsesmøde.

  • Vælg strategi på 30 minutter: Kortlæg data-typer og risikoniveau, og afgør om I skal exit, køre hybrid eller hærde M365.
  • Brug EU Data Boundary som baseline: Verificér tenant-region, dataplacering og behandlingsgrænser, og dokumentér det til audit.
  • Reducer Cloud Act-risiko teknisk: Krypter de mest følsomme informationsklasser med nøglekontrol (fx Double Key Encryption/Customer Lockbox) og håndhæv adgang.
  • Undgå “sikkerhed via geografi”: NIS2 handler om leverandørstyring og kontroller – ikke om at alt skal ligge i Danmark.
  • Bevar en exit-mulighed: Etabler backup, eDiscovery/retention og eksportprocesser, så I kan flytte data senere uden panik.

Beslutningsmatrix for exit, hybrid eller hærdet Microsoft 365

Hvordan vælger I mellem exit, hybrid og hærdet M365?

Start med at gøre beslutningen konkret. I vælger ikke “USA vs. EU”. I vælger et kontrolniveau pr. datakategori.

Tre realistiske strategier for en dansk virksomhed

  1. Total exit (nyt produktivitetslag): I udskifter mail/samarbejde/dokumenter (fx open source alternativer til Office 365). Giver mest uafhængighed, men koster mest i ændringsledelse, integrationer og drift.
  2. Hybrid (del jer op): Teams/Outlook/Office bliver, mens særligt følsomme data flyttes til dansk/EU-hosting eller et afgrænset miljø. Giver kontrol uden at smadre hverdagen.
  3. Hærdet Microsoft 365: I bruger Microsoft EU Data Boundary som fundament og lægger kryptering, adgangsstyring og audit ovenpå. For mange Virksomheder er det den hurtigste vej til GDPR og NIS2-klarhed.

Beslutningsregler (brug dem som ledelsesbeslutning)

  • Vælg total exit hvis I har et eksplicit krav om leverandør-immunitet (fx kontrakt/branchekrav), og I accepterer funktionstab og ekstra drift.
  • Vælg hybrid hvis I har få dataområder med høj følsomhed (R&D, advokatmapper, helbredsoplysninger) og resten er almindelig forretning.
  • Vælg hærdet M365 hvis jeres største risiko er governance (deling, rettigheder, shadow IT) og I vil minimere TCO og friktion.

Kilde-pejlinger for 2026: Microsoft har færdigudrullet EU Data Boundary ultimo 2025 (Microsoft Trust Center/Brad Smith). EU-US Data Privacy Framework er gældende, men juridisk omdiskuteret (Europa-Kommissionen/NOYB). NIS2 kræver dokumenteret leverandørstyring – ikke et forbud mod amerikansk software (Erhvervsstyrelsen/CIS).

Hvorfor “data i Danmark” ikke automatisk gør jer mere sikre

“Sikker cloud løsning Danmark” bliver ofte oversat til “vi flytter alt til en dansk hoster”. Det kan give ro i maven, men det kan også skabe en ny risiko: manglende modenhed i sikkerhedsdrift og dokumentation.

Før → Efter (1):
Før: I har én filserver hos en mindre leverandør, patching sker “når der er tid”, og I kan ikke hurtigt dokumentere hændelser og adgang.
Efter: I har standardiserede politikker, logning og adgangsreviews, og I kan levere audit-materiale fra Microsoft-portaler + jeres egne kontroller. Resultatet er færre åbne delinger og hurtigere afklaring ved incidents.

Under NIS2 er supply chain-sikkerhed en ledelsesopgave: I skal kunne dokumentere, hvem der har adgang, hvordan data er beskyttet, og hvordan I håndterer hændelser. Store platforme har ofte mere “audit-ready” materiale. Det fritager jer ikke. Men det gør kontrollen lettere, hvis I sætter den rigtigt op.

Illustration af EU Data Boundary og kryptering som lag oven på Microsoft 365

Sådan mindsker I risikoen fra amerikansk IT lovgivning og data

Hvis bekymringen er US Cloud Act, er det ikke nok at kigge på datacenterland. Det centrale er: kan leverandøren teknisk læse jeres data, hvis de bliver presset?

Tre kontroller, der gør en praktisk forskel

  • Klassificér og segmentér data: Definér 3–5 informationsklasser (fx Offentlig, Intern, Fortrolig, Særligt fortrolig) og bind dem til konkrete regler for deling og kryptering.
  • Håndhæv nøglekontrol på “Særligt fortrolig”: Brug krypteringsmodeller hvor nøglerne ikke ligger frit tilgængeligt for leverandøren (fx Double Key Encryption) og begræns ad hoc-supportadgang (Customer Lockbox).
  • Begræns spredning: Luk for anonym deling, tving gæsteadgang gennem godkendte processer, og brug DLP/retention på de mest kritiske områder.

Før → Efter (2):
Før: Persondata ligger i Teams-kanaler, OneDrive og mail uden fælles regler. Når en kunde beder om indsigt, bruger I dage på at lede.
Efter: I har labels/retention, søgning og eDiscovery-arbejdsgang. I kan afgrænse, eksportere og dokumentere på timer i stedet for dage.

Vil I have et konkret svar på, om jeres opsætning er “suveræn nok”?
Book en kort Sovereignty Assessment. Vi gennemgår jeres tenant-indstillinger, delingspolitik, logning og krypteringsmuligheder – og giver jer en prioriteret handlingsliste.

Kontakt A-one Solutions eller læs mere om vores compliance-ydelser og IT-sikkerhed.

Tjekliste: sådan verificerer I Microsoft EU Data Boundary i jeres miljø

EU Data Boundary er en leverandør-ramme, ikke en trylleknap. I skal stadig kontrollere jeres egen konfiguration, især fordi deling, supportflows og tredjepartsapps kan flytte risikoen.

Kontrolpunkt Hvad I tjekker Hvad der er “OK” for de fleste Rød flag
Tenant-region og dataplacering Hvor jeres M365-tenant er provisioneret, og hvor kerne-data ligger EU/EØS-placering dokumenteret til audit Uklare svar fra leverandør/partner, eller “vi tror det er EU”
Support-adgang Hvem kan få adgang ved fejlretning, og hvordan det godkendes Godkendelsesflow og sporbarhed (fx Lockbox-princip) ”Support kan altid se med” uden godkendelse og log
Logning og auditspor Om I kan dokumentere adgang, deling og hændelser Central logning, retention og faste rapporter Logs er spredt, korte retention-perioder eller ikke tilgængelige
Deling (OneDrive/SharePoint/Teams) Gæsteadgang, links, ekstern deling og “alle-med-link” Ekstern deling begrænset og styret pr. site/gruppe Anonyme links som standard og ingen ejer-ansvar
Tredjeparts-apps og connectors Apps der læser mail/filer og sender data ud af tenant Godkendt app-katalog + løbende review Brugerne kan selv godkende apps uden kontrol
Kryptering for særligt følsomme data Om udvalgte data kan gøres ulæselige uden jeres nøgle Policy for “Særligt fortrolig” med nøglekontrol Alt ligger “standard-krypteret” uden klassificering

Fejl der koster mest, når man leder efter et alternativ til Microsoft 365

  • I flytter værktøjer, men ikke adfærd: Uden delingspolitik, adgangsreviews og dataejerskab flytter I bare rod fra A til B.
  • I undervurderer TCO ved best-of-breed: Flere leverandører betyder flere kontrakter, flere integrationer og flere steder, hvor fejl kan opstå (Forrester TEI peger generelt på højere kompleksitet).
  • I glemmer exit-planen: Uden backup og testet eksport kan I ikke skifte leverandør hurtigt, hvis TDPF eller nye Schrems-sager ændrer spillereglerne.
  • I måler ikke drift: Hvis I ikke måler patching, MFA-dækning, enhedscompliance og phishing-respons, ved I ikke om sikkerheden bliver bedre.

Tjekliste for NIS2 leverandørstyring og dokumentation i cloud

Sådan gør I NIS2 leverandørstyring praktisk (uden at skifte alt)

NIS2 kræver, at I styrer leverandørrisiko. Det kan I gøre med en enkel model, også selvom I fortsat bruger Microsoft 365 og Azure.

Mini-framework: 10 kontrolspørgsmål til jeres cloudleverandører

  1. Hvilke data behandler leverandøren for jer, og i hvilke systemer?
  2. Hvor ligger data (og logs), og kan det dokumenteres skriftligt?
  3. Hvordan håndteres administratoradgang (MFA, godkendelser, mindst mulige rettigheder)?
  4. Hvilke certificeringer/rapporter kan leverandøren levere til audit (og hvor ofte)?
  5. Hvilken hændelsesproces har leverandøren (tidsfrister, kontaktpunkter, eskalering)?
  6. Hvordan håndterer de sårbarheder og patching (SLA og sporbarhed)?
  7. Hvilke underleverandører bruges, og hvordan er de styret?
  8. Hvordan sikrer I data ved exit (eksportformater, tidsplan, omkostninger)?
  9. Kan I få adgang til logs og revisionsspor uden ekstra projekter?
  10. Har I selv en ejer pr. system (ansvar for politikker og reviews)?

FAQ: hurtige svar på det I typisk googler

Er OneDrive lovligt i Danmark?

Ja, hvis I har et gyldigt overførselsgrundlag og de rigtige tekniske/organisatoriske kontroller. Tommelfingerregel: brug EU-placering, styr deling stramt, og klassificér/krypter de mest følsomme data.

Hvad er det bedste alternativ til Microsoft 365 for en Virksomhed?

Hvis I har behov for én samlet suite med mail, kalender, dokumenter, møder og styring, er “ét-til-ét” alternativer få. Beslutningsregel: Hvis I ikke kan afsætte interne kræfter til drift/integrationer, er hærdet M365 eller en hybridmodel typisk mere realistisk end et fuldt skifte.

Hjælper Microsoft EU Data Boundary på GDPR?

Ja som baseline for datalagring og -behandling i EU, men det erstatter ikke jeres governance. I skal stadig kunne dokumentere adgang, deling, retention og tredjepartsapps. Brug tjeklisten i artiklen som minimum.

Beskytter kryptering mod US Cloud Act?

Kryptering hjælper, hvis nøglerne er under jeres kontrol, så data er ulæselige uden jeres medvirken. Tommelfingerregel: Krypter “Særligt fortrolig”-klassen med stærk nøglekontrol og begræns support-adgang via godkendelsesflow og log.

Nextcloud vs Microsoft 365 erhverv: hvornår giver Nextcloud mening?

Nextcloud kan give god kontrol over filsynk og samarbejde, især hvis I vil hoste selv eller i EU. Det giver mest mening, når jeres behov primært er filer og deling, og I accepterer færre enterprise-funktioner til enheder, identitet og sikkerhedsrapportering end i Microsoft-økosystemet.

Hvad kræver NIS2 af vores cloudleverandører?

NIS2 presser jer til at dokumentere leverandørstyring: adgangsstyring, hændelsesprocesser, sårbarhedshåndtering, underleverandører og exit. Praktisk regel: Hvis leverandøren ikke kan levere audit-rapportering og klare processer uden særprojekter, bliver NIS2 dyrt for jer.

Hvad gør vi, hvis TDPF bliver udfordret igen (Schrems-lignende sager)?

Byg en plan, der ikke kollapser ved juridiske ændringer: 1) segmentér data, 2) krypter de højeste klasser, 3) hold en testet eksport/backup-proces, 4) begræns tredjepartsapps. Så kan I flytte eller stramme krav uden at stoppe driften.

Sådan kommer I i gang de næste 14 dage

  1. Lav en datakortlægning på 2 timer: Hvilke datatyper har I (persondata, kontrakter, R&D), og hvor bor de (Teams, SharePoint, mail, lokale shares)?
  2. Definér 3–5 informationsklasser: Skriv én side med regler for deling, retention og kryptering pr. klasse.
  3. Auditér deling og gæsteadgang: Luk for anonyme links som standard, og udpeg ejere på de vigtigste teams/sites.
  4. Planlæg “Særligt fortrolig” zonen: Vælg hvor den skal ligge (hærde M365 med nøglekontrol eller hybrid til dansk/EU-hosting) og hvem der må administrere den.
  5. Indfør leverandørcheck for NIS2: Brug de 10 kontrolspørgsmål og få mangler ind i kontrakt-/handlingsplan.
  6. Test exit og gendannelse: Kør en lille øvelse: eksportér et site, genskab en mailbox, og dokumentér tidsforbrug og ansvar.

Hvis I vil have hjælp til at prioritere kontrollerne, kan I starte med en gennemgang af jeres Microsoft 365-opsætning og de mest relevante sikkerhedsindstillinger, eller tage næste skridt med drift via managed services.

Facebook Linkedin

Artikler om Sikkerhed

E-mail sikkerhed er en gratis garanti hos os!

E-mail sikkerhed er en gratis garanti hos os!

Bya-os.dk 07/03/2024
Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Microsoft 365 Backup & Archive – hurtig og præcis hjælp

Bya-os.dk 10/10/2023

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

Book møde