
Ekstern IT-afdeling: SLA’er, ansvarsfordeling og fælder I skal kende
·
Kategori: Drift
Jeres ekstern IT-afdeling lover “hurtig support” og “proaktiv overvågning”. Men hvad sker der, når en kritisk server går ned fredag kl. 16:30 – og kontrakten ikke definerer, hvornår problemet skal være løst? Mange danske SMV’er opdager først hullerne i deres IT-aftale, når skaden er sket. Denne guide giver jer konkrete værktøjer til at måle, styre og – hvis nødvendigt – skifte jeres IT-leverandør.
Det vigtigste I tager med
- Kræv forretnings-SLA’er – ikke bare oppetid på en server, men Mean Time To Resolution (MTTR) på de problemer, der rammer jeres medarbejdere.
- Kortlæg ansvaret med en RACI-model – så I ved præcis hvem der ejer patching, backup-test og sikkerhedshændelser.
- Byg exit-strategien ind fra dag ét – dokumentation, dataejerskab og licensportabilitet skal stå i kontrakten, før I underskriver.
- Gennemskue prismodellen – en lav per-bruger-pris dækker sjældent sikkerhed, proaktiv rådgivning og akut support uden for normal arbejdstid.
- Auditér jeres leverandørs egen sikkerhed – under NIS2 hæfter I for jeres supply chain, inklusiv jeres IT-partners sikkerhedsniveau.
Hvorfor “hurtig support” ikke er en SLA
De fleste danske IT-leverandører markedsfører sig med svartider. Men svartid og løsningstid er to vidt forskellige ting. At en tekniker svarer inden for 15 minutter hjælper ikke, hvis problemet først er løst 8 timer senere.
Ifølge Forrester (2024) vægter SMV’er nu beviselige SLA’er højere end ren omkostningsreduktion ved valg af Managed Service Provider. Alligevel mangler de fleste danske IT-aftaler konkrete metrikker.
Før: Jeres aftale siger “svartid inden for 1 time”. En medarbejder melder en printerfejl og en nedbrud på jeres ERP-system. Begge får samme prioritet.
Efter: I har defineret 3 prioritetsniveauer med separate MTTR-krav. ERP-nedbrud (P1) har en MTTR på 2 timer med eskalering til leverandørens specialist. Printerfejl (P3) løses inden for 8 timer. Resultat: Forretningskritiske systemer får den opmærksomhed, de kræver.
Tre SLA-metrikker I skal have i kontrakten
- MTTR pr. prioritetsniveau – Mål den faktiske løsningstid, ikke bare hvornår nogen svarer.
- Proaktiv patch-kadence – Hvor hurtigt rulles kritiske sikkerhedsopdateringer ud? Kræv maks. 72 timer for kritiske CVE’er.
- Rapporteringsfrekvens – Månedlig rapport med faktisk MTTR, antal hændelser og trend. Uden data kan I ikke styre leverandøren.
Sådan fordeler I ansvaret med en RACI-model
Co-managed IT er den model, der vokser hurtigst blandt SMV’er ifølge Gartner (2025). I stedet for at erstatte jeres interne IT-funktion supplerer den eksterne partner med 24/7 sikkerhedsovervågning og cloud-styring. Men modellen kræver krystalklar ansvarsfordeling.
RACI står for Responsible (udfører), Accountable (beslutter), Consulted (rådgiver) og Informed (orienteres). Her er et konkret eksempel:
| Opgave | Intern IT-chef | Ekstern IT-partner | Ledelse |
|---|---|---|---|
| Daglig drift og helpdesk | I (Informed) | R (Responsible) | I |
| Sikkerhedspolitik og governance | R | C (Consulted) | A (Accountable) |
| Patch management | C | R | I |
| Microsoft 365-licenser og konfiguration | A | R | I |
| Backup-test og disaster recovery | C | R | A |
| NIS2 compliance-dokumentation | R | C | A |
| Budgettering og leverandørstyring | R | I | A |
Gennemgå denne tabel med jeres leverandør. Hvis der er opgaver, hvor ingen er Accountable, har I fundet et hul, der vil koste jer.

Fejl der koster: Skjulte omkostninger i IT-outsourcing
En lav per-bruger-pris ser attraktiv ud i budgettet. Men Deloitte (2024) viser, at kun 34 % af virksomheder nu vælger outsourcing primært for at spare penge. Årsagen: De skjulte omkostninger æder besparelsen.
Fem poster I skal spørge ind til
- Akut support uden for arbejdstid – Er det inkluderet, eller betaler I pr. hændelse? Kræv en fast pris for 24/7 dækning.
- Onboarding/offboarding af medarbejdere – Mange leverandører tager ekstra pr. bruger-opsætning.
- Sikkerhed som tillæg – Hvis antivirus, MFA-opsætning og SOC-overvågning er “add-ons”, er grundpakken utilstrækkelig.
- Projektarbejde vs. drift – Flytning til Azure, migrering af mailsystem eller opgradering af netværk faktureres typisk separat. Få det defineret.
- Shadow IT-oprydning – Hvis leverandøren ikke aktivt scanner for uautoriserede SaaS-tjenester, vokser jeres angrebsflade i det skjulte.
Før: I betaler 299 kr./bruger/md. Alt virker billigt – indtil en ransomware-hændelse afslører, at backup-test og SOC ikke var inkluderet. Genopretning koster 6 ugers nedetid og en sekscifret regning.
Efter: I betaler 549 kr./bruger/md. med integreret sikkerhed, backup-verifikation og defineret incident response. Jeres reelle totalomkostning er lavere, fordi I undgår katastrofe-scenariet.
Er jeres IT-aftale gennemsigtig? Book et uforpligtende tjek af jeres nuværende IT-setup og SLA’er. Vi gennemgår kontrakten og vurderer, om I får den værdi, I betaler for. Kontakt os her.
Sådan bygger I en exit-strategi før I underskriver
ENISA (2024) peger på supply-chain sikkerhed som topprioritet og anbefaler, at kunder kræver exit-strategier af deres IT-leverandør. NIST SP 800-161 kræver “right to audit” og klare regler for dataoverdragelse. Alligevel mangler exit-klausuler i de fleste danske IT-aftaler.
Tjekliste: 6 punkter jeres exit-strategi skal dække
- Dataejerskab – Kontrakten skal eksplicit fastslå, at alle data tilhører jer. Ingen undtagelser.
- Dokumentationsoverdragelse – Netværksdiagrammer, adgangskoder, konfigurationer og runbooks skal overdrages inden for 30 dage efter opsigelse.
- Licensportabilitet – Verificér at jeres Microsoft 365- og Azure-licenser er registreret på jeres eget tenant, ikke leverandørens.
- Overgangsperiode – Kræv minimum 90 dages overlap, hvor den afgående leverandør samarbejder med den nye.
- Sletning af jeres data – Leverandøren skal bekræfte skriftligt, at jeres data er slettet fra deres systemer efter overdragelse.
- Ingen konkurrenceklausuler – Kontrakten må ikke forhindre jer i at vælge en specifik ny leverandør.

Hvorfor jeres IT-leverandør skal bruge AI til drift
Auxis (2025) forventer, at AI-drevet ticket-triage og proaktiv overvågning bliver standard hos MSP’er. Konkret betyder det, at jeres leverandør bør kunne identificere mønstre i fejl og løse dem, før I ringer.
Spørg jeres leverandør: “Bruger I AIOps eller automatiseret triage?” Hvis svaret er nej, betaler I for manuel fejlfinding, der tager længere tid og koster mere.
Ofte stillede spørgsmål om ekstern IT-afdeling
Hvad koster en ekstern IT-afdeling for en SMV?
Priserne varierer typisk fra 350–700 kr. pr. bruger pr. måned afhængigt af, hvad der er inkluderet. Vær skeptisk over for priser under 300 kr. – de dækker sjældent sikkerhed, proaktiv overvågning og akut support. Bed altid om en specificeret liste over, hvad der er inkluderet og ekskluderet.
Hvad er forskellen på fuld outsourcing og co-managed IT?
Ved fuld outsourcing overtager leverandøren al IT. Ved co-managed IT beholder I en intern IT-ansvarlig, der styrer strategi og leverandørrelation, mens den eksterne partner håndterer drift, sikkerhed og specialistopgaver. Co-managed IT giver jer mere kontrol og reducerer vendor lock-in.
Hvilke SLA’er skal jeg kræve af min IT-leverandør?
Kræv som minimum MTTR pr. prioritetsniveau (fx P1: 2 timer, P2: 4 timer, P3: 8 timer), patch-kadence for kritiske opdateringer (maks. 72 timer) og månedlig rapportering med faktiske tal. Undgå aftaler, der kun definerer svartid.
Hvordan undgår jeg vendor lock-in ved IT outsourcing?
Sørg for at jeres kontrakt indeholder en exit-klausul med dataejerskab, dokumentationsoverdragelse inden 30 dage, licensportabilitet og minimum 90 dages overgangsperiode. Verificér at jeres Microsoft-tenant ejes af jer – ikke leverandøren.
Skal min IT-leverandør være certificeret?
Ja. Kræv som minimum ISO 27001 eller tilsvarende dokumenteret sikkerhedsstyring. For Microsoft-miljøer bør leverandøren have Microsoft Solutions Partner-status. Under NIS2 skal I kunne dokumentere, at jeres leverandør lever op til specifikke sikkerhedskrav.
Hvor ofte skal jeg evaluere min eksterne IT-leverandør?
Gennemfør en formel evaluering kvartalsvis baseret på SLA-rapporter. Supplér med en årlig strategisk gennemgang, hvor I vurderer, om leverandøren stadig matcher jeres forretningsbehov. Skift ikke leverandør uden data – men tøv heller ikke, hvis tallene viser gentagne SLA-brud.
Hvad skal jeg gøre, hvis jeg vil skifte IT-leverandør?
Start med at gennemgå jeres nuværende kontrakt for opsigelsesvarsel og exit-klausuler. Kortlæg derefter alle systemer, licenser og data, der skal overdrages. Vælg den nye leverandør, før I opsiger den gamle, og kræv en overgangsperiode med overlap. Dokumentér alt skriftligt.
Tre skridt I kan tage i denne uge
- Hent jeres nuværende IT-kontrakt frem – Tjek om den indeholder MTTR-krav, exit-klausul og dokumentation for dataejerskab. Mangler ét af de tre punkter, har I en risiko, der skal adresseres.
- Udfyld en RACI-model – Brug tabellen fra denne artikel. Sæt jer ned med jeres IT-leverandør og kortlæg, hvem der er ansvarlig for hver opgave. Identificér huller, hvor ingen er Accountable.
- Bed om sidste kvartals SLA-rapport – Hvis jeres leverandør ikke kan levere den, ved I allerede, at der er et problem. Kan de levere den, har I et konkret grundlag for næste samtale.