Ekstern IT-afdeling: SLA’er, ansvarsfordeling og fælder I skal kende

Dansk virksomhedsleder gennemgår IT-aftale med ekstern IT-leverandør ved mødebord

Ekstern IT-afdeling: SLA’er, ansvarsfordeling og fælder I skal kende

Af Sten Albert Person A-one Solutions ·
·
Kategori: Drift

Jeres ekstern IT-afdeling lover “hurtig support” og “proaktiv overvågning”. Men hvad sker der, når en kritisk server går ned fredag kl. 16:30 – og kontrakten ikke definerer, hvornår problemet skal være løst? Mange danske SMV’er opdager først hullerne i deres IT-aftale, når skaden er sket. Denne guide giver jer konkrete værktøjer til at måle, styre og – hvis nødvendigt – skifte jeres IT-leverandør.

Det vigtigste I tager med

  • Kræv forretnings-SLA’er – ikke bare oppetid på en server, men Mean Time To Resolution (MTTR) på de problemer, der rammer jeres medarbejdere.
  • Kortlæg ansvaret med en RACI-model – så I ved præcis hvem der ejer patching, backup-test og sikkerhedshændelser.
  • Byg exit-strategien ind fra dag ét – dokumentation, dataejerskab og licensportabilitet skal stå i kontrakten, før I underskriver.
  • Gennemskue prismodellen – en lav per-bruger-pris dækker sjældent sikkerhed, proaktiv rådgivning og akut support uden for normal arbejdstid.
  • Auditér jeres leverandørs egen sikkerhed – under NIS2 hæfter I for jeres supply chain, inklusiv jeres IT-partners sikkerhedsniveau.

 

Hvorfor “hurtig support” ikke er en SLA

De fleste danske IT-leverandører markedsfører sig med svartider. Men svartid og løsningstid er to vidt forskellige ting. At en tekniker svarer inden for 15 minutter hjælper ikke, hvis problemet først er løst 8 timer senere.

Ifølge Forrester (2024) vægter SMV’er nu beviselige SLA’er højere end ren omkostningsreduktion ved valg af Managed Service Provider. Alligevel mangler de fleste danske IT-aftaler konkrete metrikker.

Før: Jeres aftale siger “svartid inden for 1 time”. En medarbejder melder en printerfejl og en nedbrud på jeres ERP-system. Begge får samme prioritet.
Efter: I har defineret 3 prioritetsniveauer med separate MTTR-krav. ERP-nedbrud (P1) har en MTTR på 2 timer med eskalering til leverandørens specialist. Printerfejl (P3) løses inden for 8 timer. Resultat: Forretningskritiske systemer får den opmærksomhed, de kræver.

Tre SLA-metrikker I skal have i kontrakten

  1. MTTR pr. prioritetsniveau – Mål den faktiske løsningstid, ikke bare hvornår nogen svarer.
  2. Proaktiv patch-kadence – Hvor hurtigt rulles kritiske sikkerhedsopdateringer ud? Kræv maks. 72 timer for kritiske CVE’er.
  3. Rapporteringsfrekvens – Månedlig rapport med faktisk MTTR, antal hændelser og trend. Uden data kan I ikke styre leverandøren.

Sådan fordeler I ansvaret med en RACI-model

Co-managed IT er den model, der vokser hurtigst blandt SMV’er ifølge Gartner (2025). I stedet for at erstatte jeres interne IT-funktion supplerer den eksterne partner med 24/7 sikkerhedsovervågning og cloud-styring. Men modellen kræver krystalklar ansvarsfordeling.

RACI står for Responsible (udfører), Accountable (beslutter), Consulted (rådgiver) og Informed (orienteres). Her er et konkret eksempel:

OpgaveIntern IT-chefEkstern IT-partnerLedelse
Daglig drift og helpdeskI (Informed)R (Responsible)I
Sikkerhedspolitik og governanceRC (Consulted)A (Accountable)
Patch managementCRI
Microsoft 365-licenser og konfigurationARI
Backup-test og disaster recoveryCRA
NIS2 compliance-dokumentationRCA
Budgettering og leverandørstyringRIA

Gennemgå denne tabel med jeres leverandør. Hvis der er opgaver, hvor ingen er Accountable, har I fundet et hul, der vil koste jer.

Tjekliste til evaluering af ekstern IT-leverandør med fokus på SLA og sikkerhed

Fejl der koster: Skjulte omkostninger i IT-outsourcing

En lav per-bruger-pris ser attraktiv ud i budgettet. Men Deloitte (2024) viser, at kun 34 % af virksomheder nu vælger outsourcing primært for at spare penge. Årsagen: De skjulte omkostninger æder besparelsen.

Fem poster I skal spørge ind til

  1. Akut support uden for arbejdstid – Er det inkluderet, eller betaler I pr. hændelse? Kræv en fast pris for 24/7 dækning.
  2. Onboarding/offboarding af medarbejdere – Mange leverandører tager ekstra pr. bruger-opsætning.
  3. Sikkerhed som tillæg – Hvis antivirus, MFA-opsætning og SOC-overvågning er “add-ons”, er grundpakken utilstrækkelig.
  4. Projektarbejde vs. drift – Flytning til Azure, migrering af mailsystem eller opgradering af netværk faktureres typisk separat. Få det defineret.
  5. Shadow IT-oprydning – Hvis leverandøren ikke aktivt scanner for uautoriserede SaaS-tjenester, vokser jeres angrebsflade i det skjulte.

Før: I betaler 299 kr./bruger/md. Alt virker billigt – indtil en ransomware-hændelse afslører, at backup-test og SOC ikke var inkluderet. Genopretning koster 6 ugers nedetid og en sekscifret regning.
Efter: I betaler 549 kr./bruger/md. med integreret sikkerhed, backup-verifikation og defineret incident response. Jeres reelle totalomkostning er lavere, fordi I undgår katastrofe-scenariet.

Er jeres IT-aftale gennemsigtig? Book et uforpligtende tjek af jeres nuværende IT-setup og SLA’er. Vi gennemgår kontrakten og vurderer, om I får den værdi, I betaler for. Kontakt os her.

Sådan bygger I en exit-strategi før I underskriver

ENISA (2024) peger på supply-chain sikkerhed som topprioritet og anbefaler, at kunder kræver exit-strategier af deres IT-leverandør. NIST SP 800-161 kræver “right to audit” og klare regler for dataoverdragelse. Alligevel mangler exit-klausuler i de fleste danske IT-aftaler.

Tjekliste: 6 punkter jeres exit-strategi skal dække

  1. Dataejerskab – Kontrakten skal eksplicit fastslå, at alle data tilhører jer. Ingen undtagelser.
  2. Dokumentationsoverdragelse – Netværksdiagrammer, adgangskoder, konfigurationer og runbooks skal overdrages inden for 30 dage efter opsigelse.
  3. Licensportabilitet – Verificér at jeres Microsoft 365- og Azure-licenser er registreret på jeres eget tenant, ikke leverandørens.
  4. Overgangsperiode – Kræv minimum 90 dages overlap, hvor den afgående leverandør samarbejder med den nye.
  5. Sletning af jeres data – Leverandøren skal bekræfte skriftligt, at jeres data er slettet fra deres systemer efter overdragelse.
  6. Ingen konkurrenceklausuler – Kontrakten må ikke forhindre jer i at vælge en specifik ny leverandør.

Flowdiagram over exit-strategi ved skift af ekstern IT-leverandør

Hvorfor jeres IT-leverandør skal bruge AI til drift

Auxis (2025) forventer, at AI-drevet ticket-triage og proaktiv overvågning bliver standard hos MSP’er. Konkret betyder det, at jeres leverandør bør kunne identificere mønstre i fejl og løse dem, før I ringer.

Spørg jeres leverandør: “Bruger I AIOps eller automatiseret triage?” Hvis svaret er nej, betaler I for manuel fejlfinding, der tager længere tid og koster mere.

Ofte stillede spørgsmål om ekstern IT-afdeling

Hvad koster en ekstern IT-afdeling for en SMV?

Priserne varierer typisk fra 350–700 kr. pr. bruger pr. måned afhængigt af, hvad der er inkluderet. Vær skeptisk over for priser under 300 kr. – de dækker sjældent sikkerhed, proaktiv overvågning og akut support. Bed altid om en specificeret liste over, hvad der er inkluderet og ekskluderet.

Hvad er forskellen på fuld outsourcing og co-managed IT?

Ved fuld outsourcing overtager leverandøren al IT. Ved co-managed IT beholder I en intern IT-ansvarlig, der styrer strategi og leverandørrelation, mens den eksterne partner håndterer drift, sikkerhed og specialistopgaver. Co-managed IT giver jer mere kontrol og reducerer vendor lock-in.

Hvilke SLA’er skal jeg kræve af min IT-leverandør?

Kræv som minimum MTTR pr. prioritetsniveau (fx P1: 2 timer, P2: 4 timer, P3: 8 timer), patch-kadence for kritiske opdateringer (maks. 72 timer) og månedlig rapportering med faktiske tal. Undgå aftaler, der kun definerer svartid.

Hvordan undgår jeg vendor lock-in ved IT outsourcing?

Sørg for at jeres kontrakt indeholder en exit-klausul med dataejerskab, dokumentationsoverdragelse inden 30 dage, licensportabilitet og minimum 90 dages overgangsperiode. Verificér at jeres Microsoft-tenant ejes af jer – ikke leverandøren.

Skal min IT-leverandør være certificeret?

Ja. Kræv som minimum ISO 27001 eller tilsvarende dokumenteret sikkerhedsstyring. For Microsoft-miljøer bør leverandøren have Microsoft Solutions Partner-status. Under NIS2 skal I kunne dokumentere, at jeres leverandør lever op til specifikke sikkerhedskrav.

Hvor ofte skal jeg evaluere min eksterne IT-leverandør?

Gennemfør en formel evaluering kvartalsvis baseret på SLA-rapporter. Supplér med en årlig strategisk gennemgang, hvor I vurderer, om leverandøren stadig matcher jeres forretningsbehov. Skift ikke leverandør uden data – men tøv heller ikke, hvis tallene viser gentagne SLA-brud.

Hvad skal jeg gøre, hvis jeg vil skifte IT-leverandør?

Start med at gennemgå jeres nuværende kontrakt for opsigelsesvarsel og exit-klausuler. Kortlæg derefter alle systemer, licenser og data, der skal overdrages. Vælg den nye leverandør, før I opsiger den gamle, og kræv en overgangsperiode med overlap. Dokumentér alt skriftligt.

Tre skridt I kan tage i denne uge

  1. Hent jeres nuværende IT-kontrakt frem – Tjek om den indeholder MTTR-krav, exit-klausul og dokumentation for dataejerskab. Mangler ét af de tre punkter, har I en risiko, der skal adresseres.
  2. Udfyld en RACI-model – Brug tabellen fra denne artikel. Sæt jer ned med jeres IT-leverandør og kortlæg, hvem der er ansvarlig for hver opgave. Identificér huller, hvor ingen er Accountable.
  3. Bed om sidste kvartals SLA-rapport – Hvis jeres leverandør ikke kan levere den, ved I allerede, at der er et problem. Kan de levere den, har I et konkret grundlag for næste samtale.

Tilmeld dig vores nyhedsbrev

Synes du også det er fantastisk at lære nye ting? Tilmeld dig til vores nyhedsbrev, og få opdateringer og tilbud.

Ved at tilmelde, accepterer du vores datapolitik

Kontakt os

Har du flere spørgsmål? Vi står klar ved linjen

Du kan ringe til dette nummer for alle relvante sprøgsmål eller support.

+45 70 26 48 50

IT support firma medarbejder hjælper erhvervskunde med teknisk løsning

Skal vi tage et kig på jeres IT?

Skriv jer op — vi kontakter dig inden for én arbejdsdag med en uforpligtende vurdering?