Skal I skifte platform til filhåndtering og samarbejde, er det fristende at fokusere på pris og brugervenlighed. Men den reelle risiko ligger ofte i kravene: sikkerhed, rettigheder, audit log, dataplacering og GDPR. Denne artikel giver dig en praktisk kravliste og et overblik over typiske faldgruber, så du kan vælge rigtigt og gennemføre et skifte uden dyre overraskelser.
Du får konkrete spørgsmål at stille leverandører, eksempler på beslutninger der bør træffes internt, og en enkel proces til at teste, migrere og forankre den nye løsning. Målet er, at du står tilbage med en plan, der både fungerer for IT, jura, ledelse og de mennesker, der skal bruge løsningen hver dag.
Hvad er en kravliste, og hvorfor betyder den noget ved et skifte?
En kravliste er en struktureret beskrivelse af de funktioner og kontroller, I skal have for at kunne dele, opbevare og samarbejde om filer forsvarligt. Den er vigtig, fordi et skifte typisk involverer nye databehandlere, nye adgangsveje og nye arbejdsgange, og små detaljer kan få store konsekvenser for compliance og sikkerhed.
For at ramme rigtigt bør kravlisten indeholde både “must have” og “nice to have”, men også tydelige acceptkriterier: Hvordan ved vi, at kravet er opfyldt? Uden den disciplin ender mange med at vælge ud fra demo-indtryk og først opdage begrænsningerne, når tusindvis af filer allerede er flyttet.
Mini-konklusion: En god kravliste flytter beslutningen fra mavefornemmelse til målbare krav, og den reducerer risikoen for at skiftet bliver dyrere end forventet.
Sikkerhed: adgang, kryptering og drift i praksis
Sikkerhed handler ikke kun om “krypteret i transit og i hvile”. Det handler om, hvem der kan gøre hvad, hvordan adgang gives og fjernes, og hvordan I opdager misbrug. Bed derfor om dokumentation for sikkerhedsarkitektur, driftssetup og hændelseshåndtering.
Identitet og adgangsstyring
Et centralt krav er integration til jeres identitetsplatform (typisk SSO via SAML/OIDC) og en robust model for MFA. Spørg også til, hvordan gæsteadgange håndteres, og om der findes separate roller til administratorer, ejere og almindelige brugere. Overvej om I har behov for “least privilege” som standard, så deling ikke bliver for bred.
Kryptering, backup og ransomware-beredskab
Kryptering er basis, men I bør også kræve versionering, gendannelse og mulighed for at låse eller rulle tilbage efter fejl. Spørg ind til backup-frekvens, retention, og om backuppen er logisk eller fysisk adskilt. En klassisk faldgrube er at tro, at “cloud” automatisk betyder backup, selvom det i mange produkter primært er synkronisering.
Mini-konklusion: Vælg sikkerhedskrav, der kan kontrolleres i praksis: adgangsstyring, gendannelse og drift er ofte vigtigere end flotte certificeringslogoer alene.
Deling og samarbejde: kontrol uden at bremse hverdagen
Det bedste samarbejdsværktøj bliver hurtigt det farligste, hvis deling sker uden styring. Derfor bør kravlisten beskrive, hvordan interne og eksterne parter deler filer, mapper og links, og hvilke begrænsninger der kan sættes uden at skabe flaskehalse.
- Krav om udløbsdato på delingslinks og mulighed for at kræve login
- Mulighed for adgang med kun visning, kommentarer eller redigering
- Begrænsning af download, hvis materialet er følsomt
- Godkendelsesflow eller “owner approval” ved ekstern deling
- Standardpolitikker pr. team, projekt eller mappe
- Vandmærkning eller sporing på særligt kritiske filer
Typiske fejl opstår, når deling bliver et privat anliggende: medarbejdere opretter “hurtige links” uden udløb, og filer ender hos tidligere leverandører eller ex-ansatte. Sørg for standardindstillinger, der understøtter sikker adfærd, og giv brugerne en enkel måde at dele korrekt på.
Mini-konklusion: Godt samarbejde kræver klare standarder for deling, så den sikre løsning også er den nemmeste.
Rettigheder og roller: ejerskab, arv og ansvar
Rettighedsmodellen er ofte det, der afgør, om løsningen skalerer. Spørg ikke kun “kan vi styre adgang?”, men “kan vi styre adgang på den måde, vores organisation arbejder?”. Se efter en model med tydeligt ejerskab, arvede rettigheder og mulighed for at afgrænse projekter.
Rollebaseret styring og separation of duties
Hvis samme person kan oprette brugere, ændre politikker og slette audit logs, har I et kontrolproblem. Kræv derfor mulighed for at adskille roller: IT-admin, compliance, indholdsansvarlig og projektleder. Det er især relevant i regulerede brancher, men god praksis i alle organisationer.
Offboarding og “orphaned content”
En kendt faldgrube ved skifte er, at ejerskab ikke følger med, eller at mapper bliver efterladt uden ansvarlig. Stil krav til automatisk overdragelse af ejerskab ved fratrædelse og en rapport over indhold uden ejer. Overvej også, om I har behov for tidsbegrænset adgang til projektmapper, så oprydning sker løbende.
Mini-konklusion: Rettigheder er ikke et “set and forget”-område; krav til roller og offboarding forebygger både datalæk og kaos.
Audit log og sporbarhed: hvem gjorde hvad, hvornår?
Audit logs er jeres sikkerhedsnet, når noget går galt, og jeres dokumentation, når nogen spørger. Kravlisten bør beskrive, hvilke hændelser der logges, hvor længe de gemmes, og hvordan I kan søge og eksportere dem. Minimum bør være login-events, deling, ændring af rettigheder, download, sletning og gendannelse.
Spørg også til integrationsmuligheder: Kan logs sendes til SIEM? Kan I få alarmer ved mistænkelig adfærd, som masse-download eller mange fejlede loginforsøg? En faldgrube er at vælge en løsning, hvor audit log kun findes på “enterprise-planen”, eller hvor retention er for kort til jeres behov.
- Definér hvilke hændelser der er kritiske for jer (deling, sletning, adgang)
- Fastlæg retention ud fra risikoprofil og compliance-krav
- Test søgning, eksport og rapportering før køb
- Aftal hvem der ejer opfølgning på alarmer og hændelser
- Dokumentér en enkel proces for incident response
Mini-konklusion: Uden brugbar audit log kan I hverken undersøge hændelser ordentligt eller dokumentere god kontrol.
Dataplacering, GDPR og databehandleraftale: få styr på juraen tidligt
Dataplacering handler om, hvor data lagres og behandles, og om overførsler til tredjelande kan forekomme. For GDPR betyder det, at I skal kende jeres roller (dataansvarlig vs. databehandler), have en databehandleraftale (DPA) og sikre lovlige overførselsgrundlag, hvis data forlader EU/EØS.
En praktisk kravliste bør derfor inkludere: valgbare regioner, underdatabehandlere, procedurer for sikkerhedsbrud, og hvordan I får data ud igen. Midt i vurderingen kan det give mening at sammenligne flere løsninger og undersøge et alternativ til Dropbox, hvis I ønsker mere kontrol over dataplacering eller administrative funktioner.
Typiske faldgruber er at acceptere standardvilkår uden at læse bilag, at overse underdatabehandlere, eller at glemme at opdatere jeres interne fortegnelse og risikovurdering. Hvis I behandler følsomme data, bør I også vurdere behovet for en DPIA og sikre, at adgang og logning matcher risikoen.
Mini-konklusion: GDPR-arbejdet bliver langt lettere, når dataplacering, DPA og underdatabehandlere er krav fra start, ikke noget der “ordnes bagefter”.
Omkostninger: hvad koster et skifte egentlig?
Spørgsmålet “hvad koster det?” kan ikke besvares kun med licensprisen pr. bruger. Regn i totalomkostning: implementering, migrering, træning, drift og eventuelle add-ons. Nogle platforme prissætter efter lagerplads, andre efter funktioner som DLP, avanceret audit log eller gæstebrugere.
Lav derfor et simpelt budgetskema med: licenser, ekstra storage, integrationsomkostninger, konsulenttimer, intern tid og forventet produktivitetstab under overgang. En faldgrube er at undervurdere oprydning i eksisterende filer og rettigheder, som ofte tager længere tid end selve teknikken.
Mini-konklusion: Den billigste licens kan ende som den dyreste løsning, hvis migrering, governance og add-ons ikke er med i regnestykket.
Typiske faldgruber ved skifte – og hvordan du undgår dem
De fleste problemer skyldes ikke manglende features, men manglende afklaring og test. Her er faldgruber, der går igen, og hvordan du forebygger dem med konkrete greb.
Migrering uden oprydning og klassificering
Hvis I flytter alt “som det er”, flytter I også dubletter, forældede mapper og utydelige ejere. Start med at definere en enkel informationsstruktur, og lav en oprydningsrunde: hvad skal med, hvad skal arkiveres, og hvad skal slettes. Brug tags eller klassificering, hvis løsningen understøtter det, så følsomme filer får ekstra kontrol.
Manglende governance og for mange undtagelser
Uden fælles regler opstår “lokale sandheder”: hvert team deler på sin egen måde, og ingen ved, hvad der er korrekt. Lav få, klare politikker: navngivning, ejerskab, deling eksternt, og retention. Sørg for, at politikkerne kan håndhæves teknisk, ikke kun via en PDF på intranettet.
Andre hyppige fejl er at glemme integrationer (SSO, e-mail, projektværktøjer), at overse mobile enheder, og at undervurdere behovet for support i de første uger. Planlæg en pilot med repræsentanter fra forskellige afdelinger, og mål på adfærd: deles der færre åbne links? Finder folk filer hurtigere?
Mini-konklusion: Undgå faldgruber ved at kombinere oprydning, klare regler og en pilot, hvor I tester både teknik og adfærd.
Fra kravliste til handling: sådan gennemfører du et sikkert skifte
Når kravlisten er skrevet, skal den omsættes til et forløb med ansvar og milepæle. Start med at rangere krav i tre niveauer: must, should, could. Lav derefter en kort testplan, hvor leverandøren skal demonstrere de vigtigste flows: oprettelse af brugere, deling eksternt, ændring af rettigheder, logudtræk og gendannelse af slettede filer.
- Udpeg en intern ejer (produktansvarlig) og en teknisk ansvarlig
- Gennemfør pilot med 2–3 teams og fast feedback-rytme
- Lav migreringsstrategi: etapevis eller “big bang”, og plan for rollback
- Dokumentér standarder for mapper, deling og ejerskab
- Træn superbrugere og lav korte guides til hverdagsopgaver
- Følg op med målepunkter: supporttickets, delingsadfærd, søgetid
Til sidst: sørg for en exit-plan allerede ved indkøb. Hvordan eksporterer I data, logs og rettigheder? Hvilket format får I, og hvor lang tid tager det? Det lyder pessimistisk, men det er god risikostyring og giver bedre forhandlingsposition.
Mini-konklusion: En vellykket overgang kræver en testbar kravliste, en styret pilot og en migreringsplan, hvor governance er indbygget fra dag ét.
