Skip to main content

Forfatter: Svein tore

Illustrasjon av to valg: enkel lisens og serviceavtale med ansvar, sikkerhet og support

Serviceavtale eller bare lisens: hva tar Trønder Data ansvar for?

Dere kan kjøpe bare lisenser hos Trønder Data. Det er helt greit for mange bedrifter. Men da er det viktig å forstå forskjellen på å kjøpe en lisens og å ha en avtale der vi faktisk har ansvar for drift, sikkerhet, oppfølging og responstid.

Kortversjonen er enkel: Vi hjelper gjerne også når dere bare har kjøpt lisens, men vi kan ikke ta ansvar for sikkerhet, PC-drift eller beredskap som dere ikke har valgt at vi skal ivareta.

En lisens er ikke det samme som en driftsavtale

En lisens gir dere tilgang til en tjeneste. Det kan være Microsoft 365, Exchange, Nextcloud, backup, sikkerhetsopplæring eller en annen løsning.

En serviceavtale beskriver derimot hva Trønder Data skal ha ansvar for rundt løsningen. Det kan handle om oppsett, sikkerhetsinnstillinger, brukerstyring, backup, dokumentasjon, overvåking, support, responstid og løpende kontroll.

Derfor kan to bedrifter ha samme lisens, men helt ulikt ansvarsbilde.

Den ene bedriften kjøper bare Microsoft 365-lisenser og tar selv ansvar for PC-er, sikkerhet og drift. Den andre har en avtale der vi også følger opp brukere, sikkerhetsoppsett, endepunktsikring, backup og support. Det er to forskjellige leveranser.

Vi kan hjelpe likevel, men ansvar følger avtalen

Hvis dere bare kjøper en lisens av oss og PC-en ikke starter, kan dere fortsatt kontakte oss. Ofte hjelper vi så raskt vi kan. Vi er ikke interessert i å la dere sitte fast hvis vi kan løse problemet.

Men det betyr ikke at PC-drift automatisk var vårt ansvar før feilen oppstod.

Det samme gjelder sikkerhet. Vi kan ta ansvar for PC-sikkerhet, endepunktsikring, backup, tilgangskontroll og dokumentasjon etter at det har oppstått problemer. Avtalen kan oppdateres ved behov. Men dere kan ikke forvente at sikkerheten har vært ivaretatt av oss i perioden før dere valgte den delen av avtalen.

Det er en viktig forskjell.

Vi kan overta ansvar fremover. Vi kan rydde opp. Vi kan dokumentere, sikre og forbedre. Men vi kan ikke være ansvarlige for et område dere tidligere har valgt å håndtere selv.

Når bare lisens kan være riktig

For noen små bedrifter er bare lisens et fornuftig valg.

Hvis dere ikke har vesentlige krav fra myndigheter, kunder eller leverandører, og dere har enkel IT-hverdag, kan det være nok å kjøpe lisenser og betale for litt support utenom ved behov. Det er en ryddig modell, så lenge alle forstår hva den innebærer.

Da kjøper dere tilgang til tjenesten, men ikke full kontroll, beredskap og sikkerhetsansvar.

Dette kan passe hvis:

  • dere har lav risiko
  • dere har få brukere
  • dere gjør mye IT-oppfølging selv
  • dere tåler at support faktureres utenom
  • dere ikke trenger fast responstid på alt
  • dere ikke forventer at Trønder Data overvåker og dokumenterer hele IT-miljøet

Det er ikke feil. Det må bare være bevisst.

Når dere bør ha serviceavtale

Serviceavtale passer bedre når dere ønsker at noen faktisk skal følge med, ta ansvar og hjelpe dere over tid.

Det gjelder særlig hvis bedriften din har krav til personvern, dokumentasjon, oppetid, backup, sikkerhet, tilgangsstyring eller rask respons. Det gjelder også hvis dere ikke har egen IT-kompetanse internt og vil slippe å vurdere hver enkelt IT-beslutning alene.

Med serviceavtale kan vi definere tydelig:

  • hvilke tjenester vi har ansvar for
  • hvilke brukere og enheter som inngår
  • hva som overvåkes
  • hva som dokumenteres
  • hvordan support håndteres
  • hvilken responstid som gjelder
  • hva som trekkes fra timebank
  • hva som faktureres utenom

Da blir det mindre rom for misforståelser når noe skjer.

Les gjerne også forklaringen vår om hva som er inkludert i en serviceavtale.

Sikkerhet må være avtalt før den kan være ivaretatt

IT-sikkerhet handler ikke bare om å installere et produkt.

Det handler om riktig oppsett, riktige tilganger, oppdateringer, backup, rutiner, dokumentasjon, opplæring, logging, beredskap og kontroll over tid. Hvis dere vil at Trønder Data skal stå ansvarlig for dette, må det være en del av avtalen.

Det betyr ikke at alle må kjøpe den største pakken. Men det betyr at ansvarsnivået må henge sammen med behovet og risikoen.

Hvis dere velger bare lisenser, står dere i praksis selv ansvarlig for sikkerheten rundt resten av miljøet. Vi kan bistå ved behov, men da er arbeidet normalt support eller prosjektarbeid, ikke et ansvar vi allerede har hatt løpende.

Dette er også grunnen til at vi er tydelige på administrative tilganger. Hvis ansatte eller eksterne har adminrettigheter, øker risikoen. Da må avtalen også dekke tilgangskontroll, dokumentasjon og oppfølging. Se gjerne artikkelen om hvorfor adminbrukere krever strengere kontroll.

Avtalen kan oppdateres når behovet endrer seg

Behovet deres kan endre seg. Det er normalt.

En bedrift kan starte med bare e-post og sky, og senere oppdage at den trenger bedre backup, PC-sikkerhet, dokumentasjon eller mer fast support. Da kan vi se på avtalen sammen og oppdatere den der det gir mening.

Noen ganger er det enkelt. Andre ganger finnes det bindinger hos underleverandører, lisensvilkår eller praktiske forhold som påvirker når endringen kan gjøres. Men prinsippet er at avtalen skal kunne utvikle seg sammen med behovet.

Det viktigste er at dere ikke venter til etter en hendelse med å avklare ansvar for det som egentlig er kritisk.

Hva skjer hvis det haster?

Hvis dere ringer fordi noe haster, prøver vi å hjelpe. Men prioritet og ansvar følger avtalen.

En bedrift med serviceavtale og definert ansvar for drift, sikkerhet eller beredskap vil normalt prioriteres foran en bedrift som bare har kjøpt en lisens og trenger hjelp med noe utenfor avtalen. Det handler ikke om vilje. Det handler om at vi må levere på det vi faktisk har forpliktet oss til.

Hvis saken ligger utenfor avtalen, kan vi ofte bistå likevel. Da avtaler vi normalt videre arbeid, timebruk og fakturering.

For kritiske saker innenfor avtalen gjelder avtalt responstid. Se også forklaringen vår om responstid og SLA.

Slik bør dere velge

Hvis dere er usikre, bør spørsmålet ikke være “hvilken lisens trenger vi?”, men “hva ønsker vi at Trønder Data skal ha ansvar for?”.

Start med disse spørsmålene:

  • Skal vi bare levere lisensen, eller skal vi også sikre og følge opp miljøet?
  • Skal PC-er og brukere inngå?
  • Skal backup overvåkes og dokumenteres?
  • Skal sikkerhetshendelser håndteres etter fast prosedyre?
  • Skal dere ha timebank til support og småoppgaver?
  • Har dere krav fra kunder, myndigheter, forsikring eller leverandører?
  • Har dere egen IT-kompetanse som faktisk tar ansvar for resten?

Når dette er avklart, blir det lettere å velge riktig avtale. Da slipper dere også overraskelser når noe stopper.

Kort oppsummert

Bare lisens kan være riktig for bedrifter med enkel IT-hverdag og lavere krav. Da betaler dere for tjenesten og kan kjøpe support ved behov, men Trønder Data står ikke automatisk ansvarlig for PC-sikkerhet, drift, backup, dokumentasjon eller beredskap.

Serviceavtale passer når dere vil at vi skal ta ansvar over tid. Da avtaler vi hva som inngår, hva som overvåkes, hvordan support håndteres, og hvor grensen går mellom vårt ansvar og deres eget.

Vi kan alltid se på avtalen på nytt når behovet endrer seg. Det viktigste er at ansvar for sikkerhet og drift avklares før noe går galt, ikke etterpå.

Referanser

  • EDPB: Sikring av personopplysninger
  • Lovdata: Personvernforordningen artikkel 32 om sikkerhet ved behandlingen

Endepunktsikring – Slik Beskytter Du Bedriften Din

I en tid der cybertrusler kontinuerlig utvikler seg, er endepunktsikring avgjørende for å beskytte bedriften din. Med en økt mengde cyberangrep, er det viktig å sikre hvert enkelt endepunkt i nettverket ditt. Dette innlegget vil utforske metoder for effektiv endepunktsikring som kan bidra til å forbedre sikkerheten i organisasjonen din.

Når vi snakker om endepunktsikring, refererer vi til teknologier og prosedyrer som beskytter sluttbrukerenheter mot angrep. Dette inkluderer datamaskiner, mobile enheter og servere. Å implementere en solid strategi for endepunktsikring kan redde deg fra kostbare datainnbrudd og tap av sensitive data.

En god tilnærming til endepunktsikring innebærer flere lag med beskyttelse. Det første laget er antivirus og antimalware-programvare som skanner og fjerner trusler. Etter dette kan brannmurer bidra til å kontrollere hvilken trafikk som går inn og ut av enhetene dine. Det er også viktig å sørge for at programvare og operativsystemer er oppdatert og har de nyeste sikkerhetsoppdateringene.

For en helhetlig tilnærming til endepunktsikring, bør også opplæring av de ansatte bli inkludert. Ansatte bør være klar over hvordan man identifiserer phishing-forsøk og andre typer angrep. Med kunnskap kan de bidra til å beskytte både seg selv og organisasjonen.

Vil du utforske dette videre? Les Endepunktsikring.

Illustrasjon av kalender, supportsaker og klokke som viser planlagt IT-hjelp gjennom timebank

Derfor er timebank ofte billigere enn ad hoc IT-hjelp

Timebank er ofte billigere enn ad hoc IT-hjelp fordi dere slipper å vurdere hver eneste lille oppgave som en egen kostnad. Når timene allerede ligger i avtalen, blir terskelen lavere for å be om hjelp tidlig, rydde småting fortløpende og få dokumentasjon gjort før den blir et stressmoment.

Det er ikke alltid billigere i ren timepris hvis dere bare sammenligner én enkelt oppgave. Verdien kommer av forutsigbarhet, mindre friksjon og at små IT-oppgaver faktisk blir løst.

Mange undervurderer hvor ofte de trenger IT-hjelp

Vi ser ofte at små bedrifter tror de trenger lite IT-hjelp før samarbeidet starter. Det er forståelig. Hvis PC-er, e-post og nettverk fungerer akkurat nå, kan IT virke som noe dere bare trenger når noe stopper.

Så skjer det vanlige: en ansatt trenger tilgang, en PC må settes opp, en lisens må justeres, en sikkerhetsinnstilling må kontrolleres, en nettside trenger en liten endring, eller noen lurer på om en e-post er trygg. Hver oppgave er liten. Til sammen blir de en del av den normale arbeidshverdagen.

Når dere blir kjent med oss og oppdager hvor enkelt det er å sende slike oppgaver videre, blir timebanken ofte mer verdifull enn dere først trodde. Det er litt av poenget med modellen: dere skal slippe å spare opp irritasjon, usikkerhet og småfeil til “det blir stort nok til å ringe IT”.

Ad hoc-hjelp gjør små oppgaver større enn de trenger å være

Ad hoc IT-hjelp kan fungere fint når behovet er sjeldent og tydelig avgrenset. Problemet oppstår når alt må vurderes på nytt hver gang:

  • Er dette verdt en faktura?
  • Haster det nok til å ta kontakt?
  • Hvem skal godkjenne kostnaden?
  • Er dette innenfor avtalen eller utenfor?
  • Bør vi bare vente til flere ting har samlet seg opp?

Den vurderingen tar også tid. Og ofte fører den til at små oppgaver blir liggende.

Med timebank er rammen allerede satt. Dere har et avtalt antall timer, og arbeidet trekkes fra timebanken når vi gjør det. Hvis dere bruker mer enn avtalt, kan overforbruk faktureres etter avtalt modell. Det gjør det enklere å bruke IT-partneren riktig: tidlig, praktisk og uten at hver liten oppgave blir en egen beslutning.

Timebank gir bedre kostnadsplanlegging

For mange små og mellomstore bedrifter er forutsigbarhet like viktig som lavest mulig enkelttimepris.

En uventet IT-faktura er sjelden hyggelig. Det er heller ikke særlig effektivt å vente med nødvendige oppgaver fordi ingen vet hva det vil koste. Timebank gir dere en fast ramme for support, rådgivning og praktisk arbeid. Det gjør det lettere å planlegge månedlige og årlige IT-kostnader.

Det betyr ikke at alt i verden er inkludert. Større prosjekter, nye lisenser, maskinvare og arbeid utenfor avtalt ansvar må fortsatt avklares. Men timebanken gjør at mye av den løpende hverdagsjobben ikke blir en overraskelse.

Se også vår Q&A om hva timebanken kan brukes til.

De små oppgavene er ofte de viktigste

En liten oppgave kan være mer verdifull enn den ser ut som.

Det kan være å rydde opp i en tilgang, sjekke en backup, justere en sikkerhetsinnstilling, dokumentere en rutine, hjelpe en ansatt med innlogging, eller avklare om data bør ligge i Microsoft 365, Nextcloud eller et annet sted. Hver for seg er det småting. Samlet handler det om drift, sikkerhet og oversikt.

Vi bruker også timebanken på små oppgaver når vi produserer dokumentasjon for kundene våre. Det kan være dokumentasjon knyttet til sikkerhet, risiko, backup, tilgangsstyring, databehandlerforhold eller rutiner dere må kunne vise frem ved behov.

Her er det viktig å være presis: hva som faktisk er lovpålagt, avhenger av hva bedriften din gjør, hvilke personopplysninger dere behandler, og hvilken rolle dere har. Men mange bedrifter har behov for bedre oversikt og dokumentasjon enn de selv tror. Datatilsynet peker blant annet på internkontroll, informasjonssikkerhet og protokoll over behandlingsaktiviteter som praktiske deler av personvernarbeidet.

Timebank gjør at slikt arbeid kan tas litt etter litt, i stedet for at alt må bli et stort prosjekt.

Timebank gjør samarbeidet bedre over tid

Ad hoc-hjelp blir ofte reaktivt. Noe har stoppet, noen må fikse det, og saken haster.

Timebank gjør det lettere å jobbe mer forebyggende. Når vi kjenner IT-miljøet deres, brukerne, rutinene og historikken, bruker vi mindre tid på å forstå situasjonen hver gang. Vi ser også lettere hvilke små endringer som kan spare dere for problemer senere.

Det er her timebanken ofte går fra å være “noen inkluderte timer” til å bli en praktisk samarbeidsform. Dere sender oppgaver tidligere. Vi får mer kontekst. Småting blir løst før de blir større. Dokumentasjon holdes mer oppdatert. Risikoanalysen blir ikke bare en årlig øvelse, men noe som støttes av løpende arbeid.

Dette henger også sammen med risikoanalyse, tilgangsstyring og løpende dokumentasjon.

Når passer timebank dårligere?

Timebank passer ikke alltid best.

Hvis dere bare trenger én helt avgrenset oppgave, kan et lite prosjekt være mer ryddig. Hvis dere kun vil kjøpe en lisens og gjøre alt annet selv, kan det også være riktig. Da må dere bare være klar over at ansvar, responstid og support følger det dere faktisk har avtalt.

Timebank passer best når dere vil ha en IT-partner som kan hjelpe jevnlig, ikke bare når noe går galt. Den passer særlig godt når dere ønsker forutsigbare kostnader, raskere avklaringer og en enklere måte å få gjort små oppgaver på.

Hvis dere har en serviceavtale hos oss, henger timebank, SLA og ansvar sammen. Kritiske saker innenfor avtalen prioriteres etter avtalt responstid, mens andre oppgaver kan trekkes fra timebanken.

Slik får dere mest verdi ut av timebanken

Den beste måten å bruke timebank på er å bruke den tidlig nok.

Ikke vent til alle småting har samlet seg opp. Send inn spørsmål, småfeil og avklaringer mens de fortsatt er enkle. Be om hjelp når dere vurderer nye lisenser, når en ansatt får ny rolle, når dere tar i bruk et nytt system, eller når dere er usikre på hvor data bør lagres.

Det gir oss bedre mulighet til å hjelpe før kostnaden blir høyere.

En god timebank brukes ikke bare til brannslukking. Den brukes til support, dokumentasjon, rådgivning, sikkerhetsarbeid, nettsidearbeid, SEO, oppsett, feilsøking og praktiske forbedringer som holder IT-hverdagen i gang.

Kort oppsummert

Timebank er ofte billigere enn ad hoc IT-hjelp fordi dere får en fast ramme for de små og mellomstore oppgavene som faktisk dukker opp. Dere slipper å gjøre hver supporthenvendelse til en ny kostnadsvurdering, og vi kan hjelpe tidligere, mer praktisk og med bedre kjennskap til bedriften din.

For noen holder det med enkeltoppdrag. For mange små bedrifter blir timebank likevel en bedre modell fordi den gir forutsigbarhet, lavere terskel for å be om hjelp og mer løpende kontroll på IT, sikkerhet og dokumentasjon.

Dere kan lese mer om Timebank som tjeneste eller se hvordan timebank inngår i våre serviceavtaler.

Referanser

  • Datatilsynet: Etablere internkontroll
  • Datatilsynet: Protokoll over behandlingsaktiviteter
Illustrasjon av IT-sikkerhet, skjold og sikrede endepunkter i en bedrift

Hva bør en liten bedrift ha på plass for å være trygg digitalt?

Hva bør en liten bedrift ha på plass for å være trygg digitalt?

En liten bedrift trenger ikke nødvendigvis de dyreste sikkerhetsløsningene. Men dere bør vite hva dere har, hvor dataene ligger, hvem som har tilgang, hva som blir tatt backup av, og hva som skjer hvis noe går galt.

Det er minimum.

Hos Trønder Data møter vi små bedrifter med veldig ulike behov. Noen har nesten bare e-post, faktura og en enkel nettside. Andre er små på papiret, men behandler sensitive data, leverer til kunder med strenge krav, jobber mot helse, industri, forsvarsnære miljøer eller har kontrakter som stiller krav til dokumentasjon.

Derfor liker vi å behandle også små bedrifter ryddig. Ikke fordi alle må ha alt. Men fordi det ofte er billigere og tryggere å gjøre grunnarbeidet riktig fra start enn å rydde opp etterpå.

Det viktigste er ikke verktøyet, men bevisstheten

De fleste små bedrifter kan bruke Windows, Microsoft 365 og vanlige skytjenester. For mange er det helt riktig valg.

Problemet oppstår når ingen har tatt stilling til hva som faktisk lagres der.

En Windows-PC kan være et godt arbeidsverktøy. Microsoft 365 kan være en svært effektiv kontorløsning. Men dere bør vite forskjellen på vanlige arbeidsdokumenter, interne dokumenter, personopplysninger, sensitive personopplysninger, kundedata, kontraktsdata og filer som kunder eller leverandører stiller egne krav til.

Minimum er at bedriften får en praktisk forklaring på:

  • hva som kan ligge lokalt på en PC
  • hva som kan ligge i Microsoft 365 eller annen utenlandsk sky
  • hva som bør ligge i norskdriftet eller mer kontrollert løsning
  • hva som må sikres med ekstra tilgangskontroll
  • hva som må dokumenteres hvis noen spør

Det høres kanskje tørt ut. Men det er ofte her den største risikoen ligger. Ikke i at bedriften mangler et eksotisk sikkerhetsprodukt, men i at ingen vet om sensitive filer ligger på skrivebordet til en ansatt, i en privat mappe, i en delt Teams-kanal, på en gammel PC eller i en sky dere ikke har vurdert godt nok.

Start med en oppstartssamtale

Før vi anbefaler pakker, lisenser eller tekniske løsninger, liker vi å ta en oppstartssamtale.

Der prøver vi å forstå hvordan bedriften faktisk jobber:

  • Hvilke systemer bruker dere?
  • Hvilke data behandler dere?
  • Hvem har tilgang til hva?
  • Hvilke kunder, leverandører eller kontrakter stiller krav til dere?
  • Hva må dere få raskt tilbake hvis noe stopper?
  • Hvilke ansatte trenger bare e-post og sky, og hvem trenger mer kontroll?
  • Hva ligger lokalt på PC-er i dag?
  • Hva ligger i Microsoft 365, Nextcloud eller andre skytjenester?

Poenget er ikke å gjøre ting komplisert. Poenget er å finne ut hvor enkelt det kan gjøres uten å miste kontroll.

For noen bedrifter holder det med en ryddig Microsoft 365-løsning, MFA, backup, endepunktsikring og en enkel serviceavtale. For andre bør vi vurdere norskdriftet Nextcloud, strengere tilgangskontroll, mer dokumentasjon, lokal lagring eller en mer formell risikovurdering.

Gjør en risikoanalyse før dere bestemmer nivået

En risikoanalyse trenger ikke være et stort og akademisk dokument. For en liten bedrift bør den først og fremst svare på praktiske spørsmål:

  • Hva er viktigst for at dere kan jobbe?
  • Hvilke data vil være mest alvorlig å miste?
  • Hvilke data vil være mest alvorlig å lekke?
  • Hvor raskt må dere være i gang igjen etter en hendelse?
  • Hvem har tilgang til kritiske systemer?
  • Hvilke krav må dere følge fra lovverk, kunder, leverandører eller bransje?

Datatilsynet beskriver informasjonssikkerhet som arbeid med å håndtere risiko for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. De peker også på at bedriften først må identifisere hvilke personopplysninger som finnes, og deretter gjennomføre risikovurdering for å se om sikkerhetstiltakene er gode nok.

NSM beskriver på sin side risikovurdering som arbeid med verdier, trusler og sårbarheter. Det passer godt i praksis. Vi må vite hva som er verdifullt, hva som kan gå galt, og hvor bedriften er sårbar.

Når dette er gjort, blir det lettere å velge riktig nivå. Da slipper dere å kjøpe feil ting, men dere slipper også å undervurdere risiko fordi bedriften er liten.

Minimum 1: kontroll på brukere og tilgang

Det første vi ser på er ofte brukere og tilganger.

Hver ansatt bør ha sin egen bruker. Delte kontoer bør unngås. Administratorrettigheter bør begrenses. MFA bør være aktivert på viktige tjenester. Når noen slutter eller bytter rolle, må tilganger fjernes eller endres.

Dette er grunnleggende, men det er også et av områdene der små bedrifter lett får hull.

Typiske problemer er:

  • gamle brukere som fortsatt har tilgang
  • én felles admin-konto som flere bruker
  • ansatte med mer tilgang enn de trenger
  • manglende MFA
  • passord som deles muntlig eller ligger i dokumenter
  • ingen oversikt over hvem som har tilgang til leverandørportaler

Hvis Trønder Data skal ta ansvar for kritiske tilganger, må vi også ha nok kontroll til å kunne stå inne for ansvaret. Det handler ikke om byråkrati. Det handler om risiko.

Minimum 2: backup som faktisk kan brukes

Backup er ikke trygg før den kan gjenopprettes.

Det bør være avklart hva som tas backup av, hvor lenge det beholdes, hvor raskt det kan gjenopprettes, og hvem som gjør jobben når noe skjer.

For noen holder det med filbackup. Andre trenger backup av PC, server, Microsoft 365, Nextcloud, arkiv eller mer omfattende gjenoppretting. Det riktige nivået avhenger av hvor kritiske dataene er.

En liten bedrift bør som minimum vite:

  • hvilke filer og systemer som er inkludert
  • hva som ikke er inkludert
  • hvor lenge slettede eller endrede filer kan hentes tilbake
  • hvordan restore håndteres
  • om backup er testet

Dette er spesielt viktig ved ransomware, feil sletting, ødelagt PC, havari eller ansatte som mister tilgang.

Minimum 3: sikring av PC-er og endepunkter

En PC er ofte inngangsdøren til resten av bedriften.

Derfor bør arbeidsmaskiner ha grunnleggende sikkerhet: oppdateringer, brannmur, endepunktsikring, kontroll på lokale administratorrettigheter og rutiner for hva som kan lagres lokalt.

Hos Trønder Data bruker vi driftet endepunktsikring der det er avtalt, og vi følger opp varsler og hendelser etter avtalen. For bedriften betyr det at sikkerhet ikke bare er en lisens som står på fakturaen, men en del av driften.

Det er også her bevisstheten rundt Windows-maskiner blir viktig. Det er ikke nødvendigvis feil at ansatte jobber på Windows. Men dere bør vite hvilke data som kan lagres lokalt, hva som må ligge i skyen, hva som må krypteres, og hva som ikke bør være på en enkel arbeids-PC i det hele tatt.

Minimum 4: riktig skyløsning for dataene deres

Skyvalg handler ikke bare om funksjoner.

Microsoft 365 er ofte riktig når dere trenger Outlook, Office, Teams og en kjent arbeidsflyt. For mange små bedrifter er det både effektivt og fornuftig.

Men hvis dere behandler sensitive data, har kontraktskrav, må dokumentere datasuverenitet eller ønsker bedre kontroll over hvor data ligger, bør dere vurdere alternativer. Da kan norskdriftet Nextcloud eller en mer kontrollert lokal løsning være bedre.

Det viktigste er at valget tas bevisst.

Spørsmålet er ikke bare “fungerer løsningen?”. Spørsmålet er:

  • passer løsningen til dataene dere behandler?
  • vet dere hvor dataene lagres?
  • vet dere hvem som kan få tilgang?
  • har dere kontroll på backup?
  • kan dere dokumentere valget?

Minimum 5: dokumentasjon som ikke bare ligger i hodet

Små bedrifter er ofte sårbare fordi mye kunnskap ligger i hodet til én person.

Hvem har admin? Hvor ligger domenet? Hvem styrer DNS? Hvilken leverandør har backup? Hvem har tilgang til Microsoft 365? Hvor ligger passord? Hva gjør dere hvis daglig leder er syk, IT-ansvarlig slutter eller en PC blir låst av ransomware?

Dette trenger ikke være tung dokumentasjon. Men det må finnes.

Hos oss handler dokumentasjon om å kunne hjelpe raskere, redusere risiko og gjøre bedriften mindre avhengig av enkeltpersoner. Dokumentasjonen bør oppdateres fortløpende og gjennomgås jevnlig.

Minimum 6: ansatte som forstår hva de skal gjøre

Sikkerhet fungerer dårlig hvis ansatte føler at alt bare er regler de ikke forstår.

Derfor bør ansatte få en enkel forklaring på hva som er viktig:

  • hva de kan lagre hvor
  • hvordan de kjenner igjen mistenkelige e-poster
  • hvorfor MFA brukes
  • hvorfor passord ikke skal deles
  • hvem de kontakter ved mistanke om feil eller angrep
  • hva de gjør hvis de mister utstyr eller tilgang

Dette bør forklares i et språk folk faktisk forstår. Ikke som pekefinger, men som praktisk trygghet.

Hva vi anbefaler som praktisk start

For en liten bedrift anbefaler vi ofte denne rekkefølgen:

  1. Ta en oppstartssamtale.
  2. Kartlegg data, systemer, brukere og leverandører.
  3. Gjør en enkel risikoanalyse.
  4. Avklar hva som kan ligge på Windows-PC, Microsoft 365, Nextcloud eller annen lagring.
  5. Sett opp MFA og ryddige brukere.
  6. Sørg for backup som kan gjenopprettes.
  7. Sikre PC-er og endepunkter.
  8. Dokumenter tilganger, ansvar og viktige systemer.
  9. Gi ansatte enkel opplæring.
  10. Gjennomgå dette jevnlig.

Dette er en fornuftig start uansett om dere ender med en full serviceavtale, bare enkelte tjenester eller et avgrenset prosjekt.

Hvis dere ønsker fast oppfølging, kan dette bygges inn i en serviceavtale hos Trønder Data. Da kan vi koble sammen support, backup, endepunktsikring, sky, risikoanalyse og dokumentasjon på en måte som passer bedriften. Hvis dere allerede har egen IT, kan vi også gjøre en uavhengig gjennomgang eller et avgrenset prosjekt.

Trygg digital drift handler om riktige valg

En liten bedrift trenger ikke alt. Men dere bør ikke velge i blinde.

Noen små bedrifter har strenge krav. Andre har færre formelle krav, men likevel data de ikke har råd til å miste eller lekke. Derfor bør minimumsnivået alltid starte med oversikt, bevissthet og risikoanalyse.

Når dere vet hva dere har, hvor det ligger, hvem som har tilgang og hva som skjer ved feil, blir resten enklere å prioritere.

Da kan dere bruke Windows og Microsoft 365 der det passer. Dere kan velge Nextcloud eller norskdriftet løsning der det er riktig. Dere kan kjøpe det dere trenger, og la være å kjøpe det dere ikke trenger.

Men dere tar valget med åpne øyne.

Det er der digital trygghet starter.

Referanser

Illustrasjon av norskdriftet skyløsning, datasenter og kontroll over data

Norskdriftet Nextcloud: mer enn et Microsoft-alternativ

Nextcloud blir ofte omtalt som et alternativ til Microsoft 365. Det er sant, men det er litt for svakt.

For noen bedrifter er Microsoft 365 det beste praktiske valget. For andre er norskdriftet Nextcloud et bedre valg fordi dataene er mer sensitive, brukerne er mange, eller dere trenger mer kontroll over hvor data lagres og hvem som kan få tilgang.

Hos Trønder Data leverer vi begge deler. Derfor handler anbefalingen vår ikke om å være for eller mot Microsoft. Den handler om hva dere faktisk trenger.

Kortversjonen

Vi anbefaler ofte Nextcloud når:

  • dere behandler sensitiv eller forretningskritisk informasjon
  • dere vil ha norsk drift og tydeligere kontroll på datalagring
  • dere har flere brukere og Microsoft-lisenser begynner å bli dyrt
  • dere ønsker en løsning som kan tilpasses mer etter egne krav
  • dere må dokumentere bedre kontroll over egne data
  • dere vil ha mye funksjonalitet samlet i én plattform

Vi anbefaler ofte Microsoft 365 når:

  • dere primært trenger Office, Outlook og Teams
  • dataene ikke er spesielt sensitive
  • dere har få brukere
  • brukervennlighet og kompatibilitet veier tyngst
  • dere forstår og aksepterer vurderingene rundt skytjeneste, datalagring og regelverk

Dette er ikke en moralsk konkurranse mellom to plattformer. Det er et praktisk valg.

Når Nextcloud gir mest mening

Nextcloud gir mest mening når skyløsningen ikke bare skal være enkel, men også kontrollerbar.

Det gjelder særlig bedrifter som behandler sensitiv data, kundedata, interne dokumenter, prosjektinformasjon, avtaler, tegninger, helse- eller personopplysninger, eller informasjon som kunder og leverandører stiller krav til.

Da holder det ikke alltid å spørre: «Fungerer skyløsningen?»

Dere bør også spørre:

  • Hvor lagres dataene?
  • Hvem drifter løsningen?
  • Hvem kan få tilgang?
  • Hvordan dokumenteres sikkerheten?
  • Hvilke underleverandører er involvert?
  • Hva skjer hvis dere må dokumentere dette overfor andre?

For slike kunder blir Nextcloud interessant fordi løsningen kan driftes norsk, med tydeligere kontroll på infrastruktur, backup, tilgangsstyring og dokumentasjon.

En ting mange kunder liker når de faktisk får se Nextcloud i bruk, er hvor mye løsningen kan gjøre. Det handler ikke bare om filer. Nextcloud kan også brukes til deling, kalender, kontakter, dokumenter, chat, møter, mobilapp, arbeidsflyt og ulike apper som kan tilpasses behovet.

Det betyr ikke at alle skal bruke alt. Men det betyr at løsningen kan vokse med dere uten at alt må flyttes til en ny plattform med en gang behovet endrer seg.

Fem brukere er ofte et praktisk skille

Pris er ikke alt, men det betyr noe.

Vår praktiske erfaring er at Nextcloud ofte begynner å bli økonomisk interessant når dere har omtrent fem brukere eller flere.

Grunnen er enkel: en egen Nextcloud-løsning har en driftskostnad. Hvis den kostnaden fordeles på én eller to brukere, kan Microsoft 365 ofte bli rimeligere. Hvis kostnaden fordeles på flere brukere, blir regnestykket annerledes.

For en bedrift med mange ansatte som primært trenger e-post, filer, deling, kalender og enkel samhandling, kan Nextcloud bli vesentlig mer gunstig enn å betale full Microsoft-lisens for alle.

Dette betyr ikke at Nextcloud alltid er billigst. Det betyr at brukerantall, behov og ansvarsnivå må regnes på før dere bestemmer dere.

Når Microsoft 365 fortsatt er riktig valg

Det er ingen hemmelighet at Microsoft 365 er en svært sterk kontorløsning.

For kunder som jobber mye i Word, Excel, Outlook, Teams og delte Office-dokumenter, er Microsoft 365 ofte den mest polerte og kjente brukeropplevelsen. Det er mange som allerede kan verktøyene, og samhandling med kunder og leverandører er ofte enkelt.

Hvis dere har få brukere, ikke behandler spesielt sensitiv data, og ikke har strenge krav til datasuverenitet, kan Microsoft 365 være det beste praktiske valget.

Men det bør fortsatt settes opp riktig. Microsoft 365 er ikke bare en lisens. Riktig lisensvalg, MFA, sikkerhetsinnstillinger, backup, tilgangsstyring og dokumentasjon må være på plass.

Og dere må forstå hva som kan lagres i løsningen, hvilke regler som gjelder, og hvilke vurderinger som må dokumenteres.

Det viktigste spørsmålet er ikke «hva er billigst?»

Det riktige spørsmålet er:

Hva er billigst over tid, gitt risikoen dere faktisk har?

En løsning som er billig på lisens kan bli dyr hvis den fører til feil lagring, dårlig kontroll, manglende dokumentasjon eller ekstra arbeid senere.

En løsning som koster litt mer i drift kan være billigere hvis den gir:

  • lavere lisenskostnad per bruker
  • bedre kontroll på data
  • enklere dokumentasjon
  • færre juridiske avklaringer
  • mindre risiko ved sensitive opplysninger
  • mer fleksibel brukervekst

For noen kunder blir Microsoft 365 riktig. For andre kunder blir Nextcloud riktig. Poenget er å ta valget bevisst, ikke bare velge det alle andre bruker.

Nextcloud hos Trønder Data

Når Trønder Data leverer Nextcloud, handler det ikke bare om å sette opp en server.

En god skyløsning må ha:

  • drift
  • backup
  • oppdateringer
  • tilgangsstyring
  • dokumentasjon
  • sikkerhetsvurdering
  • support
  • tydelig ansvar

Nextcloud kan dekke filer, deling, kalender, kontakter, dokumentredigering, chat, møter, mobilapp og integrasjoner. Hvor mye dere tar i bruk, avhenger av behovet.

Noen trenger bare trygg filsynkronisering og deling. Andre ønsker en mer komplett plattform for samarbeid.

Det viktigste er at løsningen settes opp etter behovet, ikke etter en standardpakke som later som alle bedrifter er like.

Sensitiv data bør behandles med ekstra varsomhet

Når dere behandler sensitiv data, anbefaler vi Nextcloud langt oftere.

Det betyr ikke at Microsoft 365 automatisk er «ulovlig». Det betyr at dere må gjøre grundigere vurderinger når data lagres hos en amerikansk leverandør, selv om tjenester kan ha europeisk datalagring og omfattende sikkerhetstiltak.

Datatilsynet peker på at overføring av personopplysninger ut av EØS kommer i tillegg til de andre pliktene etter GDPR. Microsoft dokumenterer også at enkelte dataflyter og tilganger kan skje utenfor EU Data Boundary i bestemte situasjoner.

Dette må ikke brukes som skremsel. Det må brukes som beslutningsgrunnlag.

For en del kunder er svaret enkelt: bruk norskdriftet Nextcloud, så reduserer vi usikkerhet og får mer kontroll.

Erfaring fra praksis: når manglende planlegging skaper friksjon

En kunde ønsket både å spare penger og holde sensitiv data utenfor Microsofts skymiljø. De gikk derfor fra Microsoft 365 til Nextcloud.

Selve målet var fornuftig. Problemet var planleggingen.

Ansatte ble ikke informert godt nok i forkant, og de ble ikke utstyrt med gode nok rutiner og verktøy før overgangen. Resultatet var at noen opplevde å miste funksjoner de var avhengige av. Ledelsen slet også med å endre arbeidsvaner, fordi de var vant til å gjøre nesten alt i Teams.

Løsningen ble ikke å rulle alt tilbake. Løsningen ble en hybrid.

Ledelsen begynte å bruke Office igjen der det var nødvendig, mens øvrige brukere kunne ha e-post på våre mailservere og bruke Nextcloud som samhandlingsplattform. Kommunikasjonen mellom ledelse og ansatte ble liggende i Nextcloud Talk.

Resultatet ble at kunden fortsatt sparte penger, samtidig som sensitiv data ble liggende utenfor Microsoft og på privat sky.

For oss er lærdommen tydelig: Nextcloud kan være riktig løsning, men overgangen må planlegges. Ansatte må forstå hva som endres, hva som ikke endres, og hvordan de skal jobbe etterpå.

Erfaring fra praksis: demo først ga bedre innføring

En annen kunde, i helsebransjen, gjorde det motsatt.

De visste at de hadde krav til hvordan data skulle håndteres, men de presset ikke løsningen rett inn i drift. Først ba de oss sette opp en demo-server med Nextcloud. Deretter fikk ansatte teste, leke, prøve arbeidsflyt og rapportere svakheter.

Det var en klok måte å gjøre det på.

Mangler og irritasjonsmomenter ble synlige før løsningen ble kritisk. Vi tok deretter møte med kunden, gikk gjennom funnene og testet hvilke Nextcloud-apper som kunne løse behovene.

Det meste lot seg løse med riktig oppsett og riktige apper. Ett behov fantes det ikke en god løsning for. Da utviklet vi en liten app som løste akkurat den mangelen.

Først når dette var på plass, begynte kunden å innføre Nextcloud gradvis i drift.

Resultatet var at kunden fikk en løsning som passet bedre til faktisk arbeidshverdag. De kom innenfor kravene de måtte forholde seg til, og de sparte flere tusen kroner i måneden sammenlignet med alternativet, som var å kjøpe rundt 50 Office-lisenser.

For oss viser dette hvorfor demo, testing og involvering av ansatte er så viktig. Det er bedre å finne friksjonen før løsningen går i produksjon.

Vår anbefaling

Hvis bedriften har under fem brukere, lite sensitiv data og primært trenger Office-verktøy, kan Microsoft 365 være det mest praktiske og økonomiske valget.

Hvis bedriften har fem brukere eller flere, behandler sensitiv data, ønsker norsk drift, trenger mye funksjonalitet i én plattform eller vil redusere lisenspresset fra Microsoft, bør Nextcloud vurderes seriøst.

Og hvis bedriften er usikker, bør valget starte med en enkel kartlegging:

  • Hvor mange brukere har dere?
  • Hva slags data lagrer dere?
  • Hvem stiller krav til dere?
  • Hvilke verktøy bruker ansatte faktisk?
  • Hva må dokumenteres?
  • Hvor viktig er norsk drift?
  • Hvor viktig er lavest mulig lisenskostnad?
  • Hvor mye må ansatte endre arbeidsvaner?
  • Bør vi teste med en demo før endelig overgang?

Da blir skyvalg et styrt valg, ikke en vane.

Hos Trønder Data liker vi praktiske løsninger. Noen ganger er det Microsoft 365. Andre ganger er det Nextcloud. For kunder med sensitiv data eller mange brukere er Nextcloud ofte mer enn et alternativ. Det er den riktige retningen.

Relevante sider

Referanser

Illustrasjon av dokumentasjon, compliance og sikkerhetskontroll for bedrift

Slik fungerer sikkerhetsopplæring uten å overvåke ansatte

Sikkerhetsopplæring kan fort høres kontrollpreget ut. Det er ikke slik vi ønsker å bruke det.

Målet er at ansatte skal bli tryggere i møte med e-post, lenker, innlogginger og digitale trusler. Ikke at enkeltpersoner skal henges ut.

Hva gjør vi?

Ansatte kan få:

  • korte mikrokurs på e-post
  • spørsmål og enkle tester
  • kontrollerte phishing-simuleringer
  • påminnelser der risikoen er høyere
  • egen rapport med utvikling og råd

Dette gir bedre risikoforståelse uten å gjøre opplæringen tung.

Dynamisk oppfølging

Alle ansatte trenger ikke samme mengde opplæring.

En bruker som ofte trykker på falske e-poster, kan få flere mikrokurs og påminnelser. En bruker som viser god forståelse, trenger kanskje mindre.

Opplæringen tilpasses risiko.

Hva får ledelsen se?

Ledelsen får oversikt over total risiko og utvikling i organisasjonen.

Rapportene anonymiseres eller aggregeres i henhold til lovverket. Hensikten er å se hvor organisasjonen trenger mer opplæring, ikke å peke ut enkeltpersoner.

Den enkelte bruker får sin egen rapport.

Hvorfor dette er nyttig

Tekniske sikkerhetsverktøy stopper mye. Men de stopper ikke alt.

Ansatte er en viktig del av sikkerheten. Med korte, praktiske mikrokurs blir sikkerhet en del av arbeidshverdagen uten at det føles som et stort prosjekt.

Illustrasjon av IT-sikkerhet, skjold og sikrede endepunkter i en bedrift

Hvorfor adminbrukere krever strengere kontroll

En vanlig bruker kan gjøre skade hvis kontoen blir misbrukt. En adminbruker kan gjøre mye mer.

Derfor behandler vi administrative og kritiske tilganger annerledes enn vanlige brukerkontoer.

Hva er en kritisk tilgang?

Kritiske tilganger kan være:

  • Microsoft 365-admin
  • domene og DNS
  • webhotell
  • servere
  • backup
  • nettverk
  • regnskapssystem
  • Nextcloud-admin
  • intern IT-tilgang
  • superbrukere i viktige systemer

Kort sagt: har en bruker nøkler til viktige systemer, må vi ha bedre kontroll.

Hvorfor krever dette mer?

Adminbrukere trenger:

  • sterkere tilgangsstyring
  • dokumentasjon på hvem som har tilgang
  • oversikt over MFA/2FA
  • passordrutiner
  • kontroll på passordrotasjon
  • oversikt over underleverandører og systemeiere
  • tydelig ansvar

Hvis Trønder Data skal ta ansvar for slike tilganger, må vi også ha nødvendig kontrollnivå rundt dem.

Exclusive for adminbrukere

Derfor bruker vi TD Bruker Exclusive for brukere med administrative eller kritiske tilganger.

Det inkluderer alt i Standard, pluss utvidet tilgangsdokumentasjon og tettere oppfølging.

Hvis dere ikke ønsker nødvendig kontrollnivå, må det dokumenteres som et avvik. Da eier dere risikoen for den delen.

Fra Passportal til Nexum

I dag kan tilgangsdokumentasjon håndteres gjennom Passportal og tilsvarende verktøy.

Målet er at mer av dette flyttes inn i Nexum Client, slik at dere får bedre oversikt over tilganger, leverandører, dokumentasjon og ansvar.

Illustrasjon av serviceavtale, IT-support og sikker drift for små bedrifter

Derfor bør SMB ta compliance på alvor, selv uten NIS2-krav

Mange små og mellomstore bedrifter tenker at compliance er noe store bedrifter driver med.

Det er en farlig forenkling.

Selv om en bedrift ikke er direkte omfattet av NIS2, kan den likevel få krav gjennom kunder, leverandører, forsikring, databehandleravtaler eller egne kontrakter. Og uansett regelverk kan driftsstans, datatap og sikkerhetsbrudd bli dyrt.

Compliance handler ikke bare om lover

Compliance betyr i praksis at bedriften kan dokumentere at den jobber ryddig.

Det kan handle om:

  • hvem som har tilgang til hva
  • om backup fungerer
  • om MFA er aktivert
  • om ansatte får sikkerhetsopplæring
  • om leverandører er dokumentert
  • om risiko er vurdert
  • om hendelser kan håndteres
  • om personopplysninger behandles riktig

Dette er ikke bare papirarbeid. Det er driftssikkerhet.

Små bedrifter blir også rammet

Angrep og datatap bryr seg ikke om bedriften er liten.

En liten bedrift kan tåle driftsstans dårligere enn en stor. Hvis daglig leder samtidig må være prosjektleder, IT-ansvarlig, sikkerhetsansvarlig og dokumentasjonsansvarlig, blir risikoen fort høy.

Vår arbeidsmåte

Hos Trønder Data jobber vi med løpende kontroll og dokumentasjon.

Den årlige risikoanalysen er bare én del av dette. Dokumentasjon og vurderinger oppdateres også underveis når brukere, systemer, leverandører eller risiko endrer seg.

Én gang i året gjør vi en grundigere gjennomgang sammen med dere.

NIS2 som målestokk

Ikke alle kunder er omfattet av NIS2 eller digitalsikkerhetsloven. Likevel bruker vi samme seriøse tilnærming.

Det betyr ikke at alle småbedrifter skal ha et tungt styringssystem. Det betyr at grunnleggende sikkerhet og dokumentasjon bør være på plass.

Praktisk minimum

En SMB bør minst ha kontroll på:

  • backup
  • MFA
  • passord og kritiske tilganger
  • endepunktsikring
  • nettverk
  • lisenser
  • databehandleravtaler
  • underleverandører
  • hvem som gjør hva ved sikkerhetshendelse

Referanser

Illustrasjon av administrert nettverk, noder og driftet nettverksutstyr

Hvilke underleverandører bruker Trønder Data?

Når du kjøper IT-drift, backup, sky, webhosting eller sikkerhet, handler ikke alt bare om leverandøren du snakker med.

Det handler også om hvem som ligger bak tjenestene.

Derfor får dere oversikt over relevante underleverandører i tilbudet og deretter i kontrakten.

Underleverandører avhenger av tjenesten

Det finnes ikke én fast liste som gjelder likt for alle kunder.

En kunde som kjøper Microsoft 365 har andre underleverandører enn en kunde som bruker norskdriftet Nextcloud på vår egen infrastruktur. En kunde med webhosting har andre behov enn en kunde med nettverk som en tjeneste.

Derfor dokumenterer vi underleverandører ut fra hva dere faktisk kjøper.

Vår prioritering

Vi prioriterer:

1. norsk drift der det er mulig

2. EU/EØS der det er nødvendig

3. USA-baserte tjenester der dere trenger det, ønsker det eller der det ikke finnes et fornuftig alternativ

Dette gjelder særlig for kunder som behandler sensitive data eller har kontraktskrav til datalagring.

Eksempler på tjenester der underleverandører kan være relevante

Underleverandører kan være relevante for:

  • Microsoft 365
  • backup
  • sikkerhetsverktøy
  • webhosting
  • domener og DNS
  • VPS
  • e-post
  • nettverk
  • datalagring
  • opplæring og compliance

Hvorfor dette bør stå i kontrakten

Dere skal vite hvem som kan behandle data og hva de ulike leverandørene brukes til.

Dette er viktig for:

  • GDPR
  • databehandleravtale
  • risikovurdering
  • internkontroll
  • egne kontraktskrav

Vårt råd

Spør alltid IT-leverandøren din hvilke underleverandører som brukes. Hvis svaret er uklart, er det et tegn på at dokumentasjonen ikke er god nok.

Hos oss skal dette fremgå av tilbud og kontrakt.

Illustrasjon av dokumentasjon, compliance og sikkerhetskontroll for bedrift

Cloud Act, GDPR og norske bedrifter: hvorfor skyvalg betyr noe

Skyvalg virker ofte enkelt: velg det folk kjenner, betal lisensen og kom i gang.

For mange bedrifter fungerer det. Men for bedrifter med sensitive data, kontraktskrav eller høyere krav til kontroll, er ikke skyvalg bare et IT-spørsmål. Det er et risikospørsmål.

Hva er problemet?

Når en bedrift bruker en skyplattform, må den vite mer enn hvor filene ligger på et kart.

Den må også forstå:

  • hvem leverandøren er underlagt juridisk
  • hvem som kan ha supporttilgang
  • hvilke underleverandører som brukes
  • om data kan overføres ut av EU/EØS
  • hvilke kontrakter dere selv er bundet av
  • hvilken dokumentasjon som finnes

Cloud Act kort forklart

Cloud Act er amerikansk lovgivning som blant annet handler om tilgang til elektronisk informasjon hos USA-baserte tjenesteleverandører.

For norske kunder betyr dette ikke at «alt er ulovlig». Men det betyr at en amerikansk skyleverandør må vurderes nøye når dere har sensitive data eller krav til datasuverenitet.

GDPR og overføring ut av EØS

GDPR stiller krav til behandling av personopplysninger. Datatilsynet peker på at overføring av personopplysninger ut av EØS kommer i tillegg til de andre forpliktelsene etter regelverket.

Det betyr at dere må vite om en overføring skjer, hvem som mottar data, hvilket grunnlag som brukes og hvilke tiltak som er på plass.

Microsoft 365 kan være riktig, men ikke alltid

Microsoft 365 er en sterk løsning. Den er praktisk, kjent og effektiv.

Men for noen kunder blir vurderingen mer komplisert. Microsofts EU Data Boundary reduserer mange dataflyter, men Microsoft beskriver også scenarioer der data fortsatt kan overføres ut av EU Data Boundary for å levere tjenesten.

Da må dere vurdere om dette er greit for deres type data og avtaler.

Når vi anbefaler norskdriftet sky

Trønder Data anbefaler norskdriftet Nextcloud eller lokal løsning på det sterkeste når dere:

  • behandler sensitive personopplysninger
  • jobber med helseopplysninger
  • har kontrakter mot norsk eller europeisk forsvar/militær sektor
  • har kunder eller leverandører som krever kontrollert datalagring
  • ønsker minst mulig avhengighet til USA-baserte skytjenester

Vår tommelfingerregel

Vi bruker norsk der det er mulig, EU/EØS der vi må, og USA-baserte tjenester der det er nødvendig eller dere aktivt velger det.

Det viktigste er at dere velger bevisst, ikke bare fordi en løsning er mest kjent.

Referanser