Den mest kedelige én-sides fil der kan redde jer for hundredtusinder

Jeg har siddet til et afskedsmøde hvor en nøglemedarbejder gik ud ad døren med kundernes direkte numre, 2FA til bank og CRM på sin private mobil. Ingen mobilpolitik. Ingen plan. Bare et svagt “du siger bare til, hvis der er noget”. Tre måneder senere ringede chefen stadig til hans gamle nummer.

Hvad en mobilpolitik faktisk skal bruges til (og hvad den ødelægger, hvis du overgør det)

De fleste små virksomheder får først øje på behovet for mobilpolitik, når noget brænder: en stjålet telefon, en sur medarbejder med BYOD, eller en revisor der spørger “hvem har egentlig adgang til det her?”.

Jeg ser to yderpunkter igen og igen:

Det ene er “vi stoler på folk”-tilgangen. Ingen regler, ingen minimumskrav, alle gør “bare det der virker”. Det føles rart, indtil I skal lukke adgang for en der stopper, eller I rammer noget som NIS2 og skærpede krav til virksomhedsmobiler. Så bliver det pludselig ret ubehageligt.

Det andet er 18 siders pdf med juridisk kopi-pasta, som ingen læser, og som ingen kan forklare i praksis. Der står noget om overvågning, logning og sanktioner, men ikke hvad man gør når Sofie taber sin iPhone ned i metrosporet.

Jeg synes en mobilpolitik skal løse tre meget konkrete ting:

1) Fairness: Samme regler for alle i samme rolle. Ingen “hemmelige aftaler” om ekstra data eller dyre telefoner til dem, der råber højest.

2) Drift: Mindre rod, mindre support og færre små brandudrykninger. Du skal kunne svare på “hvad gør vi?” uden at opfinde noget hver gang.

3) Risiko: Sikkerhed og compliance på et niveau, der matcher jeres virkelighed. Ikke bank-niveau, hvis I sælger køkkener. Men heller ikke “ingen pinkode” fordi “det er for besværligt”.

Og så skal den ikke være længere end at du kan forklare den på fem minutter til en ny medarbejder. Gerne på én side. Resten kan ligge i små bilag og tjeklister.

De første valg: hvem ejer mobilen, nummeret og regningen?

Her går det oftest galt. En chef siger ved kaffemaskinen: “Kan du ikke bare bruge din egen mobil, vi giver noget tilskud?”. Og så er I i gang med BYOD uden at vide det.

Beslutning 1: BYOD eller firmatelefon (med vilje, ikke af vane)

BYOD (Bring Your Own Device) lyder smart: medarbejderen bruger sin egen telefon, virksomheden betaler noget data eller et fast tilskud. I praksis bliver det hurtigt mudret:

Hvad må IT administrere på privat telefon? Hvem bestemmer hvilke apps der skal være? Hvornår er det ok at nulstille enheden på afstand? Og hvordan har medarbejderen det med, at virksomheden kan se om telefonen er krypteret og låst?

Firmatelefon er mindre “frihed”, men langt mere simpelt: I køber, I sætter op, I administrerer, I tager den tilbage når personen stopper.

Min erfaring: Har I 5-10 medarbejdere med meget begrænset adgang (mail, kalender, måske Teams), kan en stram BYOD policy godt fungere. Når I først blander CRM, kundedata, lager-/ordresystemer, så er firmatelefon næsten altid det roligste valg.

Beslutning 2: Tilskud og udstyrsniveau

Hvis I bruger BYOD, skal I vælge én af to modeller, ikke en grå mellemting:

Enten “rent privat-eget”: Medarbejderen ejer alt, I betaler et klart defineret beløb pr. måned (evt. via løn). I stiller kun få sikkerhedskrav (skærmlås, opdateringer, 2FA) og blander jer ikke i resten.

Eller “halv-firma”: I betaler abonnementet og stiller minimumskrav til model, sikkerhed og opsætning. Til gengæld skal det være helt tydeligt, hvad der sker når personen stopper. Nummer og abonnement følger virksomheden, enheden er privat.

Ved firmatelefon skal I minimum beskrive:

Hvilket niveau af telefon er standard (f.eks. “mellemklasse Android” eller “seneste iPhone minus Pro-modellen”). Hvordan der opgraderes (anciennitet, funktion, behov). Hvem godkender undtagelser.

Så slipper I for scenariet hvor sælger 1 har nyeste iPhone Pro Max, og sælger 2 går rundt med en plastik-Android fra 2019, fordi “det var lige det, der var på lager”.

Beslutning 3: Hvem ejer nummeret?

Nummeret er mere følsomt end selve telefonen. Det er her kunder, banker, 2FA, leverandører og alt muligt andet ringer ind.

I skal derfor have en klar regel:

Enten “alle arbejdsrelaterede numre er virksomhedens”. Det betyder, at hvis medarbejderen bruger sit gamle private nummer til kunder, så indgår I en aftale om at nummeret tilhører virksomheden i ansættelsesperioden, og at I kan flytte det til nyt SIM/eSIM, hvis vedkommende stopper.

Eller “medarbejderens nummer er privat”. Så må I i stedet have direkte hovednumre, kø-numre eller lokale numre, som I styrer via jeres erhvervstelefoni og telefonsystemer. Det er lidt mere opsætning, men klart mindre konfliktskabende ved fratrædelse.

Sikkerhed der ikke driver folk til vanvid

Her bliver mange mobilpolitikker enten helt tandløse eller hysterisk stramme. Du behøver ikke lave NSA-installationer for at få styr på risikoen, men du skal heller ikke lade folk køre rundt med ukrypterede Androids uden pinkode.

Beslutning 4: Skærmlås og biometri

Det her bør stå klart i jeres mobil sikkerhedspolitik, uanset om det er BYOD eller firmatelefon:

Der skal være skærmlås. Punktum. PIN, kode, Face ID, fingeraftryk, hvad I nu vælger. Maks inaktivitet før lås, f.eks. 2-5 minutter.

Det er et af de få krav, hvor jeg mener, at man godt kan være lidt firkantet. Hvis du taber telefonen i taxaen, må hvem-som-helst ikke kunne åbne mail og filer.

Beslutning 5: Opdateringer og understøttede modeller

Lav en simpel linje i politikken: “Telefonen skal kunne modtage sikkerhedsopdateringer fra producenten. Er den ældre end X år, skal den skiftes.”

For iPhone kan man ofte køre 5-6 år, for mange Androids 3-4 år. I stedet for at skrive jer ned i tekniske detaljer, så beslut en overordnet grænse, og læg en lille bilagsliste med “godkendte minimumsmodeller”. Den kan IT opdatere løbende.

Beslutning 6: Backup og 2-faktor

Det er katastrofalt, hvis 2FA-koder kun ligger i én app på én telefon uden backup. Det gør skift af enhed til en smertefuld affære.

Beslut i politikken:

At alle kritiske tjenester (mail, CRM, økonomisystem, cloud) skal bruge 2-faktor. Og hvordan medarbejderen skal sætte det op: egen authenticator-app, SMS til firmanummer eller f.eks. sikkerhedsnøgler.

At jeres vigtigste data skal kunne genskabes uden at den enkelte medarbejders telefon er intakt. Her hænger mobilpolitik tæt sammen med jeres generelle regler for sikkerhed, privatliv og backup.

Apps, data og hvor meget I egentlig vil blande jer

Nu rammer vi det følsomme punkt: Hvor slutter arbejde, og hvor starter privatliv, når det hele ligger på samme enhed?

Beslutning 7: Hvilke apps er et krav?

Lav en liste over “obligatoriske arbejdsapps”: f.eks. mail, kalender, Teams, CRM og eventuel MDM-klient.

Skriv samtidig klart, hvad I ikke blander jer i. På firmatelefon kan det være “private apps er ok, så længe de ikke bryder loven eller saboterer sikkerheden”. På BYOD kan det være “vi administrerer kun arbejds-profiler og arbejdsdata, resten er privat og usynligt for virksomheden”.

Hvis I er i tvivl om grænsen, så hent inspiration fra Datatilsynets anbefalinger og få jeres egen rådgiver til at kigge jeres tekst igennem. Artiklen her er drift og struktur, ikke juridisk rådgivning.

Beslutning 8: Data-adskillelse og overvågning

Mange bliver nervøse, når de hører ordet MDM (Mobile Device Management). De tror, IT kan læse deres beskeder og se deres billeder.

I skal derfor være pinligt tydelige i mobilpolitikken:

Hvad kan IT se (typisk: model, styresystem, om den er låst og krypteret, installerede arbejdsapps). Hvad kan IT ikke se (indholdet af beskeder, billeder, private mails osv.). Hvad kan IT gøre (f.eks. slette arbejdsprofilen eller hele enheden ved tyveri).

Den gennemsigtighed er ofte forskellen på en BYOD policy Danmark-model, som medarbejderne faktisk accepterer, og en, der ender i modstand og kreative omveje.

MDM, mistet mobil, support og farvel-scenariet

Nu er vi nede i de ting, der afgør om din hverdag bliver rolig eller fyldt med små katastrofer. Her er det fristende at springe over og tænke “det tager vi, når det sker”. Det er præcis derfor det eksploderer, når det så sker.

Beslutning 9: Skal I have MDM, og hvor stramt?

Jeg har skrevet en hel artikel om at vælge forkert MDM første gang, så her får du den korte version:

MDM light: Bruges primært til at sikre skærmlås, kryptering, opdateringer og mulighed for at slette arbejdsdata ved tyveri. Typisk nok til mindre virksomheder uden tung regulering.

Fuld MDM: Bruges når I har høje krav, mange apps, specifikke netværksregler, måske NIS2 eller andre standarder. Det kræver mere opsætning og mere moden IT-drift.

Jeres mobilpolitik skal ikke beskrive alle tekniske detaljer, men den skal sige tydeligt: “Vi bruger MDM light/full, og det betyder X og Y for medarbejderne”.

Beslutning 10: Mistet eller stjålet telefon

Her skal politikken være så klar, at enhver kan følge den, selv når de står med høj puls foran en metrostation og siger “min telefon er væk”.

Beskriv i én kort sekvens:

Hvem ringer man til først (IT, leverandør, nærmeste leder). Hvad IT må gøre uden yderligere accept (fjernsletning, spærring af SIM, blokering af eSIM). Hvad medarbejderen selv skal gøre (ændre adgangskoder, kontakte teleselskab, anmelde tyveri).

I skal også beslutte, om medarbejderen selv betaler noget ved gentagne uheld, eller om det bare er en del af driften. Skriv det, så jeres support ikke står og gætter på “politikken”.

Beslutning 11: Hvad hjælper IT med, og hvad er “dit eget problem”?

Det her er især vigtigt i mindre virksomheder, hvor “IT-ansvarlig” ofte betyder “ham der ved lidt om computere”.

Afgræns forventningen:

Hvad IT altid hjælper med: Opsætning af firmaprofil, mail, Teams, CRM, MDM, 2FA til virksomhedens systemer. Hvad IT kan hjælpe med “når der er tid”: generelle mobilproblemer, privat mail, foto-backup osv. Hvad IT ikke rører ved: jailbreak, pirat-apps, privat familiedeling og lignende.

Det føles måske lidt hårdt at skrive, men jeg har set for mange it-ansvarlige småfirma-profiler brænde fuldstændig ud, fordi hver eneste børne-iPad og PlayStation endte på deres bord.

Beslutning 12: Når nogen stopper i virksomheden

Offboarding er der, hvor forskellen på “vi har styr på vores firmamobil regler” og “vi arbejder på tillid” bliver meget tydelig.

Din politik skal beskrive en helt konkret proces, gerne understøttet af en tjekliste i bilag:

Hvornår IT får besked om fratrædelse. Hvad der sker på sidste arbejdsdag (fjernelse fra MDM, skift af adgangskoder, overførsel af nummer eller lukning af SIM). Hvad der sker med nummeret (det bliver i virksomheden eller overdrages efter aftale).

Jeg er stor fan af at have en separat, operationel tjekliste, som den i artiklen om at stoppe mobil-rod ved ansættelser og fratrædelser. Men mobilpolitikken skal stadig sige: “Sådan gør vi hver gang”.

Sådan samler du det hele til en mobilpolitik på én side

Hvis du har læst hertil, har du egentlig allerede skitseret jeres mobilpolitik. Nu handler det mest om at få det ned på én side på en måde, som mennesker gider at læse.

Jeg bruger ofte den her struktur, når jeg hjælper små virksomheder:

Øverst: 5 linjer om formålet. “Vi vil have fair regler, rimelig sikkerhed og mindre rod.” Så: 12 beslutninger kondenseret til korte bullet-afsnit: BYOD/firmatelefon, tilskud, nummer, sikkerhed, apps, MDM, mistet mobil, support, fratrædelse. Nederst: et link eller reference til bilag, f.eks. “Onboarding- og offboarding-tjeklister findes i bilag A og B”.

Det vigtige er ikke, at dokumentet ser flot ud. Det er, at du næste gang nogen spørger “hvad er egentlig vores mobilpolitik?”, kan sende noget på én side, som faktisk svarer på spørgsmålet.

Og hvis du en dag opdager, at ingen har læst den, så trøst dig med, at du i det mindste er foran 80 procent af de små virksomheder, jeg møder. De har stadig deres mobilpolitik liggende i chefens hoved. Sammen med pinkoden til firmakortet.