Få styr på firmamobilerne nu - kopiér den her mobilpolitik
Guides, tips og fejlfindingSikkerhed og compliance i erhvervstelefoni

Få styr på firmamobilerne nu – kopiér den her mobilpolitik

Jesper Lundqvist

Det korte svar er at din mobilpolitik skal kunne være på 1-2 sider, gøre fratrædelser kedelige (på den gode måde) og forhindre at data flyder rundt på tilfældige private telefoner. Men det længere svar er mere interessant.

Scenen jeg ser igen og igen: En medarbejder er på vej ud af døren. Hun afleverer laptop, nøglekort og adgang til CRM. Alt ser fint ud. Tre måneder senere ringer hun og siger: “Jeg får stadig jeres to-faktor-koder på min mobil”. Og I finder ud af at hendes private telefon stadig er koblet til halvdelen af jeres digitale liv.

Det er det rod, en ordentlig mobilpolitik skal fjerne.

Hvad en mobilpolitik faktisk skal løse

Jeg synes mange virksomheder begynder det forkerte sted. De laver lange PDF’er med alt fra “ingen TikTok” til “sådan passer du på skærmen”. Men det vigtigste er ikke reglerne. Det er de konkrete problemer, mobilen skaber i en virksomhed.

En brugbar mobilpolitik skal som minimum løse fire ting:

  • Hvem ejer hvad (telefon, nummer, data)
  • Hvordan enheder sikres (PIN, MDM, backup, apps)
  • Hvordan nye medarbejdere hurtigt kommer i gang
  • Hvordan I lukker fuldstændig ned ved fratrædelse

Resten er pynt.

Hvis du allerede nu kan mærke, at det her hænger sammen med alt det andet om sikkerhed og compliance i erhvervstelefoni, så har du helt ret. Telefonen er bare endnu et endpoint. Men den er tit det mest rodede.

Beslut først: BYOD eller firmatelefon (ikke begge på én gang)

Den dag chefen siger “folk kan bare bruge deres egen mobil”, starter det virkelige kaos. Jeg har set det et par gange for meget. BYOD (Bring Your Own Device) kan fungere, men kun hvis du er meget skarp på rammerne.

BYOD – hvornår giver det mening?

BYOD kan være ok hvis:

  • I har få medarbejdere med lav sikkerhedsrisiko
  • Telefonen primært bruges til opkald og mail
  • I er klar til at acceptere mindre kontrol mod lavere omkostninger

Men så skal I også have en klar BYOD politik sort på hvidt:

  • Virksomheden stiller krav om PIN/biometri og nyere styresystem
  • Virksomhedsapps kan fjernes eksternt (via MDM eller tilsvarende)
  • Virksomheden må ikke rode rundt i private billeder og beskeder
  • Kompensation: Er der tilskud til abonnement, eller ej?

Hvis du vil se, hvordan det kan gå galt, så kig på historien om den chef der pludselig bad alle bruge deres egen mobil i den her artikel om BYOD-kaos.

Firmatelefon – standardløsningen for de fleste SMV’er

I de fleste små og mellemstore virksomheder ender jeg med at anbefale firmatelefoner. Simpelt, mere kontrollerbart, lettere at lave en fornuftig mobilpolitik skabelon omkring.

Firmatelefoner giver jer:

  • Klart ejerskab: Enhed og nummer tilhører virksomheden
  • Standardopsætning via MDM
  • Nemmere fratrædelses-flow: Aflever, slet, genudlever

Mit råd: Vælg én model som default (fx nyere Samsung eller iPhone), så jeres MDM-setup og telefoni til små virksomheder ikke skal understøtte 17 forskellige varianter.

Vælg MDM-niveau: light eller fuld kontrol

MDM (Mobile Device Management) lyder tungt, men behøver ikke være det. Jeg har selv været med til at vælge for avanceret MDM første gang og kan sige helt roligt: det gav mere bøvl end værdi. Så lad os holde det nede på jorden.

MDM light – ofte nok til mindre virksomheder

MDM light er typisk en simpel løsning (ofte en del af Microsoft 365 eller lignende), hvor I kan:

  • Stille krav til PIN, skærmlås og kryptering
  • Skubbe mail, kalender og nogle få apps ud
  • Fjerne virksomhedsdata og apps ved fratrædelse

Det er ofte rigeligt, hvis:

  • I er 5-50 ansatte
  • Telefonen ikke er primær adgang til kritiske systemer
  • I mest bruger mail, Teams og et par CRM-apps

Fuld MDM – når risikoen er højere

Fuld MDM giver jer meget mere kontrol:

  • Standardiserede profiler (apps, WiFi-profiler, VPN osv.)
  • Mulighed for at låse enheder ved tyveri
  • Detaljeret styring af hvilke funktioner brugeren har

Det er relevant hvis:

  • I har compliance-krav (NIS2, ISO, finans, sundhed)
  • Telefonen giver adgang til følsomme data
  • I allerede har IT-ressourcer til at drifte det

Hvis du vil nørde mere i valget, har jeg skrevet om at vælge forkert MDM første gang i artiklen “jeg valgte forkert MDM første gang”. Den er skrevet direkte efter at have ryddet op i sådan et setup.

Adgang og identitet: det kedelige der redder jer

Her bliver det ikke sexet, men her bliver det vigtigt. Adgangsstyring på mobiler handler i praksis om tre ting: skærmlås, 2-faktor og hvor kodeordene bor.

Skærmlås og biometri

Din mobilpolitik bør helt tydeligt sige:

  • Telefonen skal være låst med PIN-kode (minimum længde)
  • Biometri (fingeraftryk/Face ID) skal være slået til, hvis muligt
  • Auto-lås efter maks 5 minutter (gerne mindre)

Og så skal den også sige, at det er et brud på politikken at slå skærmlås fra. Ja, folk gør det, hvis ingen siger noget.

2-faktor og identiteter

Telefonen er ofte nøglen til alle andre systemer gennem 2-faktor. Her er minimumskrav, jeg selv arbejder efter:

  • Brug app-baseret 2FA (Microsoft Authenticator, Google Authenticator) frem for SMS, når det kan lade sig gøre
  • Adskil privat og arbejde: Arbejds-2FA i virksomhedskonto, ikke på privat mail
  • Lav en nødprocedure: Hvad gør I, hvis en medarbejder mister telefonen?

Password managers på mobilen

Hvis I bruger password manager (og det bør I), så få den ind i mobilpolitikken:

  • Virksomheds-login skal ligge i en godkendt password manager
  • Appen skal være låst og kræve biometri
  • Der må ikke gemmes login i tilfældige notes-apps eller billeder af passwords

eSIM og nummer: hvem ejer hvad?

eSIM er genialt i hverdagen, men det kan også gøre ejerskab lidt mere utydeligt. Nummeret sidder ikke længere i et fysisk kort, du kan hive ud og låse inde.

Nummer-politik i korte træk

Jeg anbefaler, at jeres mobilpolitik skabelon altid svarer klart på:

  • Alle arbejdsmæssige numre tilhører virksomheden
  • Portering til og fra virksomheden styres centralt (ikke af den enkelte medarbejder)
  • eSIM-profiler må kun installeres via godkendt proces

Hvis I overvejer at rulle eSIM bredt ud, så tjek lige artiklen om eSIM til firmamobiler og risiko for rod. Der er et par faldgruber, som er rare at kende før man trykker “bestil”.

Data og backup: hvem har ansvaret?

Her går det ofte galt, fordi ingen helt ved, hvor tingene ligger. Mail i skyen, billeder lokalt, WhatsApp-beskeder i en gråzone.

Definér hvad virksomheden tager ansvar for

Som udgangspunkt bør virksomheden tage ansvar for:

  • Mail, kalender og kontakter (Exchange, Google Workspace, osv.)
  • Data i virksomhedsgodkendte apps (CRM, Teams, fildeling)
  • Konfigureret backup til de systemer

Og samtidig ikke tage ansvar for:

  • Private billeder, apps og beskeder
  • Data i ikke-godkendte apps, der bruges til arbejde “på eget initiativ”

Skriv det direkte i mobilpolitikken, så der ikke er tvivl, når en telefon står af.

Fratrædelse: 15-minutters tjekliste der faktisk virker

Her er min favorit-del, fordi det er her, du virkelig kan gøre din hverdag som “uformel IT-ansvarlig” nemmere. En god offboarding-tjekliste skal kunne køres på 15 minutter uden diskussion.

Offboarding-tjekliste (firmatelefon)

Print den her ud, eller smid den i jeres interne wiki:

  1. Notér IMEI/serienummer og hvilken medarbejder den var knyttet til
  2. Fjern enheden fra MDM og trig virksomheds-wipe af data
  3. Fjern enheden som godkendt 2-faktor-enhed i alle relevante systemer
  4. Skift password på centrale konti (mail, ERP, CRM) hvis ikke SSO håndterer det
  5. Fjern nummeret fra eventuelle omstillingskøer eller Teams-opsætning
  6. Beslut: Skal nummeret genbruges, parkeres eller opsiges?
  7. Factory reset telefonen når du har bekræftet, at virksomhedsdata er fjernet
  8. Registrér telefonen som ledig enhed til næste medarbejder

Offboarding-tjekliste (BYOD)

Hvis I kører BYOD, så er tjeklisten lidt anderledes:

  1. Fjern adgang til mail, Teams og andre virksomhedsapps
  2. Fjern enheden fra MDM (men bevar log på, at det er sket)
  3. Fjern telefonen som 2-faktor-enhed fra alle systemer
  4. Skriv til medarbejderen at virksomhedsdata ikke må beholdes lokalt (og hvad det konkret dækker)
  5. Opdater oversigten over hvem der har adgang til hvilke services

Det her er også et punkt, hvor jeg ofte peger virksomheder hen mod artiklen “stop mobil-rodet ved ansættelser og fratrædelser”. Der får du hele livscyklussen med.

Implementering: få folk med uden at være mobil-politibetjent

En mobilpolitik der bare ligger på intranettet, gør nøjagtigt nul gavn. Du er nødt til at få den helt ned i hverdagen. Heldigvis behøver det ikke være tungt.

Sådan får du efterlevelse i praksis

Mit bud på et simpelt forløb i en mindre virksomhed:

  • Skriv mobilpolitikken på maks 2 sider, med en klar mobilpolitik skabelon i toppen
  • Gennemgå den på et kort møde (15-20 min), hvor du viser konkrete eksempler: “Her er hvad vi gør, når nogen starter”, “her er hvad vi gør, når nogen stopper”
  • Lav en onboarding-tjekliste og en offboarding-tjekliste og gør dem til fast del af HR-flowet
  • Lad MDM tage så meget som muligt automatisk: apps, krav til PIN, osv.

Og så vil jeg sige det lidt direkte: Hvis du som ejer eller leder selv ignorerer mobilpolitikken, gør alle andre det også. Så ingen “undtagelse, fordi det lige skal gå stærkt” med din egen telefon.

Skabelon: sådan kan jeres mobilpolitik se ud på 1 side

Her er en kort tekst, du kan copy-paste som udgangspunkt og tilpasse til din virksomhed. Hold den i samme dokument som jeres onboarding-proces, så den ikke lever sit eget liv.

Mobilpolitik (eksempel du kan redigere)

Formål
Denne mobilpolitik skal sikre, at virksomhedens data og systemer beskyttes, når de tilgås via mobiltelefoner, samt skabe klare rammer for brugen af firmamobiler og evt. private telefoner til arbejde.

Ejerskab
Alle firmamobiler og tilhørende numre tilhører [virksomhedsnavn]. Ved fratrædelse afleveres telefon, oplader og andet tilbehør. Eventuelle private numre, der er flyttet til virksomhedens abonnement, håndteres efter særskilt aftale.

Sikkerhed på enheden
Alle telefoner, der bruges til arbejdsmæssige formål, skal:

  • Være låst med PIN-kode og, hvor muligt, biometri
  • Have auto-lås aktiveret (maks [X] minutters inaktivitet)
  • Være opdateret med nyeste styresystemversion, som virksomheden godkender
  • Være tilmeldt virksomhedens MDM-løsning, hvor det kræves

Apps og data
Mail, kalender og andre arbejdsapps installeres via virksomhedens standardproces. Virksomhedsdata må kun gemmes i godkendte apps og lagringstjenester. Private apps og brug (fx sociale medier) er tilladt i det omfang, det ikke forstyrrer arbejdet og ikke kompromitterer sikkerheden.

2-faktor og adgang
2-faktor-godkendelse til virksomhedens systemer skal som udgangspunkt ske via godkendt autentifikations-app. SMS-baseret 2-faktor bruges kun, hvor andre muligheder ikke findes. Ved mistet eller stjålet telefon skal [kontaktperson/IT] straks informeres, så adgang kan blokeres.

Ved ansættelse
Ny medarbejder får udleveret telefon, nummer og kort intro til brug af arbejdstelefonen, herunder sikkerhedskrav og supportkanaler.

Ved fratrædelse
Telefon og tilbehør afleveres senest sidste arbejdsdag. Virksomheden fjerner adgang til mail, apps og andre systemer og nulstiller enheden, før den udleveres til en ny medarbejder.

Hvis du kun gør én ting

Lav en helt konkret tjekliste for onboarding og offboarding af mobiler og brug den hver eneste gang, nogen starter eller stopper.

Light betyder typisk begrænset politik: krav om PIN/biometri, kryptering, adgang til virksomhedsapps og mulighed for at fjerne virksomhedsdata uden at røre private filer. Fuld kontrol giver mulighed for strengere politikker som tvungen opdatering, app-whitelisting, fjernlås og fabriksnulstilling, men stiller større krav til juridisk accept og support.
Start med at deaktivere brugerens identitet i jeres identitetsudbyder (AD/SSO) og tilbagekald alle sessionstokens; det afbryder de fleste 2FA-koder. Brug MDM til at fjerne virksomhedens apps/containere eller udfør en fjernsletning af en firmatelefon, og følg op med at skifte delte adgangskoder og dokumentere handlingerne.
Du må kun håndtere det, medarbejderen har givet klart samtykke til i en skriftlig BYOD-aftale, fx fjernfjernelse af virksomhedsapps eller sletning af virksomhedens data i en container. Adgang til private billeder, beskeder eller personlige filer kræver særskilt juridisk grundlag, og du skal kunne dokumentere begrundelsen i forhold til GDPR og ansættelsesret.
Brug en enkelt, fast månedlig godtgørelse eller refusion baseret på et simpelt skøn af erhvervsmæssig brug, og dokumentér politikken i ansættelseskontrakten eller en BYOD-aftale. Tjek de aktuelle skattemæssige regler eller spørg en revisor, så godtgørelsen håndteres korrekt i lønregnskabet og ikke utilsigtet udløser beskatning.

Jesper Lundqvist

hverdagstekno-nørd med kærlighed til telefoner

Jesper Lundqvist er hverdagstekno-nørden på Telefonxperten, der altid lige har prøvet den nye mobilfunktion af i virkeligheden, før han anbefaler den til dig. Han brænder for at gøre telefoner, apps og erhvervstelefoni forståeligt for helt almindelige brugere. Hos Telefonxperten deler han konkrete tips, løsninger og ærlige vurderinger, så du får mere ud af din mobil – både privat og i din virksomhed.

19 articles

Jeg elsker, når en telefon bare gør sit arbejde så godt, at du glemmer, hvor besværligt det plejede at være. Hvis jeg kan hjælpe nogen med at nå dertil – uden teknisk volapyk – så er jeg ret tilfreds.
— Jesper Lundqvist

Telefonxperten er din uvildige guide til telefoner, mobilabonnementer og erhvervstelefoni. Her finder du faglige forklaringer, konkrete eksempler og rolig rådgivning uden salgspres.

Målet er, at du – og din virksomhed – kan træffe klogere valg om mobiler, udstyr og telefonsystemer og få mere ud af de løsninger, I allerede betaler for.

Sider

Forside Blog Om os Ofte stillede spørgsmål Kontakt os Privatlivspolitik

Kategorier

Mobiltelefoner og smartphones Abonnement, dækning og økonomi Erhvervstelefoni og telefonsystemer Tilbehør og udstyr Apps, funktioner og smarte løsninger Trends, teknologi og brancheindsigt

Kontakt

Har du spørgsmål til telefoni, udstyr eller valg af løsninger til dig selv eller din virksomhed, er du altid velkommen til at skrive.

Email: kontakt@telefonxperten.dk

© Telefonxperten
Privatlivspolitik Kontakt