Microsoft 365 · AD · VPN · MDM · GDPR

IT-säkerhet vid uppsägning.
Inte en dag tidigare. Inte en vecka senare.

Den vanligaste säkerhetsincidenten i svenska företag är inte en hackerattack. Det är en före detta anställd vars Microsoft 365-konto aldrig stängdes. Här är hur du förhindrar det — och dokumenterar att du gjort rätt.

Läs processen Testa appen

Varför timing avgör allt

De flesta IT-avdelningar gör en av två fel: stänger för tidigt (personen kan inte slutföra arbetet, lämnar med bitterhet) eller stänger för sent — eller aldrig. Den senare är den dyra varianten.

Enligt IBM Cost of a Data Breach 2024 är medelkostnaden för en dataincident orsakad av en före detta anställd 4,2 miljoner dollar globalt. I Sverige har IMY utfärdat sanktionsavgifter på 250 000–800 000 kr för retention-fel där bortglömda konton var en del av problemet.

Den optimala tidpunkten för avstängning är sista arbetsdagen, slutet av arbetsdagen — typiskt kl 17:00. Om personen är arbetsbefriad: direkt efter mottagandet av uppsägningsbeskedet, men då med organiserad handover av aktiva ärenden.

Inventarisering — vad ska faktiskt stängas?

Innan något stängs av måste du veta vad personen har åtkomst till. I medelstora svenska företag är det typiskt 15–40 olika system. Identifiera dem på dessa nivåer:

  • Identitets-system: Active Directory, Azure AD / Entra ID, Google Workspace, Okta, Auth0.
  • Produktivitet: Microsoft 365 (Outlook, OneDrive, Teams, SharePoint), Google Workspace (Gmail, Drive, Meet), Slack.
  • Branschsystem: CRM (HubSpot, Salesforce, Lime), ekonomi (Fortnox, Visma, Bokio), HR (Hailey, Sympa).
  • Utveckling/IT: GitHub, GitLab, Bitbucket, AWS, Azure, GCP, Vercel, databas-credentials.
  • Tredje parts: Klarna, Tink, banker (företagskonto), pensionsleverantör, leverantörsportaler.
  • Privilegierad åtkomst: domänadmin, Microsoft 365 Global Admin, AWS root, GitHub-org-admin, ekonomisystem-admin.
  • Fysiskt: passerkort, dörrkod, parkeringsticket, garageöppnare, nyckel.
  • Hårdvara: laptop, mobil, headset, externa hårda diskar, USB-stickor, YubiKey/MFA-tokens.

Avstängningsprocessen — steg för steg

Steg 1 · Microsoft 365 / Azure AD (Entra ID)
  • Inaktivera konto, radera inte. Vid radering förlorar du åtkomst till mejl och OneDrive. Vid inaktivering kan du återställa data.
  • Konvertera mailbox till Shared Mailbox så chefen kan komma åt under överföringsperioden. Tar 30 dagar innan licensen frigörs.
  • Sätt mejl-vidarebefordran + auto-svar med "Eva har slutat — kontakta NN istället" i 3 månader.
  • Överför OneDrive-ägarskap till chefen eller team-mappen. Annars raderas filerna 30 dagar efter att kontot stängs.
  • Återkalla MFA-enheter (Authenticator-appen, SMS-nummer, hardware-tokens).
  • Återkalla aktiva sessioner via Azure AD — annars kan personen vara inloggad i upp till 90 dagar.
  • Privilegierade roller tas bort först, vanliga konton sist. Domain Admin, Global Admin, Security Admin är högst prio.
Steg 2 · Google Workspace
  • Suspend kontot (inte radera). Återställ inom 20 dagar om något missas.
  • Överlämna Drive-filer till chef via Admin Console innan suspension.
  • Sätt vidarebefordran + auto-svar via Gmail-inställningar eller via Admin.
  • Återkalla 2-stegsverifiering och appspecifika lösenord.
Steg 3 · VPN, fjärråtkomst & nätverk
  • Avaktivera VPN-konto i samma sekund som AD-kontot stängs. Använder du certifikatbaserad VPN — återkalla certifikatet i CA.
  • Kontrollera bevarade fjärrsessioner. RDP/SSH-sessioner med cached credentials kan leva kvar.
  • Wifi. Om enterprise-WiFi använder personliga credentials — koppla bort. Om gemensam PSK — överväg byte vid kritiska roller.
  • Bastion / jump-host åtkomst återkallas separat — inte alltid kopplat till AD.
Steg 4 · Branschsystem & tredje parts
  • Lista varje system manuellt. Det här är fasen som tar mest tid och där flest företag glömmer en eller två system.
  • Kontakta varje leverantör som har separata användarkonton. Klarna, Tink, Bankid Företag, leverantörsportaler — många har inget API för deprovisionering, det måste göras via support eller admin-portal.
  • Företagskreditkort & betalkort spärras eller överförs.
  • Mobilabonnemang sägs upp eller överförs till personen privat.
Steg 5 · Mobil & BYOD
  • MDM wipe av jobbtelefon vid återlämning. Verifiera att alla företagsappar och data är borta innan personen går.
  • BYOD-enheter: selective wipe av företagsdata (e-post, OneDrive, Slack, branschappar) — inte hela telefonen.
  • Konfigurationsprofiler tas bort så jobb-mejl och VPN inte längre når enheten.
Steg 6 · Fysisk åtkomst & hårdvara
  • Passerkort avaktiveras i passersystemet vid sista arbetsdag.
  • Nycklar & koder återlämnas och bytarutiner vid kritiska roller.
  • Hårdvara returneras med kvitto: laptop, mobil, headset, dockning, externa skärmar, USB-stickor, YubiKeys.
  • Tjänstebil återlämnas med besiktningsprotokoll.

GDPR-kopplingen

Att glömma stänga ett konto är inte bara en säkerhetsrisk — det är ett aktivt brott mot artikel 5(1)(f) GDPR (integritet och konfidentialitet). Personen kan i teorin komma åt personuppgifter de inte längre har rättslig grund att se. IMY har utfärdat tillsynsbeslut där just kvarvarande åtkomster nämns som en del av bristerna.

Dokumentation är ditt skydd. För varje avstängd anställd: när stängdes vilket konto, av vem, med vilken metod. Det här är vad IMY frågar efter vid en granskning.

Eller — låt en orkestrerad process köra

Manuellt deprovisioneringsarbete kräver en checklista, en tidsangivelse, och en person som faktiskt går igenom listan punkt för punkt. Det går — men felaktigt utförandet är en av de vanligaste sårbarheterna vid säkerhetsgranskningar.

Enkelservice Offboarding integrerar med Microsoft 365, Google Workspace, AD och de vanligaste svenska branschsystemen. Schemalagd avstängning till exakt sista arbetsdag kl 17:00, automatisk ägarskifte av OneDrive/Drive, vidarebefordran av mejl, MFA-revoke, dokumentation av varje steg.

Testa gratis i öppen beta

Läs vidare

Avvecklingschecklista

Den fullständiga 52-punktslistan i 6 faser.

Hämta checklista →

GDPR & retention

Vad sparas, vad raderas, hur dokumenteras det.

Läs guide →

Uppsägning & juridik

LAS, formkrav och mall för uppsägningsbesked.

Läs guide →