Till innehållet

Checklista: IT-offboarding när en anställd slutar

IT-offboarding när en anställd slutar: checklista för att stänga konton, samla in utrustning, säkra e-post och data — och klara GDPR-kraven utan glapp.

Av Tacerto · Uppdaterad 13 juni 2026

Illustration: Checklista: IT-offboarding när en anställd slutar

Kort svar

När en anställd slutar ska du samma dag stänga av alla konton och åtkomster, samla in och återställa utrustningen, säkra och överföra e-post och filer, dra tillbaka licenser samt dokumentera allt. Störst risk är kvarglömda inloggningar och personuppgifter som blir kvar för länge — hantera dem enligt GDPR:s lagringsminimering.

IT-offboarding är spegelbilden av onboarding: samma konton, licenser och prylar som en gång öppnades ska nu stängas, samlas in och dokumenteras — helst samma dag som anställningen upphör. Missar du ett steg blir det sällan synligt direkt, utan dyker upp senare som en kvarglömd inloggning eller en olåst brevlåda. Nedan är checklistan vi följer på våra driftavtal, och hur du håller varje steg inom GDPR.

Vad ska en IT-offboarding innehålla när en anställd slutar?

En komplett offboarding gör fem saker: stänger åtkomst, samlar in utrustning, säkrar data, drar tillbaka licenser och dokumenterar allt. Ta stegen i den ordningen — åtkomsten först, eftersom det är den som annars ligger kvar och riskerar att missbrukas.

  1. Spärra inloggningen i katalogtjänsten (Microsoft Entra ID eller Active Directory) — det stänger på en gång allt som hänger på single sign-on.
  2. Återkalla MFA, VPN och fjärråtkomst, inklusive eventuella app-lösenord och API-nycklar.
  3. Inventera och samla in utrustning — dator, mobil, surfplatta, nycklar och passerkort.
  4. Konvertera brevlådan till delad och sätt ett autosvar med ny kontaktväg.
  5. Överför filer i OneDrive och SharePoint till chef eller efterträdare.
  6. Dra tillbaka licenser (Microsoft 365, fackprogram) och avsluta abonnemang.
  7. Byt lösenord på delade konton som personen känt till.
  8. Ta bort behörigheter — distributionslistor, delade mappar, Teams, administratörsroller.
  9. Radera personuppgifter när ändamålet upphört, enligt lagringsminimering.
  10. Dokumentera datum, vad som gjorts och av vem.

De tio punkterna är kärnan. Resten av guiden går igenom de fyra steg som oftast krånglar: tidsplanen, utrustningen, e-posten och GDPR-riskerna.

När ska du stänga av konton och åtkomst?

Senast vid arbetsdagens slut på sista anställningsdagen — och omedelbart vid ofrivilliga avslut eller pågående tvist. Nyckeln är att deaktivera kontot i stället för att radera det direkt: inloggningen spärras med en gång, men brevlåda, filer och behörigheter finns kvar att gå igenom under en kontrollerad period.

Behörighetshantering är en grundbult i informationssäkerhetsarbetet — Integritetsskyddsmyndigheten (IMY) framhåller att du behöver en rutin för att både registrera och avregistrera behörigheter och följa upp dem regelbundet, så att ingen har mer åtkomst än nödvändigt. Kvarvarande inloggningar från någon som slutat är precis en sådan svaghet den kontrollen ska fånga. Planera avstängningen efter hur avslutet ser ut:

SkedeVad du gör
Innan sista dagenFörbered checklistan, bestäm vem som tar över uppgifter, filer och kundkontakter
Sista dagen (vid arbetsdagens slut)Spärra inloggning, MFA, VPN; kvittera in utrustning
Vid uppsägning eller tvistSpärra åtkomst omedelbart, före samtalet vid behov
Efter avslutKonvertera brevlåda, överför data, dra tillbaka licenser, radera enligt schema

Hur återlämnar och återställer du utrustningen?

Kvittera in varje enhet mot en inventarielista och fabriksåterställ eller fjärrensa den innan den delas ut på nytt. Utan en lista är det lätt att missa en gammal mobil eller en surfplatta som ligger kvar hemma hos någon — och varje sådan enhet kan bära kvar företagsdata och sparade inloggningar.

Har du en MDM-lösning (Microsoft Intune eller motsvarande) kan du fjärrensa och låsa enheter som inte lämnas tillbaka fysiskt. Det gäller särskilt mobiler: de innehåller ofta e-post, sparade lösenord och tvåfaktorsappar. Tänk också på att en borttagen Microsoft 365-användares OneDrive som standard bevaras i 30 dagar innan den raderas automatiskt — hinner du inte överföra filerna inom det fönstret behöver du förlänga bevarandet manuellt först.

Vill du ha en samlad rutin för inköp, utdelning, återlämning och återställning av enheter är det just det som ingår i vår tjänst för hårdvara och arbetsplats — med inventarieregister så att du alltid vet vad som är ute hos vem.

Vad händer med e-post, filer och konton?

Brevlådan konverteras till en delad brevlåda, filer överförs till en ansvarig, och licensen dras tillbaka först när allt är säkrat. En delad brevlåda i Microsoft 365 kräver ingen egen betald licens upp till 50 GB, så du kan behålla åtkomst till historik och kundmejl utan att fortsätta betala för en användare som slutat.

Praktiskt gör du så här, i tur och ordning:

  1. Autosvar med hänvisning till en ny kontaktperson — sätt det till att gälla i 3–6 månader.
  2. Delegering till chef eller efterträdare, så att inkommande ärenden fångas upp.
  3. Filöverföring av OneDrive- och SharePoint-innehåll till rätt person eller team.
  4. Licensåterkallande när brevlåda och filer är omhändertagna — inte före.

Läsning av en före detta anställds e-post ska hållas till ett minimum och ha ett tydligt ändamål, till exempel att fånga upp pågående kundärenden. Rutinmässig genomgång av privat korrespondens är inte förenlig med GDPR — autosvar och omstyrning löser samma behov utan att någon behöver läsa den enskildes post.

Vilka GDPR-risker finns vid offboarding?

Två risker dominerar: att åtkomst blir kvar, och att personuppgifter blir liggande för länge. Båda är direkt kopplade till dataskyddsförordningen, och båda undviks med den checklista du redan sett.

Kvarvarande åtkomst är ett säkerhetsproblem som snabbt blir ett GDPR-problem. Om en person som slutat fortfarande kan logga in och nå personuppgifter — om kunder, kollegor eller andra — kan det räknas som obehörig åtkomst. Skulle en incident konstateras ska den anmälas till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från att du fått kännedom om den. Det är därför avstängning står först i checklistan, inte sist.

Data som blir kvar bryter mot principen om lagringsminimering. Enligt IMY:s grundläggande principer får personuppgifter inte sparas längre än vad ändamålet kräver — det finns ingen fast maxtid, utan behovet styr. En avslutad medarbetares konto, brevlåda och filer ska därför ha ett bestämt slutdatum: när autosvaret spelat ut sin roll och relevant material överförts, raderas resten. Sätt gallringen som en schemalagd åtgärd, inte som något du hoppas komma ihåg.

Här går IT-drift och dataskydd ihop. En genomtänkt säkerhet och backup ser till att det du behöver spara faktiskt finns kvar och kan återställas, samtidigt som det du inte får spara raderas i tid — och att raderingen är dokumenterad om IMY skulle fråga.

Vad kostar det att sätta upp en offboarding-rutin?

Offboarding är projektprissatt, inte en fast produkt — men den är billig i förhållande till vad en missad rutin kan kosta. Att ta fram en dokumenterad rutin är en mindre engångsinsats, och sedan tar varje enskilt avslut oftast 1–3 timmars handpåläggning. Det som driver tiden:

  • Antal system där kontot ska stängas — ju fler fristående inloggningar utanför single sign-on, desto mer manuellt arbete.
  • Utrustning som ska hämtas in, återställas och omfördelas, särskilt vid distansarbete.
  • Datamigrering — hur mycket e-post och filer som ska överföras och till vem.
  • Dokumentationskrav — branscher med tillsyn ställer högre krav på spårbarhet.

Hos företag med ett IT-driftavtal ingår offboarding-hanteringen normalt i den löpande månadskostnaden, eftersom katalogtjänst, licenser och enheter redan förvaltas centralt. Då blir varje avslut en rutin i stället för en brandkårsutryckning.

Vill du att avslut ska ske likadant varje gång — konton stängda samma dag, utrustning inventerad och data hanterad enligt GDPR — hjälper vi dig att sätta rutinen. Utgå från säkerhet och backup för dataflödet och boka en genomgång så går vi igenom hur onboarding och offboarding kan se ut hos just er.

Vanliga frågor

Vad ska göras med IT när en anställd slutar?

Stäng av inloggning och all åtkomst, samla in och återställ utrustningen, konvertera brevlådan och överför filer, dra tillbaka licenser och abonnemang, och dokumentera vad som gjorts och när. Ta stegen samma dag som anställningen upphör, så att inga konton står öppna i onödan.

När ska konton och åtkomst stängas av?

Senast vid arbetsdagens slut på sista anställningsdagen — och omedelbart vid ofrivilliga avslut eller tvist. Deaktivera hellre kontot än att radera det direkt, så att brevlåda och filer finns kvar att överföra medan själva inloggningen ändå är spärrad.

Får jag läsa en före detta anställds mejl?

Bara i begränsad omfattning och för ett tydligt ändamål, till exempel att fånga upp pågående kundärenden. Rutinmässig genomläsning av privat korrespondens är inte tillåten enligt GDPR. Ett bättre alternativ är att sätta autosvar med en ny kontaktväg och styra om inkommande post till en ansvarig.

Hur länge får en avslutad medarbetares e-post och filer sparas?

Bara så länge det finns ett sakligt behov — principen om lagringsminimering i GDPR sätter gränsen, inte en fast maxtid. I praktiken räcker ofta några månaders autosvar och överföring av det som behövs, varefter kontot och kvarvarande personuppgifter raderas.

Vad händer med datorn och mobilen när någon slutar?

De kvitteras in mot inventarielistan och fabriksåterställs eller fjärrensas via MDM innan de delas ut på nytt. Fjärrensning är särskilt viktig för mobiler som inte lämnas tillbaka fysiskt, så att företagsdata och inloggningar inte följer med enheten.

Är det en personuppgiftsincident om en före detta anställd har kvar åtkomst?

Det kan vara det. Om obehörig åtkomst till personuppgifter varit möjlig ska du bedöma risken, och en konstaterad incident ska anmälas till IMY inom 72 timmar. Därför är avstängning av åtkomst det första steget i en offboarding, inte det sista.

Vad kostar en offboarding-rutin?

Att ta fram en dokumenterad rutin är en mindre engångsinsats, och varje enskilt avslut tar oftast 1–3 timmars handpåläggning beroende på antal system och om utrustning ska hämtas in och rensas. Hos företag med IT-driftavtal ingår hanteringen normalt i den löpande månadskostnaden.

TaggarHårdvara & arbetsplatsChecklistaGDPR

Nästa steg

Vill du veta mer om Hårdvara & arbetsplats?

Se vad som ingår och vad som styr priset — eller berätta vad du vill uppnå så hjälper vi dig direkt.

Vi återkopplar snabbt. Alltid.