Kort svar
Välj IT-partner efter fyra krav: ett SLA med tydliga svars- och åtgärdstider, säkerhet och testad backup, ett personuppgiftsbiträdesavtal enligt GDPR, och exit-villkor som ger er tillbaka er data. Vikta kriterierna efter er verksamhet och bocka av dem innan ni skriver på — pris kommer sist, inte först.
Att välja IT-partner handlar om fyra saker: ett tydligt SLA, säkerhet och backup som hänger ihop, ett personuppgiftsbiträdesavtal enligt GDPR, och exit-villkor som gör att ni kan byta utan att bli inlåsta. Pris är viktigt, men det väger du in sist — ett billigt avtal utan svarstider eller testad backup blir dyrt den dag något går fel. Nedan går vi igenom vad du ska kräva, hur du läser ett SLA, vilka säkerhets- och referenskrav som gäller, hur exit-villkoren skyddar er, och en checklista med kriterieviktning att bocka av.
Vad ska du kräva av en IT-partner?
Kräv sju saker, och kräv dem på papper. En seriös partner ska kunna visa vad som ingår, hur snabbt du får hjälp och hur ni tar er ur avtalet om det behövs — allt annat är löften.
| Krav | Vad du bevakar |
|---|---|
| Proaktiv drift och övervakning | Fel fångas innan de blir driftstopp, inte efter |
| Dokumenterat SLA | Svarstider och åtgärdstider skrivna, kopplade till allvarsgrad |
| Säkerhet och backup i samma avtal | Inget glapp mellan den som driftar och den som skyddar |
| Personuppgiftsbiträdesavtal | Krav enligt GDPR när de hanterar era personuppgifter |
| Namngiven kontakt och svensk support | Någon som känner er miljö, inte en anonym kö |
| Referenser i er storlek och bransch | Bevis från riktiga kunder, inte bara påståenden |
| Tydliga exit-villkor | Ni äger er data och kan byta partner utan strid |
Det avgörande dokumentet är en skriven lista över vad som ingår kontra tillkommer. Det är där otrevliga överraskningar brukar gömma sig — hjälp på plats, säkerhet eller backup som visade sig kosta extra.
Hur läser du ett SLA — och vilka nivåer är rimliga?
Ett SLA är löftet om hur snabbt du får hjälp, och du läser tre saker: svarstid, åtgärdstid och tillgänglighet. Kontrollera att de är mätbara, kopplade till hur allvarligt felet är, och att missade mål faktiskt får en konsekvens.
| Allvarsgrad | Exempel | Svarstid (vanlig) | Åtgärd påbörjas |
|---|---|---|---|
| Kritisk | Server eller nätverk nere, alla drabbade | 15–60 min | Omgående |
| Hög | En funktion nere för många | 1–4 timmar | Samma arbetsdag |
| Normal | En användare, workaround finns | 4–8 timmar | 1–2 arbetsdagar |
| Låg | Fråga eller planerad ändring | 1 arbetsdag | Planerat |
Tillgänglighet anges i procent, och skillnaden mellan siffrorna är större än den ser ut. På ett år (8 760 timmar) betyder de olika nivåerna:
| Utlovad tillgänglighet | Tillåten nedtid per år |
|---|---|
| 99,5 % | ca 43,8 timmar |
| 99,9 % | ca 8,8 timmar |
| 99,99 % | ca 53 minuter |
Fråga också vad tillgängligheten mäter — hela miljön eller en enskild tjänst — och om ett missat mål ger kompensation eller vite. Ett SLA utan konsekvens är en ambition, inte en garanti.
Vilka säkerhets- och referenskrav bör du ställa?
Kräv att säkerhet, testad backup och en dokumenterad incidentrutin ingår, att ett personuppgiftsbiträdesavtal finns, och begär minst två referenser i er storlek. Säkerhet ska vara en del av driftavtalet, inte en separat produkt som säljs på.
- Personuppgiftsbiträdesavtal (PUB-avtal) — när leverantören behandlar era personuppgifter för er räkning kräver GDPR ett skriftligt avtal. Integritetsskyddsmyndigheten (IMY) är tillsynsmyndighet, och ansvaret ligger kvar hos er som personuppgiftsansvariga.
- Testad backup — det räcker inte att backup tas, den ska gå att återställa. Fråga efter hur ofta återställning testas och vilka mål som gäller för dataförlust (RPO) och tid tillbaka i drift (RTO).
- Incidentrutin — vem gör vad vid ett intrång, och hur snabbt informeras ni. CERT-SE är Sveriges nationella CSIRT under MSB och tar emot allvarliga incidenter. Driver ni verksamhet i en samhällsviktig sektor ställer dessutom NIS2 och den svenska cybersäkerhetslagen formella krav på incidentrapportering.
- Ramverk eller certifiering — ISO/IEC 27001 eller motsvarande visar att säkerhetsarbetet är systematiskt, inte beroende av en enskild teknikers minne.
- Referenser — begär minst två kunder i er storlek eller bransch, och ring dem. Fråga om svarstiderna hålls i praktiken och hur ett verkligt problem hanterades, inte bara om de är nöjda.
En vanlig svaghet är att drift ligger i ett avtal och säkerhet i ett annat — glappet dyker upp precis när det kostar som mest. Läs hur vi bygger säkerhet och backup som en del av driften, eller boka en genomgång så tittar vi på var glappen finns hos er.
Hur skyddar exit-villkoren er mot inlåsning?
Exit-villkoren avgör hur lätt ni kan byta partner, och de ska stå i avtalet innan ni skriver på — inte förhandlas fram den dag ni vill lämna. Läs uppsägningstiden, hur ni får ut er data, i vilket format, och vilket samarbete leverantören är skyldig att ge vid avslut.
- Uppsägningstid — 1–3 månader är vanligt. Undvik långa bindningstider utan tydligt skäl, som en större investering leverantören gjort för er räkning.
- Dataägande och uttag — avtalet ska slå fast att ni äger er data och får ut den i användbart, öppet format, inte inlåst i ett system ni tvingas fortsätta betala för.
- Överlämningsplan — leverantören ska medverka till en ordnad överlämning till er eller nästa partner, mot rimlig ersättning och inom en satt tid.
- Dokumentation — nätverkskartor, konton, licenser och lösenord ska lämnas över, inte hållas som gisslan.
Ställ frågan redan vid tecknandet: hur ser en avslutning ut? Svaret säger ofta mer om partnern än något säljargument gör.
Vad kostar det att anlita en IT-partner?
Löpande IT-drift och support prissätts normalt per användare och månad, medan uppstarten — inventering, migrering och övertagande av befintlig miljö — är projektprissatt. Exakt pris beror på omfattning och servicenivå, så be om offert i stället för en listprislapp. Det som styr kostnaden:
- antal användare och enheter — datorer, mobiler, servrar,
- antal servrar och hur komplex miljön är,
- servicenivå och svarstider i SLA:t,
- öppettider — kontorstid eller utökad support kvällar och helger,
- om säkerhet och backup ingår, och
- uppstarten — hur mycket arbete övertagandet av nuvarande miljö kräver.
Räkna med en löpande kostnad per användare och månad — för de flesta små och medelstora företag i storleksordningen några hundralappar upp till runt tusen kronor per användare, beroende på servicenivå och hur mycket säkerhet som ingår. Uppstarten sätts som ett projektpris efter en genomgång av nuläget. Väg alltid priset mot innehållet: lägst pris per användare blir sällan lägst totalt om svarstider eller backup saknas.
Vilka kriterier bör du bocka av innan du skriver på?
Bocka av sex kriterier — säkerhet och backup, SLA och svarstider, kompetens och referenser, exit-villkor, support och pris — och vikta dem efter er verksamhet. Ett företag med känsliga personuppgifter viktar säkerhet högre, ett med mycket distansarbete viktar tillgänglighet högre; utgå från förslaget nedan och justera vikterna, så jämför du offerter på innehåll i stället för på pris allena.
| Kriterium | Vikt | Bocka av |
|---|---|---|
| Säkerhet och backup | 25 % | PUB-avtal, testad återställning, RTO/RPO satta |
| SLA och svarstider | 20 % | Mätbara svars- och åtgärdstider, konsekvens vid missat mål |
| Kompetens och referenser | 15 % | Minst 2 referenser i er storlek, ringda |
| Exit-villkor och dataägande | 15 % | Uppsägning, datauttag, dokumentation, överlämning |
| Support och tillgänglighet | 15 % | Svensk support, namngiven kontakt, rätt öppettider |
| Pris och förutsägbarhet | 10 % | Fast per användare, inga dolda tillägg, uppstart specad |
| Summa | 100 % |
Kom ihåg att jämföra två till tre leverantörer mot samma checklista, och att begära den skrivna listan över vad som ingår kontra tillkommer från var och en. Det är den enskilt bästa försäkringen mot ett avtal som såg billigt ut men saknade det ni behövde.
Vill du ha ett avtal där drift, säkerhet och backup och tydliga svarstider hänger ihop från början? Se vad som ingår i IT-drift och support och boka en genomgång — vi går igenom er miljö utan kostnad och sätter ett upplägg efter era behov.
Vanliga frågor
Vad ska jag kräva av en IT-partner?
Kräv proaktiv drift och övervakning, ett dokumenterat SLA med svars- och åtgärdstider, säkerhet och backup i samma avtal, ett personuppgiftsbiträdesavtal enligt GDPR, svensk support med en namngiven kontakt och tydliga exit-villkor. Be alltid om en skriven lista över vad som ingår och vad som tillkommer — det är där avtal skiljer sig mest åt.
Vad är en rimlig svarstid i ett SLA?
Det beror på hur allvarligt felet är. För en kritisk incident där verksamheten står still är 15–60 minuters svarstid vanligt, medan ett enskilt ärende med en fungerande workaround ofta har 4–8 timmar. Det viktiga är att tiderna är mätbara, kopplade till allvarsgrad och att missade mål får en konsekvens i avtalet.
Behöver vi ett personuppgiftsbiträdesavtal med IT-leverantören?
Ja. När leverantören hanterar personuppgifter för er räkning kräver GDPR ett skriftligt personuppgiftsbiträdesavtal (PUB-avtal). Integritetsskyddsmyndigheten (IMY) är tillsynsmyndighet i Sverige, och det är ni som personuppgiftsansvariga som ansvarar för att avtalet finns på plats.
Vad ska exit-villkoren i avtalet innehålla?
De ska slå fast uppsägningstiden, att ni äger er data och får ut den i användbart format, och att leverantören medverkar till en ordnad överlämning vid avslut. Kräv också att dokumentation, konton och lösenord lämnas över. Ställ frågan hur en avslutning går till redan innan ni skriver på.
Hur många IT-leverantörer bör vi jämföra?
Jämför normalt två till tre leverantörer, så att du har något att väga offerterna mot utan att processen drar ut på tiden. Vikta kriterierna efter er verksamhet — säkerhet, SLA, referenser, exit-villkor, support och pris — och begär minst två referenser i er storlek från var och en.
Vad kostar det att anlita en IT-partner?
Löpande drift prissätts normalt per användare och månad, och landar för de flesta små och medelstora företag i storleksordningen några hundralappar upp till runt tusen kronor per användare, beroende på servicenivå och hur mycket säkerhet som ingår. Uppstarten är projektprissatt efter en genomgång av nuläget. Be om offert — billigast per användare blir sällan billigast totalt om svarstider eller backup saknas.
Hur byter vi IT-leverantör utan avbrott?
Genom en planerad övergång med parallell drift: nuvarande miljö hålls igång medan den nya partnern inventerar, dokumenterar och tar över stegvis. Se till att exit-villkoren hos den gamla leverantören ger er ut data och dokumentation i tid, så att övertagandet inte fastnar.