Hvad er Identity Governance?
Identity Governance handler om at sikre, at de rigtige personer har adgang til de rigtige systemer – og kun når de har brug for det. Det giver virksomheden overblik over, hvem der har adgang til hvad, mindsker risikoen for fejl og misbrug og hjælper med at leve op til gældende regler.
Hvis en medarbejder stopper i virksomheden, men adgangen til it-systemerne ikke bliver lukket, kan der opstå et alvorligt problem. Måneder senere kan it-afdelingen opdage, at den tidligere medarbejder stadig har fuld adgang til vigtige systemer og data – og at adgangen er blevet brugt. Når en medarbejder forlader virksomheden, er det afgørende, at alle adgange lukkes med det samme. Sker det ikke, kan tidligere medarbejdere – eller andre – få adgang til systemer, de ikke længere skal kunne tilgå.
Det er her Identity Governance bliver vigtigt. Ikke kun for at beskytte loginoplysninger, men for at sikre, at en konto ikke giver mere adgang, end der er behov for. Hvis man ikke løbende rydder op i adgange, fjerner gamle konti og tjekker, hvem der har adgang til hvad, bliver det nemmere at misbruge systemerne. Ofte opdager man først problemet, når skaden allerede er sket.
Identity Governance handler grundlæggende om overblik, herunder:
- Hvem har adgang til hvad?
- Hvorfor har de adgang?
- Og er der stadig brug for den?
Ifølge Verizons Data Breach Investigations Report 2025 sker mange databrud, fordi stjålne loginoplysninger bliver brugt. Det gælder 22 % af alle brud. Hvor alvorligt et brud bliver, afhænger af, hvilken adgang kontoen giver. En konto med begrænset adgang er ét problem. Men en konto, der over tid har fået adgang til fx økonomisystemer, kundedata og vigtige applikationer, kan have langt større konsekvenser.
Webinar om Identity Governance
Skab overblik over brugeradgange og minimér risici
Manglende overblik over adgangsrettigheder
Vores dialog med danske virksomheder viser et mønster, der går igen mange steder – uanset branche og størrelse. Når virksomheder vokser, og antallet af it-systemer stiger, mister mange overblikket over, hvem der har adgang til hvad. Nye brugerkonti bliver ofte oprettet ved at kopiere en eksisterende konto med en lignende funktion. Det går hurtigt, men udfordringen er, at ingen rigtig ved, hvilke adgange der følger med.
Over tid bliver konti kopieret igen og igen – ofte gennem flere år – uden at nogen stopper op og forholder sig til, hvad der reelt set er brug for i jobbet. Resultatet er, at medarbejdere ender med langt flere adgange, end de har behov for. Det kaldes privilege creep og er en kendt risiko for it-sikkerheden. Derfor stiller ISO 27001 også klare krav til styring af brugeradgange.
Forladte konti og manglende lukning
Når medarbejdere stopper, eller leverandører ikke længere samarbejder med en virksomhed, bliver deres brugerkonti ofte ikke lukket i alle systemer. De konti er oplagte mål for misbrug. De er stadig aktive, har ofte bred adgang og bliver sjældent opdaget, fordi ingen følger med i, om de stadig er i brug. Derfor peger CIS Controls også på, at konti og adgange skal styres fast og konsekvent. Bl.a. ved at lukke adgange hurtigt, når en medarbejder eller leverandør stopper.
Ledere skal forstå hvad de godkender
En vigtig del af adgangsstyring er, at ledere jævnligt gennemgår, om medarbejdere stadig har brug for de adgange, de har. I praksis er det dog svært. Mange ledere ved ikke, hvad de enkelte adgange faktisk giver adgang til. Resultatet er, at adgange ofte bliver godkendt automatisk. Ikke fordi de er rigtige, men fordi processen er uklar, og det er svært at vurdere noget andet. I de tilfælde bliver kontrollen en formalitet uden reel værdi. Når adgange og konsekvenser er tydelige, får ledere et bedre grundlag for at tage stilling – og kan godkende det, der er nødvendigt, og fjerne resten.
Struktureret dokumentation styrker revision
Virksomheder skal kunne vise, hvem der har haft adgang til hvilke systemer – og hvorfor. Når den viden ligger spredt i e-mails, regneark og hos enkelte personer, bliver det svært at skabe et klart overblik.
GDPR kræver, at persondata er beskyttet, bl.a. gennem styring af adgange og dokumentation for, hvem der har haft adgang. For finansielle virksomheder stiller DORA-forordningen endnu større krav. Her er der også fokus på trusler mod it-systemer og på kontrol med leverandører. For virksomheder i regulerede brancher som finans, sundhed og life science er det ikke bare omstændigt. Det kan være ulovligt – og få både økonomiske og omdømmemæssige konsekvenser. PwC’s Global Digital Trust Insights Survey 2026 viser, at mere end 25 % af virksomheder har haft databrud med omkostninger på over 1 million dollars inden for de sidste tre år.
Hvorfor manuelle processer ikke skalerer
Mange virksomheder styrer adgange manuelt. Nye brugere oprettes via it-support, ændringer gemmes i mails, og overblikket holdes i regneark. Det kan fungere i mindre virksomheder med få systemer. Når antallet af systemer, medarbejdere og ændringer vokser, bliver det svært at holde styr på det hele. Fejl opstår, opgaver trækker ud, og dokumentation mangler. It-afdelingen bruger derfor meget tid på at rette fejl og rydde op i gamle adgange – i stedet for at arbejde med forbedringer. Samtidig forsvinder vigtig viden, når nøglepersoner stopper, hvis den aldrig er blevet skrevet ned. Endvidere stiller NIS2-direktivet klare krav til, hvordan adgange skal styres. Direktivet gælder fra oktober 2024 og kræver, at virksomheder arbejder mere systematisk med risici og adgangsstyring.
Sådan styrker Identity Governance adgangsstyring
Med moderne Identity Governance kan organisationer samle og automatisere styringen af adgangsrettigheder og dermed skabe bedre overblik, kontrol og konsistens.
Automatiseret overblik
Identity Governance giver et centralt overblik over brugeres adgangsrettigheder på tværs af systemer. Overblikket viser, hvilke rettigheder den enkelte bruger har, hvordan de er blevet tildelt, og på hvilket grundlag. Informationen opdateres løbende og kræver ikke manuel vedligeholdelse.
Struktureret tilsyn
Identity Governance gør det lettere for ledere at tage stilling til adgange. Ledere får jævnligt besked om at gennemgå deres medarbejderes adgange – præsenteret på en måde, der er til at forstå. Det er tydeligt, hvad den enkelte adgang giver mulighed for, og der bliver mindet om opgaven, hvis den ikke bliver løst. Reagerer en leder stadig ikke, bliver sagen sendt videre. På den måde bliver adgange faktisk gennemgået – og ikke bare godkendt automatisk. Det lever op til kravene i ISO 27001 om løbende kontrol af brugeradgange.
Sporbarhed og revisionsspor
Identity Governance giver ét samlet overblik over, hvem der har adgang til hvad på tværs af systemer. Det er tydeligt, hvilke adgange en bruger har, og hvorfor de er givet. Overblikket er altid opdateret og kræver ikke, at nogen holder det manuelt ved lige.
Effektiv tiltrædelse og afgang
Nye medarbejdere får automatisk tildelt de rettigheder, der passer til deres rolle. Når de forlader organisationen, deaktiveres konti på tværs af alle systemer og rettigheder fratages. Med Identity Governance tager processen kun få minutter i stedet for flere dage.
Fleksibilitet i leveringsmodel og kontrol over hvor data opbevares
Identity Governance kan enten køre som en cloud-løsning eller installeres i virksomhedens egne systemer. Valget afhænger af, hvordan organisationen arbejder, og hvilke krav der stilles til data og sikkerhed. For organisationer med særlige krav – fx offentlige myndigheder eller virksomheder med kritisk infrastruktur – kan det være vigtigt at vælge en løsning, hvor data bliver inden for bestemte lande eller regioner.
EU-Domstolens Schrems II-dom har sat ekstra fokus på, hvor personoplysninger opbevares, og hvem der i praksis kan få adgang til dem. Derfor er det vigtigt at kende både leverandør og dataplacering – især i en tid, hvor politiske og globale forhold spiller en større rolle.
Fra reaktiv håndtering til proaktiv styring
Identity Governance er et ledelsesanliggende og et organisatorisk projekt.
Det handler om at kunne svare på grundlæggende spørgsmål såsom:
- Hvem har adgang til vores kritiske systemer?
- Er disse adgange nødvendige og passende?
- Kan vi dokumentere det over for bestyrelsen, revisorer og tilsynsmyndigheder?
Organisationer der ikke kan svare på disse spørgsmål opererer med en risiko de ikke har overblik over. Og med stigende regulatorisk fokus på it- og datasikkerhed gennem GDPR, NIS2, DORA og ISO27001 er det en risiko der bliver stadig sværere at ignorere.
Vores anbefaling til en struktureret tilgang til Identity Governance:
- Anerkend udfordringen og de risici, der følger med manglende overblik
- Afdæk afstanden mellem nuværende praksis og regulatoriske samt forretningsmæssige krav
- Vælg en tilgang og en løsning, der matcher organisationens kontekst, ambitioner og risikovillighed
Der findes gennemprøvede løsninger og metoder til at styrke Identity Governance. Spørgsmålet er, om organisationen arbejder systematisk og forebyggende, eller først reagerer, når udfordringerne bliver forretningskritiske.
