19 midtjyske kommuner har valgt at indgå i aktieselskab om fælles it-drift: Her er de væsentligste problemstillinger

Klumme: Med økonomiaftalen for 2026 skal kommunerne samle deres server- og netværksdrift i fem centrale enheder. Begrundelsen er øget cybersikkerhed. Men sikkerheden afgøres ikke af, at driften flyttes, og heller ikke af, hvilken selskabsform der vælges.

Artikel top billede

(Foto: Dan Jensen)

Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.

Lad mig begynde med en ros, dér hvor den er fortjent. Ringkøbing-Skjern kommune har lagt sagen frem i fuldt dagslys – og nu har jeg læst alle materialerne.

Det fortjener at blive fremhævet, og flere byråd kunne med fordel lægge samme niveau af åbenhed for dagen.

For det, der virkelig bør undre ved denne reform, er ikke, hvordan den behandles det ene eller andet sted. Det er, hvor lidt opmærksomhed en så stor ændring får.

En af de største omlægninger på det kommunale it-område i mange år ruller nu gennem 19 midtjyske byråd, og 98 i hele landet, uden den store offentlige debat.

Og når man læser sagen, sådan som Ringkøbing-Skjern har gjort det muligt, opdager man hvorfor den fortjener mere: Det er nemlig et governance-projekt, forklædt som et it-projekt.

Her ligger den egentlige risiko, og den tåler at blive set lidt mere efter i sømmene.

Den tredobbelte rolle

Den enkelte kommune kommer til at stå i tre roller på én gang over for det selskab, den selv er med til at stifte.

Det er ikke en konstruktion, jeg har fundet på. Sagsfremstillingen beskriver selv den fremtidige konstellation som kommunerne i rollen som ejere og kunder og it-organisationen som leverandør.

Som ejer vil I have et selskab, der drives stramt og billigt. Som kunde vil I have høj service, hurtig support og lav pris.

De to ting trækker i hver sin retning, og de skal balanceres af 19 ejere af vidt forskellig størrelse.

Når Aarhus og en mindre vestjysk kommune sidder ved samme bord, er det ikke svært at gætte, hvis serviceniveau der ender med at sætte standarden.

Aktieselskabsformen er netop valgt, fordi den åbner for differentieret service.

Men differentiering er det modsatte af de stordriftsfordele, der er hele begrundelsen for øvelsen. Et eller andet sted skal den grænse trækkes, og det er en politisk beslutning, ikke en teknisk.

Den tredje rolle er den, der bliver overset. I forbliver ansvarlige. Og den rolle kan ikke skrives ud af nogen kontrakt.

NIS2: ledelsesansvaret følger ikke med driften ud af huset
Her kommer den misforståelse, som jeg forventer at høre gentaget i byrådssale landet over: Troen på, at man ved at flytte driften ind i det fælles selskab også flytter cybersikkerhedsansvaret derhen.

Det gør man ikke.

Kommunen er en væsentlig enhed efter NIS2 og den danske cybersikkerhedslov.

Ledelsesorganet, altså byrådet, skal godkende foranstaltningerne til styring af cyberrisici, føre tilsyn med dem og lade sig uddanne i dem.

Den pligt er ikke til at uddelegere. I kan udlicitere driften af en server. I kan ikke udlicitere ledelsens ansvar for, at den server er sikker.

Et byråd, der godkender principbeslutningen i den tro, at NIS2-byrden nu ligger i Aarhus, har misforstået sin egen retsstilling.

Oven i det kommer et lag, som ingen rigtig taler om: Selskabet bliver selv en enhed i lovens forstand.

En fælles enhed, der driver kritisk infrastruktur for en hel landsdel, er efter al sandsynlighed selv omfattet.

Så vi får tre forpligtelser, der skal spille sammen: Selskabet med sine egne pligter, kommunen med sit ikke-delegerbare ledelsesansvar, og kommunen med et leverandøransvar efter NIS2 over for sin egen leverandør.

Det leverandøransvar er ikke en formalitet. Det betyder, at I skal kunne dokumentere, at I fører tilsyn med sikkerheden hos en leverandør, som I selv ejer en mindre andel af.

Og så er der hændelseshåndteringen.

Når et angreb rammer den fælles platform, rammer det 19 kommuner samtidig.

Hvem indberetter til Samsik og Digst inden for fristerne, kommunen eller selskabet? Hvem koordinerer, når 19 dataansvarlige hver især har en oplysningspligt, der løber?

Er det ikke afklaret på forhånd, bliver det afklaret midt i en krise. Og det er det erfaringsmæssigt dyreste og dårligste tænkelige tidspunkt at finde ud af det på.

GDPR: én databehandler, nitten dataansvarlige
Det databeskyttelsesretlige spejlbillede er lige så besværligt.

Kommunen er dataansvarlig for borgernes oplysninger. Selskabet bliver databehandler.

Det lyder rent, indtil man tæller efter: Én databehandler, 19 dataansvarlige, der hver især har en instruktionsbeføjelse efter GDPR artikel 28.

En platform, hvis hele værdi er standardisering, kan ikke i praksis tage imod 19 forskellige instruktioner.

Der opstår en reel spænding mellem den enkelte kommunes juridiske ret til at instruere sin databehandler og selskabets driftsmæssige behov for at køre ensartet.

I bedste fald løses det i en fælles databehandleraftale, der er præcis nok til at beskrive, hvem der må instruere hvad, hvordan underdatabehandlere godkendes, hvem der ejer en DPIA på den fælles platform, og hvordan en enkelt kommune får sin ret til indsigt og sletning igennem.

I værste fald skriver man en standardaftale, der formelt giver instruktionsret, men reelt gør kommunen til passager i en behandling, den stadig hæfter for.

Et bevidst valg af armslængde

Et aktieselskab styres af selskabsloven, ikke af byrådet direkte, og det er værd at forstå, hvad valget af netop den form indebærer.

Kammeradvokaten beskriver det uden omsvøb: I et aktieselskab kan kommunerne ikke instruere bestyrelsen, der alene skal varetage selskabets interesser.

Alternativet, et § 60-fællesskab, ville have givet den enkelte kommune ret til at instruere sine egne bestyrelsesmedlemmer.

Man har altså bevidst valgt den model, der lægger størst armslængde mellem byrådet og driften, blandt andet fordi den er mere fleksibel… og sikkert også fordi det dermed ikke kræver involvering fra Ankestyrelsens side.

Det kan være en helt fornuftig prioritering. Professionel drift skal ikke micro manages fra 19 forskellige byrådssale.

Men man skal gøre sig klart, at man samtidig vælger den model, hvor den demokratiske styring er mest indirekte. Instrumentet bliver derfor også ejeraftalen og udpegningen til bestyrelsen, ikke en instruktion.

Derfor er det også i ejeraftalen og vedtægterne, at indflydelse, vetorettigheder og godkendelseskrav skal sikres, mens I stadig forhandler.

Bagefter har I afgivet det meste af den direkte håndtag.

Hæftelse, og den vej ud, der kun findes på papiret

Hvordan ser hæftelsen så ud?

A/S-modellen er netop valgt, fordi kommunerne kun hæfter med deres kapitalindskud, hvor et § 60-fællesskab ville have betydet fuld og solidarisk hæftelse.

Men den begrænsede hæftelse har en bagside: Når der opstår uforudsete ekstraomkostninger, er der ingen til at samle dem op.

Så hæver selskabet i praksis priserne over for kommunerne, eller ejerne må aftale en opfyldningsforpligtelse, der i sig selv kræver Ankestyrelsens godkendelse.

Læg dertil, at økonomiaftalen lagde op til en særskilt afdækning af kommunernes garantistillelse og hæftelser.

Et selskab med 19 kommunale ejere og en stor balance af indskudt infrastruktur er ikke et risikofrit foretagende.

Det tungeste vilkår er dog indlåsningen.

I det øjeblik driften er overdraget, integrationerne bygget om, og den lokale kompetence afviklet, findes der ingen realistisk vej ud.

I har hverken folkene eller infrastrukturen til at gøre det selv igen – og der findes intet reelt alternativ på markedet. I har skabt en monopolleverandør, I ikke kan forlade, og som I kun deler kontrollen over med 18 andre.

SÅ - exit-klausuler, dataportabilitet og continuity skal altså stå i aftalen fra dag ét. Ikke fordi de gør exit let, men fordi de er det eneste, der holder leverandøren ansvarlig, når man ikke kan stemme med fødderne.

Tilsynet forsvinder ikke, fordi driften gør

Når driften ligger ude, skal I stadig kunne føre tilsyn med den.

Hvem reviderer selskabets sikkerhedsniveau, og hvilket grundlag får I at læne jeres eget tilsyn op ad?

Her bør I IKKE kræve standardiserede revisionserklæringer, men derimod et konkret sikkerhedsniveau med kontroller fastsat ud fra CIS 18 eller tilsvarende IEC 62443 for OT-delen, samt en kontraktuel ret til selv at revidere.

Uden et fast grundlag for tilsyn kan den enkelte kommune hverken dokumentere over for sin egen ledelse eller over for tilsynsmyndigheden, at den outsourcede drift lever op til kravene.

Tilsynspligten følger med ansvaret, og ansvaret bliver i kommunen. Driften kan I sende ud af huset. Tilsynet med den kan I ikke.

Vinduet er nu, og det lukker hurtigt

Alt det her, ansvarsfordelingen, instruktionsbeføjelsen, hændelsesflowet, hæftelsen, exit-retten og tilsynet, skal skrives ind i vedtægter, ejeraftale, databehandleraftale og styringsramme i løbet af 2026, før selskabet stiftes og driften overdrages.

Det er nu, I har forhandlingskraft. Når selskabet først er etableret, kræver enhver ændring, at man genåbner aftalen mellem 19 ejere, og den øvelse er tæt på umulig.

Og hold for øvrigt øje med, at selve modelvalget stadig er i bevægelse.

Kommunernes egne rådgivere nævner en ny, lovbestemt udbydermodel, der kan vise sig mere fordelagtig, og som man i givet fald kan skifte til.

I træffer altså en principbeslutning om et aktieselskab, mens det juridiske landskab under det kan rykke sig inden for få måneder.

Mit råd til de byråd, der skal træffe den bindende beslutning til efteråret, er det samme, som jeg ville give en hvilken som helst virksomhed foran en kritisk outsourcing: Brug ikke kræfterne på at diskutere, om I skal med.

Den beslutning er reelt truffet et andet sted. Brug dem på governance-dokumenterne, mens I stadig kan stille krav.

Og læg sagen åbent frem, sådan som Ringkøbing-Skjern gjorde. En cybersikkerhedsreform, der skal bygge tillid, bør kunne tåle dagslys og fortjener en grundigere offentlig debat, end den indtil videre har fået.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.

Event: Årets CISO 2026

Sikkerhed | Kongens Lyngby

Årets CISO 2026 hylder de sikkerhedsledere, der skaber robusthed i et sikkerhedslandskab under pres – og som formår at løfte cyber- og informationssikkerhed fra teknisk disciplin til strategisk ledelsesopgave.

22 oktober 2026 | Gratis deltagelse

Navnenyt fra it-Danmark

Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

Daniel Eriksson

Sharp Consumer Electronics

Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job
Pentos har pr. 2. juni 2025 ansat Jonas Kyhnau som Seniorkonsulent. Han skal især beskæftige sig med at rådgive virksomheder om HR digitalisering og implementering af SAP SuccessFactors og SmartRecruiters. Han kommer fra en stilling som Seniorkonsulent og PMO lead hos Gavdi. Han er uddannet Cand.merc Human Resource Management fra Copenhagen Business School. Han har tidligere beskæftiget sig med med Onboarding, Employee Central (Core HR). Nyt job

Jonas Kyhnau

Pentos