Het is snel gebeurd, een bestand delen met een collega via WeTransfer. Heel wat cloud storage services en file sharing applicaties worden tijdens een onbewaakt moment gebruikt om bestanden op te slaan of te delen. Maar zijn deze tools wel goedgekeurd door het management of de IT-verantwoordelijke? Wist je dat de GDPR specifieke voorwaarden voorziet voor de export van data naar niet-Europese providers en servers? Daarnaast worden er tegenwoordig heel wat apps in gebruik genomen om processen te vereenvoudigen. Denk maar aan ‘to-do-list’-apps op de smartphone. Op zich niet fout bedoeld, maar wanneer persoonsgegevens worden opgeslagen in deze apps (en dus gedeeld worden met derden) is het gebruik van de apps niet meer zo onschuldig.
Uit een onderzoek van Trend Micro blijkt dat maar liefst 61 procent van de ondervraagde Belgische werknemers toegeeft dat ze niet-werkgerelateerde software gebruiken op bedrijfstoestellen. 74 procent van de ondervraagden geeft zelfs aan al bedrijfsgegevens via zulke niet-toegestane tools verzonden te hebben. Zijn het management en de IT-afdeling van jouw organisatie op de hoogte van alle software die er op de werkvloer circuleert? Of zou er wel eens Shadow IT aanwezig kunnen zijn?
Wat is Shadow IT?
Onder Shadow IT verstaan we alle hardware, software en tools in een organisatie die niet officieel deel uitmaken van het IT-beleid. Wat valt hier zoal onder? Apparaten die van thuis meegebracht worden en aan het netwerk gekoppeld worden zoals usb sticks, wifi-versterkers of tablets. Maar ook applicaties die op eigen initiatief van de werknemer gebruikt worden zoals notitie-apps, websites waar bestanden worden geüpload en cloudsoftware. Het zijn tools en app’jes die zonder medeweten van de IT-afdeling geïnstalleerd en gebruikt worden.
Wat is het gevaar van Shadow IT?
Gemiddeld ziet zo’n 75 procent van de medewerkers er geen graten in om Shadow IT te gebruiken. Ze worden onvoldoende gesensibiliseerd waardoor ze zich niet realiseren wat de gevaren zijn die hieraan vasthangen. Daarnaast heeft een bijna even grote groep van managers of IT-verantwoordelijken er geen helder zicht op in welke mate Shadow IT binnen het bedrijf gebruikt wordt. Dit houdt natuurlijk ernstige risico’s in voor de informatieveiligheid.
Bedreiging voor GDPR-compliancy
Shadow IT vormt een groot probleem voor bedrijven als het gaat om GDPR compliancy. Werknemers staan er namelijk amper bij stil waar de ingevoerde informatie (die persoonsgegevens kan bevatten) in hun mobiele apps of websites werkelijk naartoe gaat. Daarnaast hebben ze bij het eerste gebruik ervan gebruiksvoorwaarden geaccepteerd die de organisatie niet juridisch heeft kunnen aftoetsen. Staan de gegevens op servers buiten de EU? Dan bestaat de kans dat de dienst onvoldoende garanties biedt om op een vertrouwelijke manier met de data om te gaan. Ook zou het kunnen dat er verschillende sub-verwerkers inzage krijgen in de data. Indien de afgesloten overeenkomst ontbreekt in het bedrijf, en de verwerking niet in het dataregister staat ingevuld, spreken we van inbreuken. Bij onwetendheid kunnen plichten ten opzichte van betrokkenen (wanneer er bijvoorbeeld persoonsgegevens worden opgeslagen van prospecten, klanten of medewerkers) niet nagekomen worden. Shadow IT vormt dus een grote uitdaging voor iedere kmo die persoonsgegevens verwerkt van Europese burgers.
Bedreiging voor de meldplicht datalekken
Vanaf 25 mei 2018 bestaat er ook een meldplicht datalekken. Dit wilt zeggen dat je binnen de 72 uur melding moet maken wanneer er een datalek heeft plaatsgevonden in jouw bedrijf. Die melding moet je mogelijk registreren in een register, melden aan de betrokkenen en/of aan de Gegevensbeschermingsautoriteit.
Ook hier vormt Shadow IT een groot gevaar. Als je niet weet waar je verwerkte persoonsgegevens zich bevinden, is het moeilijk om de veiligheid van deze gegevens te garanderen en volledig correcte dataregisters op te stellen. Snel en efficiënt ingrijpen wanneer er wat misloopt of wanneer iemand beroep doet op “het recht om vergeten te worden” is dan al helemaal onmogelijk.
Bedreiging voor de veiligheid van jouw KMO
Daarnaast bestaat ook het gevaar dat de gebruikte Shadow Apps of software van slechte kwaliteit zijn en je medewerkers onbewust malware of andere virussen het bedrijf binnensluizen. De rol van mobiele apparaten is in dit opzicht ook niet te onderschatten. Niet iedereen zal bijvoorbeeld de benodigde beveiligingssoftware op zijn telefoon geînstalleerd hebben.
Hoe kan je Shadow IT vermijden?
Met deze praktische tips kan je Shadow IT binnen je kmo vermijden en kan je werknemers bewust maken van de gevaren die het met zich meebrengt.
- voorzie een sluitend IT veiligheidsbeleid met alle afspraken omtrent de omgang met data, hardware, software en websites;
- formaliseer afspraken omtrent de omgang met data in de overeenkomsten met je medewerkers;
- voorzie een duidelijk omkaderd thuiswerkbeleid en BYOD (bring your own device) beleid;
- introduceer als organisatie zelf een beveiligde cloudomgeving zodat je team doeltreffend kan (samen)werken;
- registreer alle tools en verwerkingsactiviteiten in je dataregister;
- verzorg periodieke interne sensibilisering;
- voorzie een procedure voor medewerkers die toestemming willen vragen om een niet-goedgekeurde tool te gebruiken en voor medewerkers die een nieuwe tool willen introduceren.