Even een mailtje via Gmail versturen met vertrouwelijke, zakelijke documenten. Of snel een bestand delen via Wetransfer of opslaan in Dropbox. We maken ons er allemaal weleens schuldig aan. De kans dat we daarmee de privacy schenden is groot, heel groot. Met het van kracht worden van de AVG op 25 mei kan de zogenaamde schaduw-it dan ook een serieuze bedreiging vormen voor uw business.
De term schaduw-it of shadow it staat voor het gebruik van it-middelen binnen organisaties die niet zijn goedgekeurd door de Iitfdeling. Vaak weet de it-afdeling er zelfs niet van. Denk aan Wetransfer, Whatsapp, Mailchimp, Skype, Gmail, Google Docs en Dropbox. Gratis en laagdrempelige toepassingen waar medewerkers dol op zijn. Gebruik van dergelijke apps is onderhevig aan gebruiksvoorwaarden en privacy policies van de betreffende aanbieders.
Wie bijvoorbeeld een account aanmaakt en data opslaat in Dropbox heeft ingestemd met gebruiksvoorwaarden die alle aansprakelijkheid voor verlies van data uitsluiten. Wie Mailchimp gebruikt, heeft ingestemd met een overeenkomst onder het recht van de Amerikaanse staat Georgia en kan bij een geschil worden gedagvaard voor de state and federal courts in die staat.
Schaduw-it versus privacy
Gratis is makkelijk, maar kent zeker in het bedrijfsleven zijn eigen prijs. Gartner voorspelde eerder al dat in 2020 een derde van alle digitale inbraken het gevolg is van het gebruik van schaduw-it. Een andere prijs die betaald moet worden voor gratis is het verlies van privacy. Een les die – in deze dagen van het Facebook-debacle – pijnlijk duidelijk blijkt.
Schaduw-it en compliance met wet- en regelgeving zijn geen match. Zeker niet met de komst van de Algemene Verordening Gegevensbescherming (AVG/GDPR). Data opslaan of verzenden via oplossingen in de cloud (apps) zal vaak in meer of mindere mate de verwerking van persoonsgegevens omvatten en dus in alle gevallen onder de reikwijdte van de AVG vallen. En dan is er een probleem, of eigenlijk meer dan een probleem. Want dan zal (kunnen) blijken dat de rechtmatigheid van de verwerking ontbreekt, vereiste verwerkersovereenkomst(en) niet zijn gesloten of aan de door de AVG voorgeschreven rechten van betrokkenen niet of onvoldoende uitvoering wordt gegeven. Daarnaast kunt u het verwijt krijgen dat u geen passende maatregelen heeft getroffen om te waarborgen dat verwerkingen in overeenstemming met de AVG worden uitgevoerd.
Bij het gebruik van schaduw-it is uw register van verwerkingsactiviteiten sowieso onvolledig. Wat u niet in beeld heeft, kunt u immers ook niet in het register opnemen. Als uw medewerkers gebruikmaken van buitenlandse (vaak Amerikaanse) apps is sprake van doorgifte naar ‘derde-landen’ en hiervoor gelden in de AVG restricties.
Last but not least: het heikele punt van beveiliging. Op de organisatie rust de wettelijke verplichting om passende technische en organisatorische maatregelen te treffen om een ‘op het risico afgestemd beveiligingsniveau te waarborgen’. Ga maar eens iets beveiligen waarvan u het bestaan niet afweet….
Strijdig met AVG/GDPR
Het gebruik van schaduw-it kan dus een hele reeks van overtredingen van de AVG/GDPR opleveren. Die overtredingen kennen met ingang van 25 mei aanstaande forse boetes. Data opslaan in de cloud, gegevens van een cliënt middels een Whatsapp-berichtje delen tussen collega’s of even een mail forwarden naar een (privé) mailaccount zijn in het AVG-tijdperk – naast een beveiligingsrisico – ook een juridisch risico geworden.
Organisaties doen er dus verstandig aan om het daadwerkelijke gebruik van it-middelen in beeld te krijgen, kritisch te beoordelen in het licht van de verplichtingen vanuit de AVG en vervolgens de nodige maatregelen te treffen. Bijvoorbeeld het ontwikkelen van beleid rondom it-middelen, het verhogen van privacybewustzijn bij uw medewerkers of het dusdanig beveiligen van gevoelige data dat het niet naar een cloudoplossing kan worden verzonden. Eén ding is zeker. Niets doen is geen optie, want compliance met de AVG is bij schaduw-it per definitie ver te zoeken.
Het fenomeen schaduw-it zoals beschreven geeft wederom te denken of de mensen die deze schaduw-it gebruiken wel geschikt zijn voor hun werk.
Natuurlijk, zelf even iets via schaduw-it regelen is makkelijker en sneller dan via de officiële weg, maar één van de redenen dat die officiële weg wat langer duurt en complexer is, is dat die weg wel AVG compliant is.
Het gemak van schaduw-it ontslaat je als gebruiker van de data echter niet van je plicht je te houden aan de spelregels omtrent het gebruik van deze data.
Dat klopt, maar je kunt je als organisatie ook afvragen waarom er anno 2018 er middelen zijn die de officiële manieren zo complex en lastig maken voor de gemiddelde gebruiker. Juist helemaal voor de nieuwe medewerkers die eenvoudig en zo efficiënt mogelijk werken.
Wellicht weten velen dit niet, maar er zijn Enterprise ECM systemen die AVG/GDPR compliant zijn en die het mogelijk maken om veilig informatie te delen met externen. Een goed voorbeeld uit de gemeente markt is de oplossing ketensamenwerken, hierbij zorg je ervoor dat je de interne systemen dusdanig beschikbaar maakt extern dat alle betrokken veilig kunnen samenwerken intern & extern.
Mits je een van de organisaties bent die dit juist niet goed op orde heeft, dan ben je zelf verantwoordelijk voor om je medewerkers de juiste tooling te geven om hun werk te doen en al zeker vanaf 25 mei.
Een uitgebreid stuk met hele goede beschouwingen. Ik kom deze situaties heel regelmatig tegen bij mijn klanten.
Uiteindelijk blijken deze shadow-IT oplossingen het beste te vinden via geld: follow the money. Doe een echt goede spend-analyse en je vind een wereld aan producten en diensten waarvan je organisatie formeel niet wist dat ze in gebruik zijn…
Het is boeiend om te zien hoe de strijd tussen “centraal gestuurde IT” en “in de business aangeschafte IT” telkens over een andere as wordt gevoerd. Eerst ging het om de macht over de technologie: Wij maken (zelf) wel uit wat er hier gebruikt wordt, het is mijn techniek. Daarna over het budget: Wij maken (zelf) wel uit aan wie we ons geld geven, het is mijn budget. Toen over de organisatie: Wij maken (zelf) wel uit met welke oplossingen we ons werk doen, het zijn mijn bedrijfsprocessen. En nu gaat het over governance: Wij maken (zelf) wel uit waar we onze data onderbrengen, het zijn mijn gegevens.
Alle voorgaande discussies hadden vooral te maken met interne organisatie en uiteraard met macht. Wie is er hier de baas?
Het grote verschil is deze keer dan de AVG organisaties verantwoordelijk en aansprakelijk maakt voor gegevens van derden; medewerkers, klanten en allerlei andere personen waarvan je ooit data hebt verzameld.
En die juridische positie kunnen de leden van MT’s en Boards niet meer binnenskamers uitvechten. Die wordt vroeg of laat een keer voor de rechter gebracht.
Bestuurders, neem tijdig uw verantwoordelijheid.
@Tahir: definieer “de juiste tooling” …
Mensen willen soms simpelweg niet met de geleverde tooling werken. Dit zegt niet altijd iets over de tooling, maar vaak meer over de medewerker.
Misschien moeten we gewoon terug naar het goede oude en vertrouwde IBM Mainframe met de 3270 terminal …. schaduwIT kon gewoon niet in zo’n omgeving 🙂
(ofwel: blijkbaar moet je alles dichtzetten / onbruikbaar maken wil je in controle zijn. IT kun je managen, mensen niet ….)
Een paar alternatieven noemen die voor een beetje ICT-afdeling best zelf te realiseren zijn ontbreekt.
Daarom enkele mogelijkheden om als bedrijfleiding je personeel e.e.a te bieden.
Wetransfer – Nextcloud
Whatsapp – Signal, Telegram, Threema
Mailchimp – PHPList
Skype – WEBrtc in Nextcloud
Gmail – Mailserver van de een of andere Domain met webmail
Google Docs – Collabora Office ook in Nextcloud
Dropbox – Nextcloud
Er bestaan genoeg alternatieven maar het is natuurrlijk nodig om het personeel duidelijk te maken dat het bedrijfsbelang ook hun eigenbelang is en met wat ondersteuning en motivatie krijg je mensen zover de alternatieven te accepteren.