Even een mailtje via Gmail versturen met vertrouwelijke, zakelijke documenten. Of snel een bestand delen via Wetransfer of opslaan in Dropbox. We maken ons er allemaal weleens schuldig aan. De kans dat we daarmee de privacy schenden is groot, heel groot. Met het van kracht worden van de AVG op 25 mei kan de zogenaamde schaduw-it dan ook een serieuze bedreiging vormen voor uw business.
De term schaduw-it of shadow it staat voor het gebruik van it-middelen binnen organisaties die niet zijn goedgekeurd door de Iitfdeling. Vaak weet de it-afdeling er zelfs niet van. Denk aan Wetransfer, Whatsapp, Mailchimp, Skype, Gmail, Google Docs en Dropbox. Gratis en laagdrempelige toepassingen waar medewerkers dol op zijn. Gebruik van dergelijke apps is onderhevig aan gebruiksvoorwaarden en privacy policies van de betreffende aanbieders.
Wie bijvoorbeeld een account aanmaakt en data opslaat in Dropbox heeft ingestemd met gebruiksvoorwaarden die alle aansprakelijkheid voor verlies van data uitsluiten. Wie Mailchimp gebruikt, heeft ingestemd met een overeenkomst onder het recht van de Amerikaanse staat Georgia en kan bij een geschil worden gedagvaard voor de state and federal courts in die staat.
Schaduw-it versus privacy
Gratis is makkelijk, maar kent zeker in het bedrijfsleven zijn eigen prijs. Gartner voorspelde eerder al dat in 2020 een derde van alle digitale inbraken het gevolg is van het gebruik van schaduw-it. Een andere prijs die betaald moet worden voor gratis is het verlies van privacy. Een les die – in deze dagen van het Facebook-debacle – pijnlijk duidelijk blijkt.
Schaduw-it en compliance met wet- en regelgeving zijn geen match. Zeker niet met de komst van de Algemene Verordening Gegevensbescherming (AVG/GDPR). Data opslaan of verzenden via oplossingen in de cloud (apps) zal vaak in meer of mindere mate de verwerking van persoonsgegevens omvatten en dus in alle gevallen onder de reikwijdte van de AVG vallen. En dan is er een probleem, of eigenlijk meer dan een probleem. Want dan zal (kunnen) blijken dat de rechtmatigheid van de verwerking ontbreekt, vereiste verwerkersovereenkomst(en) niet zijn gesloten of aan de door de AVG voorgeschreven rechten van betrokkenen niet of onvoldoende uitvoering wordt gegeven. Daarnaast kunt u het verwijt krijgen dat u geen passende maatregelen heeft getroffen om te waarborgen dat verwerkingen in overeenstemming met de AVG worden uitgevoerd.
Bij het gebruik van schaduw-it is uw register van verwerkingsactiviteiten sowieso onvolledig. Wat u niet in beeld heeft, kunt u immers ook niet in het register opnemen. Als uw medewerkers gebruikmaken van buitenlandse (vaak Amerikaanse) apps is sprake van doorgifte naar ‘derde-landen’ en hiervoor gelden in de AVG restricties.
Last but not least: het heikele punt van beveiliging. Op de organisatie rust de wettelijke verplichting om passende technische en organisatorische maatregelen te treffen om een ‘op het risico afgestemd beveiligingsniveau te waarborgen’. Ga maar eens iets beveiligen waarvan u het bestaan niet afweet….
Strijdig met AVG/GDPR
Het gebruik van schaduw-it kan dus een hele reeks van overtredingen van de AVG/GDPR opleveren. Die overtredingen kennen met ingang van 25 mei aanstaande forse boetes. Data opslaan in de cloud, gegevens van een cliënt middels een Whatsapp-berichtje delen tussen collega’s of even een mail forwarden naar een (privé) mailaccount zijn in het AVG-tijdperk – naast een beveiligingsrisico – ook een juridisch risico geworden.
Organisaties doen er dus verstandig aan om het daadwerkelijke gebruik van it-middelen in beeld te krijgen, kritisch te beoordelen in het licht van de verplichtingen vanuit de AVG en vervolgens de nodige maatregelen te treffen. Bijvoorbeeld het ontwikkelen van beleid rondom it-middelen, het verhogen van privacybewustzijn bij uw medewerkers of het dusdanig beveiligen van gevoelige data dat het niet naar een cloudoplossing kan worden verzonden. Eén ding is zeker. Niets doen is geen optie, want compliance met de AVG is bij schaduw-it per definitie ver te zoeken.
