Shadow-IT en GDPR: neem tijdig de juiste technische en organisatorische maatregelen

Op 10 september 2019 heeft de Poolse Gegevensbeschermingsautoriteit een monsterboete van 645.000 Euro opgelegd aan morele.net ten gevolge van een cyberaanval. Deze aanval was oorzaak van een datalek van gegevens van 2.200.000 personen. De beschermingsautoriteit verweet morele.net dat zij geen aangepaste maatregelen had genomen met betrekking tot de authenticatie bij toegang tot de data. Evenmin was er sprake van een effectieve monitoring van mogelijke aanvallen gerelateerd aan ongewone online activiteiten.

Hieruit blijkt opnieuw dat technische en organisatorische maatregelen van essentieel belang zijn om datalekken te voorkomen. Deze maatregelen moeten steeds ‘state of the art’ zijn en vereisen dus een voortdurende opvolging. Voor veel ondernemingen is hierbij een belangrijk aandachtspunt het gegeven van ‘Shadow-IT’. Dit is alle IT die ingezet wordt voor de activiteiten van de onderneming, maar niet onder de controle vallen van de onderneming. We denken daarbij aan het gebruik van verschillende Saas-toepassingen, file-sharing applicaties, cloud & storagediensten, etc. die werknemers gebruiken om hun werk uit te oefenen. Denk maar aan Whatsapp, dropbox, Wetransfer, … om te communiceren, bestanden te delen, etc.

 

Dood aan Shadow-IT

Veel werknemers kiezen voor het gebruik van Shadow-IT van zodra de IT-infrastructuur van de onderneming minder efficiënt en comfortabel, complexer en niet compatibel met eigen devices is en/of wanneer die werknemers geen of weinig kennis hebben van de gevaren van het gebruik ervan.

Het gebruiksgemak van deze applicaties zorgt ervoor dat de drempel zeer laag is. Maar dit gebruik vormt een reëel risico voor de bescherming van je data. GARTNER stelt o.a. dat in 2020 één derde van de veiligheidslekken haar oorzaak zal vinden in het gebruik van Shadow-IT. 

Én omdat je als onderneming geen controle hebt op de toepassing ervan, stel je je bloot aan schendingen van o.a. je GDPR-verplichtingen. De voorbeelden zijn talrijk. Als verantwoordelijke van je gegevens weet je niet waar je gegevens worden opgeslagen en wie er toegang heeft tot deze gegevens. Evenmin weet je of deze gegevens worden geëxporteerd naar servers buiten de EU. De provider van de applicatie of de cloud heeft evenmin een verwerkersovereenkomst met je afgesloten, laat staan dat je controle hebt op eventuele subverwerkers. Je weet dus niet welke beveiligingsmaatregelen deze provider heeft genomen om je gegevens alsnog te beschermen. In je verwerkingsregister zal al evenmin deze datastroom in kaart gebracht zijn, zodat er onduidelijkheid bestaat over de classificatie en de rechtsgrond voor verwerking van deze gegevens. Wanneer één van je klanten zijn of haar rechten onder de GDPR wenst uit te oefenen, dan zal dit niet evident zijn. Zo zal het recht om vergeten te worden bijzonder moeilijk kunnen uitgeoefend worden indien je niet weet waar de betrokken gegevens zich bevinden.

Shadow-IT binnen je onderneming is dus zeker niet zonder risico’s.

 

Lang leve Shadow-IT!

Ondanks de gevaren van Shadow-IT, kan en moet dit niet volledig verbannen worden. Werknemers zullen steeds zoeken naar tools die hun werk efficiënter en eenvoudiger kunnen maken. Zo blijkt ook uit The Entrust Datacard Shadow IT Report 2019 dat 97% van de respondenten overtuigd is dat werknemers door het gebruik ervan productiever zijn, 96% overtuigd is dat werknemers meer geëngageerd zijn en 93% ervan overtuigd is dat dit leidt tot een hogere loyaliteit ten aanzien van de onderneming. Het gebruik van Shadow-IT zou dus een concurrentieel voordeel kunnen opleveren.

Maar hoe kan je dit concurrentieel voordeel uitspelen zonder je bloot te stellen aan de voornoemde risico’s? Er zijn hiervoor verschillende maatregelen die je kan nemen. Zo kan je o.a.:

• een duidelijk IT-beleid voeren met betrekking tot je data, software, hardware, website, …
• duidelijke policies opstellen op voor je werknemers met betrekking tot het gebruik van je data, het gebruik van applicaties, thuiswerken, BYOD, …
• je werknemers sensibiliseren rond de gevaren en voor een regelmatige opfrissingscursus, seminarie, etc zorgen.
• voor een gebruiksvriendelijke IT-infrastructuur zorgen waarbij werknemers zo min mogelijk weerstand ondervinden om het te gebruiken.
• alle tools die werknemers gebruiken registreren en controleren zodat ook werknemers weten welke extra tools kunnen gebruikt worden. Neem vervolgens contact op met de bewuste providers en controleer deze op IT-veiligheid en compliancy.
• je IT-infrastructuur monitoren met Shadow IT ontdekkingstools en toepassing maken  van vb. CASB-oplossingen (Cloud Access Security Broker), veiligheidstoepassingen op basis van identificatie en authenticatie, etc.

 

Conclusies

Shadow-IT kan heel wat risico’s met zich meebrengen als het gaat over de cyberveiligheid van je onderneming. Een datalek als gevolg daarvan, kan leiden tot stevige boetes, zodat het aangeraden is om je technische en organisatorische maatregelen steeds te finetunen. Een belangrijk aandachtspunt bij deze maatregelen is het risicovol gebruik van Shadow-IT door je werknemers. Neem steeds de correcte initiatieven om dit risico maximaal te beperken.

 

Meer vragen over de cyberveiligheid van je onderneming binnen GDPR?

Neem dan gerust even contact op met Roeland via roeland@siriuslegal.be