GDPR og farene ved «skygge-IT»

Det er et økende problem at ansatte på eget initiativ tar i bruk tjenester på nett uten å avklare dette med bedriftens IT-avdeling. Dette kalles ofte for «skygge-IT». I forbindelse med innføringen av GDPR, den nye personopplysningsloven, er dette mer aktuelt enn noen sinne.

De fleste bedrifter har en egen IT-avdeling og klare retningslinjer om hva slags programvare, verktøy og tjenester som er godkjent til bruk i jobbsammenheng. Det er mange gode grunner til at det er nødvendig for en bedrift å regulere de ansattes bruk av elektroniske verktøy.

Les også: Sopra Steria og Wrangu gjør det lettere for bedrifter å oppfylle GDPR

Gratis, men…

Internett flommer over av gratis-tjenester, og ofte kan du finne en tjeneste som tilsynelatende er perfekt for den arbeidsoppgaven du sitter med akkurat nå. Det er bare ett problem med tjenesten; den finnes ikke på din interne IT-avdelings liste over godkjente tjenester. Du bør ikke ta i bruk tjenesten uten å avklare dette med IT-avdelingen. Det dukker stadig opp nye tjenester og verktøy, og det kan godt være at IT-avdelingen ikke enda har vurdert tjenesten du ønsker å bruke.

Personopplysningsloven

I henhold til GDPR, skal bedriften være i stand til både å hente frem og å slette personopplysninger. Dette blir vanskelig å overholde dersom slike opplysninger er spredt hos et ukjent antall tredjeparts leverandører, uten at IT-avdelingen vet om det. Da reduseres både oversikt og kontroll over hvilke data man har lagret og hvor.

Det er ingen garanti for at tjenester du finner på nett leveres i henhold til GDPR. Dersom tjenesten i utgangspunktet ikke henvender seg til det europeiske markedet, er det ikke sikkert at tjeneste-leverandøren har tatt seg bryet med å sikre at tjenesten oppfyller kravene. Dette er noe den som tar i bruk tjenesten er nødt til å undersøke på forhånd.

Les også: Tre overraskelser og potensielle gevinster som utviklere vil få gjennom GDPR

Flere utfordringer

Selv om tjenesten du ønsker å bruke ikke inneholder personopplysninger, kan det være andre utfordringer. Kanskje var tjenesten du brukte knyttet til deg som person, og innloggingsdetaljer kun finnes hos deg. I så fall kan tjenesten som var så nyttig for deg, ende opp med å bli et hinder for at andre kan overta oppgavene dine på en effektiv måte.

Et godt råd er derfor å ikke ta i bruk tjenester i jobbsammenheng uten at dette er klarert med IT-avdelingen. Husk at IT-avdelingen ønsker å hjelpe deg slik at du kan gjøre jobben din så effektiv som mulig. Dersom du hører at ansatte bruker uautoriserte tjenester, så si ifra til dem! Kanskje de ikke har tenkt over problemstillingene rundt dette.

Anders Nordby erLead Software Engineer i Sopra Steria. Han har lang erfaring som utvikler og systemarkitekt.

Legg inn en kommentar