Hvad gør man som medarbejder, når arbejdspladsens rigide it-systemer ikke uden videre passer til ens ellers flydende arbejdsdag med notater og kommunikation med kolleger.

En nærliggende løsning har tidligere været at benytte et online produktionsvæktøj såsom Dropbox eller Google Docs, hvor man uden større besvær kan flytte selv store informationsmængder hurtigt og effektivt mellem de enkelte ansatte eller samarbejde på tværs af filtyper og opgaver.

Den praksis kan dog ende med at give flere virksomheder store kvaler, når det kommer til at overholde EU's kommende persondataforordning (GDPR), der træder i kraft 25. maj næste år, lyder det fra it-analysehuset IDC Nordic.

"Der har i mange år været et stort problem med det, vi kalder "skygge-it", hvor afdelinger har købt en Saas-løsning (sofware as a service, red.) til salgsafdelingen eller HR, som lige passede til deres behov uden it-afdelingens vidende," lyder det fra Carla Arend, programdirektør med ekspertise i den europæiske it-infrastruktur hos IDC Nordic, som fortsætter:

"Det kan være noget så simpelt, som at jeg bruger Dropbox til at dele dokumenter med mine kolleger, men som it-afdelingen ikke understøtter. Alle de køb af smarte software-løsninger, som it-afdelingen ikke aner noget som helst om, kan potentielt set udgøre en trussel," siger hun.

Hos it-leverandøren Atea, som betjener både offentlige og private kunder, er man mere end bekendt med problemstillingerne omkring skygge-it, lyder det fra Kim Høse, it-sikkerhedsdirektør i Atea.

Ud fra vores optik er der ikke nogen i dag, offentlige som private, der ikke har et problem

"Ud fra vores optik er der ikke nogen i dag, offentlige som private, der ikke har et problem. I realiteten handler det om, at grænserne mellem privatlivet og det professionelle liv er blevet en smule udviskede," siger Kim Høse og uddyber:

"Vi vil have den samme funktionalitet i arbejdslivet, som vi har i privaten. Derfor bruger vi mange af de samme programmer. Problemet er bare, at det sker uden om de etablerede systemer. Derfor eksisterer der tit flere udgaver af de samme data i både de officielle og skygge-systemerne, som vi ikke kan styre." 

Proppet med persondata

Selvom de mange programmer løser forskellige problemer hurtigt og effektivt, strider brugen af dem ifølge Carla Arend mod den kommende GDPR-forordnings krav om, at virksomheder skal kunne dokumentere, hvilke personfølsomme oplysninger man ligger inde med og præcis, hvor de befinder sig.

"It-afdelingen skal under GDPR afdække, hvor deres data ligger. I det arbejde vil de finde en masse skygge-it, som ikke burde være der, og som indeholder en masse persondata," fortæller Carla Arend og påpeger, at de omtalte data kan være af en særdeles forretningskritisk karakter.

"Tit vil de indkøbte Saas-løsninger være det, man kalder 'productivity tools'. Så der kan være tale om meget kritiske data, som skal bruges til at træffe vigtige beslutninger, der ligger gemt i software, som ikke nødvendigvis er clearet eller godkendt fra it-afdelingens side."

Kan virksomheden, som leverer de her 'productivity-tools', uforvarende blive gjort meddelagtige i et eventuelt datalæk?

"Det er en gråzone. Hvis de har lavet en fejl, kan de i teorien blive retsforfulgt," siger Carla Arend.

Dialog skal sikre korrekt adfærd

Hos Atea mener man, at virksomhederne og deres interne samt eksterne it-folk skal vende udfordringen om. Løsningen er ifølge Kim Høse ikke at begrænse de ansattes adgang til forskellige typer programmer eller løsninger, men i stedet tilbyde brugbare alternativer, som virksomheden har kontrol over.

"Det kræver, at de løsninger, som tilbydes de ansatte, har samme grad af funktionalitet og fleksibilitet som det alternative stykke skygge-it har - og at de ansatte bruger det korrekt," siger Kim Høse og understreger:

Vi bliver nødt til at højne dialogen med brugerne om, hvad vi kan tillade og ikke tillade

"Vi bliver nødt til at højne dialogen med brugerne om, hvad vi kan tillade og ikke tillade - og de risici, som er forbundet med at opbevare data uden for de sikre rammer," lyder det.

Forud for ikrafttrædelsen af GDPR ligger dog et stort stykke arbejde med at få afdækket, hvilke data virksomhederne har - og endnu vigtigere, hvor de befinder sig.

"Der er et stort arbejde forude med at finde data. I vores undersøgelser af det, vi kalder "dark data", ser vi, at der findes mange kopier af den samme information. Det er bare fordelt i mail-indbakker, på lokale og eksterne drev eller i programmer som Dropbox," siger han og slutter:

"Der findes services, man kan benytte sig af i arbejdet med at finde informationen. Men noget så simpelt som en PDF kan jo være alt fra et ubetydeligt billede til en kontrakt med meget følsomme oplysninger. Og der vil være data, som skal gennemgås manuelt for at være 100 pct. sikker."

EU's dataforordning kan gøre cloud-udbydere til medskyldige ved datalæk 

Nye datakrav vil skabe solid vækst på markedet for it-sikkerhed i kommende år 

Bødefrygt skubber data op i skyen