Volgens Veritas maken werknemers op grote schaal gebruik van collaboration apps zonder expliciete toestemming. De risico’s die hiermee gepaard gaan worden chronisch onderschat. Werkgevers en IT beheerders hebben sinds thuiswerken de regel is geworden nog minder zicht op deze ongewenste situatie.
Steekproef
Veritas komt tot deze conclusie op basis van een steekproef onder ruim 12.000 werknemers, verdeeld over 11 landen. In Nederland zijn geen vragen gesteld, elders in Europa wel. Dat er Europese reacties zijn verzameld is belangrijk. Hier zou immers de AVG top of mind moeten zijn bij werkgevers en werknemers.
Data delen via collaboration apps
Dat is dus duidelijk niet het geval. Ruim 70 procent van alle respondenten geeft aan gevoelige data te delen via “collaboration apps”. Teams, Zoom en dergelijke worden gebruikt om business-critical data te versturen. Ene nog grotere groep (75 procent) deelt op die manier persoonsgegevens. Dat de kans op een fout groot is, is evident. De kans op ontdekking door IT beheer of de werkgever is niet zo heel groot. Niet meer dan een derde van de “overtreders” is het in 2020 op het ongewenste gedrag aangesproken.
Compliance
Veritas merkt terecht op dat het probleem niet zo zeer de gebruikte dienst is. Onder omstandigheden is het mogelijk veilig gebruik te maken van Zoom en Co. Het punt is dat ze buiten de controle vallen en dat daardoor compliance regels overtreedt. Verder speelt ook nog een rol dat het onmogelijk is data die zo ten onrechte wordt gedeeld nog terug te halen. Er kan dus sprake zijn van datalekken die moeten worden gemeld. Dat laatste is overigens het laatste jaar in de EU ook diverse keren gebeurt (vergelijkbaar met alle ontvangers in de CC te zetten, in plaats van in de BCC).
Oplossingen
De oplossingen die Veritas aandraagt zijn beperkt. Omdat werknemers ondanks reprimandes doorgaan op de oude voet moet wel iets veranderen. Collaboration apps verbieden is in ieder geval geen oplossing. Dat leidt tot meer shadow IT en andere ongewenste activiteiten. Zorgen dat het bedrijf een tool of een aantal tools classificeert als toegestaan is wel een oplossing. Helemaal als ook de juiste omgang daarmee wordt gestimuleerd. Zorgen dat er op het bedrijfsnetwerk cursussen en FAQs voor de toegestane apps beschikbaar zijn kan hier al een verschil maken.
