Hoe voorkom je Shadow IT bij het gebruik van Office 365?

Sinds de komst van de GDPR (of AVG in Nederland) moet je meer rekening houden met waar je je data zet. Maar in het geval van Shadow IT staat je data bij meerdere partijen. Door Office 365 goed te gebruiken, kun je dat voorkomen.

Gebruik je Office 365, dan kun je ervoor zorgen dat al je data alleen bij Microsoft staat. Wel zo handig, want dan hoef je maar een verwerkersovereenkomst af te sluiten. Maar als Office 365 niet door iedereen volop gebruikt wordt, kun je last krijgen van Shadow IT.

“Office 365 heeft een hele set aan tools, om ervoor te zorgen dat je geen andere diensten meer hoeft te gebruiken”, vertelt Xander Hartog van TIEN IT. Zo is er Teams, vergelijkbaar met Slack, OneDrive, vergelijkbaar met Dropbox en Planner, vergelijkbaar met Trello.

Voor iedere dienst is er dus wel een oplossing van Microsoft zelf, zodat je data daar blijft en niet bij derde partijen terecht komt. Maar dan moet wel iedereen in het bedrijf gebruikmaken van al die tools.

Goede voorbeeld

“Als mensen niet weten dat die tools er zijn, of hoe ze gebruikt moeten worden, dan zullen ze zelf eerder gaan zoeken naar een andere dienst. Dan gaan ze in plaats van OneDrive bijvoorbeeld Dropbox gebruiken”, stelt Hartog. Dat betekent dat er ook een verwerkersovereenkomst met Dropbox afgesloten moet worden. Veel organisaties zijn daarnaast niet eens bewust van de diensten die werknemers gebruiken en daardoor ook niet compliant met AVG(GDPR) regelgeving.

Om dat te voorkomen, moet het topmanagement volgens Hartog het goede voorbeeld geven. “Als zij direct Office 365 optimaal gebruiken, nemen gebruikers dat over. Je promoot het gebruik dus door het zelf in te zetten. Doe je dat niet, dan gaan mensen buiten de deur shoppen.”

Dat betekent echter wel dat er ondersteuning geleverd moet worden. “Als werknemers niet begrijpen hoe bepaalde tools werken, zullen ze ook voor derde partijen gaan kiezen.” Een goede handleiding en uitleg is dus van groot belang. Daarnaast is er promotie vanuit de IT-afdeling nodig, zodat mensen weten dat de diensten bestaan.

Controle is beter dan beperken

Maar in hoeverre ga je dan diensten van derde partijen beperken? Mogen werknemers dan helemaal geen gebruik meer maken van Dropbox? En wat mogen ze wel en niet met de buitenwereld delen?

Hartog heeft daar een eenvoudige stelregel over: “Hoe meer je mensen beperkt in het delen van data met de buitenwereld, hoe meer ze teruggrijpen op andere apps.” Met andere woorden: als jij zegt dat je geen data met de buitenwereld mag delen, doen ze het toch maar via diensten van derde partijen.

“Het is beter om daar minder streng in te zijn. Als ze de data namelijk delen via de diensten van Office 365, dan kun je een rapportage maken. Zo krijg je inzicht in wat er wel en niet gedeeld wordt. Misschien is het niet wenselijk dat er iets gedeeld wordt, maar het is beter dan er totaal geen zicht op hebben.”

Wil je meer weten over Shadow IT en hoe je dat kunt voorkomen? Nodig ons dan eens uit voor een kop koffie!