Skugg-IT möter GDPR: Icke sanktionerad IT i en omvärld med ökade krav på integritet.

Sammanfattning: Skugg-IT är ett fenomen som har förekommit i organisationer så länge IT har existerat. Skugg-IT innebär all användning av IT-artefakter av olika slag som inte är sanktionerad av IT-avdelningen. Tidigare har motivationen att ta tag i problematiken kopplat till skugg-IT varit begränsad. Detta har i sin tur bidragit till att organisationer inte vet vad för typ av information de lagrar och var den finns. I och med införandet av EU:s nya dataskyddsförordning kommer kraven på organisationer som hanterar personuppgifter om EU-medborgare att öka kraftigt. Vi undersöker hur skugg-IT i organisationer påverkas utav de förhöjda kraven på integritet och genomför kvalitativa intervjuer med praktiker i branschen som har stor erfarenhet av både skugg-IT samt GDPR. Det visar sig att problematiken kring skugg-IT blir större och det går från ett problem som har kunnat ignoreras till att det nu måste hanteras. Det bör ske proaktivt med ett välgrundat organisatoriskt informationssäkerhetsarbete som har fullt stöd i ledningen och där efterlevnads-ansvaret är solidariskt. Fokus bör ligga på informationen i sig och inte på vilka enheter eller molntjänster som används för att behandla informationen. Företagen kommer tjäna på att ha ett individperspektiv på problematiken då det är samma perspektiv som lagstiftningen i slutändan har.