De Amerikaanse bank JPMorgan moet een boete van $200 miljoen betalen omdat het personeel van WhatsApp gebruik maakt. Het draait hier in de eerste plaats om compliance, maar ook wel om het begrip shadow IT.
Shadow IT
Shadow IT is een bekend en lastig begrip. Het gaat in de daarbij vooral om toepassingen in de vorm van clouddiensten die worden gebruikt zonder toestemming en controle. Gebruikers zijn medewerkers en de toestemming moet komen van IT beheer en uiteindelijk de directie. Shadow IT kan ook betrekking hebben op hardware die zonder medeweten en instemming is geïnstalleerd. Dat komt echter veel minder voor.
Bij de applicatie kant van shadow IT speelt natuurlijk mee dat SaaS toepassingen zo lekker makkelijk en snel te installeren zijn. De meeste gebruikers van ongeautoriseerde applicaties kunnen ook heel goed aangeven waarom ze deze gebruiken. In bijna alle gevallen kennen ze de toepassing omdat die op de eigen smartphone of tablet aanwezig is.
De push van zakelijk te gebruiken apps via privé devices is een hele slimme marketing zet. Box en Dropbox zijn waarschijnlijk de bekendste voorbeelden van die methode. Maar het is ook mogelijk apps waarbij niet wordt stilgestaan te classificeren als shadow IT. Messenger diensten en social media komen dan direct in het vizier, dus ook WhatsApp.
JPMorgan
JPMorgan is een bank. Alle communicatie van bankmedewerkers moet traceerbaar zijn en worden opgeslagen. Dat is een van de basisregels die voor alle banken geldt. Het personeel van deze bank maakte er echter de gewoonte van voor interne communicatie nadrukkelijk WhatsApp toe te staan.
Over de periode 2015-2020 kon op die manier de toezichthouder SEC niet vaststellen of bijvoorbeeld de beurshandelaren van de bank zich aan de regel hielden. Daarmee heeft de bank zich niet aan compliance regels gehouden, maar ook de voorwaarden van de bankvergunning overtreden. Toezichthouder SEC legt daarom een boete van $200 miljoen op (link).
Waarom is dit belangrijk?
Deze Amerikaanse case is om een paar redenen belangrijk. De eerste is de constatering dat Shadow IT veel meer kan omvatten dan een Dropbox account. We zien hier dat een “legale” app bewust kan worden ingezet om wettelijke regels te omzeilen. Dat omzeilen is al die jaren niet opgevallen en intern is er ook niet aan de bel getrokken. Uit de stukken kan worden opgemaakt dat IT beheer van JPMorgan niet kon controleren of WhatsApp gebruikt werd op de verkeerde manier.
Alle variaties van Shadow IT opsporen en aan banden leggen is echt een klus. Niet alleen compliance officers van banken, ook IT beheerders en dienstverleners mogen zich afvragen of en hoe zij een dergelijk overtreden van de wet (want dat is het) kunnen vaststellen.
