There is a good chance your company is currently paying for software that your IT team does not know about. Someone in marketing signed up for a design tool on the company card. Someone in logistics found a route planning app on a forum. The operations manager subscribed to an AI assistant to help with weekly reports. All reasonable people solving real problems — and none of it went through any approval process.

This is shadow software. It is not usually malicious. Most of the time it is just practical: someone has a problem, they find a tool, they put in a card number, and they get on with their day. The risk is what happens after that.

How common is this

More common than most managers realize, and the numbers are from before the current wave of AI tools made it even easier.

According to Zylo's 2024 SaaS Management Index — a study covering over 30 million software licenses — 84% of SaaS applications in companies sit outside IT's direct oversight, purchased by business units or individual employees. The same research found that 65% of software bought on employee expense cards carries a poor or low security rating. These are not fringe tools. They are things people are using every day to do their jobs.

For smaller businesses, Capterra's 2023 research puts the picture in more concrete terms: 57% of small and mid-sized companies have significant shadow IT operating outside IT oversight, and the average SMB loses around $43,500 per year to untracked or unused SaaS subscriptions — tools that renewed automatically, were forgotten after a trial, or are still running for people who left the company months ago.

Those numbers are from 2023 and 2024. In 2026, when anyone with a laptop and a cloud account can build and sell a SaaS product in a weekend, the volume of available tools has only grown. The barrier to entry for becoming a software vendor is near zero. The barrier to buying that software is even lower.

Why it is a real business risk

The security and cost problems are real, but the one that tends to surprise managers most is the compliance exposure — specifically around data.

When an employee enters customer names, supplier contracts, employee records, or internal financial data into an unsanctioned tool, that data is now sitting somewhere you did not agree to, under legal and security terms you never reviewed. IBM's 2024 Cost of a Data Breach report found that 35% of data breaches involved data stored in unsanctioned systems, and that those breaches cost on average 16% more than breaches involving approved systems — likely because the unsanctioned tools are harder to detect, slower to audit, and not covered by any incident response plan.

GDPR exposure
Under EU data protection law, if a third party processes personal data on your behalf, you need a signed Data Processing Agreement in place. Without one, you are not compliant — even if you did not know the tool existed. Regulators do not accept "we didn't know" as a defence. GDPR fines can reach 4% of annual global turnover or €20 million, whichever is higher.

Many smaller SaaS vendors — especially newer ones — store data on servers outside the EU without clearly disclosing this. Some have no data security certifications. Some allow vendor staff to access customer data for support purposes without audit logging. None of this is necessarily illegal on its own, but all of it becomes your problem when the data in question belongs to your customers or employees.

What procurement can do about it

Shadow software tends to be treated as an IT problem, but the entry point is almost always a purchase. Someone spent money. That is procurement territory — and procurement teams at mid-sized companies often have better visibility into spend patterns than IT does.

The starting point is visibility. A basic review of recurring charges on expense cards and departmental budgets — anything that looks like a monthly or annual SaaS subscription above a low threshold — gives you a working picture of what is actually running. Most finance teams can pull this data; the question is whether anyone has thought to look at it through a software lens.

From there, the goal is not to block tools people genuinely need. A slow or unclear approval process is what pushes people to bypass procurement in the first place. If getting a €20/month tool approved takes three weeks and three signatures, people will just put it on their card. A lightweight approval path — a short form, a defined turnaround, a checklist of the questions below — removes the friction without removing the control.

Quick win
Build a shared approved-tools list. Once a tool has been validated, any team can use it without repeating the process. This removes duplicate subscriptions, saves time, and gives people a faster path to yes than bypassing procurement entirely.

Five questions to ask before approving any software spend

Whether a tool comes through a new approval process or you are retroactively reviewing something already in use, these are the questions that matter.

1. Do you have a Data Processing Agreement, and will you sign ours?

Any legitimate SaaS vendor processing personal data on behalf of EU-based customers should have a standard DPA available and be willing to sign it. If a vendor cannot answer this question or does not know what a DPA is, that tells you something important about how seriously they take data governance.

2. Where is our data stored, and who has access to it?

You want a specific answer — country, cloud region, and a clear statement about whether vendor staff can access customer data and under what conditions. "We use AWS" is not sufficient. "We use AWS eu-west-1, data is encrypted at rest and in transit, and staff access requires a named engineer with audit logging" is a real answer.

3. Do you hold ISO 27001 or SOC 2 certification?

These are the main internationally recognized security certifications for software companies. ISO 27001 is more common in Europe; SOC 2 is the US standard. Neither guarantees perfect security, but both indicate that the vendor's practices have been independently reviewed. Ask to see the certificate, not a checkbox on their website.

4. How is our data deleted when we stop using the service?

Offboarding is frequently overlooked. You want to know whether data is deleted automatically, how quickly, and whether you can get written confirmation. Some vendors retain data for extended periods after contract end, or delete it only on request. This matters more when the data involves personal information covered by GDPR.

5. Is the product GDPR compliant, and how can you demonstrate it?

Any vendor serving European customers should be able to point you to their privacy policy, their DPA template, their sub-processor list (the third parties they share your data with), and ideally a compliance page or trust portal. "Yes, we're compliant" without supporting documentation is not a useful answer. Compliance is paperwork, not a feeling.

The procurement angle

Most procurement teams are set up to handle large software contracts — the ERP renewals, the enterprise agreements that land on the CFO's desk. The smaller SaaS spend lives in expense reports and departmental budgets, and it does not feel like a procurement problem until something goes wrong.

The teams that get ahead of this do not necessarily have better tools or bigger budgets. They have someone who looked at the expense data, asked the right questions, and built a simple process before the problem became a headline.

If you want to think through what that looks like for your organisation, I am happy to have that conversation at sourcing-sense.com.

Je docela pravděpodobné, že vaše firma právě platí za software, o kterém IT oddělení neví. Někdo z marketingu se přihlásil k designovému nástroji přes firemní kartu. Někdo z logistiky našel plánovací aplikaci na fóru. Provozní manažer si předplatil AI asistenta na týdenní reporty. Rozumní lidé řešící reálné problémy — a žádný z těchto nástrojů neprošel žádným schvalovacím procesem.

Tomu se říká shadow software. Obvykle to není záměrné obcházení pravidel. Většinou jde jen o praktičnost: někdo má problém, najde nástroj, zadá číslo karty a jde dál. Riziko spočívá v tom, co přijde potom.

Jak rozšířený tento jev je

Rozšířenější, než si většina manažerů uvědomuje — a čísla pocházejí z doby před současnou vlnou AI nástrojů, která to celé ještě usnadnila.

Podle SaaS Management Index od Zylo z roku 2024 — studie pokrývající více než 30 milionů softwarových licencí — leží 84 % SaaS aplikací ve firmách mimo přímý dohled IT, pořízených business jednotkami nebo jednotlivými zaměstnanci. Stejný výzkum zjistil, že 65 % softwaru kupovaného přes výdajové karty zaměstnanců má nízké nebo špatné bezpečnostní hodnocení.

Pro menší firmy dává výzkum Capterra z roku 2023 věci do konkrétnějšího světla: 57 % malých a středních firem má výrazný shadow IT provoz mimo dohled IT oddělení a průměrná SMB ztrácí přibližně 43 500 dolarů ročně na neevidovaných nebo nevyužívaných SaaS předplatných — nástrojích, které se automaticky obnovovaly, byly zapomenuty po zkušební době nebo stále běží pro lidi, kteří firmu opustili před měsíci.

Tato čísla jsou z let 2023 a 2024. V roce 2026, kdy kdokoli s notebookem a cloudovým účtem může postavit a prodávat SaaS produkt za víkend, množství dostupných nástrojů jen roste. Bariéra vstupu pro stát se softwarovým prodejcem je téměř nulová. Bariéra pro koupi takového softwaru je ještě nižší.

Proč jde o reálné obchodní riziko

Bezpečnostní a nákladové problémy jsou reálné, ale to, co manažery překvapí nejvíce, bývá compliance expozice — konkrétně ve vztahu k datům.

Když zaměstnanec zadá jména zákazníků, dodavatelské smlouvy, záznamy o zaměstnancích nebo interní finanční data do neschváleného nástroje, tato data se ocitnou někde, s čím jste nesouhlasili, pod právními a bezpečnostními podmínkami, které jste nikdy nezkontrolovali. Zpráva IBM o nákladech datových průniků z roku 2024 zjistila, že 35 % datových úniků zahrnovalo data uložená v neschválených systémech a že tyto úniky stály v průměru o 16 % více než úniky v schválených systémech.

GDPR expozice
Podle evropského práva na ochranu osobních údajů, pokud třetí strana zpracovává osobní údaje vaším jménem, musíte mít podepsanou Smlouvu o zpracování dat (DPA). Bez ní nejste v souladu s předpisy — i kdybyste o existenci nástroje nevěděli. Regulátoři „nevěděli jsme" jako obhajobu nepřijímají. Pokuty GDPR mohou dosáhnout 4 % ročního globálního obratu nebo 20 milionů eur, podle toho, co je vyšší.

Mnoho menších SaaS prodejců — zejména těch novějších — ukládá data na serverech mimo EU, aniž by to jasně zveřejnilo. Někteří nemají žádné bezpečnostní certifikace. Někteří umožňují zaměstnancům přístup k zákaznickým datům pro účely podpory bez auditního záznamu. Nic z toho není samo o sobě nutně nezákonné, ale vše se stává vaším problémem, když daná data patří vašim zákazníkům nebo zaměstnancům.

Co může nákup udělat

Shadow software bývá považován za problém IT, ale vstupní bod je téměř vždy nákup. Někdo utratil peníze. To je territory nákupu — a nákupní týmy ve středně velkých firmách mají často lepší přehled o vzorcích výdajů než IT.

Výchozím bodem je viditelnost. Základní přehled opakujících se poplatků na výdajových kartách a rozpočtech oddělení — cokoli, co vypadá jako měsíční nebo roční SaaS předplatné nad nízkým prahem — vám dá funkční obraz toho, co skutečně běží. Většina finančních týmů tato data může vytáhnout; otázka je, zda se na ně někdo podíval z pohledu softwaru.

Odtud cílem není blokovat nástroje, které lidé skutečně potřebují. Pomalý nebo nejasný schvalovací proces je právě tím, co lidi tlačí k obcházení nákupu. Pokud schválení nástroje za 20 € měsíčně trvá tři týdny a vyžaduje tři podpisy, lidé ho prostě dají na kartu. Jednoduchá schvalovací cesta — krátký formulář, definovaná lhůta, kontrolní seznam níže uvedených otázek — odstraňuje tření bez odebrání kontroly.

Rychlý výsledek
Vytvořte sdílený seznam schválených nástrojů. Jakmile je nástroj validován, může ho jakýkoli tým používat bez opakování procesu. Tím se odstraní duplicitní předplatná, ušetří čas a lidem se nabídne rychlejší cesta k „ano" než obcházení nákupu.

Pět otázek před schválením jakéhokoli softwarového výdaje

Ať už nástroj přichází přes nový schvalovací proces nebo zpětně kontrolujete něco, co je již v provozu, toto jsou otázky, na kterých záleží.

1. Máte Smlouvu o zpracování dat a podepíšete tu naši?

Každý legitimní SaaS prodejce zpracovávající osobní data jménem zákazníků v EU by měl mít standardní DPA k dispozici a být ochoten ji podepsat. Pokud prodejce na tuto otázku nemůže odpovědět nebo neví, co DPA je, vypovídá to hodně o tom, jak vážně bere správu dat.

2. Kde jsou naše data uložena a kdo k nim má přístup?

Chcete konkrétní odpověď — zemi, cloudový region a jasné prohlášení o tom, zda zaměstnanci prodejce mohou přistupovat k zákaznickým datům a za jakých podmínek. „Používáme AWS" nestačí. „Používáme AWS eu-west-1, data jsou šifrována v klidu i při přenosu a přístup personálu vyžaduje pojmenovaného inženýra s auditním záznamem" je skutečná odpověď.

3. Máte certifikaci ISO 27001 nebo SOC 2?

Toto jsou hlavní mezinárodně uznávané bezpečnostní certifikace pro softwarové společnosti. ISO 27001 je běžnější v Evropě; SOC 2 je americký standard. Žádná z nich nezaručuje dokonalou bezpečnost, ale obě naznačují, že postupy prodejce byly nezávisle přezkoumány. Požádejte o certifikát, ne o zaškrtávací políčko na jejich webu.

4. Jak jsou naše data smazána, když přestaneme službu používat?

Offboarding je často přehlížen. Chcete vědět, zda jsou data smazána automaticky, jak rychle a zda můžete získat písemné potvrzení. Někteří prodejci uchovávají data po delší dobu po skončení smlouvy nebo je smažou pouze na vyžádání. To je důležitější, když data zahrnují osobní informace kryté GDPR.

5. Je produkt v souladu s GDPR a jak to můžete prokázat?

Každý prodejce obsluhující evropské zákazníky by měl být schopen ukázat svou politiku ochrany soukromí, šablonu DPA, seznam sub-zpracovatelů (třetích stran, se kterými sdílejí vaše data) a ideálně compliance stránku nebo trust portál. „Ano, jsme v souladu s předpisy" bez podpůrné dokumentace není užitečná odpověď. Compliance jsou papíry, ne pocit.

Pohled nákupu

Většina nákupních týmů je nastavena na velké softwarové smlouvy — obnovy ERP, enterprise smlouvy, které přistávají na stole finančního ředitele. Menší SaaS výdaje žijí ve výdajových reportech a rozpočtech oddělení a nevypadají jako problém nákupu, dokud se něco nepovede.

Týmy, které to zvládají dobře, nemají nutně lepší nástroje ani větší rozpočty. Mají někoho, kdo se podíval na data výdajů, položil správné otázky a vytvořil jednoduchý proces předtím, než se problém stal titulkem.

Pokud chcete probrat, jak by to vypadalo ve vaší firmě, rád si o tom popovídám na sourcing-sense.com.