Wat als… The Empire zich had laten bijstaan door Mr. Franklin?

AdobeStock_103933533

Op 4 mei was het opnieuw de feestdag van Star Wars. May the force be with you!  Al acht films lang moet The Empire, ondanks zwaar technologisch overwicht, het onderspit delven tegen de rebellen. De hoofdreden hiervoor is het onverantwoord omgaan met data!

Ondanks dat de film zich in de verre toekomst afspeelt gedraagt The Empire zich geenszins conform de Algemene Verordening Gegevensbescherming (hierna GDPR) die in mei 2018 in werking treedt.

Vooreerst heeft The Empire nagelaten een register van verwerkingsactiviteiten op te maken. Dit register is verplicht voor iedere onderneming die persoonsgegevens verzamelt die verder gaan dan wat noodzakelijk is voor hun bedrijfsvoering of indien gevoelige- of gerechtsgegevens worden verzameld. In het register dienen alle datastromen gedetailleerd in kaart gebracht te worden en dient geëvalueerd te worden hoe deze gegevens verwerkt, bewaard en beveiligd moeten worden.

Het garanderen van de vertrouwelijkheid, beschikbaarheid en integriteit van de gegevens is hierbij noodzakelijk.

Bij two-factorauthentificatie had R2D2 nooit toegang kunnen krijgen tot alle gegevens

Zo moet er aandacht aan besteed worden dat personen in een computersysteem enkel toegang hebben tot de voor hun taak noodzakelijke gegevens. Het zou niet mogelijk mogen zijn voor iedere droid om vanop de Death Star zomaar in te kunnen pluggen om toegang te krijgen tot alle gegevens.

Daarenboven is authentificatie erg belangrijk. Met een two-factor authentification had R2D2 nooit toegang kunnen krijgen tot het computersysteem.

Vervolgens moet er ook een concreet plan voorhanden zijn hoe zich te gedragen bij een datalek. De GDPR legt daarenboven een verplichte melding op bij ieder datalek, dit zowel aan de betrokkene, als aan de privacycommissie. Daarnaast moet de verwerkingsverantwoordelijke al het mogelijke doen om het lek en de eventueel geleden schade zo snel mogelijk op te lossen. Indien het duidelijk is dat het intern computersysteem gehackt wordt, is het onvoldoende om er een leger Stormtroopers heen te zenden.

Gevoelige gegevens moeten zo veel mogelijk geëncrypteerd of geanonimiseerd worden. Indien The Empire de blauwdrukken van de Death Star had geëncrypteerd, hadden ze veel problemen kunnen voorkomen.

Indien The Empire de blauwdrukken van de Death Star had geëncrypteerd, hadden ze veel problemen kunnen voorkomen

Ook dient bij de in gebruikname van nieuwe technologieën, zoals de Death Star, telkens een Data Protection Impact Assessment opgemaakt te worden. Dit onderzoek moet aangeven welke risico’s aanwezig zijn naar data protection toe.

De GDPR legt tevens op dat bij de ontwikkeling van nieuwe producten er rekening gehouden wordt met Privacy by Design en Privacy by Default. Zo dient een nieuw product ontwikkeld te worden met het gegevensbeschermingsbeginsel voor ogen. Zo dienen in nieuwe systemen adequate beveiligingssystemen worden ingebouwd, rekening houdend met de middelen, de technologie voorhanden en de risico’s. Aangezien de middelen die The Empire ter beschikking heeft zo goed als onuitputtelijk zijn en de veiligheidsrisico’s erg groot, hadden ze op zijn minst bijkomende aandacht moeten besteden aan de beveiliging van de reactorkern die bij ontploffing, de vernieling van het hele ruimteschip met zich meebrengt.

Ten slotte had The Empire, mits betere Big Data-analyse van de haar beschikbare gegevens, eenvoudig de link tussen Obi Wan Kenobi en zijn ‘ondoorzichtige’ schuilnaam Ben Kenobi kunnen ontdekken. Tevens had een zoektocht in de geboortecertificaten van Luke en Prinses Leila kunnen uitwijzen dat ze broer en zus waren en zouden een analyse van de datagegevens hebben prijsgegeven dat Luke Skywalker zich op Tatooine schuilhield.

De Star Wars film willen vooral wijzen op de risico’s van onverantwoord omgaan met data

De boetes die The Empire voor hun gebrek aan overeenstemming met de GDPR kunnen krijgen, lopen op tot 20.000.000 € of 4% van hun jaaromzet indien dit cijfer hoger is. De privacycommissie heeft beloofd ook effectief dergelijke boetes uit te schrijven bij inbreuken. The Empire is alvast gewaarschuwd.

Indien Darth Vader dus zijn lichtzwaard had ingeruild voor een data protection officer, dan was de oorlog reeds lang gestreden geweest en had hij de rebellen zonder veel moeite uit de weg kunnen ruimen. Naast een ontegensprekelijke hoeveelheid entertainment, willen de Star Wars films dus bovenal wijzen op de gevaren van datalekken en onverantwoord omgaan met gegevens. Ik heb alvast mijn cv opgestuurd naar de Death Star.

Gerelateerde berichten