Vandaag op 4 mei is de feestdag van Star Wars. May the force be with you! Al een tiental films lang moet The Empire, ondanks zwaar technologisch overwicht, het onderspit delven tegen de rebellen. De hoofdreden hiervoor is het onverantwoord omgaan met data en onvoldoende veiligheidsmaatregelen!
Ondanks dat de film zich in de verre toekomst afspeelt gedraagt The Empire zich geenszins conform de Algemene Verordening Gegevensbescherming (hierna GDPR) en heeft zij een gebrekkig veiligheidsbeleid.
Privacybeleid niet in orde
Vooreerst heeft The Empire nagelaten een register van verwerkingsactiviteiten op te maken. Dit register is verplicht voor iedere onderneming die persoonsgegevens verzamelt die verder gaan dan wat noodzakelijk is voor hun bedrijfsvoering of indien gevoelige- of gerechtsgegevens worden verzameld. In het register dienen alle datastromen gedetailleerd in kaart gebracht te worden en dient geëvalueerd te worden hoe deze gegevens verwerkt, bewaard en beveiligd moeten worden.
Onvoldoende passende technische en organisatorische maatregelen
Het garanderen van de vertrouwelijkheid, beschikbaarheid en integriteit van de gegevens is hierbij noodzakelijk.
Bij two-factorauthentificatie had R2D2 nooit toegang kunnen krijgen tot alle gegevens
Zo moet er aandacht aan besteed worden dat personen in een computersysteem enkel toegang hebben tot de voor hun taak noodzakelijke gegevens. Het zou niet mogelijk mogen zijn voor iedere droid om vanop verschillende locaties in de Death Star zomaar in te kunnen pluggen en toegang krijgen tot alle gegevens.
Het beveiligen van toestellen, bijvoorbeeld door authenticatie toe te voegen is erg belangrijk. Met meerstapsverificatie geactiveerd had R2D2 nooit toegang kunnen krijgen tot het volledige interne netwerk.
Indien gevoelige gegevens en bedrijfsgeheimen worden bewaard moeten die steeds geëncrypteerd worden, zeker als een groep rebellen er alles aan doet om deze te bemachtigen. Indien The Empire de blauwdrukken van de Death Star met een veilige sleutel hadden geëncrypteerd, hadden ze veel problemen kunnen voorkomen.
Procedure datalekken
Vervolgens moet er ook een concreet plan voorhanden zijn hoe zich te gedragen bij een datalek. De GDPR legt daarenboven een verplichte melding op van een datalek aan de Gegevensbeschermingsautoriteit. Daarnaast moet de verwerkingsverantwoordelijke al het mogelijke doen om het lek en de eventueel geleden schade zo snel mogelijk op te lossen. Indien het duidelijk is dat het intern computersysteem gehackt wordt, is het onvoldoende om er een leger Stormtroopers heen te zenden.
Data protection impact assessment (DPIA)
Voorafgaandelijk aan de in gebruikname van nieuwe technologieën, zoals de Death Star, moet er telkens een Data Protection Impact Assessment (DPIA) opgemaakt worden om de privacy risico's te analyseren.
Een nieuw product moet ontwikkeld worden met het gegevensbeschermingsbeginsel en veiligheid van de verwerkte data voor ogen. Zo dienen in nieuwe systemen adequate beveiligingssystemen worden ingebouwd, rekening houdend met de middelen, de technologie voorhanden en de risico’s. Aangezien de middelen die The Empire ter beschikking heeft zo goed als onuitputtelijk zijn en de veiligheidsrisico’s erg groot, hadden ze op zijn minst bijkomende aandacht moeten besteden aan de beveiliging van de reactorkern die bij ontploffing, de vernieling van het hele ruimteschip met zich meebrengt.
De Star Wars film willen vooral wijzen op de risico’s van onverantwoord omgaan met data
Verwacht wordt dat de Gegevensbeschermingsautoriteit binnenkort een onderzoek zal instellen tegen The Empire voor hun gebrek aan overeenstemming met de GDPR. Boetes kunnen kunnen hierbij oplopen tot 4% van hun heelal-wijde jaaromzet. Zelfs met een goed getimede hyperspace is er geen ontkomen aan de Inspectiedienst, die ter plaatse kunnen gaan op de Star Destroyer voor bijkomend onderzoek.
Conclusie
Indien Darth Vader zijn lichtzwaard had ingeruild voor een data protection officer van Mr. Franklin, dan was de oorlog reeds lang gestreden en had hij de rebellen zonder veel moeite uit de weg kunnen ruimen. Naast een ontegensprekelijke hoeveelheid entertainment, willen de Star Wars films dus bovenal wijzen op de gevaren van datalekken en onverantwoord omgaan met gegevens.
Meer informatie rond onze GDPR-diensten kan u hier vinden. Naast GDPRbijstand ondersteunen wij ook ondernemingen bij de interne audit en implementatie van ISO27001 en geven wij trainingen in GDPR, cybersecurity en phishing.