Wat als … The Empire zich had laten bijstaan door een data protection officer

Advocaat en DPO Olivier Sustronck vraagt zich af wat er zou gebeurd zijn als The Empire in Star Wars op een verantwoord manier met data zou omgesprongen zijn. Wat als ze de richtlijnen van de GDPR, de Algemene Verordening Gegevensbescherming, hadden gevolgd? Of: “hoe de Star Wars films vooral wijzen op de risico’s van onverantwoord omgaan met data.”

_

Wat als … The Empire zich had laten bijstaan door een data protection officer

Op 4 mei was het opnieuw de feestdag van Star Wars. May the force (fourth) be with you! Al acht films lang moet The Empire, ondanks zwaar technologisch overwicht, het onderspit delven tegen de rebellen. De hoofdreden hiervoor is het onverantwoord omgaan met data!

Ondanks dat de film zich in de verre toekomst afspeelt gedraagt The Empire zich geenszins conform de Algemene Verordening Gegevensbescherming (hierna GDPR) die in mei 2018 in werking treedt.

Vooreerst heeft The Empire nagelaten een register van verwerkingsactiviteiten op te maken. Dit register is verplicht voor iedere onderneming die persoonsgegevens verzamelt die verder gaan dan wat noodzakelijk is voor hun bedrijfsvoering of indien gevoelige- of gerechtsgegevens worden verzameld. In het register dienen alle datastromen gedetailleerd in kaart gebracht te worden en dient geëvalueerd te worden hoe deze gegevens verwerkt, bewaard en beveiligd moeten worden.

“Bij two-factorauthentificatie had R2D2 nooit
toegang kunnen krijgen tot alle gegevens”

Tevens moet er aandacht aan besteed worden dat personen in een computersysteem enkel toegang hebben tot de voor hun taak noodzakelijke gegevens. Zo zou het niet mogelijk mogen zijn voor iedere droid om vanop de Death Star zomaar in te kunnen pluggen om toegang te krijgen tot alle gegevens.

Daarenboven is authentificatie erg belangrijk. Met een two-factor authentification had R2D2 nooit toegang kunnen krijgen tot het computersysteem.

Vervolgens moet er ook een concreet plan voorhanden zijn hoe zich te gedragen bij een datalek. De GDPR legt daarenboven een verplichte melding op bij ieder datalek, dit zowel aan de betrokkene, als aan de privacycommissie. Daarnaast moet de verwerkingsverantwoordelijke al het mogelijke doen om het lek en de eventueel geleden schade zo snel mogelijk op te lossen. Indien het duidelijk is dat het intern computersysteem gehackt wordt, is het onvoldoende om er een leger Stormtroopers heen te zenden.

“Gevoelige gegevens moeten zo veel mogelijk
geëncrypteerd of geanonimiseerd worden.”

Gevoelige gegevens moeten zo veel mogelijk geëncrypteerd of geanonimiseerd worden. Indien The Empire de blauwdrukken van de Death Star had geëncrypteerd, hadden ze veel problemen kunnen voorkomen.

Ook dient bij de ontwikkeling van nieuwe technologiën, zoals de bouw van de Death Star, telkens een Data Protection Impact Assessment opgemaakt te worden. Dit onderzoek moet aangeven welke risico’s aanwezig zijn naar data protection toe.

De GDPR legt tevens op dat bij nieuwe producten er rekening dient gehouden te worden met Privacy by Design en Privacy by Default. Zo dient een nieuw product ontwikkeld te worden met het gegevensbeschermingsbeginsel voor ogen. Zo dienen in nieuwe systemen adequate beveiligheidssystemen worden ingebouwd, rekening houdend met de middelen, de technologie voorhanden en de risico’s. Aangezien de middelen die The Empire ter beschikking heeft zo goed als onuitputtelijk zijn en de veiligheidsrisico’s erg groot, hadden ze op zijn minst bijkomende aandacht moeten besteden aan de beveiliging van de reactorkern die bij ontploffing, de vernieling van het hele ruimteschip met zich meebrengt.

Ten slotte had The Empire, mits betere Big Data-analyse van de haar beschikbare gegevens, eenvoudig de link tussen Obi Wan Kenobi en zijn ‘ondoorzichtige’ schuilnaam Ben Kenobi kunnen ontdekken. Tevens had een zoektocht in de geboortecertificaten van Luke en Prinses Leila kunnen uitwijzen dat ze broer en zus waren en zouden een analyse van de datagegevens hebben prijsgegeven dat Luke Skywalker zich op Tatooine schuilhield.

“De Star Wars film wil vooral
wijzen op de risico’s van
onverantwoord omgaan met data”

De boetes die The Empire voor hun gebrek aan overeenstemming met de GDPR kunnen krijgen, lopen op tot 20.000.000 € of 4% van hun jaaromzet indien dit cijfer hoger is. De privacycommissie heeft beloofd ook effectief dergelijke boetes uit te schrijven bij inbreuken. The Empire is alvast gewaarschuwd.

Indien Darth Vader dus zijn lichtzwaard had ingeruild voor een data protection officer, dan was de oorlog reeds lang gestreden geweest en had hij de rebellen zonder veel moeite uit de weg kunnen ruimen. Naast een ontegensprekelijke hoeveelheid entertainment, willen de Star Wars films dus bovenal wijzen op de gevaren van datalekken en onverantwoord omgaan met gegevens. Ik heb alvast mijn cv opgestuurd naar de Death Star.

Olivier Sustronck

Deze bijdrage is oorspronkelijk verschenen op de blog van Olivier Sustronck.