Het bedrijf Uber stond afgelopen weken weer eens in de schijnwerpers wegens een datalek. De timing van de succesvolle hack is toevallig goed gekozen. In San Francisco loopt namelijk sinds begin deze maand het proces tegen de ex-CSO van het bedrijf. Een van de aanklachten is dat hij een eerdere hack heeft verzwegen.
Omgang datalekken
De rechtszaak in San Francisco is om een paar redenen belangrijk voor de manier waarop Amerikaanse bedrijven met datalekken moeten omgaan. In Nederland hebben we duidelijke regels voor het melden van een datalek. De eerste keer dat wetgeving uit Den Haag dat vastgelegde was in de wet datalekken. Sinds de AVG van kracht is geworden dient iedere verantwoordelijke te weten dat hij/zij binnen 72 uur de melding moet maken bij de AP.
De Amerikaanse zaak draait vooral om het begrip verantwoordelijke. Dat lijkt een suf detail, maar heeft enorme consequenties. De voormalige CSO van het bedrijf wordt beschuldigd een datalek niet gemeld te hebben. Door met een nep bug-bounty programma op de proppen te komen heeft het bedrijf van een datalek een “responsible disclosure” gemaakt en het losgeld is in de boeken opgenomen als een “beloning voor het melden.”
Persoonlijke aansprakelijkheid
In Amerika is de persoonlijke aansprakelijkheid van bestuurders iets vaker een onderwerp van discussie dan in Nederland. Dat blijkt ook in deze zaak, want alleen de CSO is gedagvaard. Die de gehele raad van bestuur of de directie. De uitkomst van deze zaak zal dan ook, onafhankelijk van de uitkomst, gevolgen gaan hebben en wel om twee redenen.
Eerste heeft te maken met functie van CSO. Nadat eerst de CISO van Solarwinds door beleggers is gedagvaard wegens nalatigheid is er nu een strafzaak tegen een CSO. CISO en CSO worden op deze manier functies die nog moeilijker te vervullen zijn (*).
De andere reden is dat in deze zaak de advocaten van de CSO stellen dat onder de wet legal als enige bevoegd is meldingen te doen over datalekken. Als de rechter daar in mee gaat betekent het dat de rol van CSO en CISO serieus worden uitgehold. Over elk potentieel incident moeten zij dan bij legal aankloppen. Ook dat maakt deze functies stukken onaantrekkelijker.
(*) Dit gaat dus over Amerika. In Nederland is dankzij de AVG duidelijk wie bevoegd of verplicht is te melden.