Het andere datalek van Uber is ook belangrijk

Het bedrijf Uber stond afgelopen weken weer eens in de schijnwerpers wegens een datalek. De timing van de succesvolle hack is toevallig goed gekozen. In San Francisco loopt namelijk sinds begin deze maand het proces tegen de ex-CSO van het bedrijf. Een van de aanklachten is dat hij een eerdere hack heeft verzwegen.

Omgang datalekken

uber logoDe rechtszaak in San Francisco is om een paar redenen belangrijk voor de manier waarop Amerikaanse bedrijven met datalekken moeten omgaan. In Nederland hebben we duidelijke regels voor het melden van een datalek. De eerste keer dat wetgeving uit Den Haag dat vastgelegde was in de wet datalekken. Sinds de AVG van kracht is geworden dient iedere verantwoordelijke te weten dat hij/zij binnen 72 uur de melding moet maken bij de AP. De Amerikaanse zaak draait vooral om het begrip verantwoordelijke. Dat lijkt een suf detail, maar heeft enorme consequenties. De voormalige CSO van het bedrijf wordt beschuldigd een datalek niet gemeld te hebben. Door met een nep bug-bounty programma op de proppen te komen heeft het bedrijf van een datalek een “responsible disclosure” gemaakt en het losgeld is in de boeken opgenomen als een “beloning voor het melden.”

Persoonlijke aansprakelijkheid

In Amerika is de persoonlijke aansprakelijkheid van bestuurders iets vaker een onderwerp van discussie dan in Nederland. Dat blijkt ook in deze zaak, want alleen de CSO is gedagvaard. Die de gehele raad van bestuur of de directie. De uitkomst van deze zaak zal dan ook, onafhankelijk van de uitkomst, gevolgen gaan hebben en wel om twee redenen. Eerste heeft te maken met functie van CSO. Nadat eerst de CISO van Solarwinds door beleggers is gedagvaard wegens nalatigheid is er nu een strafzaak tegen een CSO. CISO en CSO worden op deze manier functies die nog moeilijker te vervullen zijn (*). De andere reden is dat in deze zaak de advocaten van de CSO stellen dat onder de wet legal als enige bevoegd is meldingen te doen over datalekken. Als de rechter daar in mee gaat betekent het dat de rol van CSO en CISO serieus worden uitgehold. Over elk potentieel incident moeten zij dan bij legal aankloppen. Ook dat maakt deze functies stukken onaantrekkelijker.   (*) Dit gaat dus over Amerika. In Nederland is dankzij de AVG duidelijk wie bevoegd of verplicht is te melden.
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
09:30 - 17:00 - Utrecht
09:30 - 17:00 | Utrecht
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein