Het bedrijf Uber stond afgelopen weken weer eens in de schijnwerpers wegens een datalek. De timing van de succesvolle hack is toevallig goed gekozen. In San Francisco loopt namelijk sinds begin deze maand het proces tegen de ex-CSO van het bedrijf. Een van de aanklachten is dat hij een eerdere hack heeft verzwegen.
Omgang datalekken
De Amerikaanse zaak draait vooral om het begrip verantwoordelijke. Dat lijkt een suf detail, maar heeft enorme consequenties. De voormalige CSO van het bedrijf wordt beschuldigd een datalek niet gemeld te hebben. Door met een nep bug-bounty programma op de proppen te komen heeft het bedrijf van een datalek een “responsible disclosure” gemaakt en het losgeld is in de boeken opgenomen als een “beloning voor het melden.”
Persoonlijke aansprakelijkheid
In Amerika is de persoonlijke aansprakelijkheid van bestuurders iets vaker een onderwerp van discussie dan in Nederland. Dat blijkt ook in deze zaak, want alleen de CSO is gedagvaard. Die de gehele raad van bestuur of de directie. De uitkomst van deze zaak zal dan ook, onafhankelijk van de uitkomst, gevolgen gaan hebben en wel om twee redenen.
Eerste heeft te maken met functie van CSO. Nadat eerst de CISO van Solarwinds door beleggers is gedagvaard wegens nalatigheid is er nu een strafzaak tegen een CSO. CISO en CSO worden op deze manier functies die nog moeilijker te vervullen zijn (*).
De andere reden is dat in deze zaak de advocaten van de CSO stellen dat onder de wet legal als enige bevoegd is meldingen te doen over datalekken. Als de rechter daar in mee gaat betekent het dat de rol van CSO en CISO serieus worden uitgehold. Over elk potentieel incident moeten zij dan bij legal aankloppen. Ook dat maakt deze functies stukken onaantrekkelijker.
(*) Dit gaat dus over Amerika. In Nederland is dankzij de AVG duidelijk wie bevoegd of verplicht is te melden.