Tot op heden is in Nederland bij datalekken zelden de troefkaart “persoonlijke aansprakelijkheid van de bestuurders” getrokken. De AVG benoemt die optie nadrukkelijk. In Amerika is er, zelfs zonder een GDPR, nu een de facto levenslange sanctie voor een falende ceo.
Drizly, een Amerikaanse online slijter en onderdeel van Uber, heeft in 2018 de complete database gelekt. Daarvoor was geen complexe hack nodig, want een medewerker heeft de login gegevens gewoon op Github gezet. Daar konden ze zo worden gevonden.
Jan en alleman kon vervolgens ongehinderd rondneuzen op de AWS omgeving, want er was geen MFA aangezet. Een fout die vaker wordt gemaakt. De eigenaar van Drizly, Uber dus, is er zelfs al eens voor veroordeeld. Dat zegt iets over het lerend vermogen van dit soort bedrijven dat er niet eens vanuit het HQ een memo wordt gestuurd over het voorkomen van dit soort blunders.
De ceo van de slijter, James Rellas, is op een gegeven moment getipt dat “zijn” database met 2,5 miljoen records op straat lag. Je zou verwachten dat er dan tot directe acties wordt overgegaan. Rellas koos voor een andere route. Hij ontkende glashard dat er een probleem was. Er is zelfs geen onderzoek door eigen mensen of externen gedaan. Dat had overigens weinig uitgemaakt. Later is vastgesteld dat er letterlijk nul voorzieningen waren om te monitoren op ongeoorloofde toegang tot het netwerk of de data.
Toezichthouder FTC toont weinig medelijden met Drizly en Rellas. Het bedrijf moet om te beginnen direct alle overbodige data vernietigen. Het datalek heeft namelijk aangetoond dat echt alles werd opgeslagen. In de AVG staat met zoveel woorden dat data minimalisatie verplicht is. Amerika heeft op federaal niveau geen vergelijkbare wetgeving, toch wordt deze sanctie opgelegd.
Meldingsplicht
Het bedrijf moet nu ook precies vermelden welke data het vergaart, waarom en voor hoelang die wordt opgeslagen. In combinatie met de plicht tot vernietiging zegt iets over wat de toezichthouder allemaal heeft aangetroffen. Het ligt voor de hand dat het bedrijf de eigen data heeft verrijkt om zo klanten te kunnen profileren.
Voor elke stap die Drizly neemt en die iets met persoonsgegevens te maken heeft geldt een meldingsplicht naar de FTC voor de periode van 20 jaar. Er is verder een rapportageverplichting opgelegd voor het alles dat te maken heeft met security. De aanstelling van een CIO en CISO – beide functies bestonden niet – is daarmee in feite afgedwongen.
Persoonlijke aansprakelijkheid
Deze sancties zijn niet mals, maar de gifbeker is nog niet leeg. FTC heeft ook voor Rellas nog wat in petto. Hier komt de persoonlijke aansprakelijkheid voor datalekken aan de orde. In de rapportage geeft FTC expliciet aan dat het veelvuldige hoppen van bestuurders en daarmee het ontlopen van sancties een doorn in het oog is. Rellas heeft zo te zien de dubieuze eer als eerste opgelegd te krijgen dat hij voor de rest van zijn leven alleen nog maar aan de bak mag op C-level bij bedrijven met meer dan 25.000 klanten als daar een information security program aanwezig is of terstond door hem wordt geïmplementeerd.
Een levenslange sanctie en een signaal voor wie die deze man overweegt aan te nemen dat de FTC al zijn stappen zal blijven volgen.
(bron)
