Datalekken moet je melden, want anders…

We gaan er maar voor het gemak van uit dat iedere provider wel weet wanneer hij/zij een datalek moet melden en wanneer dat echt de taak van de klant is. De regels daarvoor zijn in de meeste landen waar iets als een meldplicht datalekken bestaat op hoofdlijnen gelijk. Waar ook overeenkomsten tussen zijn, zijn de sancties voor het niet melden.

Die sancties gaat het dit artikel over, want het lijkt er op dat we nu een variatie op het thema gaan krijgen. Het betreft nieuws uit Amerika en de partij die onderwerp van discussie is heet Yahoo. Nog steeds niet verkocht, maar wel min of meer op de hoogte van een heel serie hacks. Sommige hacks werden niet eens gesignaleerd, van de grote hack van 2014 wist het bedrijf wel af, maar omdat de impact niet werd begrepen (citaat: the full extent of the 2014 breach apparently wasn’t understood) is een melding uitgebleven (!).

Nu zul je verwachten dat daar inmiddels wel onderzoek naar wordt gedaan en dat de Amerikaanse tegenhanger van de Autoriteit Persoonsgegevens Yahoo wel het vuur aan de schenen legt. De omvang, aard en aantallen hacks rechtvaardigen dat zeker. Maar de meeste herrie – los van alle advocaten die met megaclaims zwaaien – lijkt niet te worden veroorzaakt door een instantie die je vaak over het hoofd ziet bij incidenten. Het blijkt namelijk dat de beurswaakhond (SEC) in alle stilte een onderzoek naar Yahoo is gestart om de security blunders van 2013 en 2014 in kaart te kunnen brengen. Dat is een taak die eigenlijk elk beursgenoteerd fonds in de VS zelf moet laten uitvoeren, maar schijnbaar is wat het bedrijf heeft opgeleverd niet voldoende geweest alle vragen van de SEC te beantwoorden.

De reden is simpel: een datalek heeft mogelijk (understatement) impact op de beurswaarde van een organisatie en moet daarom bij de eigenaren, de aandeelhouders dus, worden opgebiecht. Als dat niet gebeurd volgens de SEC regels, overtreed je als bestuurder de beursregels. Over de hoofdelijke aansprakelijkheid, boetes en dergelijke is nog niets geschreven. Dat is nu ook nog niet relevant. Waar het om dat een datalek gemeld moet worden en dat er voor beursgenoteerde ondernemingen in de VS nog scherpere eisen gelden. Of dit eveneens voor Nederlandse ondernemingen geldt is iets waar op ISP Today nog niet eerder bij is stilgestaan, evenmin wat daarvan de impact is voor de contracten tussen de IT leveranciers en beursgenoteerde bedrijven.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.