Hey, I'm back on stage<div><br></div><div>After having thrown a stone in the water, I'll try to surf the waves ;-)</div><div><br></div><div>Well, in order for you to have a better understanding of what I'm talking about, I would suggest to take a look at a couple of slides in my presentation introduced at our Chapter Meeting. On the wiki, page OWASP France, section Chapter Meeting 2013.</div>
<div><br></div><div><div><a href="https://www.owasp.org/images/2/2a/Chapter_Meeting_OWASP_France_-_7_Feb_2013.pdf">https://www.owasp.org/images/2/2a/Chapter_Meeting_OWASP_France_-_7_Feb_2013.pdf</a></div><div><br></div><div>
See slides 57-60, and 62-67 as reference.</div><div><br></div><div>Talking about <b>Evolution of the Legal Framework - Developers, Software makers held liable for code?</b>, and the <b>Draft European regulation</b>:</div>
<div><br></div><div>Notify the national supervisory authority of violations of personal data (Art. 30):</div><div>- everyone is concerned</div><div>- without undue delay</div><div>- if possible within 24 hours at the latest</div>
<div>- justification if more than 24 hours</div><div><br></div><div>Caution: The obligation also applies to subcontractors</div><div>- The contractor must notify the controller of any violation he knows</div><div><br></div>
<div>The notification describes:</div><div>- nature of the data, number of people involved</div><div>- point of contact (person, contact details)</div><div>- mitigations</div><div>- consequences of the violation</div><div>
- measures that have been taken to remedy</div><div><br></div><div>This was also argumented at the Chapter Meeting by/with a friend of mine, Thiébaut Devergranne, Lawyer.</div><div>the slide deck (in French, sorry) is available on his web site:</div>
<div><br></div><div><b>Données personnelles : le nouveau projet de règlement européen</b></div><div><a href="http://www.donneespersonnelles.fr/donnees-personnelles-le-nouveau-projet-de-reglement-europeen">http://www.donneespersonnelles.fr/donnees-personnelles-le-nouveau-projet-de-reglement-europeen</a></div>
<div><br></div></div><div>I have discussed the topic with other lawyers specialized in ICT, and all of them are saying that developpers and Software makers are liable for code, and could be (really) held liable in case of hacking via an application they've coded / supplied.</div>
<div><br></div><div>That's why, although legal aspects are neither the specialty nor the purpose of the Foundation, it seemed important and interessant to me to do this post, just for information for my peers at the OWASP.</div>
<div><br></div><div>Indeed, and I personnally fully agree in advance with all of you guys about this first feeling, I do not think the developer as a person should be responsible for, but from a legal standpoint, when hacking occurs, the developer's responsibility is engaged because he is recognized, again from a legal standpoint, as a subject-matter expert, and as such has a duty to advise as well.</div>
<div><br></div><div>As we can see, this is a hot and complex topic, and I do not wish to be the devil's advocate, so don't shoot the pianist please ;-)<br clear="all"><div><br></div><div>Anyway, to keep it short - and this is my initial intent through this (boring?) post - Regulators tend to reinforce most legal frameworks to focus on data Privacy... through existing and evolving regulation, and this is why I would modestly suggest to keep in the loop of such evolution of legal because nowadays, the legal framework rules the technical means required to be compliant.</div>
<div><br></div><div>Last but not least, take a look at the Call for Presentations: SnowFROC 2013 from Mark Major, a pity I can't make it:</div><div><br></div><div><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)">
<b>Legal track</b></div><div style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:13px;background-color:rgb(255,255,255)"><ul><li style="margin-left:15px">Liability related to web application security<br></li>
<li style="margin-left:15px">Data ownership and privacy laws within the cloud<br></li><li style="margin-left:15px">Cybersecurity and privacy legislation and regulation</li><li style="margin-left:15px">Electronic discovery considerations, both traditional and in the cloud<br>
</li><li style="margin-left:15px">Cybersecurity considerations related to law enforcement</li></ul></div></div><div>I hope this helps anyway, and any comments are welcome.</div><div><br></div><div>Salut à tous!</div><div>
<br></div>-- <br>Ludovic</div>