Deze week op de agenda bij het managementoverleg bij veel organisaties: “Wat kunnen wij leren van de CEO-fraude bij Pathé?”

Het enorme bedrag van ruim 19 miljoen Euro dat cybercriminelen met CEO-fraude bij de bioscoopketen Pathé hebben buitgemaakt zal deze week in menige managementvergadering worden besproken. En dat is ook belangrijk. We leggen aan de hand van twee vragen uit waarom.

  • Hoe groot is de kans dat onze organisatie ook slachtoffer wordt van CEO-fraude of een andere vorm van cybercrime?
  • Hoe kunnen wij voorkomen dat onze organisatie ooit zelf slachtoffer wordt van cybercriminaliteit of een menselijke fout van onze eigen medewerkers?

Eigenlijk zou deze vraag ruim vijf maanden na de invoering van de Algemene Verordening Gegevensbescherming (AVG) helemaal niet gesteld hoeven te worden. Want alle organisaties moeten hun privacybeleid eigenlijk nu op orde hebben.

AVG wekelijks op agenda managementoverleg

Aan de andere kant is het juist uitstekend als managers de AVG standaard op de vergaderagenda hebben staan. Is er deze week nog iets gebeurd waar we qua privacybeleid en AVG iets mee moeten doen?

Als het goed is heeft het management alle risico’s in kaart gebracht en zijn er technische en organisatorische maatregelen genomen om problemen zoals bij Pathé te voorkomen.

Budget vragen voor structurele Security Awareness Trainingen

Naar aanleiding van de CEO-fraude bij Pathé is het daarom uitstekend als managers tijdens het managementoverleg nu aandacht en budget vragen voor structurele Security Awareness Trainingen.

Een eenmalige Security Awareness presentatie van een uurtje is dan onvoldoende. Dat levert niets op. De goed opgeleide financieel manager die bij Pathé de mist in ging had jarenlang bij accountantsbureau KPMG gewerkt, had geen goed gevoel bij de opdrachten die hij per mail kreeg, maar ging toch het schip in.

De mens is de zwakste schakel in het cybersecuritybeleid van iedere organisatie.

Die Security Awareness presentatie moet onderdeel zijn van een trainingsprogramma en een privacycampagne binnen de organisatie. Uit onderzoeken blijkt dat alleen medewerkers die regelmatig getraind worden na een jaar werkelijk alert zijn voor alle signalen dat er iets mogelijk niet klopt.

PrivacyZone kan samen met partners een trainingsprogramma en een privacycampagne voor jouw organisatie opzetten. Wij verzorgen presentaties en trainingen op locatie in combinatie met korte maandelijkse security awareness e-learning modules en phishingtests. Medewerkers worden regelmatig op de proef gesteld. Bel 06-31995740 of mail naar info@privacyzone.nl als je meer wilt weten.

Hoe herken je phishing, vishing, shishing, malware of ransomware?

Leer medewerkers – en dus ook managers – hoe ze kunnen herkennen dat er een poging wordt gedaan om door phishing, vishing, shishing, malware of ransomware binnen te dringen in de systemen van de organisatie.

Hoe hadden de verantwoordelijke managers bij Pathé kunnen herkennen dat er iets niet klopte?

Achteraf weet iedereen het beter. Maar wat had jij gedaan als je als manager binnen een bedrijf niet geacht wordt om vragen te stellen over beslissingen van het topmanagement? Als je geacht wordt opdrachten klakkeloos uit te voeren?

Misschien maakt de eigen bedrijfscultuur het cybercriminelen wel erg gemakkelijk om door social engineering autoriteitsgevoelige medewerkers te manipuleren.

AVG houdt niet op bij de website

Veel managers denken ten onrechte nog steeds dat hun organisatie aan de AVG voldoet als de website op orde is.

Sommige managers denken dat het voldoende is om een verwerkingsregister bij te houden.

Veel managers denken dat de AVG pure bureaucratie is.

Pakkans door Autoriteit Persoonsgegevens groter dan je denkt

Denken dat de pakkans als gevolg van een controle klein is omdat de Autoriteit Persoonsgegevens te weinig mensen zou hebben om iedereen te controleren.

Ze vergeten daarbij dan dat de Autoriteit Persoonsgegevens eigenlijk helemaal niet veel hoeft te doen om zwarte schapen op te sporen.

De Autoriteit Persoonsgegevens wordt geholpen door professionele cybercriminelen, slordige medewerkers van bedrijven en slachtoffers van overtredingen van de AVG.

Autoriteit Persoonsgegevens wordt geholpen door proffessionele cybercriminelen

De Autoriteit Persoonsgegevens wordt geholpen door cybercriminelen? Door ethical hackers zeker… Nee echt, door echte professionele cybercriminelen.

Cybercriminaliteit is de snelst groeiende vorm van criminaliteit ter wereld. Er wordt meer geld verdiend met het hacken van computers dan met drugs.

Het risico om slachtoffer te worden van een cybercrimineel is vele maken groter dan het risico om regulier gecontroleerd te worden door de Autoriteit Persoonsgegevens.

Slachtoffers van cybercriminaliteit zijn vanwege de AVG verplicht dat zelf te melden bij de AP

In die zin wordt de Autoriteit Persoonsgegevens geholpen door professionele cybercriminelen. Iedere succesvolle hack door een cybercrimineel heeft voor getroffen organisaties namelijk automatisch tot gevolg dat zij zelf een datalekmelding moeten doen bij de Autoriteit Persoonsgegevens.

Enorme imagoschade door negatieve publiciteit

Daarnaast groeit de kans dat andere slachtoffers van een hack of een datalek door eigen schuld – klanten en medewerkers – een klacht indienen bij de AP en misschien ook publiciteit zoeken.

De directie van Pathé had de CEO-fraude waarschijnlijk graag buiten de media gehouden. De imagoschade is enorm. En daarbij komt nog eens de gigantische financiele schade.

Door de AVG is het echter vrijwel onmogelijk om overtredingen van de privacywet onder de tafel te werken.

Managers lopen persoonlijk enorme risico’s

Managers die dat doen lopen zelf enorme risico’s. Zij zijn volgens de AVG zelf verantwoordelijk en zelfs hoofdelijk aansprakelijk. En ze kunnen door hun werkgever worden ontslagen, weten de managers die slachtoffer waren van de CEO-fraude bij Pathé nu. De rechtbank in Amsterdam heeft het ontslag goedgekeurd.

Neem geen risico. Bel nu met PrivacyZone en maak een afspraak: 06-31995740.

Meer actueel awareness nieuws

Productievere samenwerking in organisaties dankzij de privacywet AVG / GDPR en psychologische veiligheid. Hoe dan? Nou zo…

De privacywet AVG / GDPR gaat verder dan het aanpassen van de algemene voorwaarden, een privacy statement, verwerkingsovereenkomsten en een verwerkingsregister.

Organisaties moeten ook kunnen aantonen dat ze hun personeel bewust hebben gemaakt van het belang zorgvuldig om te gaan met persoonlijke gegevens. De menselijke factor is het grootste risico voor datalekken.

’Irritante’ verplichte awarenesstraining

Veel organisaties organiseren plichtmatig awareness trainingen om hun medwerkers bewust te maken en vinken deze ‘irritante’ ‘bureaucratische’ wettelijke verplichting vervolgens af in het verwerkingsregister. Opdracht vervuld?

Niet echt.

Het is onmogelijk om in een awareness training van anderhalf tot twee uur menselijk gedrag te veranderen.

Openhartig discussieren

Hoe laat je medewerkers openhartig met elkaar discussieren over AVG-risico’s die een organisatie loopt?

Ervaren medewerkers moeten hun werkwijze die jarenlang goed was opeens bewust aanpassen.

Niet iedereen is blij met een collega die openhartig tijdens een awareness groepstraining de vinger op de zere plek legt.

AVG weerstand

Dat stuit gegarandeerd op weerstand.

Spanning op de werkvloer

Om dat te voorkomen houden veel medewerkers wijselijk hun mond.

Goede ideeen worden niet geopperd.

Medewerkers willen zich niet belachelijk maken.

Geen conflict met hun baas of collega’s.

En dus blijven risico’s en kansen onbesproken.

AVG privacybeleid geborgd

Ondertussen verlangt de AVG wel dat de organisatie kan aantonen dat het nieuwe privacybeleid geborgd is.

Onmogelijk…?

Veel managers vinden de privacywet onwerkbaar. Bureaucratisch en een bedreiging van de productiviteit.

Maar dat hoeft niet. Het kan anders.

Hoe dan?

AVG strategie slimme managers

Managers die het slim aanpakken maken van de nood een deugd. Zij gebruiken de verplichte awareness training om medewerkers of vrijwilligers te trainen efficienter met elkaar te communiceren, ideeen uit te wisselen en verhogen zo de productiviteit.

U bent sceptisch?

Mooi verhaal van een privacymanager die zijn werk wil verkopen…?

Nee.

Psychological Safety Concept

Professor Amy Edmondson van Harvard Business School heeft het Psychological Safety Concept ontwikkeld waarmee samenwerking en productiviteit binnen organisaties significant verbetert.

Diverse grote bedrijven, zoals Google, passen het Psychological Safety Concept al toe.

Het Psychological Safety Concept staat los van de privacywet, maar kan heel goed ingepast worden in een awareness training. De privacywetgeving is bovendien onder meer ontwikkeld om mensen vertrouwen en controle te geven.

Door het psychologische veiligheidsconcept van Amy Edmondson wordt een werkomgeving gecreerd waarin medewerkers niet bang zijn om zich uit te drukken. Er ontstaat teamspirit.

Productiviteit en innovatiekracht

Die komt niet alleen ten goede aan de AVG compliancy van de organisatie, maar ook van de productiviteit en de innovatiekracht.

In een team waar alleen wat de baas of een paar collega’s iets te zeggen hebben telt, is innovatie tot de dood gedoemd.

Een klimaat van psychologische veiligheid maakt het gemakkelijker voor mensen om hun voorzichtige gedachten te uiten. Dat doen veel mensen alleen als ze zich geaccepteerd voelen in de groep.

Ideeën delen

Wanneer teamleden hun ideeën delen, is het daarom belangrijk om de meningen van alle collega’s te respecteren en te focussen op een gezond debat.

Dit vereist bepaald gedrag.

Een van de basisregels van een goede discussie is bijvoorbeeld om collega’s altijd hun zinnen te laten afmaken. Leer luisteren. Probeer de ander te begrijpen. Oordeel niet meteen vanuit het eigen perspectief.

De gulden regel

Om een respectvolle omgeving te creëren heeft Amy Edmondson onlangs haar eigen ervaringen en tips gebundeld in de bestseller “Teaming: How Organizations Learn, Innovate, and Compete in the Knowledge Economy”.

 

Daarin schrijft ze dat de zogenaamde gulden regel altijd op de eerste plaats moet komen als het gaat om teamwork: “Behandel andere mensen op de manier waarop je zelf behandeld wilt worden!

Wie open en respectvolle reacties op zijn eigen ideeën verwacht, moet ook andere mensen op dezelfde manier kunnen ontmoeten.

Er zijn geen domme vragen

Ze schrijft ook dat nieuwsgierigheid altijd moet worden toegejuicht.

Er zijn geen domme vragen en elke vraag leidt tot een beter begrip.

Hoe beter een collega zich in een zaak kan verplaatsen, hoe hoger de kwaliteit van zijn feedback.

Gezonde debatcultuur

Volgens Edmondson moeten discussies niet alleen worden getolereerd, maar zelfs doelgericht zijn – maar altijd vanuit de gedachte dat een gezonde debatcultuur op de voorgrond staat.

Om iedereen echt aan tafel te krijgen, is het ook belangrijk dat gereserveerde collega’s ook gevraagd worden in vergaderingen en zo een stem krijgen.

Ego managers smoort teamwerk

Onlangs presenteerde Amy Edmondson haar concept in een TED-presentatie. Meer dan 200.000 reacties op YouTube en TED met bijna uitsluitend positieve feedback tonen aan dat haar onderwerp een zenuw raakt.

De aanpak beschrijft de kern voor effectieve teams, schrijft een YouTube-gebruiker.

Een andere kijker maakt duidelijk dat vooral het ego van managers en de daarmee gepaard gaande weigering om buitenlandse ideeën te accepteren ertoe leidt dat goed werk in de kiem wordt gesmoord.

Daar is overeenstemming over: Alleen wie het Psychological Safety concept toepast, kan goed teamwerk garanderen. En AVG-proof worden.

Meer weten?

Bent u geinteresseerd in de aanpak van Amy Edmondson? Kijk dan zeker naar het uitgebreide onderstaande interview met haar.

Meer actueel awareness nieuws