AVG Awareness, Privacy Nieuws
CEO-fraude levert de bioscoopketen Pathé een schade van maar liefst 19 miljoen Euro op! De Nederlandse directie is volgens de rechtbank in Amsterdam terecht ontslagen wegens nalatigheid.
De gang van zaken bij deze CEO-fraude wordt naar alle waarschijnlijkheid een klassieker bij Security Awareness Trainingen voor managers. Het vonnis van de rechtbank beschrijft stap voor stap hoe de directie in de geraffineerde val van de cybercriminelen stapte.
Bij het lezen van het vonnis vraag je je af hoe de goed opgeleide topmanagers zo naief konden zijn. De financieel directeur had notabene jarenlang bij accountantskantoor KPMG gewerkt.
Toch liet hij zich misleiden door de professionele social engineering manipulatie van de professionele oplichter.
De directie van de Nederlandse tak van de Franse bioscoopketen Pathé ontving op 8 maart een e-mail van het ‘hoofdkantoor’ in Parijs. Met het dringende verzoek om meteen 800.000 euro over maken als aanbetaling voor een overname in Dubai. Er werd om strikte vertrouwelijkheid gevraagd. Er mocht niet over gebeld worden. Alleen mailwisseling via hetzelfde mailadres.
Bij iedere manager zouden meteen alle alarmbellen af moeten gaan. En zeker bij managers die in verband met de Algemene Verordening Gegevensbescherming (AVG) een Security Awareness Training hebben gehad.
De Nederlandse directie van Pathé vond het verzoek ook vreemd, maar betaalde desondanks. En werd zo slachtoffer van een klassieke vorm van CEO-fraude die het bedrijf uiteindelijk ruim 19 miljoen Euro heeft gekost.
Pathé is exploitant van bioscopen. Het Franse bedrijf is in Nederland marktleider. Pathé had in 2017 een omzet van 209 miljoen euro. Het aantal werknemers in Nederland is ongeveer 1900.
Beide directieleden werden meteen na de ontdekking van hun grote fout op non-actief gesteld en later op staande voet ontslagen.
De financieel directeur vocht zijn ontslag aan. Tevergeefs. De rechter heeft bepaald dat hij nog tot 1 december 2018 moet worden doorbetaald. Volgens de rechter heeft hij verwijtbaar gehandeld.
Volgens de rechter is niet aangetoond dat de twee ontslagen directieleden zelf betrokken zijn geweest bij de fraude.
“Pathé lijkt het doelwit te zijn geworden van een professionele bende van fraudeurs, welke door geraffineerde communicatie het vertrouwen van enkele Pathé-medewerkers wisten te winnen”, valt te lezen in het vonnis.
Privacy Nieuws
MKB-bedrijven kunnen kritische vragen verwachten van hun accountants over de manier waarop ze zich beveiligen tegen internetcriminaliteit. Dat meldt het Financieel Dagblad.
Het initiatief is genomen door de vier grootste accountantskantoren: Deloitte, EY, KPMG en PWC. Het wordt echter door de hele sector gevolgd.
Accountants zijn volgens de vereniging ICT-auditors wettelijk verplicht om te oordelen over de betrouwbaarheid en continuïteit van ICT-systemen van hun klanten.
Is er een calamiteitenplan gemaakt?
Op de door Deloitte, EY, KPMG en PWC bedachte vragenlijst staan onder meer vragen over wat een organisatie van plan is te doen op het moment dat er een incident is en welk beleid er is voor het veilig updaten van ICT-systemen.
Het is de bedoeling dat accountants aan de hand van een vragenlijst met ondernemers in gesprek gaan over cyberveiligheid, zegt Jos Nijhuis, co-voorzitter van de Cyber Security Raad en initiatiefnemer van de ‘Cyber Health Check’.
Cyber Security Raad is onafhankelijk adviesorgaan voor kabinet
De Cyber Security Raad is een onafhankelijk adviesorgaan van het kabinet, met als doel het verhogen van de cyberveiligheid van Nederland.
“Bij de grote bedrijven is de bewustwording over de gevaren van internetcriminaliteit over het algemeen goed”, zegt Nijhuis, die tot voor kort algemeen directeur van Schiphol was. “Maar binnen het MKB wordt cyberbeveiliging nog vaak gezien als een vraagstuk voor de leveranciers van de hardware en de software.”
Cyberbeveiliging niet alleen van belang voor MKB-bedrijven zelf
Volgens Nijhuis is goede cyberbeveiliging niet alleen van belang voor de MKB-bedrijven zelf, maar ook voor heel Nederland.
“De keten is zo sterk als de zwakste schakel. Ook grote organisaties worden kwetsbaar als hun toeleveranciers de beveiliging niet op orde hebben.”
Door toezicht op cyberbeveiliging door accountants te laten uitvoeren verwacht de Cyber Security Raad dat het onderwerp meer aandacht gaat krijgen binnen het MKB.
Privacy Nieuws
Uit het onderzoek van KPMG onder ruim 1.000 Nederlanders van vijftien jaar of ouder blijkt dat meer dan de zestig procent van hen van plan is om na 25 mei gebruik te gaan maken van het recht om bij bedrijven en instanties persoonlijke dossiers op te vragen.
51 procent van de ondervraagde Nederlanders gaf volgens KPN aan van plan te zijn om organisaties met informatie- en privacyverzoeken te gaan bestoken.
Van mensen die op de hoogte zijn van de nieuwe verordening, zegt 51% gebruik te gaan maken van het recht op vergetelheid, wil 60% gebruik maken van het recht op inzage, zal 56% het recht op overdraagbaarheid willen claimen en wil 59% het recht op rectificatie eisen.
Nederlanders maken zich vooral zorgen om de wijze waarop wordt omgegaan met hun medische gegevens.
70% van de ondervraagde mensen heeft twijfels over het gebruik van dit soort persoonlijke informatie, vooral in het elektronisch patiëntendossier (EPD).
Koos Wolters, privacyexpert van KPMG en betrokken bij het onderzoek zegt dat 90% van het publiek nog nooit het eigen EPD heeft ingezien.
Veel mensen zetten bovendien vraagtekens bij de veiligheid van hun gegevens bij de huisarts. Minder dan de helft van de Nederlanders denkt dat medische gegevens die worden bewaard door de huisarts of dokter goed beschermd zijn.” Het beloven dus drukke tijden te worden voor zorginstellingen.
Een andere groep die naar verwachting met veel informatie- en privacyverzoeken vanuit burgers te maken zal krijgen, wordt gevormd door de banken. Zij beheren namelijk grote hoeveelheden data van consumenten, waaronder veel persoonlijke en vaak gevoelige informatie.
Wolters: “Bedrijven en instanties kunnen hun borst natmaken en zullen alle zeilen bij moeten zetten om aan alle eisen te voldoen.” Dat scenario wordt alleen maar waarschijnlijker gezien de risico’s waarmee deze organisaties te maken krijgen, zoals cybersecurityrisico’s.
Slechts 20 procent kent de AVG
Hoe dan ook, momenteel is nog ‘slechts’ 20% van de Nederlanders op de hoogte van de AVG-wetgeving. Als dat zo blijft dan is dat goed nieuws voor veel organisaties, aangezien de volumes vanuit burgers behapbaar kunnen blijven.
Het bewustzijn en de kennis rondom de AVG zal naar verwachting de komende periode alleen maar meer gaan toenemen, waardoor toekomstige verzoeken vanuit consumenten nog behoorlijk kunnen gaan stijgen.
Een goede voorbereiding op de aankomende werklast na invoering van de AVG lijkt voor organisaties dus onontbeerlijk, zeker ook omdat hun reputatie onder consumenten op het spel kan komen te staan als ze er niet goed mee omgaan. In een tijd van social media, kunnen klachten over organisaties soms razendsnel viral gaan.
Als dat inzicht niet voldoende is, dan kunnen de hoge boetes die vanaf 25 mei gelden voor organisaties die zich niet houden aan de nieuwe privacyregels, voor veel organisaties een belangrijke stimulans zijn om de AVG serieus te nemen. Bedrijven die zich niet aan de wet houden kunnen een boete van 4 procent van hun jaaromzet krijgen tot een maximum van 20 miljoen Euro per geconstateerde overtreding.
