Volgens privacydeskundige Jeroen Terstegge heeft de CEO-fraude bij Pathé niets van doen met de #AVG. Heeft hij gelijk?

Op Twitter heb ik al enige tijd een interessante ‘discussie’ met de Nederlandse privacydeskundige Jeroen Terstegge van PM Partners over het koppelen van de AVG op deze site aan een bericht over de CEO Fraude bij de bioscoopketen Pathé. “Dit heeft echt niets met de #AVG te maken. Niet elk securityprobleem is een AVG-probleem”, twitterde Terstegge. Ik was stomverbaasd.

Terstegge reageerde op 11 november 2018 op de volgende tweet van mij:

CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid goo.gl/FrMcMU #AVG #GDPR #Privacywet

 

Tsja, dan begin je als privacymanager toch aan jezelf te twijfelen. En wat te denken van iedereen die sowieso al twijfelt over de AVG? CEO fraude heeft volgens een van de meest vooraanstaande privacydeskundigen van Nederland dus niets te maken met de Algemene Verordening Gegevensbescherming (AVG)?

Veel mensen zijn geneigd om op Twitter meteen impulsief te reageren. Ik besloot dat niet te doen. Ik besloot om na te denken over de tweet van Terstegge die ik net als veel collega’s hoog heb zitten. En niet voor niets.

Lees zijn bio op de site van PM Partners maar:

Jeroen Terstegge is een van Nederlands meest vooraanstaande privacy juristen. Hij heeft ruim 25 jaar ervaring op privacy gebied en was als Privacy Officer van Philips een van de geestelijk vaders van de Binding Corporate Rules (BCRs). Jeroen’s stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen en complexiteit terug te brengen tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren zoals e-commerce, energie, finance, ICT en HRM.

Waarom heeft CEO fraude niets te maken met de AVG?

Ik begrijp de tweet niet. De AVG verplicht organisaties toch om medewerkers te trainen hoe ze cyberrisico’s kunnen herkennen? De Autoriteit Persoonsgegevens (AP) hamert voortdurend op security awareness.

Twee topmanagers van Pathé worden door gewiekste cybercriminelen via social engineering misleid en bezorgen hun werkgever daardoor een miljoenenstrop.

CEO-fraude.

Social engineering.

Die woorden komen toch echt aan bod bij iedere security awareness training.

Ik besluit op 22 november 2018 Jeroen Terstegge via Twitter om uitleg te vragen.

Hallo Jeroen, ik reageer laat. Bewust. Heb nagedacht over jouw reactie. Was verbaasd. Waarom hier geen AVG? Dit was social engineering cybercrime. Hoort toch bij awareness training?

Jeroen Terstegge antwoordt meteen:

Social engineering is alleen een AVG-probleem als de directeuren in kwestie persoonsgegevens hebben vrijgegeven. In casu is ze geld afhandig gemaakt. Kortom, geen AVG-, wel security-issue. Er is overlap tussen privacy en security, maar die twee zijn niet hetzelfde.

 

 

Terstegge is een jurist, besef ik. Juristen denken anders. Ze kunnen hele wetteksten oprafelen.

Associeren daardoor ook meteen juridisch. Dat zou als volgt kunnen gaan:

  • Twee topmanagers zijn de mist ingegaan door CEO-fraude. Er zijn miljoenen Euro’s verloren gegaan, maar er zijn geen persoonsgegevens verloren gegaan.
  • AVG = persoonsgegevens…
  • Geen persoonsgegevens betekent geen zaak voor de Autoriteit Persoonsgegevens (AP).

 

Als je het Pathéverhaal op die manier juridisch analyseert heeft Terstegge gelijk.

Maar wat hij vergeet is dat de Autoriteit Persoonsgegevens er voortdurend op hamert dat de AVG meer is dan een wet. Meer dan een juridisch instrument.

De AVG moet iedereen ook bewust maken van alle cyberrisico’s die we tegenwoordig lopen. Organisaties moeten aantonen dat ze een goed privacybeleid hebben ontwikkeld. En dat ze dat beleid ook in de praktijk ook uitvoeren.

Wat dat betreft heeft Pathé wel degelijk een AVG-probleem. Hebben de managers die de fout in gingen wel een security awareness training gehad? Een van hen beweerde van niet.

Op 24 november 2018 besloot ik nogmaals te reageren richting Jeroen Terstegge. Het komt zelden voor dat een tweet me zo lang triggert.

Ik denk dat je het artikel niet helemaal hebt gelezen. Pas op het eind wordt een verband gelegd met de AVG, maar dan alleen in verband met de verplichte security awareness trainingen. Wat dat betreft is er natuurlijk wel een link naar de AVG. Maar inderdaad niet qua boetes of AP.

Opnieuw antwoordt Terstegge snel. En opnieuw verbaast het antwoord me:

Het ging mij eigenlijk meer om die hashtags. Die slaan nergens op in dit verband.

 

Jeroen is een topjurist. Ik ben behalve privacymanager ook NextMarketeer. En ik kan daarom heel goed onderbouwen dat Terstegge met dit antwoord de plank volledig misslaat.

De AVG wordt door het grote publiek automatisch geassocieerd met cybercrime. CEO-fraude en social engineering vallen onder cybercrime.

Mensen die op internet naar informatie over cybercrime zoeken maken ook gebruik van de hashtag #AVG.

Als je als privacyspecialist online gevonden wilt worden zul je dezelfde woorden moeten gebruiken als je doelgroep. En dan helpt het ook als marketeers merken dat je hun vak begrijpt.

Qua marketing is het gebruik van de hashtag #AVG dus wel degelijk relevant.

En wat mij betreft zeer zeker ook in relatie tot security awareness. En dat valt toch echt onder de AVG.

Maar dat is mijn bescheiden mening.

No hard feelings, Jeroen.

Wat vind jij? Heeft Jeroen Terstegge gelijk? Moet je CEO-fraude en social engineering niet aan de AVG koppelen? We zijn benieuwd naar jouw reactie.

Meer actueel awareness nieuws

AVG een ramp voor fotografen? Welnee. Lang leve de persvrijheid. Iedereen is journalist.

Eens een journalist, altijd een journalist. Dankzij de privacywet AVG ontdek ik dagelijks de voordelen die mijn lange journalistieke carriere me in mijn nieuwe professie bieden.

Neem nou de fotografie.

Heel veel fotografen zijn bang dat ze door de AVG hun werk niet meer kunnen doen.

Of dat ze in ieder geval ernstig belemmerd worden bij de uitoefening van hun vak.

De AVG ziet foto’s als persoonsgegevens.

Veel professionele en amateurfotografen die privacyregels letterlijk intrepreteren denken dat ze voortaan bij het maken van iedere foto toestemming moeten vragen.

Dat ze een uitgebreide administratie moeten bijhouden van alle foto‘s die ze maken.

Wie dat niet doet zou risico lopen op torenhoge boetes.

Dat is onzin, schrijft de bekende ICT-jurist Arnoud Engelfriet op zijn weblog Iusmentis.

“Het klopt dat een foto een persoonsgegeven is en dat het maken en gebruiken daarvan dus onder de AVG valt”, schrijft Engelfriet. “Maar dat wil niet zeggen dat je dus altijd toestemming nodig hebt van de geportretteerde. Zeker niet als je foto onder de uitingsvrijheid valt – en dat is al heel snel het geval.”

Iedereen is vanaf nu journalist

Engelfriet heeft een interessante ontsnappingsclausule om als fotograaf aan de AVG te ontkomen. Heel simpel. Iedereen is eigenlijk journalist en kan een beroep doen op de persvrijheid.

“Wanneer handel je nu journalistiek?” Engelfriet stelt de vraag en beantwoordt meteen zelf. “Ik formuleer het met opzet zo, om aan te geven dat het hier gaat om een activiteit en niet een beroepsgroep. Journalist of fotograaf zijn is immers geen beschermd beroep, en niet iedere vorm van foto’s (of teksten) maken valt onder een activiteit uit dat beroep. Je moet dus kijken naar wat je aan het doen bent. Volgens de hoogste Europese rechtbank is iedereen journalist.

Journalistiek doe je

Het maakt volgens Engelfriet niet uit of je je beroep maakt van journalistiek bezig zijn, of dat je dat voor de lol doet. “En ook niet of je dat op gedrukt papier doet dan wel op een blog (of op Twitter). Journalist ben je niet, journalistiek doe je.”

Ik ben, denk en doe nog altijd als een journalist. Bijvoorbeeld in de blogs die ik vanwege mijn huidige professie als privacy manager op PrivacyZone publiceer.

Dankzij mijn jarenlangevervaring als professioneel journalist bij diverse dagbladen in Noord-Nederland heb ik nog een interessant voordeel ten opzichte van veel andere privacymanagers.

Ethical hacker

Ik ben als journalist eigenlijk altijd ethical hacker geweest. Als journalist weet ik hoe je aan informatie komt die eigenlijk niet op straat zou mogen komen.

Ik kan denken als een hacker.

Ik zie risico’s die anderen niet zien.

Voor je het weet ligt het nieuws op straat.

Ik weet hoe je dat kunt voorkomen.

Ik blijf ondertussen naast journalist ook NextMarketeer, parkmanager, journalist, beveiligingsbeambte en piloot. Al die beroepen komen nu samen in mijn nieuwe vakgebied privacymanagement. Bij al deze beroepen heb ik op een andere specifieke manier leren kijken naar risico‘s en kansen.

Mede dankzij de AVG kan ik deze levenservaring nu als geen ander inzetten om klanten te helpen.

P.S. Ik ben wel benieuwd naar de uitslag van de eerste processen die gevoerd gaan worden door fotografen die een beroep doen op de persvrijheid om onder de AVG uit te komen. Krijgt Engelfriet gelijk met zijn interpretatie van de wetgeving?

Meer actueel awareness nieuws