Volgens privacydeskundige Jeroen Terstegge heeft de CEO-fraude bij Pathé niets van doen met de #AVG. Heeft hij gelijk?
Op Twitter heb ik al enige tijd een interessante ‘discussie’ met de Nederlandse privacydeskundige Jeroen Terstegge van PM Partners over het koppelen van de AVG op deze site aan een bericht over de CEO Fraude bij de bioscoopketen Pathé. “Dit heeft echt niets met de #AVG te maken. Niet elk securityprobleem is een AVG-probleem”, twitterde Terstegge. Ik was stomverbaasd.
Terstegge reageerde op 11 november 2018 op de volgende tweet van mij:
CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid goo.gl/FrMcMU #AVG #GDPR #Privacywet
Tsja, dan begin je als privacymanager toch aan jezelf te twijfelen. En wat te denken van iedereen die sowieso al twijfelt over de AVG? CEO fraude heeft volgens een van de meest vooraanstaande privacydeskundigen van Nederland dus niets te maken met de Algemene Verordening Gegevensbescherming (AVG)?
Veel mensen zijn geneigd om op Twitter meteen impulsief te reageren. Ik besloot dat niet te doen. Ik besloot om na te denken over de tweet van Terstegge die ik net als veel collega’s hoog heb zitten. En niet voor niets.
Lees zijn bio op de site van PM Partners maar:
Jeroen Terstegge is een van Nederlands meest vooraanstaande privacy juristen. Hij heeft ruim 25 jaar ervaring op privacy gebied en was als Privacy Officer van Philips een van de geestelijk vaders van de Binding Corporate Rules (BCRs). Jeroen’s stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen en complexiteit terug te brengen tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren zoals e-commerce, energie, finance, ICT en HRM.
Waarom heeft CEO fraude niets te maken met de AVG?
Ik begrijp de tweet niet. De AVG verplicht organisaties toch om medewerkers te trainen hoe ze cyberrisico’s kunnen herkennen? De Autoriteit Persoonsgegevens (AP) hamert voortdurend op security awareness.
Twee topmanagers van Pathé worden door gewiekste cybercriminelen via social engineering misleid en bezorgen hun werkgever daardoor een miljoenenstrop.
CEO-fraude.
Social engineering.
Die woorden komen toch echt aan bod bij iedere security awareness training.
Ik besluit op 22 november 2018 Jeroen Terstegge via Twitter om uitleg te vragen.
Hallo Jeroen, ik reageer laat. Bewust. Heb nagedacht over jouw reactie. Was verbaasd. Waarom hier geen AVG? Dit was social engineering cybercrime. Hoort toch bij awareness training?
Jeroen Terstegge antwoordt meteen:
Social engineering is alleen een AVG-probleem als de directeuren in kwestie persoonsgegevens hebben vrijgegeven. In casu is ze geld afhandig gemaakt. Kortom, geen AVG-, wel security-issue. Er is overlap tussen privacy en security, maar die twee zijn niet hetzelfde.
Terstegge is een jurist, besef ik. Juristen denken anders. Ze kunnen hele wetteksten oprafelen.
Associeren daardoor ook meteen juridisch. Dat zou als volgt kunnen gaan:
- Twee topmanagers zijn de mist ingegaan door CEO-fraude. Er zijn miljoenen Euro’s verloren gegaan, maar er zijn geen persoonsgegevens verloren gegaan.
- AVG = persoonsgegevens…
- Geen persoonsgegevens betekent geen zaak voor de Autoriteit Persoonsgegevens (AP).
Als je het Pathéverhaal op die manier juridisch analyseert heeft Terstegge gelijk.
Maar wat hij vergeet is dat de Autoriteit Persoonsgegevens er voortdurend op hamert dat de AVG meer is dan een wet. Meer dan een juridisch instrument.
De AVG moet iedereen ook bewust maken van alle cyberrisico’s die we tegenwoordig lopen. Organisaties moeten aantonen dat ze een goed privacybeleid hebben ontwikkeld. En dat ze dat beleid ook in de praktijk ook uitvoeren.
Wat dat betreft heeft Pathé wel degelijk een AVG-probleem. Hebben de managers die de fout in gingen wel een security awareness training gehad? Een van hen beweerde van niet.
Op 24 november 2018 besloot ik nogmaals te reageren richting Jeroen Terstegge. Het komt zelden voor dat een tweet me zo lang triggert.
Ik denk dat je het artikel niet helemaal hebt gelezen. Pas op het eind wordt een verband gelegd met de AVG, maar dan alleen in verband met de verplichte security awareness trainingen. Wat dat betreft is er natuurlijk wel een link naar de AVG. Maar inderdaad niet qua boetes of AP.
Opnieuw antwoordt Terstegge snel. En opnieuw verbaast het antwoord me:
Het ging mij eigenlijk meer om die hashtags. Die slaan nergens op in dit verband.
Jeroen is een topjurist. Ik ben behalve privacymanager ook NextMarketeer. En ik kan daarom heel goed onderbouwen dat Terstegge met dit antwoord de plank volledig misslaat.
De AVG wordt door het grote publiek automatisch geassocieerd met cybercrime. CEO-fraude en social engineering vallen onder cybercrime.
Mensen die op internet naar informatie over cybercrime zoeken maken ook gebruik van de hashtag #AVG.
Als je als privacyspecialist online gevonden wilt worden zul je dezelfde woorden moeten gebruiken als je doelgroep. En dan helpt het ook als marketeers merken dat je hun vak begrijpt.
Qua marketing is het gebruik van de hashtag #AVG dus wel degelijk relevant.
En wat mij betreft zeer zeker ook in relatie tot security awareness. En dat valt toch echt onder de AVG.
Maar dat is mijn bescheiden mening.
No hard feelings, Jeroen.
Wat vind jij? Heeft Jeroen Terstegge gelijk? Moet je CEO-fraude en social engineering niet aan de AVG koppelen? We zijn benieuwd naar jouw reactie.