Volgens privacydeskundige Jeroen Terstegge heeft de CEO-fraude bij Pathé niets van doen met de #AVG. Heeft hij gelijk?

Op Twitter heb ik al enige tijd een interessante ‘discussie’ met de Nederlandse privacydeskundige Jeroen Terstegge van PM Partners over het koppelen van de AVG op deze site aan een bericht over de CEO Fraude bij de bioscoopketen Pathé. “Dit heeft echt niets met de #AVG te maken. Niet elk securityprobleem is een AVG-probleem”, twitterde Terstegge. Ik was stomverbaasd.

Terstegge reageerde op 11 november 2018 op de volgende tweet van mij:

CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid goo.gl/FrMcMU #AVG #GDPR #Privacywet

 

Tsja, dan begin je als privacymanager toch aan jezelf te twijfelen. En wat te denken van iedereen die sowieso al twijfelt over de AVG? CEO fraude heeft volgens een van de meest vooraanstaande privacydeskundigen van Nederland dus niets te maken met de Algemene Verordening Gegevensbescherming (AVG)?

Veel mensen zijn geneigd om op Twitter meteen impulsief te reageren. Ik besloot dat niet te doen. Ik besloot om na te denken over de tweet van Terstegge die ik net als veel collega’s hoog heb zitten. En niet voor niets.

Lees zijn bio op de site van PM Partners maar:

Jeroen Terstegge is een van Nederlands meest vooraanstaande privacy juristen. Hij heeft ruim 25 jaar ervaring op privacy gebied en was als Privacy Officer van Philips een van de geestelijk vaders van de Binding Corporate Rules (BCRs). Jeroen’s stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen en complexiteit terug te brengen tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren zoals e-commerce, energie, finance, ICT en HRM.

Waarom heeft CEO fraude niets te maken met de AVG?

Ik begrijp de tweet niet. De AVG verplicht organisaties toch om medewerkers te trainen hoe ze cyberrisico’s kunnen herkennen? De Autoriteit Persoonsgegevens (AP) hamert voortdurend op security awareness.

Twee topmanagers van Pathé worden door gewiekste cybercriminelen via social engineering misleid en bezorgen hun werkgever daardoor een miljoenenstrop.

CEO-fraude.

Social engineering.

Die woorden komen toch echt aan bod bij iedere security awareness training.

Ik besluit op 22 november 2018 Jeroen Terstegge via Twitter om uitleg te vragen.

Hallo Jeroen, ik reageer laat. Bewust. Heb nagedacht over jouw reactie. Was verbaasd. Waarom hier geen AVG? Dit was social engineering cybercrime. Hoort toch bij awareness training?

Jeroen Terstegge antwoordt meteen:

Social engineering is alleen een AVG-probleem als de directeuren in kwestie persoonsgegevens hebben vrijgegeven. In casu is ze geld afhandig gemaakt. Kortom, geen AVG-, wel security-issue. Er is overlap tussen privacy en security, maar die twee zijn niet hetzelfde.

 

 

Terstegge is een jurist, besef ik. Juristen denken anders. Ze kunnen hele wetteksten oprafelen.

Associeren daardoor ook meteen juridisch. Dat zou als volgt kunnen gaan:

  • Twee topmanagers zijn de mist ingegaan door CEO-fraude. Er zijn miljoenen Euro’s verloren gegaan, maar er zijn geen persoonsgegevens verloren gegaan.
  • AVG = persoonsgegevens…
  • Geen persoonsgegevens betekent geen zaak voor de Autoriteit Persoonsgegevens (AP).

 

Als je het Pathéverhaal op die manier juridisch analyseert heeft Terstegge gelijk.

Maar wat hij vergeet is dat de Autoriteit Persoonsgegevens er voortdurend op hamert dat de AVG meer is dan een wet. Meer dan een juridisch instrument.

De AVG moet iedereen ook bewust maken van alle cyberrisico’s die we tegenwoordig lopen. Organisaties moeten aantonen dat ze een goed privacybeleid hebben ontwikkeld. En dat ze dat beleid ook in de praktijk ook uitvoeren.

Wat dat betreft heeft Pathé wel degelijk een AVG-probleem. Hebben de managers die de fout in gingen wel een security awareness training gehad? Een van hen beweerde van niet.

Op 24 november 2018 besloot ik nogmaals te reageren richting Jeroen Terstegge. Het komt zelden voor dat een tweet me zo lang triggert.

Ik denk dat je het artikel niet helemaal hebt gelezen. Pas op het eind wordt een verband gelegd met de AVG, maar dan alleen in verband met de verplichte security awareness trainingen. Wat dat betreft is er natuurlijk wel een link naar de AVG. Maar inderdaad niet qua boetes of AP.

Opnieuw antwoordt Terstegge snel. En opnieuw verbaast het antwoord me:

Het ging mij eigenlijk meer om die hashtags. Die slaan nergens op in dit verband.

 

Jeroen is een topjurist. Ik ben behalve privacymanager ook NextMarketeer. En ik kan daarom heel goed onderbouwen dat Terstegge met dit antwoord de plank volledig misslaat.

De AVG wordt door het grote publiek automatisch geassocieerd met cybercrime. CEO-fraude en social engineering vallen onder cybercrime.

Mensen die op internet naar informatie over cybercrime zoeken maken ook gebruik van de hashtag #AVG.

Als je als privacyspecialist online gevonden wilt worden zul je dezelfde woorden moeten gebruiken als je doelgroep. En dan helpt het ook als marketeers merken dat je hun vak begrijpt.

Qua marketing is het gebruik van de hashtag #AVG dus wel degelijk relevant.

En wat mij betreft zeer zeker ook in relatie tot security awareness. En dat valt toch echt onder de AVG.

Maar dat is mijn bescheiden mening.

No hard feelings, Jeroen.

Wat vind jij? Heeft Jeroen Terstegge gelijk? Moet je CEO-fraude en social engineering niet aan de AVG koppelen? We zijn benieuwd naar jouw reactie.

Wie wint dit jaar de Big Brother Award? Wie is de grootste privacyschender van 2018?

Bits of Freedom heeft de nominatie voor de jaarlijkse Big Brother Awards Publieksprijs geopend. Wie is de grootste schender van privacyrechten van 2018?

De Big Brother Awards Publieksprijs wordt ieder jaar uitgereikt aan de persoon of organisatie die dat jaar de grofste inbreuk maakte op de privacy van Nederlanders.

Bits of Freedom is een beweging die opkomt voor internetvrijheid in Nederland. De organisatie richt zich op twee voor die vrijheid essentiële grondrechten: communicatievrijheid en privacy.

Het publiek kan tot en met 25 november via de website van Bits of Freedom kandidaten nomineren. Wie verdient volgens jou deze bedenkelijke eer?

Uit alle nominaties wordt een top 3 gevormd waar vanaf 3 december op kan worden gestemd.

De uitreiking van de Big Brother Awards is op 22 januari 2019 in de Rode Hoed te Amsterdam.

De publieksprijs van de Big Brother Awards 2017 was voor het kabinet. Dit vanwege het doordrukken van de inwerkingtreding van de Wet op de inlichtingen- en veiligheidsdiensten – door het publiek vaak ook wel de sleepnetwet genoemd.

Focum wint de prijs voor het profileren en beïnvloeden van levenskansen, zonder daar de maatschappelijke verantwoordelijkheid voor te nemen.

Zoekmachine DuckDuckGo groeit explosief door alle publiciteit over AVG, datalekken en privacy

De zoekmachine DuckDuckGo groeit dankzij de Algemene Verordening Gegevensbescherming (AVG) explosief.

Steeds meer mensen kiezen voor de zoekmachine die garandeert geen persoonsgegevens op te slaan. Mede als gevolg van alle publiciteit over de manier waarop Google omgaat met persoonsgegevens en datalekken.

“Het kostte ons zeven jaar om in één dag 10 miljoen particuliere zoekopdrachten te bereiken, daarna nog eens twee jaar om 20 miljoen te bereiken, en nu minder dan een jaar later zijn we op 30 miljoen! Dank u allen 😃”, tweet DuckDuckGo vrolijk.

 

DuckDuckGo heeft een eenvoudig beleid: “Wij slaan uw persoonlijke gegevens niet op. Nooit.”