Volgens privacydeskundige Jeroen Terstegge heeft de CEO-fraude bij Pathé niets van doen met de #AVG. Heeft hij gelijk?

Op Twitter heb ik al enige tijd een interessante ‘discussie’ met de Nederlandse privacydeskundige Jeroen Terstegge van PM Partners over het koppelen van de AVG op deze site aan een bericht over de CEO Fraude bij de bioscoopketen Pathé. “Dit heeft echt niets met de #AVG te maken. Niet elk securityprobleem is een AVG-probleem”, twitterde Terstegge. Ik was stomverbaasd.

Terstegge reageerde op 11 november 2018 op de volgende tweet van mij:

CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid goo.gl/FrMcMU #AVG #GDPR #Privacywet

 

Tsja, dan begin je als privacymanager toch aan jezelf te twijfelen. En wat te denken van iedereen die sowieso al twijfelt over de AVG? CEO fraude heeft volgens een van de meest vooraanstaande privacydeskundigen van Nederland dus niets te maken met de Algemene Verordening Gegevensbescherming (AVG)?

Veel mensen zijn geneigd om op Twitter meteen impulsief te reageren. Ik besloot dat niet te doen. Ik besloot om na te denken over de tweet van Terstegge die ik net als veel collega’s hoog heb zitten. En niet voor niets.

Lees zijn bio op de site van PM Partners maar:

Jeroen Terstegge is een van Nederlands meest vooraanstaande privacy juristen. Hij heeft ruim 25 jaar ervaring op privacy gebied en was als Privacy Officer van Philips een van de geestelijk vaders van de Binding Corporate Rules (BCRs). Jeroen’s stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen en complexiteit terug te brengen tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren zoals e-commerce, energie, finance, ICT en HRM.

Waarom heeft CEO fraude niets te maken met de AVG?

Ik begrijp de tweet niet. De AVG verplicht organisaties toch om medewerkers te trainen hoe ze cyberrisico’s kunnen herkennen? De Autoriteit Persoonsgegevens (AP) hamert voortdurend op security awareness.

Twee topmanagers van Pathé worden door gewiekste cybercriminelen via social engineering misleid en bezorgen hun werkgever daardoor een miljoenenstrop.

CEO-fraude.

Social engineering.

Die woorden komen toch echt aan bod bij iedere security awareness training.

Ik besluit op 22 november 2018 Jeroen Terstegge via Twitter om uitleg te vragen.

Hallo Jeroen, ik reageer laat. Bewust. Heb nagedacht over jouw reactie. Was verbaasd. Waarom hier geen AVG? Dit was social engineering cybercrime. Hoort toch bij awareness training?

Jeroen Terstegge antwoordt meteen:

Social engineering is alleen een AVG-probleem als de directeuren in kwestie persoonsgegevens hebben vrijgegeven. In casu is ze geld afhandig gemaakt. Kortom, geen AVG-, wel security-issue. Er is overlap tussen privacy en security, maar die twee zijn niet hetzelfde.

 

 

Terstegge is een jurist, besef ik. Juristen denken anders. Ze kunnen hele wetteksten oprafelen.

Associeren daardoor ook meteen juridisch. Dat zou als volgt kunnen gaan:

  • Twee topmanagers zijn de mist ingegaan door CEO-fraude. Er zijn miljoenen Euro’s verloren gegaan, maar er zijn geen persoonsgegevens verloren gegaan.
  • AVG = persoonsgegevens…
  • Geen persoonsgegevens betekent geen zaak voor de Autoriteit Persoonsgegevens (AP).

 

Als je het Pathéverhaal op die manier juridisch analyseert heeft Terstegge gelijk.

Maar wat hij vergeet is dat de Autoriteit Persoonsgegevens er voortdurend op hamert dat de AVG meer is dan een wet. Meer dan een juridisch instrument.

De AVG moet iedereen ook bewust maken van alle cyberrisico’s die we tegenwoordig lopen. Organisaties moeten aantonen dat ze een goed privacybeleid hebben ontwikkeld. En dat ze dat beleid ook in de praktijk ook uitvoeren.

Wat dat betreft heeft Pathé wel degelijk een AVG-probleem. Hebben de managers die de fout in gingen wel een security awareness training gehad? Een van hen beweerde van niet.

Op 24 november 2018 besloot ik nogmaals te reageren richting Jeroen Terstegge. Het komt zelden voor dat een tweet me zo lang triggert.

Ik denk dat je het artikel niet helemaal hebt gelezen. Pas op het eind wordt een verband gelegd met de AVG, maar dan alleen in verband met de verplichte security awareness trainingen. Wat dat betreft is er natuurlijk wel een link naar de AVG. Maar inderdaad niet qua boetes of AP.

Opnieuw antwoordt Terstegge snel. En opnieuw verbaast het antwoord me:

Het ging mij eigenlijk meer om die hashtags. Die slaan nergens op in dit verband.

 

Jeroen is een topjurist. Ik ben behalve privacymanager ook NextMarketeer. En ik kan daarom heel goed onderbouwen dat Terstegge met dit antwoord de plank volledig misslaat.

De AVG wordt door het grote publiek automatisch geassocieerd met cybercrime. CEO-fraude en social engineering vallen onder cybercrime.

Mensen die op internet naar informatie over cybercrime zoeken maken ook gebruik van de hashtag #AVG.

Als je als privacyspecialist online gevonden wilt worden zul je dezelfde woorden moeten gebruiken als je doelgroep. En dan helpt het ook als marketeers merken dat je hun vak begrijpt.

Qua marketing is het gebruik van de hashtag #AVG dus wel degelijk relevant.

En wat mij betreft zeer zeker ook in relatie tot security awareness. En dat valt toch echt onder de AVG.

Maar dat is mijn bescheiden mening.

No hard feelings, Jeroen.

Wat vind jij? Heeft Jeroen Terstegge gelijk? Moet je CEO-fraude en social engineering niet aan de AVG koppelen? We zijn benieuwd naar jouw reactie.

Meer actueel awareness nieuws

Over uw PrivacyZone

Privacy is iets persoonlijks. Iedereen heeft zijn eigen visie, gedachten en gevoelens over zijn eigen privé-, leer- en werkomgeving. Iedere privacy zone is anders. De een wil rust en orde, de ander kan niet zonder rumoer en chaos.

En toen kwam de nieuwe privacywet AVG / GDPR die in heel Europa dezelfde strenge privacyregels afdwingt. De EU is voortaan een grote identieke privacy zone. Kan dat?

De een vindt de privacywet duidelijk, efficiënt en praktisch. De ander diffuus, bureaucratisch en onwerkbaar.

Een goede privacy manager houdt daar bij de ontwikkeling van privacybeleid rekening mee.

Privacy management is maatwerk.

Voor iedere afdeling in jouw organisatie. Voor iedere doelgroep onder jouw klanten.

Dat is het uitgangspunt en de uitdaging van PrivacyZone.nl bij de ontwikkeling van privacybeleid op basis van de privacywet AVG / GDPR.

PrivacyZone.nl is een marketing & communicatiebureau dat gespecialiseerd is in privacymanagement en privacymarketing.

PrivacyZone.nl analyseert op basis van de Europese privacywetgeving samen met het management de custumer journey en werkprocessen om privacy risico’s en kansen in beeld te brengen.

  • We leren je ontwikkelingen aanvoelen
  • Wat je daarvan kunt leren
  • Hoe je mag en hoe u kunt reageren
  • Hoe je marktvragen kunt voorspellen en zo voldoen aan de klantvraag of deze zelfs kunt genereren
  • Hoe je eenvoudiger internationaal zaken kunt doen
  • Hoe je rust binnen jouw organisatie creëert met heldere processen en duidelijke afspraken
  • Hoe je aantrekkelijker wordt als werkgever door een transparant HR-beleid
  • Hoe je efficiënter kunt ondernemen door meer inzicht in jouw bedrijfsvoering
  • Hoe je doelmatig en datadriven kunt werken
  • Hoe je jouw imago kunt verbeteren

Wie van de nood een deugd maakt hoeft niet bevreesd te zijn voor hoge kosten of hoge boetes. Privacy wordt dan een investering waarmee je kosten kunt besparen en meer omzet en winst kunt genereren.

De AVG / GDRP biedt, wanneer goed gemanaged, volgens PrivacyZone.nl een groeikans.

PrivacyZone.nl werkt samen met zelfstandige specialisten op diverse vakgebieden die kennis delen, vergaren en duiden om klanten optimaal te kunnen ondersteunen bij de ontwikkeling van een doelgerichte privacy strategie.

Partners PrivacyZone

Privacy is iets persoonlijks. Iedereen heeft zijn eigen visie, gedachten en gevoelens over zijn eigen privé-, leer- en werkomgeving. Iedere privacy zone is anders. De een wil rust en orde, de ander kan niet zonder rumoer en chaos.

En toen kwam de nieuwe privacywet AVG / GDPR die in heel Europa dezelfde strenge privacyregels afdwingt. De EU is voortaan een grote identieke privacy zone. Kan dat?

De een vindt de privacywet duidelijk, efficiënt en praktisch. De ander diffuus, bureaucratisch en onwerkbaar. Een goede privacy manager houdt daar bij de ontwikkeling van privacybeleid rekening mee. Privacy management is maatwerk.

Voor iedere afdeling in uw organisatie. Voor iedere doelgroep onder uw klanten.

Dat is het uitgangspunt en de uitdaging van PrivacyZone.nl bij de ontwikkeling van privacybeleid op basis van de privacywet AVG / GDPR.

PrivacyZone.nl analyseert op basis van de Europese privacywetgeving samen met het management de custumer journey en werkprocessen om privacy risico’s en kansen in beeld te brengen.

  • We leren u ontwikkelingen aanvoelen
  • Wat u daarvan kunt leren
  • Hoe u mag en hoe u kunt reageren
  • Hoe u marktvragen kunt voorspellen en zo voldoen aan de klantvraag of deze zelfs kunt genereren
  • Hoe u eenvoudiger internationaal zaken kunt doen
  • Hoe u rust binnen uw organisatie creëert met heldere processen en duidelijke afspraken
  • Hoe u aantrekkelijker wordt als werkgever door een transparant HR-beleid
  • Hoe u efficiënter kunt ondernemen door meer inzicht in uw bedrijfsvoering
  • Hoe u doelmatig en datadriven kunt werken
  • Hoe u uw imago kunt verbeteren

Wie van de nood een deugd maakt hoeft niet bevreesd te zijn voor hoge kosten of hoge boetes. Privacy wordt dan een investering waarmee u kosten kunt besparen en meer omzet en winst kunt genereren.

De AVG / GDRP biedt, wanneer goed gemanaged, volgens PrivacyZone.nl een groeikans.

PrivacyZone.nl werkt samen met zelfstandige specialisten op diverse vakgebieden die kennis delen, vergaren en duiden om klanten optimaal te kunnen ondersteunen bij de ontwikkeling van een doelgerichte privacy strategie.

Data Protection Officer

Gegevens bescherming

Sterk in vertaalwerk

Privacy Design