En hoe de AVG hierbij kan helpen
Hackers breken in op je computer. De vraag is niet of dat gebeurt, maar wanneer. Deze cyber criminelen lezen daar precies hoe collega’s onderling corresponderen. Gebruiken de collega’s in e-mails telkens een aanhef, welke dan en wordt deze gevolgd door een voornaam? Een hacker doet dus onderzoek. In jouw computer treffen ze precies die gegevens aan die zij belangrijk vinden om te gebruiken. Hackers sluipen je computersysteem in via hacking en nemen zo bijvoorbeeld het e-mailadres van je baas over.
Zo ook bij financieel directeur Lauren. Zij werkte in Amsterdam bij een groot internationaal concern met een Franse moedervennootschap. Op een dag ontving ze een e-mail van een voor haar bekend persoon. Er werd verzocht contact op nemen met de accountant voor het overmaken van € 800.000,-. Ze herkende het e-mailadres van de accountant en de overige gegevens die erbij stonden vermeld. De betaling was in verband met een bedrijfsovername en dit moest strikt vertrouwelijk blijven. Bellen werd niet toegestaan. Snelheid was geboden. Lauren constateerde dat er sprake is van een overboeking van een groot bedrag zonder dat de raad van commissarissen daarvan op de hoogte was. Zij twijfelde. Geheimhouding bij een overname was niet ongebruikelijk. Tijdsdruk komt ook vaker voor. Veel tijd om er over na te denken was er dus niet. Per omkerende post ontving zij bevestiging van de accountant, dus ze besloot het bedrag over te maken.
Nog eens 5.6 miljoen
Binnen enkele dagen volgde een vergelijkbaar verzoek, maar dan van een hoger bedrag. Eerst werd verzocht tot betaling van 2.4 milioen, daarna 5.1 miljoen euro. Ze besprak het nog met haar collega op kantoor. Vreemd toch, hoe deze betalingen plaatsvinden? Inderdaad, bevestigde haar collega. Lauren nam geen genoegen meer met een e-mail en verzocht bevestiging met een handtekening. Er volgde een factuur met de juiste namen binnen het concern en daarbij hun handtekening. Lauren heeft de handtekeningen daadwerkelijk gecontroleerd en daarna is een volgende betaling uitgevoerd. Nog eens 5.6 miljoen euro.
Inmiddels was in totaal € 19.244.304,- ontrokken uit het bedrijf en Lauren ontving een telefoontje van het hoofdkantoor in Frankrijk. Waar is toch zoveel geld voor nodig? Pas op dat moment kwam aan het licht dat dit bedrijf slachtoffer was geworden van hacking, internetfraude.
Ontslag op staande voet
Lauren werd op staande voet ontslagen. De werkgever ging er vanuit dat zij fraudeerde en schakelde een bedrijfsrecherchebureau in. Dit bureau kwam echter tot een andere conclusie. Dit concern was doelwit geworden van een professionele bende van fraudeurs, hackers, welke door geraffineerde communicatie het vertrouwen wisten te winnen van enkele medewerkers, in het bijzonder van Lauren. De hacker wist precies hoe hij haar moest aanspreken, welke e-mailadressen werden gebuikt en hoe de druk op te voeren. Onder tijdsdruk scherp blijven is lastig. Perfect speelde hij in op haar gevoel.
Het ontslag op staande voet hield geen stand. De hackers gingen dusdanig geraffineerd te werk, dat een medewerker hier geen rekening mee hoefde te houden. Zij heeft wellicht verwijtbaar gehandeld, maar zij heeft naar behoren en voor zover mogelijk controles uitgevoerd. Het e-mailadres eindigde op de juiste wijze. Op verzoek werden handtekeningen overlegd. Het logo van het betrokken bedrijf werd gecontroleerd, maar week dusdanig onopvallend af dat dit niet opviel. De hackers hadden hun huiswerk zo goed gedaan, daar trap je als medewerker met open ogen in.
Klinkt dit voorval bekend? Het is uit het leven gegrepen. De grote bioscoop exploitant Pathe werd met internetfraude geconfronteerd in 2018. Uiteindelijk werd op deze manier maar liefst 19 miljoen euro buit gemaakt door hackers.
De AVG helpt voorkomen
Hoe voorkom je dit en hoe helpt de nieuwe privacywetgeving hierbij? Bedrijven moeten goed nadenken over hun procedures om veilig te blijven werken. Combineer ICT, beleid en de medewerker. Hanteer een extra check als het gaat om grote transacties. Een van de zes basisbeginselen van de nieuwe privacywetgeving is zorgvuldigheid. Deze zorgvuldigheid heeft betrekking op het nemen van voldoende veiligheidsmaatregelen zoals:
- Zorg voor passend beveiligingsniveau van de IT- systemen en voer software updates tijdig uit;
- Leg afspraken privacy schriftelijk vast. Afspraken zoals het niet zonder meer op een link of bijlage klikken;
- Zorg voor bewustwording bij elk personeelslid door opleiding. Stel een sleutelfiguur aan binnen je organisatie.
Dit zijn slechts enkele tips om persoonsgegevens veilig te kunnen verwerken. Naast zorgvuldigheid zijn er nog vijf basisbeginselen die voortvloeien uit de AVG. Vraag jezelf af bij elke verwerking van persoonsgegevens of je voldoet aan al deze basisbeginselen. Voor het gemak volgt hieronder de opsomming:
1. Alleen voor gerechtvaardigd doel;
2. Gegevensbeperking;
3. Rechtmatige grondslag;
4. Zorgvuldig en beveiligd;
5. Transparant, rechtmatig en behoorlijk;
6. Bewaarbeperking.
Verwerk persoonsgegevens uitsluitend volgens deze basisbeginselen. Juist deze werkwijze helpt je om cyber crime tegen te gaan. Gaat het alsnog mis? Dan heb je aan je inspanningsverplichting voldaan, maar bovenal… de schade die je oploopt blijft beperkt. Hackers gaan er dan in ieder geval niet vandoor met 19 miljoen euro.
Meer weten over de AVG en verplichtingen op het gebied van privacywetgeving? Wilt u uw personeel informeren en zorgen voor bewustwording? Een in-company training door Juriste Punt is de oplossing. Neem vrijblijvend contact op met Sylvia Punt.
Auteur mr. S.B. Punt
Juriste Punt, uw juriste aan huis