Privacy achterban beschermen met waarschuwing voor CEO-fraude
Fraudeurs gebruiken steeds vaker een geniepige vorm van oplichting: CEO-fraude. De fraudeurs doen zich voor als de CEO van een organisatie en vragen een werknemer van de financiële afdeling bijvoorbeeld om een betaling te doen naar het buitenland. De OR doet er goed aan om deze vorm van fraude onder de aandacht van de achterban te brengen.
Een phishing mail, waarbij een fraudeur de lezer van een e-mail op een besmette link probeert te laten klikken en zo geld probeert te verdienen, is een inmiddels bekende vorm van fraude. Veel werknemers weten dat zij moeten oppassen als zij een e-mail – vaak met taalfouten – ontvangen van een vreemde afzender. Als die afzender echter een bekende is, worden zij sneller verleid om op een verzoek in te gaan. Dat is vanwege de hiërarchische verhoudingen in het bijzonder het geval als de mail afkomstig is van de CEO van de organisatie waar de werknemer in dienst is. Als zo’n verzoek het vrijgeven van werknemersgegevens betreft, kan de privacy van de achterban in het geding zijn. Daarom is het belangrijk dat de organisatie ook deze vorm van fraude onder de aandacht van werknemers brengt.
Cursus voor achterban kan fraude voorkomen
Bij CEO-fraude is niet de techniek de zwakke link, maar de werknemer die – hoe goedbedoeld ook – op een verzoek van zijn CEO denkt in te gaan. Omdat de privacy van werknemers door deze vorm van fraude mogelijk in gevaar komt – een fraudeur kan bijvoorbeeld vragen om persoonlijke gegevens van werknemers en daarmee identiteitsfraude plegen – doet de OR er goed aan om het onderwerp op de agenda van het overleg met de bestuurder te zetten. De OR kan via het initiatiefrecht (tool) (vastgelegd in artikel 23 van de Wet op de ondernemingsraden (WOR)) een voorstel indienen bij de bestuurder om werknemers een cursus te laten volgen. Daarin leren werknemers bijvoorbeeld dat zij ook bij bekende afzenders altijd het e-mailadres moeten controleren, goed op taalgebruik en taalfouten moeten letten en bij twijfel altijd moeten controleren of het verzoek daadwerkelijk van de CEO zelf afkomstig is.