Het berichtje van de AP zélf roept meer vragen op dan het beantwoordt.

Het AP-bericht tussen de regels door lezend suggereert dat er een imitatie AP-brief in kopie wordt gezonden, in slordig Nederlands en zonder vermelding van naam en telefoonnummer van een contactpersoon.
Als er inderdaad een imitatie AP-brief wordt gestuurd dan zou dat op oplichting duiden en zou aangifte aan de orde zijn.

Als een “waardeloze AVG-scan” wordt aangeboden is dus de vraag welke contactgegevens dan wél vermeld worden.
Anders heeft die scam immers helemaal geen zin. Dergeliijke contactgegevens zouden ook helpen bij de aangifte.
Vraag is dus eveneens waarom de AP niet wat meer helderheid geeft over hoe die nep-brief eruit ziet, zodat potentiële slachtoffers gewaarschuwd zijn.

Een andere vraag is welke organisaties doelwit van deze scam zijn.
Toch niet toevallig banken en verzekeraars? Een stukje whalefishing wellicht?
Dat levert tegenwoordig al snel een paar miljoen op, laat staan dat even snel getekend wordt voor een ‘dringend noodzakelijke scan’ of cursus.
‘Better safe than sorry’ nietwaar?

Iets anders waar de AP verzuimd te refereren is de betrokkenheid van de DPO cq. aanwezig AVG-bewustzijn.
Jaren en miljoenen aan acties om ‘AVG-bewustzijn’ tussen de oren te krijgen had toch wel in zoveel bewustzijn moeten resulteren dat organisaties óf deze nepbrief linea recta doorsturen naar de eigen DPO óf weten dat deze nep-scan voor hen niet van toepassing is.

En een directe vervolgvraag is dus ook welke doelgroep hier dan wel in het spel is.
‘Te-groot-voor-servet-te-klein-voor-tafellaken’ wellicht? Zodat er geen dedicated DPO is noch een terzake kundig manager. Met weinig tot geen AVG-bewustzijn. Zodat een dergelijke nep-scan tussen de mazen doorglipt?
Ook hierover had de AP wel wat meer helderheid kunnen geven.

Het lijkt er dus op dat de AP weinig fiducie heeft in Nederlands AVG-bewustzijn c.q. de rol van de DPO.
Maar ook dat de AP wederom op weinig gelukkige manier communiceert.