Datu noplūdes Nīderlandē notiek katru dienu. Kad tās notiek, kādam ir jāuzņemas atbildība. atbildība.

Saskaņā ar Nīderlandes likumiem un GDPR organizācijas, kas pārvalda personas datus, galvenokārt ir atbildīgas par to aizsardzību un saskaras ar būtiska atbildība kad notiek pārkāpumi. Ja jūsu uzņēmums cieš cyberattack, jums var draudēt naudas sodi līdz 20 miljoniem eiro vai 4% no jūsu globālā gada apgrozījuma atkarībā no tā, kura summa ir lielāka.

Jebkurai organizācijai, kas darbojas Nīderlandē, ir svarīgi saprast, kurš ir atbildīgs pēc datu noplūdes. Atbilde ne vienmēr ir vienkārša, jo atbildība var attiekties ne tikai uz jūsu uzņēmumu, bet arī uz trešo pušu pakalpojumu sniedzējiem, darbiniekiem un citām datu apstrādē iesaistītajām pusēm.

Nīderlandes Datu aizsardzības iestāde un citi regulatori nosaka atbildību, pamatojoties uz jūsu lomu kā datu pārzinim vai apstrādātājam, jūsu ieviestajiem drošības pasākumiem un to, cik ātri jūs reaģējāt uz incidentu.

Šajā rakstā ir izklāstīts kiberdrošības tiesiskais regulējums Nīderlandē un paskaidrots, kā tiek noteikta atbildība pēc pārkāpuma. Jūs uzzināsiet par saviem paziņošanas pienākumiem, sodiem, kas jums draud par neatbilstību, un praktiskajiem pasākumiem, ko varat veikt, lai aizsargātu savu organizāciju gan no kiberuzbrukumiem, gan juridiskām sekām.

Kiberdrošības un datu aizsardzības tiesiskais regulējums

Nīderlande darbojas saskaņā ar vairākiem kiberdrošības un datu aizsardzības tiesību aktu līmeņiem, apvienojot ES mēroga noteikumus ar valsts īstenošanas likumiem. Šie likumi nosaka skaidrus pienākumus organizācijām, kas apstrādā personas datus un pārvalda kritisko infrastruktūru.

Tie rada īpašas prasības dažādām nozarēm, tostarp telekomunikācijām, finanšu un likums izpildi.

Vispārīgā datu aizsardzības regula (VDAR) un tās ieviešana Nīderlandē

The GDPR kalpo kā primārais datu aizsardzības regulējums visā ES, tostarp Nīderlandē. Tā nosaka visaptverošus noteikumus personas datu apstrādei un pieprasa organizācijām īstenot atbilstošus tehniskus un organizatoriskus pasākumus informācijas aizsardzībai.

Nīderlande ieviesa GDPR, izmantojot Nīderlandes GDPR ieviešanas likums (Izplūdes gāzu vidējais rādītājs), kas pielāgo ES prasības Nīderlandes tiesību aktiem. Šis likums paredz īpašus noteikumus valsts apstākļiem, vienlaikus saglabājot atbilstību Eiropas standartiem.

Tas norīko Nīderlandes Datu aizsardzības iestādi (Personas datu autoritāte) kā par izpildi atbildīgo uzraudzības iestādi.

Saskaņā ar GDPR jums ir jāziņo datu pārkāpumi uzraudzības iestādei 72 stundu laikā pēc tam, kad par tiem uzzinājāt. Ja pārkāpumi rada augstu risku personu tiesībām un brīvībām, jums bez liekas kavēšanās ir jāpaziņo arī skartajām personām.

Šīs paziņošanas prasības veido pārkāpuma atbildības pamatu Nīderlandē.

The Verzamelwet Gegevensbescherming (Kolektīvā datu aizsardzības likums) vēl vairāk pilnveido dažādus Nīderlandes likumus, lai tie atbilstu GDPR standartiem. Tas nodrošina konsekvenci dažādās tiesību jomās.

Kiberdrošības akts un NIS2 direktīva

The NIS2 direktīva ievērojami paplašina kiberdrošības prasības būtiskām un svarīgām struktūrām visā ES. Nīderlande īsteno šo direktīvu, atjauninot Kibernoziegumu slapjums (Nīderlandes kiberdrošības likums), ar kuru sākotnēji tika transponēta pirmā TID direktīva.

NIS2 paplašina aptverto nozaru loku un ievieš stingrākas drošības prasības, incidentu ziņošanas pienākumus un vadības atbildības noteikumus. Jums ir jāievieš īpaši riska pārvaldības pasākumi un jāziņo par būtiskiem incidentiem 24 stundu laikā pēc tam, kad par tiem uzzinājāt.

The Tīklu un informācijas sistēmu drošības likums un pavada Tīklu un informācijas sistēmu drošības dekrēts noteikt detalizētas prasības būtisko pakalpojumu operatoriem un digitālo pakalpojumu sniedzējiem. Šie likumi paredz pamata drošības pasākumus, regulāras revīzijas un koordināciju ar valsts kiberdrošības iestādēm.

Tiesību akti nosaka konkrētas kompetentās iestādes dažādām nozarēm. Tas nodrošina specializētu kiberdrošības prakses uzraudzību.

Citi attiecīgie likumi un direktīvas

The ES ePrivātuma direktīva papildina GDPR, risinot elektroniskās saziņas privātuma jautājumus. Tā pieprasa piekrišanu sīkfailu un līdzīgu tehnoloģiju izmantošanai un aizsargā saziņas datu konfidencialitāti.

The Telekomunikāciju likums (Telekomunikāciju skats) uzliek telekomunikāciju pakalpojumu sniedzējiem īpašus drošības pienākumus, tostarp prasības aizsargāt tīkla integritāti un lietotāju datus. Šis likums darbojas līdztekus datu aizsardzības likumiem, lai nodrošinātu visaptverošu aizsardzību sakaru nozarē.

The Kritisko vienību noturības likums (CRA) pastiprina fiziskās un kiberdrošības prasības struktūrām, kas tiek uzskatītas par kritiski svarīgām sabiedrības drošībai un ekonomiskajai stabilitātei. Tā paredz riska novērtējumus un noturības pasākumus, kas pārsniedz standarta kiberdrošības noteikumus.

Šie ietvari rada pārklājošus pienākumus. Jums tie ir jāpārvalda, darbojoties vairākās nozarēs vai apstrādājot dažāda veida datus.

Nozaru specifiskie noteikumi

The Finanšu uzraudzības likums (Wet op het financieel toezicht) nosaka stingras kiberdrošības un datu aizsardzības prasības finanšu iestādēm. Darbojoties finanšu sektorā, jums ir jāievieš spēcīgas drošības kontroles, incidentu reaģēšanas procedūras un regulāri testēšanas protokoli.

Tiesībaizsardzības organizācijām ir jāizpilda īpašas prasības saskaņā ar Policijas datu likums (Mitrās politikas nostādnes) Un Wet justitiële en strafvorderlijke gegevens (Tiesu un kriminālprocesa datu likums). Šie likumi regulē to, kā policija un tiesu iestādes vāc, apstrādā un aizsargā personas datus izmeklēšanas un kriminālprocesa laikā.

Veselības aprūpes pakalpojumu sniedzējiem ir jāievēro papildu privātuma aizsardzības pasākumi, kas pārsniedz standarta GDPR prasības. Tas atspoguļo medicīniskās informācijas sensitīvo raksturu.

Enerģētikas, transporta un ūdensapgādes nozarēm NIS2 ieviešanas ietvaros ir noteikti īpaši pienākumi ar pielāgotiem drošības pasākumiem, kas atbilst to darbības riskiem.

Katrs nozares regulējums uzliek unikālu atbilstības slogu. Ir svarīgi noteikt, kuri likumi attiecas uz jūsu organizācijas konkrētajām darbībām un datu apstrādes operācijām.

Atbildības piešķiršana pēc datu pārkāpuma

Nīderlandē atbildība par datu noplūdi ir atkarīga no jūsu lomas personas datu apstrādē, drošības pasākumi ieviesāt un vai ievērojāt ziņošanas prasības. Nīderlandes Datu aizsardzības iestāde un citas uzraudzības iestādes nosaka atbildību, pamatojoties uz juridiskās saistības saskaņā ar GDPR un valsts kiberdrošības likumiem.

Atbildības definēšana: pārziņi, apstrādātāji un trešās personas

Jūsu atbildība pēc personas datu pārkāpums atkarīgs no tā, vai jūs rīkojaties kā datu pārzinis vai apstrādātājs. Pārziņi lemj par to, kā un kāpēc personas dati tiek apstrādāti, padarot tos galvenokārt atbildīgus par drošības incidentiem.

Apstrādātāji apstrādā datus pārziņu vārdā un ir atbildīgi, ja tie pārkāpj norādījumus vai neīsteno atbilstošus drošības pasākumus.

Trešajām pusēm, piemēram, digitālo pakalpojumu sniedzējiem, ir atsevišķa atbildība. Ja izmantojat ārējos piegādātājus, jūs joprojām esat atbildīgs par viņu darbībām, kad viņi apstrādā datus jūsu vārdā.

Jūsu līgumos ir jānorāda drošības saistības un incidentu risināšanas procedūras.

Ja iesaistītas vairākas puses, atbildību var dalīt. Ja ne jūs, ne jūsu apstrādātājs neesat īstenojuši tehniskos un organizatoriskos pasākumus, jums abiem var draudēt Autoriteit Persoonsgegevens sankcijas.

Uzraudzības iestāde izvērtē katras puses lomu pārkāpumā, lai noteiktu atbildību.

Uzraudzības iestādes un regulatīvās lomas

Nīderlandes Datu aizsardzības iestāde (Autoriteit Persoonsgegevens) ir atbildīga par GDPR atbilstības nodrošināšanu. Jums ir jāziņo par personas datu pārkāpumiem šai uzraudzības iestādei 72 stundu laikā pēc tam, kad esat uzzinājis par incidentu.

Neievērojot incidentu ziņošanas termiņus, palielinās jūsu atbildība.

Nacionālais kiberdrošības centrs (NCSC) nodarbojas ar plašāku kiberdrošības draudi kas ietekmē būtisku pakalpojumu sniedzējus. Ja jūs sniedzat kritisko infrastruktūru vai digitālos pakalpojumus, jums ir jāziņo arī par būtiskiem drošības incidentiem NCSC.

Šie ziņojumi palīdz koordinēt valstu atbildes reakcijas uz kiberdraudiem.

Abas iestādes veic izmeklēšanu pēc drošības incidentiem. Autoriteit Persoonsgegevens var piespriest naudas sodus līdz 20 miljoniem eiro vai 4% no jūsu gada globālā apgrozījuma, atkarībā no tā, kura summa ir lielāka.

Viņi ņem vērā tādus faktorus kā pārkāpuma raksturs, skarto personu skaits un jūsu reaģēšanas pasākumi.

ENISA vadlīnijas ietekmē to, kā Nīderlandes iestādes novērtē jūsu atbilstību kiberdrošības prasībām.

Organizatoriskie un tehniskie pasākumi

Jūsu ieviestie tehniskie un organizatoriskie pasākumi tieši ietekmē atbildības noteikšanu. Šie pasākumi ietver šifrēšanu, piekļuves kontroli, regulāru drošības testēšanu un personāla apmācību.

Tiesas un uzraudzības iestāde izvērtē, vai jūsu drošība bija atbilstoša ar to saistītajiem riskiem.

Jums ir jādokumentē savi drošības pasākumi un jāpierāda uzņēmējdarbības nepārtrauktības plānošana. Ja nevarat pierādīt atbilstošus piesardzības pasākumus, atbildība ievērojami palielinās.

Regulāras riska novērtēšanas palīdz identificēt ievainojamības pirms pārkāpumu rašanās.

Incidentu apstrādes procedūras ir ļoti svarīgas. Jums ir nepieciešami skaidri protokoli personas datu pārkāpumu atklāšanai, izmeklēšanai un reaģēšanai uz tiem.

Jūsu reakcijas laiks un efektivitāte drošības incidentu ierobežošanā ietekmē lēmumus par sodiem.

Autoriteit Persoonsgegevens sagaida, ka jūs saglabāsiet pierādījumus par savu drošības sistēmu. Bez atbilstošas ​​dokumentācijas izmeklēšanas laikā ir grūti pierādīt pienācīgu rūpību.

Piegādes ķēdes un pakalpojumu sniedzēju ietekme

Piegādes ķēdes drošība rada sarežģītus atbildības jautājumus. Pat ja jūsu pakalpojumu sniedzēji saskaras ar datu noplūdēm, kas ietekmē jūsu datus, jūs joprojām varat saskarties ar sekām.

Jums ir jāveic piegādātāju rūpīga izpēte un nepārtraukti jāuzrauga viņu drošības prakse.

Būtisko pakalpojumu operatoriem ir stingrākas prasības attiecībā uz piegādātāju pārvaldību. Jums ir jānodrošina, lai digitālo pakalpojumu sniedzēji jūsu piegādes ķēdē ievērotu standartus, kas atbilst jūsu saistībām.

Līgumos skaidri jānosaka incidentu ziņošanas pienākumi un atbildības sadalījums.

Ja pārkāpums rodas jūsu piegādes ķēdē, Autoriteit Persoonsgegevens pārbauda, ​​vai esat veicis atbilstošus piegādātāju novērtējumus. Jūsu atbildība ir atkarīga no tā, vai esat veicis saprātīgus pasākumus, lai pārbaudītu piegādātāja drošību.

Jūs nevarat pilnībā deleģēt atbildību pat tad, ja izmantojat trešo pušu apstrādātājus.

Daudzlīmeņu piegādes ķēdēm nepieciešama īpaša modrība. Jums ir nepieciešama pārredzamība attiecībā uz apakšapstrādātājiem un viņu drošības pasākumiem, lai aizsargātu pret kaskādes kļūmēm, kas apdraud personas datus vairākās organizācijās.

Datu pārkāpumu paziņošanas pienākumi

Nīderlande īsteno daudzpakāpju paziņošanas sistēmu saskaņā ar GDPR un valsts kiberdrošības likumiem. Pārziņiem ir ziņot par pārkāpumiem Personas datu iestādei (PDA) 72 stundu laikā, ja pastāv risks datu subjekta tiesības.

Augsta riska pārkāpumi nepieciešama tieša paziņošana skartajām personām.

Termiņi un procedūras prasības

Jums nekavējoties un, ja iespējams, ne vēlāk kā 72 stundu laikā pēc personas datu pārkāpuma uzzināšanas jāpaziņo Personas datu aizsardzības dienestam. Šis pienākums ir spēkā, ja vien pārkāpums, visticamāk, neradīs risku fizisku personu tiesībām un brīvībām.

Paziņojumā, ja iespējams, jāiekļauj konkrēta informācija. Jums jānorāda attiecīgo datu subjektu kategorijas un aptuvenais skaits, skarto personas datu ierakstu kategorijas un aptuvenais skaits, kā arī jūsu datu aizsardzības speciālista vai citas kontaktpersonas vārds.

Jums jāapraksta arī iespējamās pārkāpuma sekas un veiktie vai ierosinātie pasākumi tā novēršanai.

Ja 72 stundu laikā nevarat sniegt visu nepieciešamo informāciju, varat to iesniegt pa posmiem. Sākotnējā paziņojumā jums jāpaskaidro jebkādas kavēšanās iemesli.

Kam jāpaziņo un kad

Jums ir tieši jāpaziņo skartajiem datu subjektiem, ja personas datu pārkāpums, visticamāk, radīs augstu risku viņu tiesībām un brīvībām. Šim paziņojumam jānotiek bez nepamatotas kavēšanās un jāizmanto skaidra un vienkārša valoda.

Tieša paziņošana datu subjektiem nav nepieciešama trīs konkrētos apstākļos. Jums nav jāpaziņo, ja esat ieviesis atbilstošus tehniskus un organizatoriskus aizsardzības pasākumus (piemēram, šifrēšanu), kas padara datus nesaprotamus neatļautām personām.

Jums arī nav jāpaziņo, ja esat veicis turpmākus pasākumus, lai nodrošinātu, ka augstais risks datu subjekta tiesībām, visticamāk, vairs neīstenosies, vai ja tieša saziņa prasītu nesamērīgas pūles. Šādos gadījumos ir nepieciešama publiska saziņa vai līdzīgi pasākumi.

Finanšu uzņēmumi saskaņā ar Finanšu uzraudzības likumu ir atbrīvoti no pienākuma paziņot datu subjektam. Tiem joprojām ir jāziņo Valsts ieņēmumu dienestam (PDA).

Apstrādātājiem ir atšķirīgi pienākumi. Jums nekavējoties jāpaziņo pārzinim pēc tam, kad esat uzzinājis par jebkuru personas datu noplūdi neatkarīgi no riska līmeņa.

Tā ir gan likumā noteikta prasība saskaņā ar GDPR, gan tā jāiekļauj jūsu apstrādes līgumā.

Nozaru un valstu paziņošanas prasības

Papildus GDPR saistībām atkarībā no jūsu nozares jums var būt jāievēro papildu ziņošanas prasības. WBNI (Tīklu un informācijas sistēmu drošības likums) nosaka, ka noteiktām struktūrām ir jāziņo par drošības incidentiem kiberdrošības iestādēm, pat ja šie incidenti nekvalificējas kā personas datu pārkāpumi.

Sabiedrisko elektronisko sakaru tīklu nodrošinātājiem ir jāziņo Cilvēka vides un transporta inspekcijai (ILT). Veselības aprūpes organizācijām ir pienākums paziņot Veselības un jaunatnes aprūpes inspekcijai par incidentiem, kas ietekmē medicīnas ierīču drošību vai pacientu datus.

Finanšu pakalpojumu uzņēmumiem ir jāievēro nozarei specifiskās prasības saskaņā ar finanšu uzraudzības tiesību aktiem.

Kritiskās infrastruktūras nodrošinātājiem ir paaugstinātas saistības saskaņā ar WBNI. Jums ir jāziņo Datordrošības incidentu reaģēšanas komandai (CSIRT) par būtiskiem incidentiem, kas varētu būtiski traucēt svarīgu pakalpojumu sniegšanu.

Publiskiem uzņēmumiem, iespējams, būs jāpaziņo par drošības incidentiem, kas varētu būtiski ietekmēt investoru lēmumus.

Šīs nozaru prasības bieži vien darbojas līdztekus GDPR saistībām, nevis tās aizstāj. Atkarībā no jūsu organizācijas darbībām un pārkāpuma rakstura jums, iespējams, būs jāiesniedz vairāki paziņojumi dažādām iestādēm par vienu incidentu.

Izpilde un sankcijas par neatbilstību

Nīderlandes iestādēm ir skaidras pilnvaras izmeklēt kiberdrošības kļūmes un piemērot ievērojamus finansiālus sodus organizācijām, kas neaizsargā personas datus vai neievēro drošības prasības.

Izpildes sistēmā ir iesaistīti vairāki regulatori ar īpašiem uzraudzības pienākumiem, strukturētām sodu shēmām un noteiktām pārsūdzības procedūrām organizācijām, kurām piemērotas sankcijas.

Izmeklēšanas un uzraudzības pilnvaras

Nīderlandes Datu aizsardzības iestāde (Autoriteit Persoonsgegevens jeb AP) ir galvenā atbildīgā par datu pārkāpumu un GDPR pārkāpumu izmeklēšanu.

AP var uzsākt izmeklēšanu, pamatojoties uz sūdzībām, plašsaziņas līdzekļu ziņojumiem vai regulārām revīzijām.

Izmeklēšanas laikā iestāde var pieprasīt dokumentus, veikt pārbaudes uz vietas un intervēt darbiniekus.

Saskaņā ar jauno Cyberbeveiligingswet kiberdrošības pienākumu uzraudzību veic nozaru regulatori.

Patērētāju un tirgu iestāde (ACM) uzrauga digitālo infrastruktūru un telekomunikāciju pakalpojumu sniedzējus.

Nīderlandes Centrālā banka (DNB) pārrauga finanšu iestādes.

Ekonomikas un klimata ministram, infrastruktūras un ūdens apsaimniekošanas ministram un veselības aprūpes ministram katram ir izpildes pilnvaras savās attiecīgajās nozarēs.

Šie regulatori var auditēt jūsu sistēmas, pārskatīt incidentu reaģēšanas procedūras un novērtēt, vai jūsu risku pārvaldība atbilst juridiskajiem standartiem.

Ja tiek konstatēti pārkāpumi, viņi var arī piedzīt no jūsu organizācijas izpildes izmaksas.

Nacionālais kiberdrošības centrs (NCSC) koordinē regulatoru darbību, bet tieši neuzliek sodus.

Administratīvie un finansiālie sodi

Finansiālās sankcijas atšķiras atkarībā no tiesiskā regulējuma un pārkāpumu smaguma pakāpes.

Saskaņā ar GDPR piemērošanu AP var piemērot naudas sodus līdz 20 miljoniem eiro vai 4% no jūsu gada globālā apgrozījuma, atkarībā no tā, kura summa ir lielāka.

Iestāde ņem vērā tādus faktorus kā pārkāpuma raksturs, skarto personu skaits un jūsu sadarbība izmeklēšanas laikā.

Saskaņā ar Cyberbeveiligingswet sodi atbilst daudzpakāpju struktūrai:

Regulatori var arī izdot korektīvus rīkojumus, kas pieprasa jums noteiktā termiņā ieviest konkrētus drošības pasākumus.

Atkārtotas kļūmes var novest pie pārkāpumu nosaukšanas un kaunināšanas, publiski atklājot tos.

Organizāciju, kas klasificētas kā būtiskas vienības, direktoriem smagos gadījumos var draudēt personiska diskvalifikācija no amata valdē.

Valsts sektora organizācijas ir atbrīvotas no finansiālām sankcijām, taču tām draud korektīvas izpildes pasākumi un iespējama parlamentāra kontrole.

Tiesiskās aizsardzības līdzekļi un apelācijas

Jums ir tiesības apstrīdēt izpildes lēmumus, izmantojot administratīvās apelācijas.

Pēc soda paziņojuma saņemšanas sešu nedēļu laikā varat iesniegt iebildumus (bezwaar) izdevējiestādei.

Regulatoram ir jāpārskata savs lēmums un jāsniedz oficiāla atbilde.

Ja nepiekrītat atkārtotas izskatīšanas rezultātam, varat iesniegt apelāciju apgabaltiesā (rechtbank).

Tiesa pārbauda, ​​vai regulators ir ievērojis atbilstošas ​​procedūras un pareizi piemērojis likumu.

Tad jūs varat apelācijas tiesas lēmumi Valsts padomes Administratīvās jurisdikcijas nodaļai (Afdeling bestuursrechtspraak van de Raad van State), kas darbojas kā augstākā administratīvā tiesa.

Visā apelācijas procesā jums ir jāturpina īstenot visus regulatoru noteiktos korektīvos pasākumus.

Tiesas var apturēt finansiālos sodus, kamēr nav pieņemts apelācijas lēmums, taču tas nenotiek automātiski.

Galvenās lomas un pienākumi kiberdrošības pārvaldībā

Organizācijām ir skaidri jādefinē, kas pārvalda kiberdrošības uzdevumus, sākot ar datu aizsardzības speciālistu iecelšanu un beidzot ar valdes līmeņa atbildības noteikšanu un darbinieku apmācību par drošības protokoliem.

Datu aizsardzības speciālisti un iecelšana amatā

Jums ir jāieceļ datu aizsardzības speciālists (DPO), ja jūsu organizācija plašā mērogā apstrādā sensitīvus personas datus vai sistemātiski uzrauga personas.

Datu aizsardzības speciālists ir jūsu galvenā kontaktpersona saziņā ar datu aizsardzības iestādēm un datu subjektiem.

Jūsu datu aizsardzības speciālistam ir nepieciešama īpaša kvalifikācija datu aizsardzības tiesību un informācijas drošības praksē.

Viņiem ir jāatskaitās tieši jūsu augstākajam vadības līmenim, un viņus nevar atlaist par pienākumu pildīšanu.

Loma ietver atbilstības GDPR prasībām uzraudzību, datu aizsardzības ietekmes novērtējumu veikšanu un konsultēšanu par šifrēšanas un kriptogrāfijas prasībām.

Jums ir skaidri jādokumentē datu aizsardzības speciālista pienākumi.

Tas ietver viņu pilnvaras veikt jūsu digitālās infrastruktūras auditu un pārskatīt jūsu incidentu reaģēšanas plānu.

Ja darbojas vairākās ES valstīs, varat iecelt vienu datu aizsardzības speciālistu, pamatojoties uz viņa profesionālajām īpašībām un zināšanām attiecīgajās jurisdikcijās.

Korporatīvā pārvaldība un atbildība

Jūsu direktoru padomei ir galīgā atbildība par kiberdrošības risku pārvaldību.

Viņiem ir jāapstiprina drošības pasākumi, jāpiešķir atbilstoši resursi un jānodrošina pienācīga kibernoturības centienu uzraudzība.

Vadības atbildība ietver:

• Drošības politiku apstiprināšana informācijas drošības sistēmām
• Riska novērtējumu pārraudzība un operacionālās noturības plānošana
• Audita atbilstības nodrošināšana izmantojot neatkarīgas atsauksmes
• Budžetu piešķiršana kiberdrošības pārvaldībai un darbinieku apmācība

Jums ir jānosaka skaidras pilnvaru robežas drošības lēmumu pieņemšanai.

Dokuments, kas apstiprina drošības pasākumus, kas uzrauga ieviešanu un kas veic auditus.

Jūsu vadībai regulāri jāpārskata kiberdrošības sniegums un jāpielāgo stratēģijas, pamatojoties uz mainīgajiem draudiem jūsu digitālajai infrastruktūrai.

Iekšējās politikas un darbinieku apmācība

Jums ir jāizveido dokumentētas politikas, kas definē drošības lomas visā jūsu organizācijā.

Šajās politikās būtu jānosaka atbildība par datu aizsardzību, incidentu reaģēšanu un kibernoturības uzturēšanu.

Jūsu drošības politikām jāaptver:

• Piekļuves kontrole un autentifikācijas prasības
• Datu klasifikācijas un šifrēšanas standarti
• Incidentu ziņošanas procedūras
• Regulāras drošības izpratnes apmācības

Jums jānodrošina pastāvīga apmācība visiem darbiniekiem par informācijas drošības praksi.

Tas ietver pikšķerēšanas atpazīšana mēģinājumus, pareizu sensitīvu datu apstrādi un incidentu reaģēšanas plāna ievērošanu.

Apmācībai jābūt pielāgotai konkrētām lomām, tehniskajam personālam saņemot padziļinātu instruktāžu par kriptogrāfiju un drošības kontroli.

Jūsu politikas ir regulāri jāpārskata un jāatjaunina, mainoties noteikumiem vai parādoties jauniem riskiem.

Jums ir jānodrošina pietiekami resursi gan politikas īstenošanai, gan personāla attīstībai kiberdrošības praksē.

Kiberdrošības incidentu veidi un jauni draudi

Kiberdrošības incidenti ir dažādi – sākot no maldinošiem e-pastiem līdz liela mēroga tīkla traucējumiem, kas var apdraudēt veselas organizācijas.

Izpratne par šiem draudiem palīdz identificēt ievainojamības un noteikt, kas ir atbildīgs pārkāpuma gadījumā.

Pikšķerēšana, ļaunprogrammatūra un izspiedējvīrusi

Pikšķerēšana joprojām ir viens no visbiežāk sastopamajiem kiberdrošības apdraudējumiem, ar ko saskarsieties.

Uzbrucēji sūta e-pastus vai ziņojumus, kas izliekas par sūtītiem no likumīgiem uzņēmumiem, lai nozagtu jūsu paroles, finanšu informāciju vai citus sensitīvus datus.

Šie uzbrukumi ir atbildīgi par vairāk nekā 60 procentiem sociālās inženierijas incidentu.

malware attiecas uz kaitīgu programmatūru, kas bojā jūsu datorsistēmas vai tīklus.

Tas ietver vīrusus, Trojas zirgus un citu ļaunprātīgu kodu, kas izstrādāts, lai piekļūtu jūsu datiem vai traucētu jūsu darbību.

Ransomware ir īpaša veida ļaunprogrammatūra, kas bloķē piekļuvi jūsu failiem un pieprasa samaksu par atjaunošanu.

Pat ja samaksāsiet izpirkuma maksu, nav garantijas, ka uzbrucēji atjaunos jūsu piekļuvi vai izdzēsīs nozagtos datus.

Laikā no 2020. līdz 2021. gadam organizācijas visā pasaulē saskārās ar aptuveni 24 000 kiberdrošības incidentiem, un izspiedējvīrusi spēlēja būtisku lomu finansiālo zaudējumu nodarīšanā.

Pakalpojuma atteikuma (DoS) un izkliedētie DoS (DDoS) uzbrukumi

DoS uzbrukumi pārslogot sistēmas ar datplūsmu, lai pakalpojumi nebūtu pieejami likumīgiem lietotājiem.

Viens avots pārpludina jūsu tīklu ar pieprasījumiem, līdz tas avarē vai kļūst pārāk lēns, lai darbotos.

DDoS uzbrukumi izmantot vairākas kompromitētas sistēmas, lai veiktu koordinētus uzbrukumus jūsu infrastruktūrai.

Šos izkliedētos uzbrukumus ir grūtāk apturēt, jo tie notiek vienlaikus no daudzām vietām.

DDoS uzbrukumi var traucēt kritiski svarīgu pakalpojumu darbību, sākot no valdības tīmekļa vietnēm līdz privātā sektora darbībām.

Parasti jums ir mazāk nekā 62 minūtes no pirmās atklāšanas brīža, lai novērstu drošības incidenta pārvēršanos par nopietnu pārkāpumu.

Šis šaurais logs padara ātru reaģēšanu būtisku, saskaroties ar DoS vai DDoS uzbrukumiem.

Krāpšana un nesankcionēta piekļuve

Krāpšana Kiberdrošībā ietilpst maldinoša prakse, lai iegūtu neatļautu piekļuvi jūsu sistēmām vai datiem.

Tas ietver identitātes zādzību, maksājumu krāpšanu un akreditācijas datu kompromitēšanu.

Neautorizēta piekļuve notiek, ja kāds pārkāpj jūsu drošības politikas, lai bez atļaujas piekļūtu tīkliem, sistēmām vai datiem.

Tas var notikt, izmantojot:

• Nozagti pieteikšanās dati
• Izmantotās programmatūras ievainojamības
• Apgāja drošības kontroles
• Iekšējie draudi no pašreizējiem vai bijušajiem darbiniekiem

Iekšējās informācijas zādzības bieži tiek ignorētas, taču tās var būt tikpat kaitīgas kā ārēji uzbrukumi.

2021. gadā iekšējās informācijas uzbrukumu vidējās izmaksas sasniedza 12.5 miljonus mārciņu.

Pat netīšas datu noplūdes no darbinieku puses tiek uzskatītas par drošības incidentiem saskaņā ar Datoru ļaunprātīgas izmantošanas likumu (1990).

Nozaru un piegādes ķēžu ievainojamības

Kritiskās infrastruktūras sektori saskaras ar paaugstinātu kibernoziegumu risku, un galvenie mērķi ir veselības aprūpe, enerģētika un finanšu pakalpojumi.

Profesionālajā sektorā laikā no 2020. līdz 2021. gadam notika gandrīz 3,600 incidentu, padarot to par visvairāk mērķēto nozari.

Piegādes ķēdes drošība ir kļuvusi arvien svarīgāka, jo uzbrucēji mērķē uz jūsu partneriem un trešo pušu piegādātājiem, nevis uzbrūk jums tieši.

Šie trešo pušu pārdevēju uzbrukumi izmanto jūsu partnerorganizāciju vājākus drošības pasākumus, lai piekļūtu jūsu klientu datiem.

Piegādes ķēdes ievainojamības ļauj uzbrucējiem viena pārkāpuma laikā apdraudēt vairākas organizācijas.

Kad jūsu pārdevēja sistēmas izveido savienojumu ar jūsu sistēmām, viņu drošības vājības kļūst par jūsu drošības vājībām.

Šis savstarpēji saistītais risks nozīmē, ka jums ir jāizvērtē ne tikai savi kiberdrošības pasākumi, bet arī katras jūsu piegādes ķēdē iesaistītās organizācijas pasākumi.

Nacionālās valstis arvien vairāk testē un iekļūst konkurējošās kibertelpās, bieži vien darbojoties privātu struktūru aizsegā, vienlaikus rīkojoties valdību vārdā.

Biežāk uzdotie jautājumi

Nīderlandes uzņēmumiem pēc datu noplūdes ir jāievēro stingras ziņošanas prasības un atbilstības standarti, un atbildība attiecas uz vairākām pusēm atkarībā no to lomām un pienākumiem.

Izpratne par šīm saistībām palīdz organizācijām aizsargāt sevi un skartās personas, vienlaikus ievērojot valsts un Eiropas noteikumus.

Kādi ir Nīderlandes uzņēmumu juridiskie pienākumi pēc datu pārkāpuma?

Jūsu organizācijai 72 stundu laikā pēc datu pārkāpuma uzzināšanas ir jāpaziņo Nīderlandes Datu aizsardzības iestādei (Autoriteit Persoonsgegevens).

Šī prasība attiecas uz GDPR, kas regulē datu aizsardzību visā Nīderlandē.

Savā paziņojumā par pārkāpumu jums ir jāsniedz konkrēta informācija.

Tas ietver pārkāpuma raksturu, skarto personu skaitu, iespējamās sekas un pasākumus, ko esat veicis vai plānojat veikt.

Ja 72 stundu laikā nevarat sniegt visu informāciju, jums jāpaskaidro kavēšanās iemesls un pēc iespējas ātrāk jāiesniedz atlikušā informācija.

Ja pārkāpums rada augstu risku personu tiesībām un brīvībām, jums ir arī tieši jāinformē skartās personas.

Jūs nevarat atlikt šo paziņojumu bez pamatota iemesla.

Jūsu saziņai ar skartajām personām jābūt skaidrai un jāizskaidro iespējamās pārkāpuma sekas un pasākumi, ko tās var veikt, lai aizsargātu sevi.

Jums ir jāuztur detalizēta dokumentācija par visiem datu pārkāpumiem neatkarīgi no tā, vai ziņojat par tiem iestādēm.

Šajā dokumentācijā jāiekļauj pārkāpuma fakti, tā sekas un veiktie koriģējošie pasākumi.

Nīderlandes Datu aizsardzības iestāde var pieprasīt šos dokumentus pārbaužu vai izmeklēšanu laikā.

Kā saskaņā ar Nīderlandes tiesību aktiem tiek noteikta atbildība par datu pārkāpumiem?

Atbildība par datu pārkāpumiem Nīderlandē ir atkarīga no jūsu lomas kā datu pārzinim vai datu apstrādātājam.

Datu pārziņi nosaka personas datu apstrādes mērķus un līdzekļus, savukārt datu apstrādātāji apstrādā datus pārziņu vārdā.

Jūsu juridiskie pienākumi atšķiras, pamatojoties uz šo klasifikāciju.

Kā datu pārzinis jūs uzņematies galveno atbildību par datu aizsardzības noteikumu ievērošanas nodrošināšanu.

Jums ir jāievieš atbilstoši tehniski un organizatoriski pasākumi personas datu aizsardzībai.

Tiesas izvērtē, vai esat veicis saprātīgus pasākumus, lai novērstu pārkāpumu, un vai savās drošības praksēs esat rīkojies nolaidīgi.

Datu apstrādātāji var tikt saukti pie atbildības arī tad, ja tie neievēro pārziņa norādījumus vai pārkāpj savas līgumsaistības.

Tomēr apstrādātājiem parasti ir ierobežotāka atbildība nekā pārziņiem.

Ja apstrādājat datus bez pienācīgas pārziņa atļaujas vai neieviešat saskaņotos drošības pasākumus, jūs varat tikt saukts pie tiešas atbildības.

Nosakot atbildību, Nīderlandes tiesas ņem vērā vairākus faktorus.

Tie ietver pārkāpuma nopietnību, apdraudēto datu sensitīvitāti, jūsu drošības pasākumus pirms pārkāpuma un jūsu reakciju pēc incidenta atklāšanas.

Jūsu organizācijas lielums un resursi ietekmē arī to, kādus drošības pasākumus tiesas uzskata par pamatotiem.

Kopīga atbildība var rasties, ja datu noplūdē piedalās vairākas puses.

Ja jūs dalāt atbildību ar citiem pārziņiem vai apstrādātājiem, tiesas var saukt katru pusi pie atbildības par visu kaitējumu.

Pēc tam jūs varat pieprasīt kompensāciju no citām atbildīgajām pusēm, pamatojoties uz viņu attiecīgo ieguldījumu pārkāpumā.

Kuras puses var tikt sauktas pie atbildības par datu drošības incidentiem Nīderlandē?

Datu pārziņi ir primāri atbildīgi par datu drošības incidentiem.

Kā pārzinis jūs pieņemat lēmumus par to, kā tiek apstrādāti personas dati, un jums ir jānodrošina atbilstoši drošības pasākumi.

Pārkāpuma gadījumā jūsu organizācijai var draudēt administratīvi sodi, civiltiesiskā atbildība un reputācijas pasliktināšanās.

Datu apstrādātāji var tikt saukti pie atbildības, ja tie nepilda savas līgumsaistības un juridiskos pienākumus.

Ja jūs apstrādājat datus pārziņa vārdā, jums ir jāievieš jūsu līgumā norādītie drošības pasākumi un jāievēro pārziņa likumīgie norādījumi.

Jūs uzņematies tiešu atbildību, ja pārsniedzat savas pilnvaras vai neievērojat atbilstošu drošību.

Jūsu organizācijas direktori un amatpersonas noteiktos apstākļos var tikt sauktas pie personiskās atbildības.

Saskaņā ar NIS2 direktīvas ieviešanu Nīderlandē vadību var saukt pie personīgas atbildības par kiberdrošības pārvaldības nepilnībām.

Tas ietver iespējamu diskvalifikāciju no direktora amata pildīšanas, ja tiek konstatēti nopietni pārkāpumi.

Arī trešo pušu pakalpojumu sniedzēji var būt atbildīgi par drošības incidentiem.

Ja paļaujaties uz mākoņpakalpojumiem, IT atbalstu vai citiem ārējiem pakalpojumu sniedzējiem, tie var būt atbildīgi par daļu no atbildības, ja to kļūmes veicina pārkāpumu.

Jūsu līgumos ar šiem pakalpojumu sniedzējiem ir skaidri jānosaka drošības pienākumi un atbildības nosacījumi.

Nīderlandes Datu aizsardzības iestāde darbojas kā galvenā izpildes iestāde.

Lai gan Iestāde nav tieši atbildīga par pārkāpumiem, tā izmeklē incidentus, izdod korektīvus rīkojumus un uzliek administratīvus sodus organizācijām, kas neievēro noteikumus.

Kādas sekas organizācijām draud par neatbilstību Nīderlandes datu aizsardzības noteikumiem?

Jūsu organizācijai var tikt piemēroti administratīvie naudas sodi līdz 20 miljoniem eiro vai 4% no tās globālā gada apgrozījuma, atkarībā no tā, kura summa ir lielāka. Nīderlandes Datu aizsardzības iestāde nosaka naudas soda apmēru, pamatojoties uz pārkāpuma raksturu, smagumu, ilgumu un jūsu sadarbību izmeklēšanas laikā.

Papildus finansiāliem sodiem Iestāde var noteikt korektīvus pasākumus, kas traucē jūsu darbību. Šie pasākumi ietver pagaidu datu apstrādes darbību ierobežojumus, rīkojumus par konkrētu pārkāpumu novēršanu un obligātas revīzijas.

Jums, iespējams, būs jāaptur noteiktas uzņēmējdarbības aktivitātes, līdz jūs apliecināt atbilstību. Jūsu organizācijai draud ievērojams reputācijas kaitējums neatbilstības dēļ.

Datu pārkāpumu un normatīvo sodu publiska izpaušana var graut klientu uzticību un kaitēt biznesa attiecībām. Nīderlandes Datu aizsardzības iestāde publicē izpildes lēmumus, kas joprojām ir pieejami sabiedrībai un plašsaziņas līdzekļiem.

Skartās personas var iesniegt civilprasības, pieprasot kompensāciju par zaudējumiem. Personas var pieprasīt gan materiālu, gan nemateriālu zaudējumu atlīdzināšanu, kas radušies datu aizsardzības pārkāpumu rezultātā.

Nīderlandes tiesas arvien biežāk atzīst prasības par kaitējumu un kontroles zaudēšanu pār personas datiem, pat bez tiešiem finansiāliem zaudējumiem. Pēc nopietniem pārkāpumiem jūsu uzņēmējdarbības iespējas var tikt ierobežotas.

Dažās nozarēs līgumu uzturēšanai ir nepieciešami drošības sertifikāti vai atbilstības uzskaite, jo īpaši sadarbojoties ar valdības iestādēm vai regulētām nozarēm.

Kādos veidos cietušās personas var meklēt kompensāciju pēc datu noplūdes Nīderlandē?

Jūs varat iesniegt sūdzību Nīderlandes Datu aizsardzības iestādei, ja uzskatāt, ka organizācija ir pārkāpusi jūsu datu aizsardzības tiesības. Iestāde izmeklē sūdzības un var veikt piespiedu pasākumus pret organizācijām, kas neievēro noteikumus.

Šis process jums neko nemaksā un neprasa juridisko pārstāvību. Jums ir tiesības celt civilprasību pret atbildīgo organizāciju.

Nīderlandes likumdošana ļauj pieprasīt kompensāciju gan par materiāliem, gan nemateriāliem zaudējumiem, kas radušies datu aizsardzības pārkāpumu rezultātā. Materiālie zaudējumi ietver finansiālus zaudējumus, savukārt nemateriālie zaudējumi sedz ciešanas, nemieru un kontroles zaudēšanu pār jūsu personas datiem.

Jūs varat nolīgt advokātu, lai viņš izskatītu jūsu prasību uz nosacījuma pamata, vai arī meklēt juridisko palīdzību, ja atbilstat finansiālajām atbilstības prasībām. Daudzi juridiskie biroji Nīderlandē specializējas datu aizsardzības lietās un var sniegt jums padomu par jūsu prasības pamatotību.

Kolektīvās prasības mehānismi ļauj skartajām personām kolektīvi iesniegt prasības. Jūs varat pieprasīt kompensāciju tieši no organizācijas, nevēršoties tiesā.

Daudzas organizācijas dod priekšroku strīdu risināšanai privāti, lai izvairītos no tiesvedības izmaksām un negatīvas publicitātes. Jūsu sarunu pozīcija nostiprinās, ja organizācija ir nepārprotami pārkāpusi datu aizsardzības noteikumus vai ja pārkāpums ir nodarījis būtisku kaitējumu.

Jūs varat arī iesniegt prasības pret datu apstrādātājiem, ja viņi ir atbildīgi par pārkāpumu. Saskaņā ar VDAR gan pārziņi, gan apstrādātāji var tikt saukti pie atbildības par zaudējumiem.

Ja pārkāpumā ir piedalījušās vairākas puses, pilnu summu var pieprasīt no jebkuras atbildīgās puses.

Kā GDPR ietekmē atbildību un pienākumus datu pārkāpuma gadījumā uzņēmumiem, kas darbojas Nīderlandē?

GDPR nosaka skaidrus pienākumus organizācijām attiecībā uz personas datu aizsardzību.

Uzņēmumiem ir jāievieš atbilstoši tehniski un organizatoriski pasākumi, lai nodrošinātu datu drošību.

Datu pārkāpuma gadījumā organizācijām ir pienākums 72 stundu laikā paziņot attiecīgajai uzraudzības iestādei.

Ja pārkāpums rada augstu risku personu tiesībām un brīvībām, par to ir jāinformē arī skartās personas.

Šo prasību neievērošana var izraisīt ievērojamus sodus un kaitējumu organizācijas reputācijai.

Gan datu pārziņiem, gan apstrādātājiem saskaņā ar GDPR ir atšķirīgi pienākumi, un līgumos šīs lomas ir skaidri jādefinē.