Kršitve podatkov se na Nizozemskem dogajajo vsak dan. Ko se to zgodi, mora nekdo ukrepati. Odgovornost.

V skladu z nizozemsko zakonodajo in GDPR so organizacije, ki upravljajo osebne podatke, predvsem odgovorne za njihovo zaščito in se soočajo pomembna odgovornost ko pride do kršitev. Če vaše podjetje trpi kibernapada, se lahko soočite z globami v višini do 20 milijonov evrov ali 4 % vašega svetovnega letnega prometa, odvisno od tega, kateri znesek je višji.

Razumevanje, kdo je odgovoren po kršitvi varnosti podatkov, je bistvenega pomena za vsako organizacijo, ki posluje na Nizozemskem. Odgovor ni vedno preprost, saj se lahko odgovornost razširi preko vašega podjetja in vključuje zunanje ponudnike storitev, zaposlene in druge stranke, vključene v obdelavo podatkov.

Nizozemski organ za varstvo podatkov in drugi regulatorji določajo odgovornost na podlagi vaše vloge upravljavca ali obdelovalca podatkov, varnostnih ukrepov, ki ste jih imeli na voljo, in hitrosti vašega odziva na incident.

Ta članek analizira pravni okvir, ki ureja kibernetsko varnost na Nizozemskem, in pojasnjuje, kako se odgovornost dodeli po kršitvi. Spoznali boste svoje obveznosti obveščanja, kazni, s katerimi se soočate v primeru neupoštevanja, in praktične korake, ki jih lahko sprejmete za zaščito svoje organizacije pred kibernetskimi napadi in pravnimi posledicami.

Pravni okvir za kibernetsko varnost in varstvo podatkov

Nizozemska deluje v skladu z večplastno zakonodajo o kibernetski varnosti in varstvu podatkov, ki združuje predpise EU z nacionalnimi izvedbenimi zakoni. Ti zakoni določajo jasne obveznosti za organizacije, ki obdelujejo osebne podatke in upravljajo kritično infrastrukturo.

Ustvarjajo posebne zahteve za različne sektorje, vključno s telekomunikacijami, financami in zakon izvrševanje.

Splošna uredba o varstvu podatkov (GDPR) in njena implementacija na Nizozemskem

Naš GDPR služi kot primarni okvir za varstvo podatkov po vsej EU, vključno z Nizozemsko. Določa celovita pravila za obdelavo osebnih podatkov in od organizacij zahteva, da izvajajo ustrezne tehnične in organizacijske ukrepe za zaščito informacij.

Nizozemska je GDPR uvedla prek Nizozemski zakon o izvajanju GDPR (Povprečna količina zalog), ki prilagaja zahteve EU nizozemski zakonodaji. Ta zakon določa posebne določbe za nacionalne okoliščine, hkrati pa ohranja skladnost z evropskimi standardi.

Določa nizozemski organ za varstvo podatkov (Nizozemski organ za varstvo podatkov) kot nadzorni organ, odgovoren za izvrševanje.

V skladu z GDPR morate poročati kršitve podatkov nadzornemu organu v 72 urah po tem, ko ste zanje izvedeli. Kadar kršitve predstavljajo veliko tveganje za pravice in svoboščine posameznikov, morate o tem brez nepotrebnega odlašanja obvestiti tudi prizadete osebe.

Te zahteve glede obveščanja so temelj odgovornosti za kršitve na Nizozemskem.

Naš Verzamelwet Gegevensbescherming (Zakon o kolektivnem varstvu podatkov) dodatno izpopolnjuje različne nizozemske zakone, da bi jih uskladil s standardi GDPR. To zagotavlja skladnost na različnih pravnih področjih.

Zakon o kibernetski varnosti in direktiva NIS2

Naš direktiva NIS2 znatno širi zahteve glede kibernetske varnosti za bistvene in pomembne subjekte po vsej EU. Nizozemska to direktivo izvaja s posodobitvami Kibernetsko zakrivanje mokro (nizozemski zakon o kibernetski varnosti), ki je prvotno prenesel prvo direktivo o varnosti omrežij in informacij.

NIS2 širi obseg zajetih sektorjev in uvaja strožje varnostne zahteve, obveznosti poročanja o incidentih in določbe o odgovornosti vodstva. Izvesti morate posebne ukrepe za obvladovanje tveganj in prijaviti pomembne incidente v 24 urah po tem, ko ste zanje izvedeli.

Naš Zakon o varnosti omrežij in informacijskih sistemov in spremljajoče Uredba o varnosti omrežij in informacijskih sistemov določajo podrobne zahteve za upravljavce bistvenih storitev in ponudnike digitalnih storitev. Ti zakoni določajo osnovne varnostne ukrepe, redne revizije in usklajevanje z nacionalnimi organi za kibernetsko varnost.

Zakonodaja določa posebne pristojne organe za različne sektorje. To zagotavlja specializiran nadzor nad praksami kibernetske varnosti.

Drugi ustrezni zakoni in direktive

Naš Direktiva EU o e-zasebnosti dopolnjuje GDPR z obravnavanjem zasebnosti elektronskih komunikacij. Zahteva soglasje za piškotke in podobne tehnologije ter varuje zaupnost komunikacijskih podatkov.

Naš Zakon o telekomunikacijah (Telekomunikacije) nalaga ponudnikom telekomunikacijskih storitev posebne varnostne obveznosti, vključno z zahtevami za zaščito celovitosti omrežja in uporabniških podatkov. Ta zakon deluje skupaj z zakoni o varstvu podatkov, da bi zagotovil celovito zaščito v komunikacijskem sektorju.

Naš Zakon o odpornosti kritičnih subjektov (CRA) krepi zahteve glede fizične in kibernetske varnosti za subjekte, ki veljajo za ključne za javno varnost in gospodarsko stabilnost. Zahteva ocene tveganja in ukrepe za odpornost, ki presegajo standardne določbe o kibernetski varnosti.

Ti okviri ustvarjajo prekrivajoče se obveznosti. Pri delovanju v več sektorjih ali pri ravnanju z različnimi vrstami podatkov se morate z njimi seznaniti.

Predpisi, specifični za posamezne sektorje

Naš Zakon o finančnem nadzoru (Wet op het financieel toezicht) določa stroge zahteve glede kibernetske varnosti in varstva podatkov za finančne institucije. Pri delovanju v finančnem sektorju morate izvajati robustne varnostne kontrole, postopke za odzivanje na incidente in redne protokole testiranja.

Organi pregona se soočajo s posebnimi zahtevami v skladu Zakon o policijskih podatkih (Mokri policisti) in Wet justitiële en strafvorderlijke gegevens (Zakon o podatkih sodnega in kazenskega postopka). Ti zakoni urejajo, kako policijski in sodni organi zbirajo, obdelujejo in varujejo osebne podatke med preiskavami in kazenskimi postopki.

Ponudniki zdravstvenih storitev morajo poleg standardnih zahtev GDPR upoštevati dodatne zaščitne ukrepe za zasebnost. To odraža občutljivo naravo zdravstvenih podatkov.

Energetski, prometni in vodni sektor se v okviru izvajanja NIS2 soočajo s posebnimi obveznostmi, pri čemer so varnostni ukrepi prilagojeni njihovim operativnim tveganjem.

Vsak sektorski predpis nalaga edinstvena bremena skladnosti. Bistveno je ugotoviti, kateri zakoni veljajo za specifične dejavnosti in postopke obdelave podatkov vaše organizacije.

Dodelitev odgovornosti po kršitvi varnosti podatkov

Na Nizozemskem je odgovornost za kršitev varnosti podatkov odvisna od vaše vloge pri obdelavi osebnih podatkov, tj. varnostni ukrepi ste uvedli in ali ste upoštevali zahteve glede poročanja. Nizozemski organ za varstvo podatkov in drugi nadzorni organi določajo odgovornost na podlagi pravne obveznosti v skladu z GDPR in nacionalnimi zakoni o kibernetski varnosti.

Opredelitev odgovornosti: upravljavci, obdelovalci in tretje osebe

Vaša odgovornost po kršitev osebnih podatkov odvisno od tega, ali deluješ kot upravljavec podatkov ali obdelovalec. Upravljavci odločajo, kako in zakaj se osebni podatki obdelujejo, zaradi česar so primarno odgovorni za varnostne incidente.

Obdelovalci obdelujejo podatke v imenu upravljavcev in so odgovorni, če prekoračijo navodila ali ne izvajajo ustreznih varnostnih ukrepov.

Tretje osebe, kot so ponudniki digitalnih storitev, nosijo ločene odgovornosti. Če uporabljate zunanje dobavitelje, ste še vedno odgovorni za njihova dejanja, ko obdelujejo podatke v vašem imenu.

Vaše pogodbe morajo določati varnostne obveznosti in postopke za obravnavo incidentov.

Kadar je vpletenih več strank, se lahko odgovornost deli. Če niti vi niti vaš obdelovalec nista izvedla tehničnih in organizacijskih ukrepov, se lahko oba soočita s kaznimi s strani organa za varstvo podatkov (Autoriteit Persoonsgegevens).

Nadzorni organ preuči vlogo vsake stranke pri kršitvi, da določi odgovornost.

Nadzorni organi in regulativne vloge

Nizozemski organ za varstvo podatkov (Autoriteit Persoonsgegevens) deluje kot organ za varstvo podatkov, odgovoren za izvrševanje skladnosti z GDPR. Kršitve varstva osebnih podatkov morate temu nadzornemu organu prijaviti v 72 urah po tem, ko ste za dogodek izvedeli.

Neupoštevanje rokov za prijavo incidentov poveča vašo odgovornost.

Nacionalni center za kibernetsko varnost (NCSC) obravnava širša področja grožnje kibernetski varnosti ki vplivajo na izvajalce bistvenih storitev. Če zagotavljate kritično infrastrukturo ali digitalne storitve, morate NCSC prijaviti tudi pomembne varnostne incidente.

Ta poročila pomagajo usklajevati nacionalne odzive na kibernetske grožnje.

Oba organa izvajata preiskave po varnostnih incidentih. Avtoriteit Persoonsgegevens lahko izreče globe do 20 milijonov evrov ali 4 % vašega letnega svetovnega prometa, kar je višje.

Upoštevajo dejavnike, kot so narava kršitve, število prizadetih posameznikov in vaši ukrepi za odzivanje.

Smernice ENISA vplivajo na to, kako nizozemski organi ocenjujejo vašo skladnost z zahtevami glede kibernetske varnosti.

Organizacijski in tehnični ukrepi

Vaša uvedba tehničnih in organizacijskih ukrepov neposredno vpliva na določitev odgovornosti. Ti ukrepi vključujejo šifriranje, nadzor dostopa, redno varnostno testiranje in usposabljanje osebja.

Sodišča in nadzorni organ ocenijo, ali je bila vaša varnost ustrezna glede na povezana tveganja.

Dokumentirati morate svoje varnostne ukrepe in dokazati načrtovanje neprekinjenega poslovanja. Če ne morete dokazati ustreznih previdnostnih ukrepov, se odgovornost znatno poveča.

Redne ocene tveganja vam pomagajo prepoznati ranljivosti, preden pride do kršitev.

Postopki za obravnavo incidentov so ključnega pomena. Potrebujete jasne protokole za odkrivanje, preiskovanje in odzivanje na kršitve varnosti osebnih podatkov.

Vaš odzivni čas in učinkovitost pri omejevanju varnostnih incidentov vplivata na odločitve o kaznih.

Agencija za osebne podatke (Autoriteit Persoonsgegevens) pričakuje, da boste hranili dokazila o svojem varnostnem okviru. Brez ustrezne dokumentacije je dokazovanje razumne skrbnosti med preiskavami oteženo.

Vpliv dobavne verige in ponudnikov storitev

Varnost dobavne verige ustvarja kompleksna vprašanja odgovornosti. Ko vaši ponudniki storitev doživijo kršitve, ki vplivajo na vaše podatke, se lahko še vedno soočite s posledicami.

Pri dobaviteljih morate izvajati skrbni pregled in nenehno spremljati njihove varnostne prakse.

Izvajalci bistvenih storitev se soočajo s strožjimi zahtevami glede upravljanja dobaviteljev. Zagotoviti morate, da ponudniki digitalnih storitev v vaši dobavni verigi vzdržujejo standarde, ki so skladni z vašimi lastnimi obveznostmi.

Pogodbeni sporazumi bi morali jasno opredeliti dolžnosti poročanja o incidentih in razporeditev odgovornosti.

Če kršitev izvira iz vaše dobavne verige, organ za varstvo podatkov (Autoriteit Persoonsgegevens) preveri, ali ste izvedli ustrezne ocene dobaviteljev. Vaša odgovornost je odvisna od tega, ali ste sprejeli razumne ukrepe za preverjanje varnosti dobaviteljev.

Odgovornosti ne morete v celoti prenesti niti pri uporabi obdelovalcev tretjih oseb.

Večstopenjske dobavne verige zahtevajo dodatno budnost. Potrebujete vpogled v podobdelovalce in njihove varnostne ukrepe, da se zaščitite pred kaskadnimi napakami, ki ogrožajo osebne podatke v več organizacijah.

Obveznosti obveščanja o kršitvah varnosti podatkov

Nizozemska izvaja večplastni okvir obveščanja v skladu s Splošno uredbo o varstvu podatkov in nacionalno zakonodajo o kibernetski varnosti. Upravljavci morajo prijava kršitev organu za varstvo osebnih podatkov (PDA) v 72 urah, če obstaja tveganje za pravice posameznika, na katerega se nanašajo osebni podatki,.

Visoko tvegane kršitve zahtevajo neposredno obveščanje prizadetih posameznikov.

Roki in postopkovne zahteve

PDA morate obvestiti brez nepotrebnega odlašanja in, kjer je to izvedljivo, najpozneje v 72 urah po tem, ko ste seznanjeni s kršitvijo varstva osebnih podatkov. Ta obveznost velja, razen če je malo verjetno, da bi kršitev povzročila tveganje za pravice in svoboščine posameznikov.

Obvestilo mora po možnosti vsebovati specifične informacije. Navesti morate kategorije in približno število zadevnih posameznikov, na katere se nanašajo osebni podatki, kategorije in približno število prizadetih zapisov osebnih podatkov ter ime pooblaščene osebe za varstvo podatkov ali druge kontaktne osebe.

Opisati morate tudi verjetne posledice kršitve in ukrepe, ki ste jih sprejeli ali predlagali za njeno odpravo.

Če v 72-urnem roku ne morete zagotoviti vseh zahtevanih informacij, jih lahko predložite v fazah. Razloge za morebitno zamudo morate pojasniti v prvotnem obvestilu.

Koga je treba obvestiti in kdaj

Kadar je verjetno, da bo kršitev varstva osebnih podatkov povzročila veliko tveganje za njihove pravice in svoboščine, morate o tem neposredno obvestiti posameznike, na katere se nanašajo osebni podatki. To obvestilo mora biti podano brez nepotrebnega odlašanja in v jasnem in preprostem jeziku.

Neposredno obveščanje posameznikov, na katere se nanašajo osebni podatki, ni potrebno v treh posebnih okoliščinah. Obveščanja ni treba, če ste uvedli ustrezne tehnične in organizacijske zaščitne ukrepe (kot je šifriranje), zaradi katerih so podatki nepooblaščenim osebam nerazumljivi.

Prav tako vam ni treba obvestiti, če ste sprejeli naknadne ukrepe, s katerimi ste zagotovili, da se visoko tveganje za pravice posameznika, na katerega se nanašajo osebni podatki, verjetno ne bo več uresničilo, ali če bi neposredna komunikacija vključevala nesorazmeren napor. V takih primerih je namesto tega potrebna javna komunikacija ali podobni ukrepi.

Finančne družbe so v skladu z Zakonom o finančnem nadzoru oproščene obveznosti obveščanja posameznikov, na katere se nanašajo osebni podatki. Še vedno morajo poročati PDA.

Obdelovalci imajo različne obveznosti. Upravljavca morate o vsaki kršitvi varstva osebnih podatkov obvestiti brez nepotrebnega odlašanja, ne glede na stopnjo tveganja.

To je zakonska zahteva v skladu z GDPR in bi jo bilo treba vključiti v vaš sporazum o obdelavi podatkov.

Sektorske in nacionalne zahteve glede obveščanja

Poleg obveznosti v zvezi z GDPR se lahko soočite z dodatnimi zahtevami glede poročanja, odvisno od vašega sektorja. Zakon o varnosti omrežij in informacijskih sistemov (WBNI) od nekaterih subjektov zahteva, da organom za kibernetsko varnost poročajo o varnostnih incidentih, tudi če ti incidenti ne štejejo za kršitve osebnih podatkov.

Ponudniki javnih elektronskih komunikacijskih omrežij morajo poročati Inšpektoratu za človekovo okolje in promet (ILT). Zdravstvene organizacije so dolžne obvestiti Inšpektorat za zdravje in mladinsko varstvo o incidentih, ki vplivajo na varnost medicinskih pripomočkov ali podatke o pacientih.

Finančna podjetja morajo izpolnjevati sektorske zahteve v skladu z zakonodajo o finančnem nadzoru.

Ponudniki kritične infrastrukture imajo v skladu z zakonom WBNI okrepljene obveznosti. Pomembne incidente, ki bi lahko znatno motili bistvene storitve, morate prijaviti skupini za odzivanje na incidente računalniške varnosti (CSIRT).

Javna podjetja bodo morda morala obvestiti o varnostnih incidentih, ki bi lahko bistveno vplivali na odločitve vlagateljev.

Te sektorske zahteve pogosto delujejo vzporedno z obveznostmi GDPR in jih ne nadomeščajo. Za en sam incident boste morda morali poslati več obvestil različnim organom, odvisno od dejavnosti vaše organizacije in narave kršitve.

Izvrševanje in sankcije za neizpolnjevanje predpisov

Nizozemski organi imajo jasna pooblastila za preiskovanje napak pri kibernetski varnosti in nalaganje znatnih finančnih kazni organizacijam, ki ne varujejo osebnih podatkov ali ne izpolnjujejo varnostnih zahtev.

Okvir izvrševanja vključuje več regulatorjev s specifičnimi nadzornimi odgovornostmi, strukturirane sheme kazni in opredeljene pritožbene postopke za organizacije, ki se soočajo s sankcijami.

Preiskovalna in nadzorna pooblastila

Nizozemski organ za varstvo podatkov (Autoriteit Persoonsgegevens ali AP) je primarno odgovoren za preiskovanje kršitev varnosti podatkov in kršitev GDPR.

Agencija AP lahko sproži preiskave na podlagi pritožb, medijskih poročil ali rutinskih revizij.

Med preiskavami lahko organ zahteva dokumentacijo, izvaja inšpekcijske preglede na kraju samem in zasliši člane osebja.

Nadzor nad obveznostmi kibernetske varnosti v skladu z novim zakonom Cyberbeveiligingswet izvajajo sektorski regulatorji.

Agencija za potrošnike in trge (ACM) nadzoruje ponudnike digitalne infrastrukture in telekomunikacij.

Nizozemska centralna banka (DNB) nadzira finančne institucije.

Minister za gospodarske zadeve in podnebje, minister za infrastrukturo in upravljanje z vodami ter minister za zdravje imajo vsak pooblastila za izvrševanje znotraj svojih sektorjev.

Ti regulatorji lahko revidirajo vaše sisteme, pregledajo postopke odzivanja na incidente in ocenijo, ali vaše upravljanje tveganj izpolnjuje zakonske standarde.

Če se ugotovijo kršitve, lahko od vaše organizacije zahtevajo tudi povračilo stroškov izvrševanja.

Nacionalni center za kibernetsko varnost (NCSC) usklajuje delovanje regulatorjev, vendar kazni ne nalaga neposredno.

Upravne in finančne kazni

Finančne kazni se razlikujejo glede na pravni okvir in resnost kršitev.

V skladu z izvrševanjem GDPR lahko AP naloži globe do 20 milijonov evrov ali 4 % vašega letnega globalnega prometa, kar je višje.

Organ upošteva dejavnike, kot so narava kršitve, število prizadetih posameznikov in vaše sodelovanje med preiskavami.

V skladu z zakonom o kibernetskem varstvu podatkov (Cyberbeveiligingswet) so kazni večstopenjske:

Regulatorji lahko izdajo tudi korektivne odredbe, s katerimi od vas zahtevajo, da v določenih rokih izvedete posebne varnostne ukrepe.

Ponavljajoče se napake lahko privedejo do javnega razkritja kršitev in njihovega poimenovanja.

Direktorji organizacij, razvrščenih kot bistveni subjekti, se lahko v hujših primerih soočijo z osebno diskvalifikacijo iz upravnih odborov.

Organizacije javnega sektorja so oproščene finančnih kazni, vendar se soočajo s korektivnimi izvršilnimi ukrepi in morebitnim parlamentarnim nadzorom.

Pravna sredstva in pritožbe

Imate pravico izpodbijati izvršilne odločbe prek upravne pritožbe.

Po prejemu obvestila o kazni lahko v šestih tednih vložite ugovor (bezwaar) pri organu, ki jo je izdal.

Regulator mora ponovno pretehtati svojo odločitev in podati uradni odgovor.

Če se z izidom ponovne obravnave ne strinjate, se lahko pritožite na okrožno sodišče (rechtbank).

Sodišče preuči, ali je regulator upošteval ustrezne postopke in pravilno uporabil zakon.

Potem lahko odločitve pritožbenega sodišča na Oddelek za upravno pristojnost Državnega sveta (Afdeling bestuursrechtspraak van de Raad van State), ki deluje kot najvišje upravno sodišče.

Ves čas pritožbenega postopka morate še naprej izvajati vse korektivne ukrepe, ki jih odredijo regulatorji.

Sodišča lahko začasno ustavijo izvrševanje denarnih kazni do izida pritožbe, vendar to ni samodejno.

Ključne vloge in odgovornosti pri upravljanju kibernetske varnosti

Organizacije morajo jasno opredeliti, kdo upravlja naloge kibernetske varnosti, od imenovanja pooblaščencev za varstvo podatkov do vzpostavitve odgovornosti na ravni upravnega odbora in usposabljanja zaposlenih o varnostnih protokolih.

Pooblaščene osebe za varstvo podatkov in imenovanja

Če vaša organizacija obdeluje občutljive osebne podatke v velikem obsegu ali sistematično spremlja posameznike, morate imenovati pooblaščeno osebo za varstvo podatkov (DPO).

Pooblaščena oseba za varstvo podatkov (DPO) je vaša glavna kontaktna oseba za organe za varstvo podatkov in posameznike, na katere se nanašajo osebni podatki.

Vaša pooblaščena oseba za varstvo podatkov (DPO) potrebuje posebne kvalifikacije na področju zakonodaje o varstvu podatkov in praks informacijske varnosti.

Poročati morajo neposredno vašemu najvišjemu vodstvu in jih ni mogoče odpustiti zaradi opravljanja svojih dolžnosti.

Vloga vključuje spremljanje skladnosti z GDPR, izvajanje ocen vpliva na varstvo podatkov in svetovanje glede zahtev glede šifriranja in kriptografije.

Jasno morate dokumentirati odgovornosti pooblaščene osebe za varstvo podatkov.

To vključuje njihova pooblastila za revizijo vaše digitalne infrastrukture in pregled vašega načrta za odzivanje na incidente.

Če poslujete v več državah EU, lahko imenujete eno samo pooblaščeno osebo za varstvo podatkov na podlagi njenih strokovnih lastnosti in poznavanja ustreznih jurisdikcij.

Korporativno upravljanje in odgovornost

Vaš upravni odbor nosi končno odgovornost za upravljanje tveganj kibernetske varnosti.

Odobriti morajo varnostne ukrepe, dodeliti ustrezna sredstva in zagotoviti ustrezen nadzor nad prizadevanji za kibernetsko odpornost.

Odgovornost vodstva vključuje:

• Odobritev varnostnih politik za okvire informacijske varnosti
• Nadzor nad ocenami tveganj in načrtovanje operativne odpornosti
• Zagotavljanje skladnosti z revizijo prek neodvisnih pregledov
• Dodeljevanje proračunov za upravljanje kibernetske varnosti in usposabljanje zaposlenih

Določiti morate jasne meje pristojnosti za odločanje o varnosti.

Dokumentirajte, kdo odobri varnostne ukrepe, kdo nadzoruje izvajanje in kdo izvaja revizije.

Vaše vodstvo mora redno pregledovati delovanje kibernetske varnosti in prilagajati strategije glede na razvijajoče se grožnje vaši digitalni infrastrukturi.

Notranje politike in usposabljanje zaposlenih

Ustvariti morate dokumentirane pravilnike, ki opredeljujejo varnostne vloge v celotni organizaciji.

Te politike bi morale določati odgovornosti za varstvo podatkov, odzivanje na incidente in ohranjanje kibernetske odpornosti.

Vaše varnostne politike morajo zajemati:

• Zahteve glede nadzora dostopa in preverjanja pristnosti
• Standardi za razvrščanje in šifriranje podatkov
• Postopki poročanja o incidentih
• Redno usposabljanje za ozaveščanje o varnosti

Vsem zaposlenim morate zagotoviti stalno usposabljanje o praksah informacijske varnosti.

To vključuje prepoznavanje lažnega predstavljanja poskuse, pravilno ravnanje z občutljivimi podatki in upoštevanje načrta za odzivanje na incidente.

Usposabljanje mora biti prilagojeno specifičnim vlogam, tehnično osebje pa mora prejeti napredna navodila o kriptografiji in varnostnih kontrolah.

Vaše politike je treba redno pregledovati in posodabljati, ko se spremenijo predpisi ali se pojavijo nova tveganja.

Zagotoviti morate ustrezne vire tako za izvajanje politik kot za razvoj osebja na področju kibernetske varnosti.

Vrste kibernetskih incidentov in nastajajoče grožnje

Kibernetski incidenti segajo od zavajajočih e-poštnih sporočil do obsežnih motenj v omrežju, ki lahko ogrozijo celotne organizacije.

Razumevanje teh groženj vam pomaga prepoznati ranljivosti in določiti, kdo je odgovoren, ko pride do kršitve.

Lažno predstavljanje, zlonamerna programska oprema in izsiljevalska programska oprema

Ribarjenje ostaja ena najpogostejših groženj kibernetske varnosti, s katerimi se boste srečali.

Napadalci pošiljajo e-poštna sporočila ali sporočila, ki se pretvarjajo, da so od zakonitih podjetij, da bi ukradli vaša gesla, finančne podatke ali druge občutljive podatke.

Ti napadi so odgovorni za več kot 60 odstotkov incidentov socialnega inženiringa.

Malware se nanaša na škodljivo programsko opremo, ki poškoduje vaše računalniške sisteme ali omrežja.

To vključuje viruse, trojanske konje in drugo zlonamerno kodo, namenjeno dostopu do vaših podatkov ali motenju vašega delovanja.

izsiljevalska je posebna vrsta zlonamerne programske opreme, ki blokira dostop do vaših datotek in zahteva plačilo za obnovitev.

Tudi če plačate odkupnino, ni nobenega zagotovila, da vam bodo napadalci obnovili dostop ali izbrisali ukradene podatke.

Med letoma 2020 in 2021 so se organizacije po vsem svetu soočile s približno 24,000 kibernetskimi incidenti, pri čemer je izsiljevalska programska oprema igrala pomembno vlogo pri finančnih izgubah.

Napadi zavrnitve storitve (DoS) in porazdeljeni napadi DoS (DDoS)

DoS napadi preobremenite svoje sisteme s prometom, da storitve niso na voljo legitimnim uporabnikom.

En sam vir preplavi vaše omrežje z zahtevami, dokler se ne sesuje ali postane prepočasno za delovanje.

DDoS napadi uporabite več ogroženih sistemov za izvajanje usklajenih napadov na vašo infrastrukturo.

Te porazdeljene napade je težje ustaviti, ker prihajajo z več lokacij hkrati.

Napadi DDoS lahko motijo ​​delovanje kritičnih storitev, od vladnih spletnih mest do operacij zasebnega sektorja.

Običajno imate manj kot 62 minut od prvega zaznavanja, da preprečite, da bi varnostni incident postal večja kršitev.

Zaradi tega ozkega časovnega okvira je hiter odziv bistvenega pomena pri soočanju z napadi DoS ali DDoS.

Goljufija in nepooblaščen dostop

goljufije v kibernetski varnosti vključuje goljufive prakse za pridobitev nepooblaščenega dostopa do vaših sistemov ali podatkov.

To vključuje krajo identitete, goljufije pri plačilih in ogrožanje poverilnic.

Nepooblaščen dostop se zgodi, ko nekdo krši vaše varnostne politike za dostop do omrežij, sistemov ali podatkov brez dovoljenja.

To se lahko zgodi prek:

• Ukradene prijavne poverilnice
• Izkoriščene ranljivosti programske opreme
• Zaobišli varnostne kontrole
• Notranje grožnje sedanjih ali nekdanjih zaposlenih

Kraja notranjih podatkov je pogosto spregledana, vendar je lahko prav tako škodljiva kot zunanji napadi.

Leta 2021 so povprečni stroški notranjih napadov dosegli 12.5 milijona funtov.

Tudi nenamerno uhajanje podatkov s strani zaposlenih se v skladu z Zakonom o zlorabi računalnikov (1990) šteje za varnostne incidente.

Ranljivosti sektorja in dobavne verige

Sektorji kritične infrastrukture se soočajo s povečanimi tveganji zaradi kibernetske kriminalitete, pri čemer so glavne tarče zdravstvo, energetika in finančne storitve.

V poklicnem sektorju je bilo med letoma 2020 in 2021 zabeleženih skoraj 3,600 incidentov, zaradi česar je to najbolj tarčna panoga.

Varnost dobavne verige je postalo vse pomembnejše, saj napadalci ciljajo na vaše partnerje in zunanje prodajalce, namesto da bi napadli neposredno vas.

Ti napadi tretjih oseb izkoriščajo šibkejše varnostne ukrepe v vaših partnerskih organizacijah za dostop do podatkov vaših strank.

Ranljivosti dobavne verige napadalcem omogočajo, da z eno samo kršitvijo ogrozijo več organizacij.

Ko se sistemi vašega prodajalca povežejo z vašimi, njihove varnostne slabosti postanejo vaše varnostne slabosti.

Zaradi tega medsebojno povezanega tveganja morate oceniti ne le lastne ukrepe za kibernetsko varnost, temveč tudi ukrepe vseh organizacij v vaši dobavni verigi.

Nacionalne države vse pogosteje preizkušajo in prodirajo v konkurenčne kibernetske prostore, pogosto delujejo pod krinko zasebnih subjektov, hkrati pa delujejo v imenu vlad.

Pogosto zastavljena vprašanja

Nizozemska podjetja se morajo po kršitvi podatkov ravnati v skladu s strogimi zahtevami glede poročanja in standardi skladnosti, pri čemer se odgovornost razteza na več strani, odvisno od njihovih vlog in odgovornosti.

Razumevanje teh obveznosti pomaga organizacijam zaščititi sebe in prizadete posameznike, hkrati pa ohranjati skladnost z nacionalnimi in evropskimi predpisi.

Kakšne so pravne obveznosti nizozemskih podjetij po kršitvi varnosti podatkov?

Vaša organizacija mora o kršitvi podatkov obvestiti nizozemski organ za varstvo podatkov (Autoriteit Persoonsgegevens) v 72 urah po tem, ko izve zanjo.

Ta zahteva velja v skladu z GDPR, ki ureja varstvo podatkov po vsej Nizozemski.

V obvestilu o kršitvi morate navesti konkretne informacije.

To vključuje naravo kršitve, število prizadetih posameznikov, morebitne posledice in ukrepe, ki ste jih sprejeli ali jih nameravate sprejeti.

Če vseh podrobnosti ne morete posredovati v 72 urah, morate pojasniti zamudo in preostale informacije predložiti čim prej.

Kadar kršitev predstavlja veliko tveganje za pravice in svoboščine posameznikov, morate o tem neposredno obvestiti tudi prizadete osebe.

Tega obvestila ne morete odložiti brez upravičenih razlogov.

Vaša komunikacija s prizadetimi posamezniki mora biti jasna in pojasnjevati verjetne posledice kršitve ter ukrepe, ki jih lahko sprejmejo za svojo zaščito.

Voditi morate podrobno dokumentacijo o vseh kršitvah podatkov, ne glede na to, ali jih prijavite organom.

Ta dokumentacija mora vsebovati dejstva o kršitvi, njenih posledicah in sprejetih sanacijskih ukrepih.

Nizozemski organ za varstvo podatkov lahko to dokumentacijo zahteva med inšpekcijskimi pregledi ali preiskavami.

Kako se odgovornost za kršitve podatkov določa po nizozemski zakonodaji?

Odgovornost za kršitve varnosti podatkov na Nizozemskem je odvisna od vaše vloge upravljavca ali obdelovalca podatkov.

Upravljavci podatkov določajo namene in sredstva obdelave osebnih podatkov, medtem ko obdelovalci podatkov obdelujejo podatke v imenu upravljavcev.

Vaša rutina za pravne odgovornosti razlikujejo glede na to klasifikacijo.

Kot upravljavec podatkov nosite glavno odgovornost za zagotavljanje skladnosti s predpisi o varstvu podatkov.

Za zaščito osebnih podatkov morate izvesti ustrezne tehnične in organizacijske ukrepe.

Sodišča ocenijo, ali ste sprejeli razumne ukrepe za preprečitev kršitve in ali ste pri svojih varnostnih praksah ravnali malomarno.

Obdelovalci podatkov so lahko odgovorni tudi, če ne upoštevajo navodil upravljavca ali kršijo svoje pogodbene obveznosti.

Vendar imajo obdelovalci običajno bolj omejeno odgovornost kot upravljavci.

Če obdelujete podatke brez ustreznega dovoljenja upravljavca ali ne izvajate dogovorjenih varnostnih ukrepov, ste lahko neposredno odgovorni.

Nizozemska sodišča pri ugotavljanju odgovornosti upoštevajo več dejavnikov.

To vključuje resnost kršitve, občutljivost ogroženih podatkov, vaše varnostne ukrepe pred kršitvijo in vaš odziv po odkritju incidenta.

Velikost in viri vaše organizacije vplivajo tudi na to, katere varnostne ukrepe sodišča štejejo za razumne.

Skupna odgovornost lahko nastane, kadar več strank prispeva k kršitvi varnosti podatkov.

Če si odgovornost delite z drugimi upravljavci ali obdelovalci, lahko sodišča vsako stranko štejejo za odgovorno za celotno škodo.

Nato lahko od drugih odgovornih oseb zahtevate odškodnino glede na njihov prispevek k kršitvi.

Katere stranke so lahko odgovorne za incidente v zvezi z varnostjo podatkov na Nizozemskem?

Upravljavci podatkov nosijo glavno odgovornost za incidente v zvezi z varnostjo podatkov.

Kot upravljavec odločate o tem, kako se obdelujejo osebni podatki, in morate zagotoviti ustrezne varnostne ukrepe.

Vaša organizacija se lahko zaradi kršitve sooči z upravnimi globami, civilno odgovornostjo in škodo za ugled.

Obdelovalci podatkov so lahko odgovorni, če ne izpolnjujejo svojih pogodbenih in zakonskih obveznosti.

Če obdelujete podatke v imenu upravljavca, morate izvajati varnostne ukrepe, določene v vaši pogodbi, in upoštevati zakonita navodila upravljavca.

Če prekoračite svoja pooblastila ali ne zagotovite ustrezne varnosti, boste neposredno odgovorni.

Direktorji in vodilni delavci vaše organizacije se lahko v določenih okoliščinah soočijo z osebno odgovornostjo.

V skladu z izvajanjem direktive NIS2 na Nizozemskem je lahko vodstvo osebno odgovorno za napake pri upravljanju kibernetske varnosti.

To vključuje morebitno prepoved opravljanja funkcije direktorja, če pride do resnih kršitev.

Tudi ponudniki storitev tretjih oseb so lahko odgovorni za varnostne incidente.

Če se zanašate na storitve v oblaku, IT-podporo ali druge zunanje ponudnike, lahko ti prevzamejo del odgovornosti, če njihove napake prispevajo k kršitvi.

Vaše pogodbe s temi ponudniki bi morale jasno opredeliti varnostne odgovornosti in pogoje odgovornosti.

Nizozemski organ za varstvo podatkov deluje kot glavni organ za izvrševanje.

Čeprav organ ni neposredno odgovoren za kršitve, preiskuje incidente, izdaja korektivne odredbe in nalaga upravne globe organizacijam, ki ne izpolnjujejo predpisov.

Kakšne posledice imajo organizacije zaradi neupoštevanja nizozemskih predpisov o varstvu podatkov?

Vaša organizacija se lahko sooči z upravnimi globami v višini do 20 milijonov evrov ali 4 % vašega svetovnega letnega prometa, kar je višje. Nizozemski organ za varstvo podatkov določi višino glob na podlagi narave, resnosti, trajanja in vašega sodelovanja med preiskavami kršitve.

Poleg finančnih kazni lahko organ naloži korektivne ukrepe, ki motijo ​​vaše poslovanje. Ti ukrepi vključujejo začasne omejitve dejavnosti obdelave podatkov, odredbe za odpravo določenih kršitev in obvezne revizije.

Morda boste morali začasno ustaviti nekatere poslovne dejavnosti, dokler ne dokažete skladnosti. Vaša organizacija tvega znatno škodo ugledu zaradi neskladnosti.

Javno razkritje kršitev varnosti podatkov in regulativnih kazni lahko spodkoplje zaupanje strank in škoduje poslovnim odnosom. Nizozemski organ za varstvo podatkov objavlja odločbe o izvrševanju, ki so še vedno dostopne javnosti in medijem.

Prizadeti posamezniki lahko vložijo civilne tožbe, v katerih zahtevajo odškodnino za škodo. Posamezniki lahko zahtevajo odškodnino za premoženjsko in nepremoženjsko škodo, ki je nastala zaradi kršitev varstva podatkov.

Nizozemska sodišča vse pogosteje priznavajo zahtevke zaradi stiske in izgube nadzora nad osebnimi podatki, tudi brez neposrednih finančnih izgub. Vaše poslovne priložnosti so lahko po resnih kršitvah omejene.

Nekateri sektorji zahtevajo varnostne certifikate ali evidence skladnosti za vzdrževanje pogodb, zlasti pri poslovanju z vladnimi subjekti ali reguliranimi panogami.

Na kakšne načine lahko prizadeti posamezniki zahtevajo pravno sredstvo po kršitvi varnosti podatkov na Nizozemskem?

Če menite, da je organizacija kršila vaše pravice do varstva podatkov, lahko vložite pritožbo pri nizozemskem organu za varstvo podatkov. Organ preiskuje pritožbe in lahko zoper organizacije, ki ne upoštevajo predpisov, sprejme izvršilne ukrepe.

Ta postopek vas ne stane nič in ne zahteva pravnega zastopanja. Imate pravico do civilne tožbe proti odgovorni organizaciji.

Nizozemska zakonodaja vam dovoljuje, da zahtevate odškodnino za materialno in nematerialno škodo, ki je posledica kršitev varstva podatkov. Materialna škoda vključuje finančne izgube, medtem ko nematerialna škoda zajema stisko, tesnobo in izgubo nadzora nad vašimi osebnimi podatki.

Za reševanje vašega zahtevka lahko najamete odvetnika na podlagi pogojnega plačila ali pa poiščete pravno pomoč, če izpolnjujete finančna merila za upravičenost. Številne odvetniške pisarne na Nizozemskem so specializirane za primere varstva podatkov in vam lahko svetujejo glede utemeljenosti vašega zahtevka.

Mehanizmi skupinskih tožb omogočajo skupinam prizadetih posameznikov, da kolektivno uveljavljajo odškodnine. Odškodnino lahko zahtevate neposredno od organizacije, ne da bi se obrnili na sodišče.

Številne organizacije se raje lotevajo zasebnega reševanja zahtevkov, da bi se izognile stroškom sodnih postopkov in negativni publiciteti. Vaš pogajalski položaj se okrepi, če je organizacija očitno kršila predpise o varstvu podatkov ali če je kršitev povzročila znatno škodo.

Prav tako lahko vložite zahtevke proti obdelovalcem podatkov, če so odgovorni za kršitev. V skladu z GDPR so lahko za škodo odgovorni tako upravljavci kot obdelovalci.

Če je k kršitvi prispevalo več strank, lahko od katere koli odgovorne stranke zahtevate celoten znesek.

Kako GDPR vpliva na odgovornost in odgovornosti v primeru kršitve varnosti podatkov za subjekte, ki delujejo na Nizozemskem?

GDPR določa jasne obveznosti za organizacije glede varstva osebnih podatkov.

Subjekti morajo izvajati ustrezne tehnične in organizacijske ukrepe za zagotovitev varnosti podatkov.

V primeru kršitve varnosti podatkov morajo organizacije v 72 urah obvestiti pristojni nadzorni organ.

Če kršitev predstavlja veliko tveganje za pravice in svoboščine posameznikov, je treba o tem obvestiti tudi prizadete posameznike.

Neupoštevanje teh zahtev lahko povzroči znatne globe in škodo ugledu organizacije.

Tako upravljavci kot obdelovalci podatkov imajo v skladu s Splošno uredbo o varstvu podatkov različne odgovornosti, pogodbe pa morajo te vloge jasno opredeliti.