Kršenja podataka događaju se svaki dan u Nizozemskoj. Kada se dogode, netko mora poduzeti mjere Odgovornost.
Prema nizozemskom zakonodavstvu i GDPR-u, organizacije koje kontroliraju osobne podatke prvenstveno su odgovorne za njihovu zaštitu i suočavaju se značajna odgovornost kada dođe do kršenja. Ako vaše poslovanje pati od hakerskog napada, mogli biste se suočiti s kaznama do 20 milijuna eura ili 4% vašeg globalnog godišnjeg prometa, ovisno o tome koji je iznos veći.
Razumijevanje tko snosi odgovornost nakon povrede podataka ključno je za svaku organizaciju koja posluje u Nizozemskoj. Odgovor nije uvijek jednostavan, jer se odgovornost može proširiti izvan vaše tvrtke i uključivati treće strane, pružatelje usluga, zaposlenike i druge strane uključene u obradu podataka.
Nizozemska agencija za zaštitu podataka i druga regulatorna tijela utvrđuju odgovornost na temelju vaše uloge kao voditelja obrade ili obrađivača podataka, sigurnosnih mjera koje ste imali na snazi i brzine vaše reakcije na incident.
Ovaj članak analizira pravni okvir koji regulira kibernetičku sigurnost u Nizozemskoj i objašnjava kako se odgovornost dodjeljuje nakon kršenja. Saznat ćete o svojim obvezama obavještavanja, kaznama s kojima se suočavate zbog nepoštivanja propisa i praktičnim koracima koje možete poduzeti kako biste zaštitili svoju organizaciju od kibernetičkih napada i pravnih posljedica.
Pravni okvir za kibernetičku sigurnost i zaštitu podataka
Nizozemska djeluje u skladu s više slojeva zakonodavstva o kibernetičkoj sigurnosti i zaštiti podataka, kombinirajući propise na razini cijele EU s nacionalnim provedbenim zakonima. Ti zakoni utvrđuju jasne obveze za organizacije koje rukuju osobnim podacima i upravljaju kritičnom infrastrukturom.
Oni stvaraju specifične zahtjeve za različite sektore, uključujući telekomunikacije, financije i zakon izvršenje.
Opća uredba o zaštiti podataka (GDPR) i njezina provedba u Nizozemskoj
The GDPR služi kao primarni okvir za zaštitu podataka diljem EU-a, uključujući Nizozemsku. Njime se utvrđuju sveobuhvatna pravila za obradu osobnih podataka i od organizacija se zahtijeva da provedu odgovarajuće tehničke i organizacijske mjere za zaštitu informacija.
Nizozemska je implementirala GDPR putem Nizozemski zakon o provedbi GDPR-a (Prosječna potrošnja), koji prilagođava zahtjeve EU nizozemskom zakonodavstvu. Ovaj zakon pruža posebne odredbe za nacionalne okolnosti, a istovremeno održava usklađenost s europskim standardima.
Njime se određuje nizozemsko tijelo za zaštitu podataka (Nizozemski organ za zaštitu podataka) kao nadzorno tijelo odgovorno za provedbu.
Prema GDPR-u, morate prijaviti kršenja podataka nadzornom tijelu u roku od 72 sata od saznanja o njima. Kada kršenja predstavljaju visok rizik za prava i slobode pojedinaca, također morate bez nepotrebnog odgađanja obavijestiti pogođene osobe.
Ovi zahtjevi za obavještavanje čine osnovu odgovornosti za kršenje u Nizozemskoj.
The Verzamelwet Gegevensbescherming (Zakon o kolektivnoj zaštiti podataka) dodatno usavršava razne nizozemske zakone kako bi se uskladili sa standardima GDPR-a. To osigurava dosljednost u različitim pravnim područjima.
Zakon o kibernetičkoj sigurnosti i Direktiva NIS2
The Direktiva NIS2 značajno proširuje zahtjeve kibernetičke sigurnosti za bitne i važne subjekte diljem EU-a. Nizozemska provodi ovu direktivu putem ažuriranja Kibernetičko osiguranje (nizozemski Zakon o kibernetičkoj sigurnosti), kojim je izvorno prenesena prva NIS direktiva.
NIS2 proširuje opseg obuhvaćenih sektora i uvodi strože sigurnosne zahtjeve, obveze prijavljivanja incidenata i odredbe o odgovornosti uprave. Morate implementirati specifične mjere upravljanja rizicima i prijaviti značajne incidente u roku od 24 sata od saznanja o njima.
The Zakon o sigurnosti mreža i informacijskih sustava i prateće Uredba o sigurnosti mreža i informacijskih sustava utvrditi detaljne zahtjeve za operatere osnovnih usluga i pružatelje digitalnih usluga. Ovi zakoni nalažu osnovne sigurnosne mjere, redovite revizije i koordinaciju s nacionalnim tijelima za kibernetičku sigurnost.
Zakonodavstvo određuje posebna nadležna tijela za različite sektore. To osigurava specijalizirani nadzor nad praksama kibernetičke sigurnosti.
Ostali relevantni zakoni i direktive
The Direktiva EU-a o e-privatnosti nadopunjuje GDPR rješavanjem privatnosti elektroničkih komunikacija. Zahtijeva privolu za kolačiće i slične tehnologije te štiti povjerljivost komunikacijskih podataka.
The Zakon o telekomunikacijama (Telekomunikacije) nameće posebne sigurnosne obveze telekomunikacijskim davateljima usluga, uključujući zahtjeve za zaštitu integriteta mreže i korisničkih podataka. Ovaj zakon djeluje uz zakone o zaštiti podataka kako bi se osigurala sveobuhvatna zaštita u komunikacijskom sektoru.
The Zakon o otpornosti kritičnih subjekata (CRA) pojačava zahtjeve fizičke i kibernetičke sigurnosti za subjekte koji se smatraju ključnima za javnu sigurnost i ekonomsku stabilnost. Zahtijeva procjene rizika i mjere otpornosti koje nadilaze standardne odredbe o kibernetičkoj sigurnosti.
Ovi okviri stvaraju preklapajuće obveze. Morate se njima orijentirati kada poslujete u više sektora ili obrađujete različite vrste podataka.
Propisi za pojedine sektore
The Zakon o financijskom nadzoru (Wet op het financieel toezicht) uspostavlja stroge zahtjeve za kibernetičku sigurnost i zaštitu podataka za financijske institucije. Prilikom poslovanja u financijskom sektoru morate implementirati robusne sigurnosne kontrole, postupke za odgovor na incidente i redovite protokole testiranja.
Organizacije za provođenje zakona suočavaju se sa posebnim zahtjevima prema Zakon o policijskim podacima (Mokri policijski prostori) I Wet justitiële en strafvorderlijke gegevens (Zakon o podacima sudskih i kaznenih postupaka). Ovi zakoni uređuju način na koji policija i pravosudna tijela prikupljaju, obrađuju i štite osobne podatke tijekom istraga i kaznenih postupaka.
Pružatelji zdravstvene zaštite moraju se pridržavati dodatnih mjera zaštite privatnosti, osim standardnih zahtjeva GDPR-a. To odražava osjetljivu prirodu medicinskih podataka.
Sektori energetike, prometa i vodnog gospodarstva suočavaju se sa specifičnim obvezama u okviru provedbe NIS2, s prilagođenim sigurnosnim mjerama koje odgovaraju njihovim operativnim rizicima.
Svaki sektorski propis nameće jedinstvena opterećenja usklađenosti. Bitno je utvrditi koji se zakoni primjenjuju na specifične aktivnosti i operacije obrade podataka vaše organizacije.
Dodjeljivanje odgovornosti nakon povrede podataka
U Nizozemskoj, odgovornost za povredu podataka ovisi o vašoj ulozi u obradi osobnih podataka, tj. sigurnosne mjere koje ste implementirali i jeste li se pridržavali zahtjeva za izvještavanje. Nizozemska agencija za zaštitu podataka i druga nadzorna tijela utvrđuju odgovornost na temelju zakonske obveze prema GDPR-u i nacionalnim zakonima o kibernetičkoj sigurnosti.
Definiranje odgovornosti: Kontrolori, Obrađivači i Treće strane
Vaša odgovornost nakon povreda osobnih podataka ovisi o tome djelujete li kao voditelj obrade podataka ili obrađivač. Kontrolori odlučuju o tome kako i zašto se osobni podaci obrađuju, što ih čini prvenstveno odgovornima za sigurnosne incidente.
Obrađivači obrađuju podatke u ime kontrolora i snose odgovornost ako prekorače upute ili ne provedu odgovarajuće sigurnosne mjere.
Treće strane poput pružatelja digitalnih usluga nose zasebne odgovornosti. Ako koristite vanjske dobavljače, ostajete odgovorni za njihove postupke kada obrađuju podatke u vaše ime.
Vaši ugovori moraju specificirati sigurnosne obveze i postupke rješavanja incidenata.
Kada je uključeno više stranaka, odgovornost se može podijeliti. Ako ni vi ni vaš obrađivač niste proveli tehničke i organizacijske mjere, oboje se možete suočiti s kaznama od strane Autoriteit Persoonsgegevens.
Nadzorno tijelo ispituje ulogu svake strane u kršenju kako bi utvrdilo odgovornost.
Nadzorna tijela i regulatorne uloge
Nizozemsko tijelo za zaštitu podataka (Autoriteit Persoonsgegevens) odgovorno je za provedbu usklađenosti s GDPR-om. Povrede osobnih podataka morate prijaviti ovom nadzornom tijelu u roku od 72 sata od saznanja o incidentu.
Nepoštivanje rokova za prijavu incidenata povećava vašu odgovornost.
Nacionalni centar za kibernetičku sigurnost (NCSC) bavi se širim prijetnje cybersigurnosti koji utječu na operatere bitnih usluga. Ako pružate kritičnu infrastrukturu ili digitalne usluge, morate prijaviti i značajne sigurnosne incidente NCSC-u.
Ova izvješća pomažu u koordinaciji nacionalnih odgovora na kibernetičke prijetnje.
Oba tijela provode istrage nakon sigurnosnih incidenata. Autoriteit Persoonsgegevens može izreći kazne do 20 milijuna eura ili 4% vašeg godišnjeg globalnog prometa, ovisno o tome što je veće.
Oni uzimaju u obzir čimbenike poput prirode kršenja, broja pogođenih pojedinaca i vaših mjera odgovora.
Smjernice ENISA-e utječu na način na koji nizozemske vlasti procjenjuju vašu usklađenost sa zahtjevima kibernetičke sigurnosti.
Organizacijske i tehničke mjere
Vaša implementacija tehničkih i organizacijskih mjera izravno utječe na utvrđivanje odgovornosti. Te mjere uključuju enkripciju, kontrolu pristupa, redovito sigurnosno testiranje i obuku osoblja.
Sudovi i nadzorno tijelo procjenjuju je li vaša sigurnost bila primjerena uključenim rizicima.
Morate dokumentirati svoje sigurnosne mjere i dokazati planiranje kontinuiteta poslovanja. Ako ne možete dokazati odgovarajuće mjere opreza, odgovornost se znatno povećava.
Redovite procjene rizika pomažu vam u prepoznavanju ranjivosti prije nego što dođe do kršenja.
Postupci rješavanja incidenata ključni su. Potrebni su vam jasni protokoli za otkrivanje, istraživanje i reagiranje na povrede osobnih podataka.
Vaše vrijeme reakcije i učinkovitost u suzbijanju sigurnosnih incidenata utječu na odluke o kaznama.
Agencija za zaštitu osobnih podataka očekuje da vodite evidenciju o svom sigurnosnom okviru. Bez odgovarajuće dokumentacije, dokazivanje razumne pažnje postaje teško tijekom istraga.
Utjecaj lanca opskrbe i pružatelja usluga
Sigurnost lanca opskrbe stvara složena pitanja odgovornosti. Kada vaši pružatelji usluga dožive povrede koje utječu na vaše podatke, i dalje se možete suočiti s posljedicama.
Morate provoditi dubinsku analizu dobavljača i kontinuirano pratiti njihove sigurnosne prakse.
Operateri osnovnih usluga suočavaju se sa strožim zahtjevima za upravljanje dobavljačima. Morate osigurati da pružatelji digitalnih usluga u vašem lancu opskrbe održavaju standarde koji su u skladu s vašim vlastitim obvezama.
Ugovorni sporazumi trebaju jasno definirati dužnosti izvješćivanja o incidentima i raspodjelu odgovornosti.
Ako povreda potječe iz vašeg lanca opskrbe, Autoriteit Persoonsgegevens ispituje jeste li proveli odgovarajuće procjene dobavljača. Vaša odgovornost ovisi o tome jeste li poduzeli razumne korake za provjeru sigurnosti dobavljača.
Ne možete u potpunosti delegirati odgovornost čak ni kada koristite obrađivače trećih strana.
Višeslojni lanci opskrbe zahtijevaju dodatnu budnost. Potreban vam je uvid u podobrađivače i njihove sigurnosne mjere kako biste se zaštitili od kaskadnih kvarova koji ugrožavaju osobne podatke u više organizacija.
Obveze obavještavanja o povredi podataka
Nizozemska provodi višeslojni okvir obavješćivanja u skladu s GDPR-om i nacionalnim zakonima o kibernetičkoj sigurnosti. Kontrolori moraju prijaviti kršenja Tijelu za zaštitu osobnih podataka (PDA) u roku od 72 sata kada postoji rizik za prava ispitanika.
Visokorizične povrede zahtijevaju izravno obavještavanje pogođenih osoba.
Rokovi i proceduralni zahtjevi
Morate obavijestiti PDA bez nepotrebnog odgađanja i, gdje je to izvedivo, najkasnije 72 sata nakon što ste saznali za povredu osobnih podataka. Ova se obveza primjenjuje osim ako je malo vjerojatno da će povreda rezultirati rizikom za prava i slobode pojedinaca.
Obavijest mora sadržavati specifične informacije gdje je to moguće. Morate navesti kategorije i približan broj dotičnih ispitanika, kategorije i približan broj pogođenih zapisa osobnih podataka te ime vašeg službenika za zaštitu podataka ili druge kontaktne osobe.
Također morate opisati vjerojatne posljedice kršenja i poduzete ili predložene mjere za njegovo rješavanje.
Ako ne možete dostaviti sve potrebne informacije unutar 72-satnog roka, možete ih poslati u fazama. Razloge svakog kašnjenja morate objasniti u svojoj početnoj obavijesti.
Tko mora biti obaviješten i kada
Morate izravno obavijestiti pogođene subjekte podataka kada je vjerojatno da će povreda osobnih podataka rezultirati visokim rizikom za njihova prava i slobode. Ova obavijest mora se uslijediti bez nepotrebnog odgađanja i koristiti jasan i jednostavan jezik.
Izravna obavijest ispitanicima nije potrebna u tri specifične okolnosti. Ne morate obavijestiti ako ste implementirali odgovarajuće tehničke i organizacijske mjere zaštite (kao što je šifriranje) koje podatke čine nerazumljivim neovlaštenim osobama.
Također ne morate obavijestiti ako ste poduzeli naknadne mjere kojima se osigurava da se visoki rizik za prava ispitanika vjerojatno više neće ostvariti ili ako bi izravna komunikacija zahtijevala nerazmjeran napor. U takvim slučajevima potrebna je javna komunikacija ili slične mjere.
Financijske tvrtke prema Zakonu o financijskom nadzoru izuzete su od obveze obavještavanja ispitanika. I dalje moraju izvještavati PDA.
Obrađivači imaju različite obveze. Morate obavijestiti kontrolora bez nepotrebnog odgađanja nakon što postanete svjesni bilo kakve povrede osobnih podataka, bez obzira na razinu rizika.
To je zakonski zahtjev prema GDPR-u i trebalo bi biti uključeno u vaš ugovor o obradi podataka.
Sektorski i nacionalni zahtjevi za obavješćivanje
Osim obveza prema GDPR-u, možete se suočiti s dodatnim zahtjevima za izvještavanje ovisno o vašem sektoru. WBNI (Zakon o sigurnosti mreža i informacijskih sustava) zahtijeva od određenih subjekata da prijave sigurnosne incidente tijelima za kibernetičku sigurnost, čak i kada se ti incidenti ne kvalificiraju kao povrede osobnih podataka.
Pružatelji javnih elektroničkih komunikacijskih mreža moraju izvještavati Inspektorat za ljudski okoliš i promet (ILT). Zdravstvene organizacije imaju obvezu obavijestiti Inspektorat za zdravstvo i skrb o mladima o incidentima koji utječu na sigurnost medicinskih uređaja ili podatke o pacijentima.
Tvrtke za financijske usluge moraju se pridržavati sektorskih zahtjeva prema zakonodavstvu o financijskom nadzoru.
Pružatelji kritične infrastrukture imaju pojačane obveze prema WBNI-ju. Morate prijaviti značajne incidente Timu za odgovor na incidente računalne sigurnosti (CSIRT) koji bi mogli znatno poremetiti bitne usluge.
Javne tvrtke možda će morati prijaviti sigurnosne incidente koji bi mogli materijalno utjecati na odluke investitora.
Ovi sektorski zahtjevi često djeluju uz obveze GDPR-a, a ne zamjenjuju ih. Možda ćete morati podnijeti više obavijesti različitim tijelima za jedan incident, ovisno o aktivnostima vaše organizacije i prirodi kršenja.
Provedba i sankcije za nepoštivanje
Nizozemske vlasti imaju jasne ovlasti za istraživanje propusta u kibernetičkoj sigurnosti i nametanje značajnih financijskih kazni organizacijama koje ne štite osobne podatke ili ne ispunjavaju sigurnosne zahtjeve.
Okvir za provedbu uključuje više regulatora sa specifičnim nadzornim odgovornostima, strukturirane sheme kazni i definirane postupke žalbe za organizacije koje se suočavaju sa sankcijama.
Istražne i nadzorne ovlasti
Nizozemska agencija za zaštitu podataka (Autoriteit Persoonsgegevens ili AP) ima primarnu odgovornost za istraživanje povreda podataka i kršenja GDPR-a.
AP može pokrenuti istrage na temelju pritužbi, medijskih izvješća ili rutinskih revizija.
Tijekom istraga, tijelo može zatražiti dokumentaciju, provoditi inspekcije na licu mjesta i intervjuirati članove osoblja.
Za obveze kibernetičke sigurnosti prema novom Cyberbeveiligingswetu, sektorski regulatori provode nadzor.
Agencija za potrošače i tržišta (ACM) nadzire digitalnu infrastrukturu i pružatelje telekomunikacijskih usluga.
Nizozemska središnja banka (DNB) nadzire financijske institucije.
Ministar gospodarstva i klime, ministar infrastrukture i vodnog gospodarstva te ministar zdravstva imaju provedbene ovlasti unutar svojih sektora.
Ovi regulatori mogu revidirati vaše sustave, pregledati postupke odgovora na incidente i procijeniti ispunjava li vaše upravljanje rizicima zakonske standarde.
Također mogu naplatiti troškove provedbe od vaše organizacije ako se utvrde prekršaji.
Nacionalni centar za kibernetičku sigurnost (NCSC) koordinira između regulatora, ali ne nameće izravno kazne.
Administrativne i financijske kazne
Financijske kazne variraju ovisno o pravnom okviru i težini prekršaja.
U skladu s provedbom GDPR-a, AP može izreći kazne do 20 milijuna eura ili 4% vašeg godišnjeg globalnog prometa, ovisno o tome što je veće.
Tijelo uzima u obzir čimbenike poput prirode kršenja, broja pogođenih pojedinaca i vaše suradnje tijekom istrage.
Prema Zakonu o kibernetičkoj sigurnosti (Cyberbeveiligingswet), kazne slijede višeslojnu strukturu:
| Klasifikacija entiteta | Najveća kazna | Alternativa za promet igrača |
|---|---|---|
| Bitne cjeline (EE) | 10 milijuna € | 2% globalnog prometa |
| Najvažnije entitete (BE) | 7 milijuna € | 1.4% globalnog prometa |
Regulatori također mogu izdati korektivne naloge kojima se od vas zahtijeva da provedete određene sigurnosne mjere unutar određenih rokova.
Ponovljeni propusti mogu rezultirati imenovanjem i sramoćenjem putem javnog otkrivanja kršenja.
Direktori organizacija klasificiranih kao bitni subjekti mogu se u teškim slučajevima suočiti s osobnom diskvalifikacijom s pozicija u upravnom odboru.
Organizacije javnog sektora izuzete su od financijskih kazni, ali se suočavaju s korektivnim mjerama provedbe i potencijalnim parlamentarnim nadzorom.
Pravna sredstva i žalbe
Imate pravo osporiti odluke o provedbi putem upravne žalbe.
Nakon što primite obavijest o kazni, možete podnijeti prigovor (bezwaar) tijelu koje ju je izdalo u roku od šest tjedana.
Regulator mora preispitati svoju odluku i dati formalni odgovor.
Ako se ne slažete s ishodom ponovnog razmatranja, možete se žaliti okružnom sudu (rechtbank).
Sud preispituje je li regulator slijedio odgovarajuće postupke i ispravno primijenio zakon.
Tada možete odluke žalbenog suda Odjelu za upravnu nadležnost Državnog vijeća (Afdeling bestuursrechtspraak van de Raad van State), koji služi kao najviši upravni sud.
Tijekom cijelog postupka žalbe morate nastaviti provoditi sve korektivne mjere koje su naložili regulatori.
Sudovi mogu obustaviti financijske kazne do okončanja žalbe, ali to nije automatski.
Ključne uloge i odgovornosti u upravljanju kibernetičkom sigurnošću
Organizacije moraju jasno definirati tko upravlja zadacima kibernetičke sigurnosti, od imenovanja službenika za zaštitu podataka do uspostavljanja odgovornosti na razini uprave i obuke zaposlenika o sigurnosnim protokolima.
Službenici za zaštitu podataka i imenovanja
Morate imenovati službenika za zaštitu podataka (DPO) ako vaša organizacija obrađuje osjetljive osobne podatke u velikim razmjerima ili sustavno prati pojedince.
DPO služi kao vaša glavna kontaktna točka za tijela za zaštitu podataka i ispitanike.
Vaš DPO mora imati posebne kvalifikacije u zakonu o zaštiti podataka i praksama informacijske sigurnosti.
Moraju izravno odgovarati vašoj najvišoj razini upravljanja i ne mogu biti otpušteni zbog obavljanja svojih dužnosti.
Uloga uključuje praćenje usklađenosti s GDPR-om, provođenje procjena utjecaja na zaštitu podataka i savjetovanje o zahtjevima za šifriranje i kriptografiju.
Trebali biste jasno dokumentirati odgovornosti DPO-a.
To uključuje njihovu ovlast za reviziju vaše digitalne infrastrukture i pregled vašeg plana odgovora na incidente.
Ako poslujete u više zemalja EU-a, možete imenovati jednog službenika za zaštitu podataka na temelju njegovih profesionalnih kvaliteta i poznavanja relevantnih jurisdikcija.
Korporativno upravljanje i odgovornost
Vaš upravni odbor ima krajnju odgovornost za upravljanje rizicima kibernetičke sigurnosti.
Moraju odobriti sigurnosne mjere, dodijeliti odgovarajuće resurse i osigurati odgovarajući nadzor nad naporima za kibernetičku otpornost.
Odgovornost vodstva uključuje:
- Odobravanje sigurnosnih politika za okvire informacijske sigurnosti
- Nadzor nad procjenama rizika i planiranje operativne otpornosti
- Osiguravanje usklađenosti s revizijom putem neovisnih recenzija
- Raspodjela proračuna za upravljanje kibernetičkom sigurnošću i obuku zaposlenika
Morate uspostaviti jasne linije ovlasti za donošenje sigurnosnih odluka.
Dokument tko odobrava sigurnosne mjere, tko nadzire provedbu i tko provodi revizije.
Vaš menadžment mora redovito pregledavati učinkovitost kibernetičke sigurnosti i prilagođavati strategije na temelju promjenjivih prijetnji vašoj digitalnoj infrastrukturi.
Interne politike i osposobljavanje zaposlenika
Morate stvoriti dokumentirane politike koje definiraju sigurnosne uloge u cijeloj vašoj organizaciji.
Ove politike trebale bi specificirati odgovornosti za zaštitu podataka, odgovor na incidente i održavanje kibernetičke otpornosti.
Vaše sigurnosne politike trebaju pokrivati:
- Kontrole pristupa i zahtjevi za autentifikaciju
- Standardi klasifikacije i šifriranja podataka
- Procedure za prijavu incidenata
- Redovita obuka o sigurnosti
Trebali biste osigurati kontinuiranu obuku svim zaposlenicima o praksama informacijske sigurnosti.
Ovo uključuje prepoznavanje phishinga pokušaje, pravilno rukovanje osjetljivim podacima i praćenje plana odgovora na incidente.
Obuka mora biti prilagođena specifičnim ulogama, a tehničko osoblje mora dobiti napredne upute o kriptografiji i sigurnosnim kontrolama.
Vaše politike moraju se redovito pregledavati i ažurirati kada se propisi promijene ili se pojave novi rizici.
Morate osigurati odgovarajuće resurse za provedbu politika i razvoj osoblja u praksama kibernetičke sigurnosti.
Vrste incidenata kibernetičke sigurnosti i nove prijetnje
Kibernetički incidenti kreću se od obmanjujućih e-poruka do velikih poremećaja u mreži koji mogu ugroziti cijele organizacije.
Razumijevanje ovih prijetnji pomaže vam prepoznati ranjivosti i odrediti tko je odgovoran kada dođe do kršenja sigurnosti.
Krađa identiteta, zlonamjerni softver i ransomware
phishing ostaje jedna od najčešćih prijetnji kibernetičkoj sigurnosti s kojima ćete se susresti.
Napadači šalju e-poruke ili poruke koje se pretvaraju da su od legitimnih tvrtki kako bi ukrali vaše lozinke, financijske podatke ili druge osjetljive podatke.
Ovi napadi odgovorni su za preko 60 posto incidenata socijalnog inženjeringa.
malware odnosi se na štetni softver koji oštećuje vaše računalne sustave ili mreže.
To uključuje viruse, trojance i drugi zlonamjerni kod osmišljen za pristup vašim podacima ili ometanje vašeg poslovanja.
Ransomware je specifična vrsta zlonamjernog softvera koji blokira pristup vašim datotekama i zahtijeva plaćanje za vraćanje podataka.
Čak i ako platite otkupninu, nema jamstva da će napadači vratiti vaš pristup ili izbrisati ukradene podatke.
Između 2020. i 2021. godine, organizacije su se suočile s otprilike 24 000 incidenata kibernetičke sigurnosti diljem svijeta, a ransomware je odigrao značajnu ulogu u financijskim gubicima.
Napadi uskraćivanja usluge (DoS) i distribuirani DoS (DDoS) napadi
DoS napadi preopteretiti vaše sustave prometom kako bi usluge postale nedostupne legitimnim korisnicima.
Jedan izvor preplavljuje vašu mrežu zahtjevima sve dok se ne sruši ili postane previše spor za funkcioniranje.
DDoS napada koristiti više kompromitiranih sustava za pokretanje koordiniranih napada na vašu infrastrukturu.
Ove distribuirane napade je teže zaustaviti jer dolaze s mnogo lokacija istovremeno.
DDoS napadi mogu poremetiti kritične usluge, od vladinih web stranica do poslovanja privatnog sektora.
Obično imate manje od 62 minute od prvog otkrivanja da spriječite da sigurnosni incident postane veliko kršenje sigurnosti.
Zbog ovog uskog vremenskog okvira, brza reakcija je ključna prilikom suočavanja s DoS ili DDoS napadima.
Prijevara i neovlašteni pristup
prevara u kibernetičkoj sigurnosti uključuje prijevarne prakse za dobivanje neovlaštenog pristupa vašim sustavima ili podacima.
To uključuje krađu identiteta, prijevaru s plaćanjem i kompromitiranje vjerodajnica.
Neovlašteni pristup događa se kada netko prekrši vaše sigurnosne politike kako bi pristupio mrežama, sustavima ili podacima bez dopuštenja.
To se može dogoditi putem:
- Ukradeni podaci za prijavu
- Iskorištene softverske ranjivosti
- Zaobiđene sigurnosne kontrole
- Insajderske prijetnje od strane sadašnjih ili bivših zaposlenika
Krađa insajderskih podataka često se zanemaruje, ali može biti jednako štetna kao i vanjski napadi.
U 2021. godini prosječni trošak insajderskih napada dosegao je 12.5 milijuna funti.
Čak se i nenamjerno curenje podataka od strane zaposlenika smatra sigurnosnim incidentima prema Zakonu o zlouporabi računala (1990.).
Ranjivosti sektora i lanca opskrbe
Sektori kritične infrastrukture suočavaju se s povećanim rizicima od kibernetičkog kriminala, a glavne mete su zdravstvo, energetika i financijske usluge.
Profesionalni sektor doživio je gotovo 3,600 incidenata između 2020. i 2021. godine, što ga čini najnapadanijom industrijom.
Sigurnost lanca opskrbe postalo je sve važnije jer napadači ciljaju vaše partnere i treće strane, umjesto da vas napadaju izravno.
Ovi napadi trećih strana iskorištavaju slabije sigurnosne mjere u vašim partnerskim organizacijama kako bi pristupili podacima vaših klijenata.
Ranjivosti u lancu opskrbe omogućuju napadačima da ugroze više organizacija jednim probojem.
Kada se sustavi vašeg dobavljača povežu s vašim, njihove sigurnosne slabosti postaju vaše sigurnosne slabosti.
Ovaj međusobno povezani rizik znači da morate procijeniti ne samo vlastite mjere kibernetičke sigurnosti već i mjere svake organizacije u vašem lancu opskrbe.
Nacionalne države sve više testiraju i prodiru u suparničke kibernetičke prostore, često djelujući pod krinkom privatnih subjekata dok istovremeno djeluju u ime vlada.
Često postavljana pitanja
Nizozemske tvrtke moraju se pridržavati strogih zahtjeva za izvještavanje i standarda usklađenosti nakon kršenja podataka, a odgovornost se proteže na više strana ovisno o njihovim ulogama i odgovornostima.
Razumijevanje ovih obveza pomaže organizacijama da zaštite sebe i pogođene pojedince, a istovremeno održavaju usklađenost s nacionalnim i europskim propisima.
Koje su pravne obveze nizozemskih tvrtki nakon kršenja podataka?
Vaša organizacija mora obavijestiti nizozemsko tijelo za zaštitu podataka (Autoriteit Persoonsgegevens) u roku od 72 sata od saznanja o povredi podataka.
Ovaj zahtjev primjenjuje se prema GDPR-u, koji uređuje zaštitu podataka u cijeloj Nizozemskoj.
U obavijesti o povredi morate navesti konkretne informacije.
To uključuje prirodu kršenja, broj pogođenih pojedinaca, potencijalne posljedice i mjere koje ste poduzeli ili planirate poduzeti.
Ako ne možete dostaviti sve podatke u roku od 72 sata, morate objasniti kašnjenje i dostaviti preostale podatke što je prije moguće.
Kada kršenje predstavlja visok rizik za prava i slobode pojedinaca, morate izravno obavijestiti pogođene osobe.
Ne možete odgoditi ovu obavijest bez opravdanih razloga.
Vaša komunikacija s pogođenim osobama treba biti jasna i objasniti vjerojatne posljedice kršenja sigurnosti te korake koje mogu poduzeti kako bi se zaštitili.
Morate voditi detaljnu dokumentaciju o svim povredama podataka, bez obzira na to prijavljujete li ih nadležnim tijelima.
Ova dokumentacija treba sadržavati činjenice o kršenju, njegove posljedice i poduzete mjere za otklanjanje povrede.
Nizozemsko tijelo za zaštitu podataka može zatražiti ovu dokumentaciju tijekom inspekcija ili istraga.
Kako se utvrđuje odgovornost za povrede podataka prema nizozemskom zakonodavstvu?
Odgovornost za povrede podataka u Nizozemskoj ovisi o vašoj ulozi kao voditelja obrade podataka ili obrađivača podataka.
Kontrolori podataka određuju svrhe i načine obrade osobnih podataka, dok izvršitelji obrade podataka obrađuju podatke u ime kontrolora.
Vaš pravne odgovornosti razlikuju se na temelju ove klasifikacije.
Kao kontrolor podataka, snosite primarnu odgovornost za osiguravanje usklađenosti s propisima o zaštiti podataka.
Morate provesti odgovarajuće tehničke i organizacijske mjere za zaštitu osobnih podataka.
Sudovi procjenjuju jeste li poduzeli razumne korake kako biste spriječili kršenje sigurnosti i jeste li postupili nemarno u svojim sigurnosnim praksama.
Obrađivači podataka također mogu biti odgovorni ako ne slijede upute kontrolora ili prekrše svoje ugovorne obveze.
Međutim, obrađivači obično imaju ograničeniju odgovornost od kontrolora.
Ako obrađujete podatke bez odgovarajućeg odobrenja kontrolora ili ne provodite dogovorene sigurnosne mjere, možete biti izravno odgovorni.
Nizozemski sudovi primjenjuju nekoliko čimbenika prilikom utvrđivanja odgovornosti.
To uključuje ozbiljnost povrede, osjetljivost kompromitiranih podataka, vaše sigurnosne mjere prije povrede i vaš odgovor nakon otkrivanja incidenta.
Veličina i resursi vaše organizacije također utječu na to što sudovi smatraju razumnim sigurnosnim mjerama.
Zajednička odgovornost može nastati kada više stranaka doprinese povredi podataka.
Ako dijelite odgovornost s drugim kontrolorima ili obrađivačima, sudovi mogu svaku stranu smatrati odgovornom za cjelokupnu štetu.
Zatim možete tražiti odštetu od drugih odgovornih strana na temelju njihovog doprinosa kršenju.
Koje strane mogu biti odgovorne za incidente sigurnosti podataka u Nizozemskoj?
Kontrolori podataka snose primarnu odgovornost za incidente sigurnosti podataka.
Kao kontrolor, donosite odluke o tome kako se obrađuju osobni podaci i morate osigurati da su na snazi odgovarajuće sigurnosne mjere.
Vaša organizacija može se suočiti s administrativnim kaznama, građanskom odgovornošću i štetom za ugled nakon kršenja.
Obrađivači podataka mogu biti odgovorni ako ne ispune svoje ugovorne i zakonske obveze.
Ako obrađujete podatke u ime kontrolora, morate implementirati sigurnosne mjere navedene u vašem ugovoru i pridržavati se zakonitih uputa kontrolora.
Suočavate se s izravnom odgovornošću ako prekoračite svoje ovlasti ili ne održavate odgovarajuću sigurnost.
Direktori i službenici vaše organizacije mogu se suočiti s osobnom odgovornošću u određenim okolnostima.
Prema provedbi NIS2 direktive u Nizozemskoj, uprava se može smatrati osobno odgovornom za propuste u upravljanju kibernetičkom sigurnošću.
To uključuje potencijalnu diskvalifikaciju s dužnosti direktora u slučaju ozbiljnih kršenja propisa.
Pružatelji usluga trećih strana također mogu snositi odgovornost za sigurnosne incidente.
Ako se oslanjate na usluge u oblaku, IT podršku ili druge vanjske pružatelje usluga, oni mogu dijeliti odgovornost kada njihovi propusti doprinesu kršenju sigurnosti.
Vaši ugovori s tim pružateljima usluga trebaju jasno definirati sigurnosne odgovornosti i uvjete odgovornosti.
Nizozemska Agencija za zaštitu podataka služi kao glavno tijelo za provedbu.
Iako nije izravno odgovorno za kršenja, Tijelo istražuje incidente, izdaje korektivne naloge i nameće administrativne kazne organizacijama koje ne poštuju propise.
Koje su posljedice za organizacije zbog nepoštivanja nizozemskih propisa o zaštiti podataka?
Vaša organizacija može se suočiti s administrativnim kaznama do 20 milijuna eura ili 4% vašeg globalnog godišnjeg prometa, ovisno o tome koji je iznos veći. Nizozemska agencija za zaštitu podataka određuje iznose kazni na temelju prirode, težine, trajanja i vaše suradnje tijekom istraga.
Osim financijskih kazni, Tijelo može nametnuti korektivne mjere koje ometaju vaše poslovanje. Te mjere uključuju privremena ograničenja aktivnosti obrade podataka, naloge za ispravljanje određenih prekršaja i obvezne revizije.
Možda ćete morati obustaviti određene poslovne aktivnosti dok ne dokažete usklađenost. Vaša organizacija riskira značajnu štetu po ugledu zbog neusklađenosti.
Javno otkrivanje povreda podataka i regulatornih kazni može narušiti povjerenje kupaca i oštetiti poslovne odnose. Nizozemska agencija za zaštitu podataka objavljuje odluke o provedbi, koje ostaju dostupne javnosti i medijima.
Možete se suočiti s građanskim tužbama od strane pogođenih pojedinaca koji traže naknadu štete. Pojedinci mogu tražiti materijalnu i nematerijalnu štetu nastalu zbog kršenja zaštite podataka.
Nizozemski sudovi sve više priznaju tužbe za naknadu štete i gubitak kontrole nad osobnim podacima, čak i bez izravnih financijskih gubitaka. Vaše poslovne mogućnosti mogu biti ograničene nakon ozbiljnih kršenja.
Neki sektori zahtijevaju sigurnosne certifikate ili evidenciju o usklađenosti kako bi održavali ugovore, posebno kada se radi o poslovanju s vladinim tijelima ili reguliranim industrijama.
Na koje načine pogođene osobe mogu tražiti pravnu zaštitu nakon kršenja podataka u Nizozemskoj?
Možete podnijeti pritužbu nizozemskom Agenciji za zaštitu podataka ako smatrate da je neka organizacija prekršila vaša prava na zaštitu podataka. Tijelo istražuje pritužbe i može poduzeti mjere protiv organizacija koje ne poštuju pravila.
Ovaj postupak vas ništa ne košta i ne zahtijeva pravno zastupanje. Imate pravo pokrenuti građansku parnicu protiv odgovorne organizacije.
Nizozemski zakon vam omogućuje da tražite naknadu za materijalnu i nematerijalnu štetu nastalu kršenjem zaštite podataka. Materijalna šteta uključuje financijske gubitke, dok nematerijalna šteta pokriva nevolju, tjeskobu i gubitak kontrole nad vašim osobnim podacima.
Možete angažirati odvjetnika za rješavanje vašeg zahtjeva na temelju uspješnosti ili zatražiti pravnu pomoć ako ispunjavate financijske kriterije podobnosti. Mnogi odvjetnički uredi u Nizozemskoj specijalizirani su za slučajeve zaštite podataka i mogu vas savjetovati o snazi vašeg zahtjeva.
Mehanizmi kolektivne tužbe omogućuju grupama pogođenih pojedinaca da kolektivno podnose zahtjeve. Možete tražiti odštetu izravno od organizacije bez odlaska na sud.
Mnoge organizacije radije rješavaju zahtjeve privatno kako bi izbjegle troškove sudskog postupka i negativan publicitet. Vaša pregovaračka pozicija jača ako je organizacija očito prekršila propise o zaštiti podataka ili ako je kršenje uzrokovalo značajnu štetu.
Također možete podnijeti zahtjeve protiv obrađivača podataka ako snose odgovornost za kršenje. Prema GDPR-u, i kontrolori i obrađivači mogu biti odgovorni za štetu.
Ako je više stranaka doprinijelo kršenju, možete tražiti puni iznos od bilo koje odgovorne strane.
Kako GDPR utječe na odgovornost i odgovornosti u slučaju kršenja podataka za subjekte koji posluju u Nizozemskoj?
GDPR utvrđuje jasne obveze za organizacije u vezi sa zaštitom osobnih podataka.
Subjekti moraju provesti odgovarajuće tehničke i organizacijske mjere kako bi osigurali sigurnost podataka.
U slučaju povrede podataka, organizacije su dužne obavijestiti nadležno nadzorno tijelo u roku od 72 sata.
Ako kršenje predstavlja visok rizik za prava i slobode pojedinaca, pogođene osobe također moraju biti obaviještene.
Nepoštivanje ovih zahtjeva može rezultirati značajnim kaznama i narušavanjem ugleda organizacije.
I kontrolori podataka i obrađivači imaju različite odgovornosti prema GDPR-u, a ugovori moraju jasno definirati te uloge.
