Пробивање на податоци се случува секој ден во Холандија. Кога ќе се случи тоа, некој мора да преземе мерки. одговорност.
Според холандскиот закон и GDPR, организациите што ги контролираат личните податоци се првенствено одговорни за нивната заштита и се соочуваат со... значителна одговорност кога се случуваат прекршувања. Доколку вашиот бизнис претрпи Cyberattack, може да се соочите со казни до 20 милиони евра или 4% од вашиот глобален годишен промет, во зависност од тоа кој износ е поголем.
Разбирањето кој ја сноси одговорноста по повреда на податоци е од суштинско значење за секоја организација што работи во Холандија. Одговорот не е секогаш едноставен, бидејќи одговорноста може да се прошири надвор од вашата компанија и да ги вклучи давателите на услуги од трети страни, вработените и другите страни вклучени во обработката на податоци.
Холандскиот орган за заштита на податоци и другите регулатори ја одредуваат одговорноста врз основа на вашата улога како контролор на податоци или обработувач, безбедносните мерки што сте ги воспоставиле и колку брзо сте реагирале на инцидентот.
Оваа статија ја анализира правната рамка што ја регулира сајбер-безбедноста во Холандија и објаснува како се доделува одговорност по прекршување. Ќе дознаете за вашите обврски за известување, казните со кои се соочувате за непочитување и практичните чекори што можете да ги преземете за да ја заштитите вашата организација од сајбер напади и правни последици.
Правна рамка за сајбер безбедност и заштита на податоци
Холандија работи според повеќе слоеви на законодавството за сајбер безбедност и заштита на податоците, комбинирајќи ги регулативите на ниво на ЕУ со националните закони за имплементација. Овие закони воспоставуваат јасни обврски за организациите што ракуваат со лични податоци и управуваат со критична инфраструктура.
Тие создаваат специфични барања за различни сектори, вклучувајќи телекомуникации, финансии и закон извршување.
Општа регулатива за заштита на податоци (GDPR) и имплементација во Холандија
на GDPR служи како примарен рамка за заштита на податоци низ цела ЕУ, вклучувајќи ја и Холандија. Воспоставува сеопфатни правила за обработка на лични податоци и бара од организациите да спроведат соодветни технички и организациски мерки за заштита на информациите.
Холандија го имплементираше GDPR преку Холандски закон за имплементација на GDPR (Просечен просек на оценки), кој ги прилагодува барањата на ЕУ кон холандското законодавство. Овој закон обезбедува специфични одредби за националните околности, а воедно одржува усогласеност со европските стандарди.
Го назначува Холандскиот орган за заштита на податоци (Орган за лични податоци) како надзорен орган одговорен за спроведување.
Според GDPR, мора да пријавите кршење на податоците до надзорниот орган во рок од 72 часа откако ќе дознаете за нив. Кога прекршувањата претставуваат висок ризик за правата и слободите на поединците, мора да ги известите и засегнатите лица без непотребно одложување.
Овие барања за известување ја формираат основата на одговорноста за прекршување во Холандија.
на Verzamelwet Gegevensbescherming (Закон за колективна заштита на податоци) дополнително ги усовршува различните холандски закони за да се усогласат со стандардите на GDPR. Ова обезбедува конзистентност во различни правни домени.
Законот за сајбер безбедност и Директивата NIS2
на Директива NIS2 значително ги проширува барањата за сајбер безбедност за основните и важни субјекти низ цела ЕУ. Холандија ја спроведува оваа директива преку ажурирања на Кибербејвилигингсвот (Холандски закон за сајбер безбедност), кој првично ја транспонираше првата Директива за НИС.
NIS2 го проширува опсегот на опфатени сектори и воведува построги безбедносни барања, обврски за пријавување инциденти и одредби за одговорност на менаџментот. Мора да имплементирате специфични мерки за управување со ризик и да пријавите значајни инциденти во рок од 24 часа откако ќе станете свесни за нив.
на Закон за безбедност на мрежи и информациски системи и придружни Уредба за безбедност на мрежи и информациски системи утврдуваат детални барања за операторите на основни услуги и давателите на дигитални услуги. Овие закони наложуваат основни безбедносни мерки, редовни ревизии и координација со националните органи за сајбер безбедност.
Законодавството назначува специфични надлежни органи за различни сектори. Ова обезбедува специјализиран надзор врз практиките за сајбер безбедност.
Други релевантни закони и директиви
на Директива на ЕУ за е-приватност го надополнува GDPR со тоа што се осврнува на приватноста на електронските комуникации. Потребна е согласност за колачиња и слични технологии и ја штити доверливоста на податоците за комуникации.
на Закон за телекомуникации (Телекомуникациски) наметнува специфични безбедносни обврски на телекомуникациските даватели, вклучувајќи барања за заштита на интегритетот на мрежата и податоците на корисниците. Овој закон работи заедно со законите за заштита на податоците за да се обезбеди сеопфатна заштита во комуникацискиот сектор.
на Закон за отпорност на критични субјекти (CRA) ги зајакнува барањата за физичка и сајбер безбедност за субјектите што се сметаат за критични за јавната безбедност и економската стабилност. Потребни се проценки на ризикот и мерки за отпорност надвор од стандардните одредби за сајбер безбедност.
Овие рамки создаваат преклопувачки обврски. Мора да се снајдете во нив кога работите низ повеќе сектори или ракувате со различни видови податоци.
Регулативи за специфични сектори
на Закон за финансиски надзор (Wet op het financieel toezicht) воспоставува строги барања за сајбер безбедност и заштита на податоците за финансиските институции. Мора да имплементирате робусни безбедносни контроли, процедури за одговор на инциденти и протоколи за редовно тестирање кога работите во финансискиот сектор.
Организациите за спроведување на законот се соочуваат со специјализирани барања според Закон за полициски податоци (Влажни политиегегевени) И Wet justitiële en strafvorderlijke gegevens (Закон за податоци од судска и кривична постапка). Овие закони го регулираат начинот на кој полицијата и судските власти собираат, обработуваат и заштитуваат лични податоци за време на истраги и кривични постапки.
Давателите на здравствени услуги мора да се придржуваат кон дополнителни заштитни мерки за приватност покрај стандардните барања на GDPR. Ова ја одразува чувствителната природа на медицинските информации.
Секторите за енергетика, транспорт и вода се соочуваат со специфични обврски во рамките на имплементацијата на NIS2, со прилагодени безбедносни мерки соодветни на нивните оперативни ризици.
Секоја регулатива специфична за секторот наметнува единствени оптоварувања за усогласеност. Од суштинско значење е да се идентификуваат кои закони се однесуваат на специфичните активности и операциите за обработка на податоци на вашата организација.
Доделување одговорност по повреда на податоци
Во Холандија, одговорноста за повреда на податоци зависи од вашата улога во обработката на лични податоци, безбедносни мерки сте имплементирале и дали сте ги следеле барањата за известување. Холандскиот орган за заштита на податоци и другите надзорни тела ја утврдуваат одговорноста врз основа на законски обврски според GDPR и националните закони за сајбер безбедност.
Дефинирање на одговорност: Контролори, обработувачи и трети страни
Вашата одговорност по повреда на лични податоци зависи од тоа дали се однесувате како контролор на податоци или обработувач. Контролорите одлучуваат како и зошто се обработуваат личните податоци, што ги прави првенствено одговорни за безбедносни инциденти.
Обработувачите ракуваат со податоци во име на контролорите и се соочуваат со одговорност ако ги надминат инструкциите или не спроведат соодветни безбедносни мерки.
Трети страни, како што се давателите на дигитални услуги, имаат посебни одговорности. Доколку користите надворешни добавувачи, останувате одговорни за нивните постапки кога тие обработуваат податоци во ваше име.
Вашите договори мора да ги специфицираат безбедносните обврски и процедурите за справување со инциденти.
Кога се вклучени повеќе страни, одговорноста може да биде споделена. Доколку и вие и вашиот обработувач не сте имплементирале технички и организациски мерки, и двајцата може да се соочите со казни од страна на Авторитетот за лични податоци.
Надзорниот орган ја испитува улогата на секоја страна во прекршувањето за да додели одговорност.
Надзорни органи и регулаторни улоги
Авторитетот за заштита на лични податоци на Холандија е одговорен за спроведување на усогласеноста со GDPR. Мора да пријавите прекршувања на личните податоци до овој надзорен орган во рок од 72 часа откако ќе дознаете за инцидентот.
Непочитувањето на роковите за пријавување инциденти ја зголемува вашата одговорност.
Националниот центар за сајбер безбедност (NCSC) се занимава со пошироки закани за компјутерска безбедност што влијае на операторите на основни услуги. Доколку обезбедувате критична инфраструктура или дигитални услуги, мора да пријавите и значајни безбедносни инциденти до NCSC.
Овие извештаи помагаат во координирањето на националните одговори на сајбер заканите.
И двата органи спроведуваат истраги по безбедносни инциденти. Авторитетот за лични прашања може да изрече казни до 20 милиони евра или 4% од вашиот годишен глобален промет, кое од двете е поголемо.
Тие земаат предвид фактори како што се природата на прекршувањето, бројот на засегнати лица и вашите мерки за одговор.
Упатствата на ENISA влијаат на тоа како холандските власти ја проценуваат вашата усогласеност со барањата за сајбер безбедност.
Организациски и технички мерки
Вашата имплементација на технички и организациски мерки директно влијае на утврдувањето на одговорноста. Овие мерки вклучуваат енкрипција, контрола на пристап, редовно безбедносно тестирање и обука на персоналот.
Судовите и надзорниот орган проценуваат дали вашето обезбедување било соодветно за вклучените ризици.
Мора да ги документирате вашите безбедносни мерки и да покажете планирање за континуитет на работењето. Доколку не можете да докажете соодветни мерки на претпазливост, одговорноста значително се зголемува.
Редовните проценки на ризикот ви помагаат да ги идентификувате ранливостите пред да се случат прекршувања.
Процедурите за справување со инциденти се клучни. Потребни ви се јасни протоколи за откривање, истражување и реагирање на повреди на лични податоци.
Вашето време на одговор и ефикасноста во спречувањето на безбедносните инциденти влијаат на одлуките за казни.
Авторитетот за лични податоци очекува од вас да чувате докази за вашата безбедносна рамка. Без соодветна документација, докажувањето на разумна грижа станува тешко за време на истрагите.
Влијание на синџирот на снабдување и давателите на услуги
Безбедноста на синџирот на снабдување создава сложени проблеми со одговорноста. Кога вашите даватели на услуги ќе доживеат прекршувања што влијаат на вашите податоци, сепак може да се соочите со последици.
Мора да спроведете длабинска проверка на добавувачите и постојано да ги следите нивните безбедносни практики.
Операторите на основни услуги се соочуваат со построги барања за управување со добавувачи. Мора да се осигурате дека добавувачите на дигитални услуги во вашиот синџир на снабдување одржуваат стандарди што одговараат на вашите сопствени обврски.
Договорните спогодби треба јасно да ги дефинираат должностите за пријавување инциденти и распределбата на одговорностите.
Доколку прекршувањето потекнува од вашиот синџир на снабдување, Персоналниот орган испитува дали сте извршиле соодветни проценки на добавувачите. Вашата одговорност зависи од тоа дали сте презеле разумни чекори за да ја потврдите безбедноста на добавувачите.
Не можете целосно да делегирате одговорност дури и кога користите процесори од трети страни.
Повеќеслојните синџири на снабдување бараат дополнителна будност. Потребна ви е увид во подобработувачите и нивните безбедносни мерки за да се заштитите од каскадни дефекти што ги компромитираат личните податоци низ повеќе организации.
Обврски за известување за повреда на податоци
Холандија имплементира рамка за повеќеслојно известување според GDPR и националните закони за сајбер безбедност. Контролорите мораат пријавување прекршувања до Управата за лични податоци (УЛП) во рок од 72 часа кога постои ризик од права на субјектот на податоци.
Прекршувања со висок ризик бараат директно известување до засегнатите лица.
Временски рокови и процедурални барања
Мора да го известите PDA без непотребно одложување и, доколку е можно, не подоцна од 72 часа откако ќе дознаете за повреда на лични податоци. Оваа обврска важи освен ако е малку веројатно дека повредата ќе резултира со ризик за правата и слободите на физичките лица.
Известувањето мора да содржи специфични информации каде што е можно. Треба да ги наведете категориите и приближниот број на засегнати субјекти на податоци, категориите и приближниот број на засегнати записи за лични податоци и името на вашиот службеник за заштита на податоци или друга контактна точка.
Исто така, мора да ги опишете веројатните последици од прекршувањето и мерките преземени или предложени за негово решавање.
Доколку не можете да ги доставите сите потребни информации во рокот од 72 часа, можете да ги доставите во фази. Мора да ги објасните причините за какво било доцнење во вашето првично известување.
Кој треба да биде известен и кога
Мора директно да ги известите засегнатите субјекти на податоци кога повредата на лични податоци веројатно ќе резултира со висок ризик за нивните права и слободи. Ова известување мора да се изврши без непотребно одложување и да се користи јасен и едноставен јазик.
Директно известување до субјектите на податоци не е потребно во три специфични околности. Не треба да известувате ако сте имплементирале соодветни технички и организациски мерки за заштита (како што е енкрипција) што ги прават податоците неразбирливи за неовластени лица.
Исто така, не треба да известувате доколку сте презеле последователни мерки со кои се осигурува дека високиот ризик за правата на субјектите на податоци повеќе нема да се материјализира или ако директната комуникација би вклучувала непропорционален напор. Во такви случаи, наместо тоа, потребна е јавна комуникација или слични мерки.
Финансиските компании според Законот за финансиски надзор се ослободени од обврската за известување на субјектот на податоци. Тие сепак мора да поднесат извештај до PDA.
Обработувачите имаат посебни обврски. Мора да го известите контролорот без непотребно одложување откако ќе дознаете за какво било кршење на личните податоци, без оглед на нивото на ризик.
Ова е законски услов според GDPR и треба да биде вклучено во вашиот договор за обработка.
Секторски и национални барања за известување
Покрај обврските според GDPR, може да се соочите со дополнителни барања за известување во зависност од вашиот сектор. WBNI (Закон за безбедност на мрежи и информациски системи) бара од одредени субјекти да пријавуваат безбедносни инциденти до органите за сајбер безбедност, дури и кога овие инциденти не се квалификуваат како повреди на лични податоци.
Давателите на јавни електронски комуникациски мрежи мора да поднесат извештај до Инспекторатот за човекова животна средина и транспорт (ILT). Здравствените организации се соочуваат со обврска да го известат Инспекторатот за здравство и грижа за млади во врска со инциденти што влијаат врз безбедноста на медицинските помагала или податоците за пациентите.
Фирмите за финансиски услуги мора да ги почитуваат барањата специфични за секторот согласно законодавството за финансиски надзор.
Давателите на критична инфраструктура имаат зголемени обврски според WBNI. Мора да пријавите значајни инциденти до Тимот за одговор на инциденти во компјутерската безбедност (CSIRT) што би можеле значително да ги нарушат основните услуги.
Јавните компании можеби ќе треба да известат за безбедносни инциденти што би можеле материјално да влијаат врз одлуките на инвеститорите.
Овие секторски барања честопати функционираат заедно со обврските од GDPR, наместо да ги заменуваат. Можеби ќе треба да поднесете повеќе известувања до различни органи за еден инцидент, во зависност од активностите на вашата организација и природата на прекршувањето.
Спроведување и санкции за непочитување
Холандските власти имаат јасни овластувања да истражуваат неуспеси во сајбер безбедноста и да наметнуваат значителни финансиски казни на организациите кои не ги заштитуваат личните податоци или не ги исполнуваат безбедносните барања.
Рамката за спроведување вклучува повеќе регулатори со специфични надзорни одговорности, структурирани казнени шеми и дефинирани процедури за жалби за организациите кои се соочуваат со санкции.
Овластувања за истрага и надзор
Холандскиот орган за заштита на податоци (Autoriteit Persoonsgegevens, или AP) е примарен одговорен за истражување на повреди на податоци и прекршувања на GDPR.
АП може да покрене истраги врз основа на жалби, медиумски извештаи или рутински ревизии.
За време на истрагите, органот може да побара документација, да спроведе инспекции на лице место и да интервјуира членови на персоналот.
За обврските за сајбер безбедност според новиот Закон за сајбер-безбедност, надзор вршат регулатори специфични за секторите.
Управата за потрошувачи и пазари (ACM) врши надзор врз дигиталната инфраструктура и давателите на телекомуникациски услуги.
Холандската централна банка (DNB) ги надгледува финансиските институции.
Министерот за економски прашања и клима, министерот за инфраструктура и водостопанство и министерот за здравство имаат овластувања за спроведување во рамките на своите сектори.
Овие регулатори можат да ги ревидираат вашите системи, да ги прегледаат процедурите за одговор на инциденти и да проценат дали вашето управување со ризици ги исполнува законските стандарди.
Тие исто така можат да ги надоместат трошоците за спроведување од вашата организација доколку се утврдат прекршоци.
Националниот центар за сајбер безбедност (NCSC) координира меѓу регулаторите, но не наметнува директно казни.
Административни и финансиски казни
Финансиските казни варираат во зависност од законската рамка и сериозноста на прекршувањата.
Според спроведувањето на GDPR, АП може да изрече казни до 20 милиони евра или 4% од вашиот годишен глобален промет, кое од двете е поголемо.
Органот ги зема предвид факторите како што се природата на прекршувањето, бројот на засегнати лица и вашата соработка за време на истрагите.
Според Законот за сајбер-бевеилигингсвет, казните следат повеќестепена структура:
| Класификација на ентитети | Максимална парична казна | Алтернатива за промет |
|---|---|---|
| Суштински цели (EE) | 10 милиони € | 2% глобален промет |
| Белоруски цели (BE) | 7 милиони € | 1.4% глобален промет |
Регулаторите исто така можат да издадат корективни наредби со кои ќе се бара од вас да спроведете специфични безбедносни мерки во рамките на утврдените временски рокови.
Повторените неуспеси може да резултираат со именување и засрамување преку јавно откривање на прекршоците.
Директорите на организации класифицирани како основни субјекти може да се соочат со лична дисквалификација од позиции во одборот во тешки случаи.
Организациите од јавниот сектор се ослободени од финансиски казни, но се соочуваат со корективни мерки за спроведување и потенцијален парламентарен надзор.
Правни средства и жалби
Имате право да ги оспорите одлуките за спроведување преку административни жалби.
Откако ќе добиете известување за казна, можете да поднесете приговор (bezwaar) до органот што го издал во рок од шест недели.
Регулаторот мора да ја преиспита својата одлука и да даде формален одговор.
Доколку не се согласувате со исходот од повторното разгледување, можете да поднесете жалба до окружниот суд (rechtbank).
Судот проверува дали регулаторот ги следел соодветните процедури и дали правилно го применил законот.
Можеш тогаш одлуките на апелациониот суд до Одделот за административна јурисдикција на Државниот совет (Afdeling bestuursrechtspraak van de Raad van State), кој служи како највисок управен суд.
Во текот на целиот процес на жалби, мора да продолжите да ги спроведувате сите корективни мерки наредени од регулаторите.
Судовите можат да ги суспендираат финансиските казни во исчекување на резултатите од жалбата, но тоа не е автоматско.
Клучни улоги и одговорности во управувањето со сајбер безбедноста
Организациите мора јасно да дефинираат кој ги управува задачите за сајбер безбедност, од назначување службеници за заштита на податоци до воспоставување одговорност на ниво на одбор и обука на вработените за безбедносни протоколи.
Службеници за заштита на податоци и назначувања
Мора да назначите службеник за заштита на податоци (DPO) ако вашата организација обработува чувствителни лични податоци на големо или систематски ги следи поединците.
Овластениот за заштита на податоци служи како ваша примарна контакт-точка за органите за заштита на податоци и субјектите на податоци.
На вашиот службеник за заштита на податоци му се потребни специфични квалификации во законот за заштита на податоци и практиките за безбедност на информациите.
Тие мора да известуваат директно до вашето највисоко раководство и не можат да бидат отпуштени поради извршување на своите должности.
Улогата вклучува следење на усогласеноста со GDPR, спроведување проценки на влијанието врз заштитата на податоците и советување за барањата за енкрипција и криптографија.
Треба јасно да ги документирате одговорностите на службеникот за заштита на податоци.
Ова го вклучува нивното овластување да ја ревидираат вашата дигитална инфраструктура и да го прегледаат вашиот план за одговор на инциденти.
Доколку работите во повеќе земји од ЕУ, можете да назначите еден ДПО врз основа на неговите професионални квалитети и познавање на релевантните јурисдикции.
Корпоративно управување и одговорност
Вашиот одбор на директори има крајна одговорност за управувањето со ризиците од сајбер безбедноста.
Тие мора да одобрат безбедносни мерки, да доделат соодветни ресурси и да обезбедат соодветен надзор на напорите за сајбер отпорност.
Одговорноста на лидерството вклучува:
- Одобрување на безбедносни политики за рамки за безбедност на информациите
- Надгледување на проценките на ризикот и планирање на оперативна отпорност
- Обезбедување усогласеност со ревизијата преку независни прегледи
- Распределување на буџети за управување со сајбер безбедноста и обука на вработените
Треба да воспоставите јасни линии на овластување за донесување одлуки за безбедноста.
Документирајте кој ги одобрува безбедносните мерки, кој го надгледува нивното спроведување и кој спроведува ревизии.
Вашиот менаџмент мора редовно да ги разгледува перформансите на сајбер-безбедноста и да ги прилагодува стратегиите врз основа на еволуирачките закани за вашата дигитална инфраструктура.
Внатрешни политики и обука на вработените
Мора да креирате документирани политики што ги дефинираат безбедносните улоги низ целата ваша организација.
Овие политики треба да ги специфицираат одговорностите за заштита на податоците, одговор на инциденти и одржување на сајбер отпорноста.
Вашите безбедносни политики треба да опфаќаат:
- Контроли за пристап и барања за автентикација
- Стандарди за класификација и енкрипција на податоци
- Постапки за известување за инциденти
- Редовна обука за безбедносна свест
Треба да обезбедите континуирана обука за сите вработени за практиките за безбедност на информациите.
ова ги вклучува препознавање на фишинг обиди, правилно ракување со чувствителни податоци и следење на вашиот план за одговор на инциденти.
Обуката мора да биде прилагодена на специфични улоги, при што техничкиот персонал мора да добие напредна обука за криптографија и безбедносни контроли.
Вашите политики мора редовно да се прегледуваат и ажурираат кога регулативите се менуваат или се појавуваат нови ризици.
Треба да обезбедите соодветни ресурси и за спроведување на политиките и за развој на персоналот во практиките за сајбер безбедност.
Видови инциденти поврзани со сајбер безбедноста и нови закани
Инцидентите поврзани со сајбер безбедноста се движат од измамнички е-пораки до големи прекини на мрежата што можат да ги компромитираат цели организации.
Разбирањето на овие закани ви помага да ги идентификувате ранливостите и да утврдите каде е одговорноста кога ќе се случи прекршување.
Фишинг, малициозен софтвер и откупен софтвер
Phishing останува една од најчестите закани по сајбер безбедноста со кои ќе се соочите.
Напаѓачите испраќаат е-пошта или пораки преправајќи се дека се од легитимни компании за да ги украдат вашите лозинки, финансиски информации или други чувствителни податоци.
Овие напади се одговорни за над 60 проценти од инцидентите со социјален инженеринг.
малициозен софтвер се однесува на штетен софтвер што ги оштетува вашите компјутерски системи или мрежи.
Ова вклучува вируси, тројанци и друг малициозен код дизајниран да пристапи до вашите податоци или да ги наруши вашите операции.
Ransomware е специфичен вид на малициозен софтвер што го блокира пристапот до вашите датотеки и бара плаќање за обновување.
Дури и ако ја платите откупнината, нема гаранција дека напаѓачите ќе ви го вратат пристапот или ќе ги избришат украдените податоци.
Помеѓу 2020 и 2021 година, организациите се соочија со приближно 24,000 инциденти поврзани со сајбер безбедноста низ целиот свет, при што рансомверот играше значајна улога во финансиските загуби.
Напади со одбивање на услуга (DoS) и дистрибуирани DoS (DDoS) напади
DoS напади Преоптоварете ги вашите системи со сообраќај за да ги направите услугите недостапни за легитимни корисници.
Еден единствен извор ја преплавува вашата мрежа со барања сè додека не се сруши или не стане премногу бавна за да функционира.
DDoS напади користете повеќе компромитирани системи за да започнете координирани напади врз вашата инфраструктура.
Овие дистрибуирани напади се потешки за запирање бидејќи доаѓаат од многу локации истовремено.
DDoS нападите можат да ги нарушат критичните услуги, од владини веб-страници до операциите на приватниот сектор.
Обично имате помалку од 62 минути од првото откривање за да спречите безбедносниот инцидент да прерасне во голем прекршок.
Овој тесен прозорец го прави брзиот одговор неопходен кога се соочуваме со DoS или DDoS напади.
Измама и неовластен пристап
Измама Во сајбер безбедноста се вклучени измамнички практики за добивање неовластен пристап до вашите системи или податоци.
Ова вклучува кражба на идентитет, измама со плаќање и компромитирање на акредитиви.
Неовластен пристап се случува кога некој ги прекршува вашите безбедносни политики за пристап до мрежи, системи или податоци без дозвола.
Ова може да се случи преку:
- Украдени ингеренциите за најава
- Искористени пропусти на софтверот
- Заобиколени безбедносни контроли
- Внатрешни закани од сегашни или поранешни вработени
Кражбата на внатрешни податоци честопати се занемарува, но може да биде подеднакво штетна како и надворешните напади.
Во 2021 година, просечната цена на нападите од инсајдери достигна 12.5 милиони фунти.
Дури и ненамерните протекувања на податоци од страна на вработените се сметаат за безбедносни инциденти според Законот за злоупотреба на компјутери (1990 година).
Ранливости во секторот и синџирот на снабдување
Критичните инфраструктурни сектори се соочуваат со зголемени ризици од сајбер криминал, а главни цели се здравството, енергетиката и финансиските услуги.
Професионалниот сектор доживеа речиси 3,600 инциденти помеѓу 2020 и 2021 година, што го прави најтаргетирана индустрија.
Безбедност на синџирот на снабдување станува сè поважно бидејќи напаѓачите ги таргетираат вашите партнери и добавувачи од трети страни, наместо да ве напаѓаат директно вас.
Овие напади од трети страни ги искористуваат послабите безбедносни мерки во вашите партнерски организации за да пристапат до податоците на вашите клиенти.
Ранливостите во синџирот на снабдување им овозможуваат на напаѓачите да компромитираат повеќе организации преку едно прекршување.
Кога системите на вашиот добавувач се поврзуваат со вашите, нивните безбедносни слабости стануваат и ваши безбедносни слабости.
Овој меѓусебно поврзан ризик значи дека мора да ги процените не само вашите сопствени мерки за сајбер безбедност, туку и мерките на секоја организација во вашиот синџир на снабдување.
Националните држави сè повеќе тестираат и продираат во сопернички сајбер-простори, честопати работејќи под маската на приватни субјекти, додека дејствуваат во име на владите.
Најчесто поставувани прашања
Холандските компании мора да се справат со строгите барања за известување и стандардите за усогласеност по повреда на податоци, при што одговорноста се протега на повеќе страни во зависност од нивните улоги и одговорности.
Разбирањето на овие обврски им помага на организациите да се заштитат себеси и засегнатите лица, а воедно да одржуваат усогласеност со националните и европските регулативи.
Кои се законските обврски на холандските компании по повреда на податоци?
Вашата организација мора да го извести Холандскиот орган за заштита на податоци (Autoriteit Persoonsgegevens) во рок од 72 часа откако ќе дознае за повреда на податоци.
Ова барање се применува според GDPR, кој ја регулира заштитата на податоците низ цела Холандија.
Треба да наведете специфични информации во вашето известување за прекршување.
Ова ги вклучува природата на прекршувањето, бројот на засегнати лица, потенцијалните последици и мерките што сте ги презеле или планирате да ги преземете.
Доколку не можете да ги доставите сите детали во рок од 72 часа, мора да го објасните доцнењето и да ги доставите преостанатите информации што е можно поскоро.
Кога прекршувањето претставува висок ризик за правата и слободите на поединците, мора директно да ги известите и засегнатите лица.
Не можете да го одложите ова известување без оправдани причини.
Вашата комуникација со засегнатите лица треба да биде јасна и да ги објасни веројатните последици од прекршувањето на безбедноста и какви чекори можат да преземат за да се заштитат.
Мора да водите детална документација за сите прекршувања на податоците, без оглед на тоа дали ги пријавувате на властите.
Оваа документација треба да ги содржи фактите околу прекршувањето, неговите последици и преземените корективни мерки.
Холандскиот орган за заштита на податоци може да ја побара оваа документација за време на инспекции или истраги.
Како се утврдува одговорноста за прекршување на податоците според холандското законодавство?
Одговорноста за прекршување на безбедноста на податоците во Холандија зависи од вашата улога како контролор на податоци или обработувач на податоци.
Контролорите на податоци ги одредуваат целите и средствата за обработка на лични податоци, додека обработувачите на податоци ракуваат со податоци во име на контролорите.
вашиот законските одговорности се разликуваат врз основа на оваа класификација.
Како контролор на податоци, вие ја носите примарна одговорност за обезбедување усогласеност со прописите за заштита на податоци.
Мора да имплементирате соодветни технички и организациски мерки за заштита на личните податоци.
Судовите проценуваат дали сте презеле разумни чекори за да го спречите прекршувањето и дали сте постапиле небрежно во вашите безбедносни практики.
Обработувачите на податоци исто така можат да се соочат со одговорност ако не ги следат упатствата на контролорот или ги прекршат своите договорни обврски.
Сепак, обработувачите обично имаат поограничена одговорност од контролорите.
Доколку обработувате податоци без соодветно овластување од контролорот или не ги спроведувате договорените безбедносни мерки, може да бидете директно одговорни.
Холандските судови применуваат неколку фактори при утврдување на одговорноста.
Тука спаѓаат сериозноста на прекршувањето на безбедноста, чувствителноста на компромитираните податоци, вашите безбедносни мерки пред прекршувањето и вашиот одговор по откривањето на инцидентот.
Големината и ресурсите на вашата организација, исто така, влијаат на тоа кои судови ги сметаат за разумни безбедносни мерки.
Заедничка одговорност може да се појави кога повеќе страни придонесуваат за повреда на податоци.
Доколку ја делите одговорноста со други контролори или обработувачи, судовите можат да ја сметаат секоја страна за одговорна за целата штета.
Потоа можете да побарате надомест од други одговорни страни врз основа на нивниот соодветен придонес кон прекршокот.
Кои страни можат да бидат одговорни за инциденти поврзани со безбедноста на податоците во Холандија?
Контролорите на податоци имаат примарна одговорност за инцидентите со безбедноста на податоците.
Како контролор, вие донесувате одлуки за тоа како се обработуваат личните податоци и мора да обезбедите дека се воспоставени соодветни безбедносни мерки.
Вашата организација може да се соочи со административни казни, граѓанска одговорност и штета на угледот по прекршување на прописите.
Обработувачите на податоци можат да бидат одговорни кога не ги исполнуваат своите договорни и законски обврски.
Доколку обработувате податоци во име на контролор, мора да ги имплементирате безбедносните мерки наведени во вашиот договор и да ги почитувате законските упатства на контролорот.
Се соочувате со директна одговорност ако ги пречекорите вашите овластувања или не успеете да одржите соодветна безбедност.
Директорите и службените лица на вашата организација може да се соочат со лична одговорност во одредени околности.
Според имплементацијата на Директивата NIS2 во Холандија, менаџментот може да биде лично одговорен за неуспесите во управувањето со сајбер безбедноста.
Ова вклучува потенцијална дисквалификација од вршење на функцијата директор доколку се случат сериозни прекршувања.
Давателите на услуги од трети страни, исто така, можат да бидат одговорни за безбедносни инциденти.
Доколку се потпирате на услуги во облак, ИТ поддршка или други надворешни даватели на услуги, тие може да ја споделат одговорноста кога нивните неуспеси ќе придонесат за прекршување на правилата.
Вашите договори со овие добавувачи треба јасно да ги дефинираат безбедносните одговорности и условите за одговорност.
Холандскиот орган за заштита на податоци служи како главен орган за спроведување.
Иако не е директно одговорен за прекршувања, Управата истражува инциденти, издава корективни наредби и изрекува административни казни на организациите што не ги почитуваат прописите.
Со какви последици се соочуваат организациите доколку не се почитуваат холандските прописи за заштита на податоци?
Вашата организација може да се соочи со административни казни до 20 милиони евра или 4% од вашиот глобален годишен промет, кој и да е поголем износ. Холандскиот орган за заштита на податоци ги одредува износите на казни врз основа на природата на прекршокот, сериозноста, времетраењето и вашата соработка за време на истрагите.
Освен финансиски казни, Управата може да воведе корективни мерки што ги нарушуваат вашите операции. Овие мерки вклучуваат привремени ограничувања на активностите за обработка на податоци, наредби за отстранување на одредени прекршоци и задолжителни ревизии.
Можеби ќе треба да суспендирате одредени деловни активности сè додека не покажете усогласеност. Вашата организација ризикува значителна штета на угледот по непочитувањето.
Јавното објавување на прекршувања на прописите за податоци и регулаторните казни можат да ја поткопаат довербата на клиентите и да ги оштетат деловните односи. Холандскиот орган за заштита на податоци објавува одлуки за спроведување, кои остануваат достапни за јавноста и медиумите.
Може да се соочите со граѓански тужби од засегнати лица кои бараат надомест на штета. Поединците можат да бараат материјална и нематеријална штета што произлегува од повреди на заштитата на податоците.
Холандските судови сè повеќе ги признаваат барањата за загуба на контрола и губење на контролата врз личните податоци, дури и без директни финансиски загуби. Вашите деловни можности може да бидат ограничени по сериозни прекршувања.
Некои сектори бараат безбедносни сертификати или евиденција за усогласеност за одржување на договорите, особено кога се работи со владини субјекти или регулирани индустрии.
На кои начини засегнатите лица можат да побараат надомест на штета по повреда на податоци во Холандија?
Можете да поднесете жалба до Холандскиот орган за заштита на податоци ако сметате дека некоја организација ги прекршила вашите права за заштита на податоци. Органот ги истражува жалбите и може да преземе мерки за спроведување против организациите што не се придржуваат кон прописите.
Овој процес не ве чини ништо и не бара правно застапување. Имате право да покренете граѓанска парница против одговорната организација.
Холандскиот закон ви дозволува да побарате надомест на штета и за материјална и за нематеријална штета што произлегува од прекршувања на законите за заштита на податоци. Материјалната штета вклучува финансиски загуби, додека нематеријалната штета опфаќа страдање, вознемиреност и губење на контролата врз вашите лични податоци.
Можете да ангажирате адвокат да го обработи вашето барање во случај на непредвидена потреба или да побарате правна помош ако ги исполнувате критериумите за финансиска подобност. Многу адвокатски фирми во Холандија се специјализирани за случаи на заштита на податоци и можат да ве советуваат за јачината на вашето барање.
Механизмите за групни тужби им овозможуваат на групи на засегнати лица колективно да поднесуваат барања. Можете да побарате надомест на штета директно од организацијата без да одите на суд.
Многу организации претпочитаат приватно да ги решаваат тужбите за да избегнат судски трошоци и негативен публицитет. Вашата преговарачка позиција се зајакнува ако организацијата очигледно ги прекршила прописите за заштита на податоци или ако прекршувањето предизвикало значителна штета.
Можете исто така да поднесете тужби против обработувачи на податоци ако тие се одговорни за прекршувањето. Според GDPR, и контролорите и обработувачите можат да бидат одговорни за штета.
Доколку повеќе страни придонеле за прекршокот, можете да побарате целосен износ од која било одговорна страна.
Како GDPR влијае врз одговорноста и одговорностите во случај на повреда на податоци за субјектите што работат во Холандија?
GDPR утврдува јасни обврски за организациите во врска со заштитата на личните податоци.
Субјектите мора да спроведат соодветни технички и организациски мерки за да обезбедат безбедност на податоците.
Во случај на повреда на податоци, организациите се должни да го известат надлежниот надзорен орган во рок од 72 часа.
Доколку прекршувањето претставува висок ризик за правата и слободите на поединците, засегнатите лица исто така мора да бидат информирани.
Непочитувањето на овие барања може да резултира со значителни казни и штета на угледот на организацијата.
И контролорите на податоци и обработувачите имаат различни одговорности според GDPR, а договорите мора јасно да ги дефинираат овие улоги.
