नेदरलँड्समध्ये दररोज डेटा उल्लंघनाच्या घटना घडतात. जेव्हा त्या होतात तेव्हा कोणीतरी ते घ्यावे लागते जबाबदारी.
डच कायदा आणि GDPR अंतर्गत, वैयक्तिक डेटा नियंत्रित करणाऱ्या संस्था प्रामुख्याने त्याचे संरक्षण करण्यासाठी आणि महत्त्वपूर्ण दायित्व जेव्हा उल्लंघन होते. जर तुमच्या व्यवसायाला त्रास होत असेल तर सायबरॅटॅक, तुम्हाला €20 दशलक्ष पर्यंत किंवा तुमच्या जागतिक वार्षिक उलाढालीच्या 4% पर्यंत दंड होऊ शकतो, जो जास्त रक्कम आहे यावर अवलंबून असेल.
नेदरलँड्समध्ये कार्यरत असलेल्या कोणत्याही संस्थेसाठी डेटा उल्लंघनाची जबाबदारी कोणाची आहे हे समजून घेणे आवश्यक आहे. याचे उत्तर नेहमीच सोपे नसते, कारण जबाबदारी तुमच्या कंपनीच्या पलीकडे जाऊन तृतीय-पक्ष सेवा प्रदाते, कर्मचारी आणि डेटा प्रक्रियेत सहभागी असलेल्या इतर पक्षांचा समावेश करू शकते.
डच डेटा प्रोटेक्शन अथॉरिटी आणि इतर नियामक तुमची डेटा कंट्रोलर किंवा प्रोसेसर म्हणून भूमिका, तुम्ही कोणते सुरक्षा उपाय केले आहेत आणि तुम्ही घटनेला किती लवकर प्रतिसाद दिला यावर आधारित जबाबदारी निश्चित करतात.
हा लेख नेदरलँड्समधील सायबरसुरक्षा नियंत्रित करणाऱ्या कायदेशीर चौकटीचे विवेचन करतो आणि उल्लंघनानंतर जबाबदारी कशी नियुक्त केली जाते हे स्पष्ट करतो. तुम्हाला तुमच्या सूचना दायित्वांबद्दल, पालन न केल्याबद्दल तुम्हाला येणाऱ्या दंडांबद्दल आणि सायबर हल्ल्यांपासून आणि कायदेशीर परिणामांपासून तुमच्या संस्थेचे संरक्षण करण्यासाठी तुम्ही कोणती व्यावहारिक पावले उचलू शकता याबद्दल शिकाल.
सायबरसुरक्षा आणि डेटा संरक्षणासाठी कायदेशीर चौकट
नेदरलँड्स सायबरसुरक्षा आणि डेटा संरक्षण कायद्याच्या अनेक स्तरांखाली काम करते, ज्यामध्ये EU-व्यापी नियम राष्ट्रीय अंमलबजावणी कायद्यांसह एकत्रित केले जातात. हे कायदे वैयक्तिक डेटा हाताळणाऱ्या आणि महत्त्वाच्या पायाभूत सुविधा चालवणाऱ्या संस्थांसाठी स्पष्ट दायित्वे स्थापित करतात.
ते दूरसंचार, वित्त आणि विविध क्षेत्रांसाठी विशिष्ट आवश्यकता निर्माण करतात. कायदा अंमलबजावणी
सामान्य डेटा संरक्षण नियमन (GDPR) आणि डच अंमलबजावणी
The GDPR प्राथमिक म्हणून काम करते डेटा संरक्षण चौकट नेदरलँड्ससह संपूर्ण EU मध्ये. हे वैयक्तिक डेटा प्रक्रियेसाठी व्यापक नियम स्थापित करते आणि संस्थांना माहितीचे संरक्षण करण्यासाठी योग्य तांत्रिक आणि संघटनात्मक उपाययोजना अंमलात आणण्याची आवश्यकता असते.
नेदरलँड्सने GDPR ची अंमलबजावणी याद्वारे केली डच GDPR अंमलबजावणी कायदा (सरासरी सरासरी), जे EU आवश्यकतांना डच कायद्याशी जुळवून घेते. हा कायदा युरोपियन मानकांशी सुसंगत राहून राष्ट्रीय परिस्थितीसाठी विशिष्ट तरतुदी प्रदान करतो.
ते डच डेटा प्रोटेक्शन अथॉरिटीला नियुक्त करते (Autoriteit Personsgegevens) अंमलबजावणीसाठी जबाबदार पर्यवेक्षी संस्था म्हणून.
GDPR अंतर्गत, तुम्ही तक्रार करणे आवश्यक आहे डेटा उल्लंघन त्यांच्याबद्दल माहिती मिळाल्यापासून ७२ तासांच्या आत पर्यवेक्षी अधिकाऱ्यांना कळवा. जेव्हा उल्लंघनामुळे व्यक्तींच्या हक्कांना आणि स्वातंत्र्यांना मोठा धोका निर्माण होतो, तेव्हा तुम्ही विनाकारण विलंब न करता प्रभावित व्यक्तींना देखील सूचित केले पाहिजे.
या अधिसूचना आवश्यकता नेदरलँड्समध्ये उल्लंघन दायित्वाचा पाया तयार करतात.
The Verzamelwet Gegevensbescherming (सामूहिक डेटा संरक्षण कायदा) GDPR मानकांशी सुसंगत होण्यासाठी विविध डच कायद्यांना आणखी परिष्कृत करते. हे वेगवेगळ्या कायदेशीर क्षेत्रांमध्ये सुसंगतता सुनिश्चित करते.
सायबरसुरक्षा कायदा आणि NIS2 निर्देश
The NIS2 निर्देश संपूर्ण EU मधील आवश्यक आणि महत्त्वाच्या संस्थांसाठी सायबरसुरक्षा आवश्यकतांमध्ये लक्षणीय वाढ होते. नेदरलँड्स या निर्देशाची अंमलबजावणी अद्यतनांद्वारे करत आहे सायबरबेव्हिलिगिंगस्वेट (डच सायबरसुरक्षा कायदा), ज्याने मूळतः पहिले एनआयएस निर्देश बदलले.
NIS2 कव्हर केलेल्या क्षेत्रांची व्याप्ती वाढवते आणि कडक सुरक्षा आवश्यकता, घटना अहवाल देण्याच्या दायित्वे आणि व्यवस्थापन जबाबदारीच्या तरतुदी सादर करते. तुम्ही विशिष्ट जोखीम व्यवस्थापन उपाय अंमलात आणले पाहिजेत आणि महत्त्वाच्या घटनांची जाणीव झाल्यानंतर २४ तासांच्या आत त्यांची तक्रार केली पाहिजे.
The नेटवर्क आणि माहिती प्रणाली सुरक्षा कायदा आणि सोबत नेटवर्क आणि माहिती प्रणाली सुरक्षा आदेश अत्यावश्यक सेवांच्या ऑपरेटर आणि डिजिटल सेवा प्रदात्यांसाठी तपशीलवार आवश्यकता स्थापित करा. हे कायदे मूलभूत सुरक्षा उपाय, नियमित ऑडिट आणि राष्ट्रीय सायबर सुरक्षा अधिकाऱ्यांशी समन्वय अनिवार्य करतात.
या कायद्यात वेगवेगळ्या क्षेत्रांसाठी विशिष्ट सक्षम अधिकारी नियुक्त केले आहेत. यामुळे सायबर सुरक्षा पद्धतींवर विशेष देखरेख सुनिश्चित होते.
इतर संबंधित कायदे आणि निर्देश
The EU ई-प्रायव्हसी निर्देश इलेक्ट्रॉनिक संप्रेषण गोपनीयतेला संबोधित करून GDPR ला पूरक आहे. कुकीज आणि तत्सम तंत्रज्ञानासाठी संमती आवश्यक आहे आणि संप्रेषण डेटाच्या गोपनीयतेचे रक्षण करते.
The दूरसंचार कायदा (टेलिकम्युनिकेशन) दूरसंचार प्रदात्यांवर विशिष्ट सुरक्षा दायित्वे लादते, ज्यामध्ये नेटवर्क अखंडता आणि वापरकर्ता डेटा संरक्षित करण्यासाठी आवश्यकता समाविष्ट आहेत. हा कायदा संप्रेषण क्षेत्रात व्यापक संरक्षण सुनिश्चित करण्यासाठी डेटा संरक्षण कायद्यांसोबत काम करतो.
The गंभीर घटकांचा लवचिकता कायदा (CRA) सार्वजनिक सुरक्षितता आणि आर्थिक स्थिरतेसाठी महत्त्वपूर्ण मानल्या जाणाऱ्या संस्थांसाठी भौतिक आणि सायबर सुरक्षा आवश्यकता मजबूत करते. त्यासाठी मानक सायबर सुरक्षा तरतुदींपेक्षा जास्त जोखीम मूल्यांकन आणि लवचिकता उपायांची आवश्यकता असते.
या चौकटी ओव्हरलॅपिंग जबाबदाऱ्या निर्माण करतात. अनेक क्षेत्रांमध्ये काम करताना किंवा विविध प्रकारचा डेटा हाताळताना तुम्ही त्याकडे लक्ष दिले पाहिजे.
क्षेत्र-विशिष्ट नियम
The आर्थिक देखरेख कायदा (ओले op het financieel toezicht) वित्तीय संस्थांसाठी कडक सायबर सुरक्षा आणि डेटा संरक्षण आवश्यकता स्थापित करते. वित्तीय क्षेत्रात काम करताना तुम्ही मजबूत सुरक्षा नियंत्रणे, घटना प्रतिसाद प्रक्रिया आणि नियमित चाचणी प्रोटोकॉल लागू केले पाहिजेत.
कायदा अंमलबजावणी संस्थांना या अंतर्गत विशेष आवश्यकतांचा सामना करावा लागतो पोलिस डेटा कायदा (ओले राजकारणी) आणि ओले justitiële en strafvorderlijke gegevens (न्यायिक आणि फौजदारी प्रक्रिया डेटा कायदा). हे कायदे तपास आणि फौजदारी कारवाई दरम्यान पोलिस आणि न्यायिक अधिकारी वैयक्तिक डेटा कसा गोळा करतात, प्रक्रिया करतात आणि संरक्षित करतात हे नियंत्रित करतात.
आरोग्य सेवा प्रदात्यांनी मानक GDPR आवश्यकतांव्यतिरिक्त अतिरिक्त गोपनीयता सुरक्षा उपायांचे पालन केले पाहिजे. हे वैद्यकीय माहितीचे संवेदनशील स्वरूप प्रतिबिंबित करते.
एनआयएस२ अंमलबजावणीअंतर्गत ऊर्जा, वाहतूक आणि पाणी क्षेत्रांना विशिष्ट जबाबदाऱ्यांचा सामना करावा लागतो, ज्यामध्ये त्यांच्या ऑपरेशनल जोखमींनुसार योग्य सुरक्षा उपाययोजना केल्या जातात.
प्रत्येक क्षेत्र-विशिष्ट नियमन अद्वितीय अनुपालन ओझे लादते. तुमच्या संस्थेच्या विशिष्ट क्रियाकलापांना आणि डेटा प्रक्रिया ऑपरेशन्सना कोणते कायदे लागू होतात हे ओळखणे आवश्यक आहे.
डेटा उल्लंघनानंतर जबाबदारी सोपवणे
नेदरलँड्समध्ये, डेटा उल्लंघनाची जबाबदारी वैयक्तिक डेटा प्रक्रिया करण्याच्या तुमच्या भूमिकेवर अवलंबून असते, सुरक्षा उपाय तुम्ही अंमलबजावणी केली आणि तुम्ही रिपोर्टिंग आवश्यकतांचे पालन केले का. डच डेटा प्रोटेक्शन अथॉरिटी आणि इतर पर्यवेक्षी संस्था यावर आधारित जबाबदारी निश्चित करतात कायदेशीर दायित्वे GDPR आणि राष्ट्रीय सायबर सुरक्षा कायद्यांतर्गत.
जबाबदारीची व्याख्या: नियंत्रक, प्रोसेसर आणि तृतीय पक्ष
नंतर तुमची जबाबदारी वैयक्तिक डेटा उल्लंघन तुम्ही एक म्हणून काम करता की नाही यावर अवलंबून आहे डेटा नियंत्रक किंवा प्रोसेसर. वैयक्तिक डेटा कसा आणि का प्रक्रिया केला जातो हे नियंत्रक ठरवतात, ज्यामुळे ते सुरक्षा घटनांसाठी प्रामुख्याने जबाबदार असतात.
प्रोसेसर नियंत्रकांच्या वतीने डेटा हाताळतात आणि जर त्यांनी सूचनांचे उल्लंघन केले किंवा पुरेसे सुरक्षा उपाय अंमलात आणले नाहीत तर त्यांना जबाबदारीचा सामना करावा लागतो.
डिजिटल सेवा प्रदात्यांसारख्या तृतीय पक्षांवर स्वतंत्र जबाबदारी असते. जर तुम्ही बाह्य पुरवठादारांचा वापर केला तर, ते तुमच्या वतीने डेटा प्रक्रिया करतात तेव्हा त्यांच्या कृतींसाठी तुम्ही जबाबदार राहता.
तुमच्या करारांमध्ये सुरक्षा जबाबदाऱ्या आणि घटना हाताळणी प्रक्रिया निर्दिष्ट केल्या पाहिजेत.
जेव्हा अनेक पक्ष सहभागी असतात, तेव्हा जबाबदारी सामायिक केली जाऊ शकते. जर तुम्ही आणि तुमचा प्रोसेसर दोघेही तांत्रिक आणि संघटनात्मक उपाययोजना अंमलात आणण्यात अयशस्वी झालात, तर तुम्हाला दोघांनाही ऑटोराइट पर्सून्सगेगेव्हन्सकडून दंड होऊ शकतो.
पर्यवेक्षी अधिकारी जबाबदारी सोपविण्यासाठी उल्लंघनातील प्रत्येक पक्षाच्या भूमिकेचे परीक्षण करतो.
पर्यवेक्षी अधिकारी आणि नियामक भूमिका
GDPR अनुपालनाची अंमलबजावणी करण्यासाठी जबाबदार असलेल्या डच डेटा संरक्षण प्राधिकरण म्हणून ऑटोराइट पर्सोन्सगेगेव्हन्स काम करते. घटनेची जाणीव झाल्यानंतर ७२ तासांच्या आत तुम्ही या पर्यवेक्षी प्राधिकरणाला वैयक्तिक डेटा उल्लंघनाची तक्रार करावी.
घटना नोंदवण्याच्या अंतिम मुदती पूर्ण करण्यात अयशस्वी झाल्यास तुमची जबाबदारी वाढते.
राष्ट्रीय सायबर सुरक्षा केंद्र (NCSC) व्यापक हाताळते सायबर सुरक्षा धमक्या अत्यावश्यक सेवांच्या ऑपरेटरवर परिणाम होत आहे. जर तुम्ही महत्त्वाच्या पायाभूत सुविधा किंवा डिजिटल सेवा प्रदान करत असाल, तर तुम्ही NCSC ला महत्त्वाच्या सुरक्षा घटनांची तक्रार देखील करावी.
हे अहवाल सायबर धोक्यांवरील राष्ट्रीय प्रतिसादांचे समन्वय साधण्यास मदत करतात.
सुरक्षा घटनांनंतर दोन्ही अधिकारी चौकशी करतात. ऑटोराइट पर्सून्सगेव्हन्स €20 दशलक्ष किंवा तुमच्या वार्षिक जागतिक उलाढालीच्या 4%, जे जास्त असेल ते दंड देऊ शकतात.
ते उल्लंघनाचे स्वरूप, प्रभावित व्यक्तींची संख्या आणि तुमच्या प्रतिसादाचे उपाय यासारख्या घटकांचा विचार करतात.
ENISA मार्गदर्शक तत्त्वे डच अधिकारी सायबरसुरक्षा आवश्यकतांचे तुमचे पालन कसे मूल्यांकन करतात यावर प्रभाव पाडतात.
संघटनात्मक आणि तांत्रिक उपाययोजना
तांत्रिक आणि संघटनात्मक उपाययोजनांची अंमलबजावणी थेट दायित्व निर्धारणावर परिणाम करते. या उपाययोजनांमध्ये एन्क्रिप्शन, प्रवेश नियंत्रणे, नियमित सुरक्षा चाचणी आणि कर्मचारी प्रशिक्षण यांचा समावेश आहे.
न्यायालये आणि पर्यवेक्षी अधिकारी तुमची सुरक्षा संबंधित जोखमींसाठी योग्य होती की नाही याचे मूल्यांकन करतात.
तुम्ही तुमच्या सुरक्षा उपाययोजनांचे दस्तऐवजीकरण केले पाहिजे आणि व्यवसाय सातत्य नियोजन दाखवले पाहिजे. जर तुम्ही पुरेशी खबरदारी सिद्ध करू शकत नसाल, तर जबाबदारी लक्षणीयरीत्या वाढते.
नियमित जोखीम मूल्यांकनामुळे तुम्हाला उल्लंघन होण्यापूर्वी भेद्यता ओळखण्यास मदत होते.
घटना हाताळण्याच्या प्रक्रिया महत्त्वाच्या आहेत. वैयक्तिक डेटा उल्लंघन शोधण्यासाठी, तपासण्यासाठी आणि प्रतिसाद देण्यासाठी तुम्हाला स्पष्ट प्रोटोकॉलची आवश्यकता आहे.
तुमचा प्रतिसाद वेळ आणि सुरक्षा घटना रोखण्याची प्रभावीता दंड निर्णयांवर प्रभाव पाडते.
ऑटोराइट पर्सून्सगेव्हन्स तुमच्याकडून तुमच्या सुरक्षा चौकटीचे पुरावे राखण्याची अपेक्षा करते. योग्य कागदपत्रांशिवाय, तपासादरम्यान वाजवी काळजी सिद्ध करणे कठीण होते.
पुरवठा साखळी आणि सेवा प्रदात्यांचा प्रभाव
पुरवठा साखळी सुरक्षेमुळे गुंतागुंतीचे दायित्व प्रश्न निर्माण होतात. जेव्हा तुमच्या सेवा प्रदात्यांना तुमच्या डेटावर परिणाम करणारे उल्लंघन आढळते, तेव्हाही तुम्हाला त्याचे परिणाम भोगावे लागू शकतात.
तुम्ही पुरवठादारांवर योग्य ती तपासणी केली पाहिजे आणि त्यांच्या सुरक्षा पद्धतींचे सतत निरीक्षण केले पाहिजे.
अत्यावश्यक सेवांच्या चालकांना विक्रेता व्यवस्थापनासाठी कठोर आवश्यकतांचा सामना करावा लागतो. तुमच्या पुरवठा साखळीतील डिजिटल सेवा प्रदात्यांनी तुमच्या स्वतःच्या जबाबदाऱ्यांशी जुळणारे मानके राखली आहेत याची खात्री तुम्ही केली पाहिजे.
कराराच्या करारांमध्ये घटना अहवाल देण्याच्या कर्तव्यांची आणि दायित्वाच्या वाटपाची स्पष्ट व्याख्या असली पाहिजे.
जर तुमच्या पुरवठा साखळीतून उल्लंघन झाले असेल, तर ऑटोराइट पर्सून्सगेव्हन्स तुम्ही पुरेसे विक्रेता मूल्यांकन केले आहे की नाही याची तपासणी करते. पुरवठादाराच्या सुरक्षिततेची पडताळणी करण्यासाठी तुम्ही वाजवी पावले उचलली आहेत की नाही यावर तुमची जबाबदारी अवलंबून असते.
थर्ड-पार्टी प्रोसेसर वापरत असतानाही तुम्ही पूर्णपणे जबाबदारी सोपवू शकत नाही.
बहुस्तरीय पुरवठा साखळ्यांसाठी अतिरिक्त दक्षता आवश्यक आहे. अनेक संस्थांमधील वैयक्तिक डेटा धोक्यात आणणाऱ्या कॅस्केडिंग अपयशांपासून संरक्षण करण्यासाठी तुम्हाला सब-प्रोसेसर आणि त्यांच्या सुरक्षा उपायांमध्ये दृश्यमानता आवश्यक आहे.
डेटा उल्लंघन सूचना दायित्वे
नेदरलँड्स GDPR आणि राष्ट्रीय सायबर सुरक्षा कायद्यांतर्गत बहुस्तरीय सूचना चौकट लागू करते. नियंत्रकांनी उल्लंघनांची तक्रार करा धोका असल्यास ७२ तासांच्या आत वैयक्तिक डेटा प्राधिकरण (PDA) कडे डेटा विषय अधिकार.
उच्च-जोखीम उल्लंघने प्रभावित व्यक्तींना थेट सूचना देणे आवश्यक आहे.
टाइमलाइन आणि प्रक्रियात्मक आवश्यकता
वैयक्तिक डेटा उल्लंघनाची जाणीव झाल्यानंतर ७२ तासांच्या आत तुम्ही विनाकारण विलंब न करता आणि शक्य असल्यास, PDA ला कळवावे. हे बंधन लागू होते जोपर्यंत उल्लंघनामुळे नैसर्गिक व्यक्तींच्या हक्कांना आणि स्वातंत्र्यांना धोका निर्माण होण्याची शक्यता नसते.
शक्य असेल तिथे अधिसूचनेत विशिष्ट माहिती समाविष्ट करणे आवश्यक आहे. तुम्हाला संबंधित डेटा विषयांच्या श्रेणी आणि अंदाजे संख्या, प्रभावित झालेल्या वैयक्तिक डेटा रेकॉर्डच्या श्रेणी आणि अंदाजे संख्या आणि तुमच्या डेटा संरक्षण अधिकाऱ्याचे किंवा इतर संपर्क बिंदूचे नाव प्रदान करणे आवश्यक आहे.
उल्लंघनाचे संभाव्य परिणाम आणि ते दूर करण्यासाठी घेतलेल्या किंवा प्रस्तावित केलेल्या उपाययोजनांचे वर्णन देखील तुम्ही केले पाहिजे.
जर तुम्ही ७२ तासांच्या आत सर्व आवश्यक माहिती देऊ शकत नसाल, तर तुम्ही ती टप्प्याटप्प्याने सादर करू शकता. तुमच्या सुरुवातीच्या सूचनेत कोणत्याही विलंबाची कारणे तुम्ही स्पष्ट केली पाहिजेत.
कोणाला आणि केव्हा सूचित केले पाहिजे
जेव्हा वैयक्तिक डेटा उल्लंघनामुळे त्यांच्या हक्कांना आणि स्वातंत्र्यांना धोका निर्माण होण्याची शक्यता असते तेव्हा तुम्ही प्रभावित डेटा विषयांना थेट सूचित केले पाहिजे. ही सूचना अनावश्यक विलंब न करता दिली पाहिजे आणि स्पष्ट आणि सोपी भाषा वापरली पाहिजे.
तीन विशिष्ट परिस्थितींमध्ये डेटा विषयांना थेट सूचना देणे आवश्यक नाही. जर तुम्ही योग्य तांत्रिक आणि संस्थात्मक संरक्षण उपाय (जसे की एन्क्रिप्शन) अंमलात आणले असतील ज्यामुळे डेटा अनधिकृत व्यक्तींना समजण्यासारखा नसतो तर तुम्हाला सूचित करण्याची आवश्यकता नाही.
डेटा विषयाच्या अधिकारांना होणारा उच्च धोका आता प्रत्यक्षात येण्याची शक्यता कमी आहे याची खात्री करण्यासाठी तुम्ही नंतरचे उपाय केले असतील किंवा थेट संवादात अप्रमाणित प्रयत्न करावे लागतील तर तुम्हाला सूचित करण्याची आवश्यकता नाही. अशा प्रकरणांमध्ये, सार्वजनिक संवाद किंवा तत्सम उपाययोजना आवश्यक आहेत.
वित्तीय पर्यवेक्षण कायद्यांतर्गत वित्तीय कंपन्या डेटा विषय अधिसूचना बंधनातून मुक्त आहेत. तरीही त्यांना पीडीएकडे तक्रार करावी लागेल.
प्रोसेसरना विशिष्ट जबाबदाऱ्या असतात. जोखीम पातळी काहीही असो, कोणत्याही वैयक्तिक डेटा उल्लंघनाची जाणीव झाल्यानंतर तुम्ही नियंत्रकाला अनावश्यक विलंब न करता सूचित केले पाहिजे.
ही GDPR अंतर्गत एक वैधानिक आवश्यकता आहे आणि तुमच्या प्रक्रिया करारात ती समाविष्ट केली पाहिजे.
क्षेत्रीय आणि राष्ट्रीय अधिसूचना आवश्यकता
GDPR दायित्वांव्यतिरिक्त, तुमच्या क्षेत्रानुसार तुम्हाला अतिरिक्त अहवाल आवश्यकतांचा सामना करावा लागू शकतो. WBNI (नेटवर्क आणि माहिती प्रणाली सुरक्षा कायदा) नुसार काही संस्थांनी सुरक्षा घटनांची तक्रार सायबर सुरक्षा अधिकाऱ्यांना करणे आवश्यक आहे, जरी या घटना वैयक्तिक डेटा उल्लंघन म्हणून पात्र नसल्या तरीही.
सार्वजनिक इलेक्ट्रॉनिक कम्युनिकेशन नेटवर्क्सच्या प्रदात्यांनी मानवी पर्यावरण आणि वाहतूक निरीक्षक (ILT) ला अहवाल देणे आवश्यक आहे. वैद्यकीय उपकरण सुरक्षितता किंवा रुग्णांच्या डेटावर परिणाम करणाऱ्या घटनांबद्दल आरोग्य आणि युवा काळजी निरीक्षकांना सूचित करणे आरोग्य सेवा संस्थांचे कर्तव्य आहे.
वित्तीय सेवा कंपन्यांनी आर्थिक पर्यवेक्षण कायद्यांतर्गत क्षेत्र-विशिष्ट आवश्यकतांचे पालन केले पाहिजे.
WBNI अंतर्गत महत्त्वाच्या पायाभूत सुविधा पुरवठादारांनी त्यांच्या जबाबदाऱ्या वाढवल्या आहेत. तुम्ही संगणक सुरक्षा घटना प्रतिसाद पथक (CSIRT) ला अशा महत्त्वाच्या घटनांची तक्रार करावी ज्यामुळे अत्यावश्यक सेवांमध्ये मोठ्या प्रमाणात व्यत्यय येऊ शकतो.
सार्वजनिक कंपन्यांना गुंतवणूकदारांच्या निर्णयांवर लक्षणीय परिणाम करू शकणाऱ्या सुरक्षा घटनांची सूचना द्यावी लागू शकते.
या क्षेत्रीय आवश्यकता बहुतेकदा GDPR दायित्वे बदलण्याऐवजी त्यांच्यासोबत काम करतात. तुमच्या संस्थेच्या क्रियाकलापांवर आणि उल्लंघनाच्या स्वरूपावर अवलंबून, एकाच घटनेसाठी तुम्हाला वेगवेगळ्या अधिकाऱ्यांना अनेक सूचना द्याव्या लागू शकतात.
पालन न केल्याबद्दल अंमलबजावणी आणि दंड
डच अधिकाऱ्यांना सायबरसुरक्षा अपयशांची चौकशी करण्याचे आणि वैयक्तिक डेटा संरक्षित करण्यात किंवा सुरक्षा आवश्यकता पूर्ण करण्यात अयशस्वी होणाऱ्या संस्थांवर भरीव आर्थिक दंड आकारण्याचे स्पष्ट अधिकार आहेत.
अंमलबजावणी चौकटीत अनेक नियामकांचा समावेश आहे ज्यात विशिष्ट देखरेखीच्या जबाबदाऱ्या, संरचित दंड योजना आणि दंडांना सामोरे जाणाऱ्या संस्थांसाठी परिभाषित अपील प्रक्रिया आहेत.
तपास आणि देखरेखीचे अधिकार
डेटा उल्लंघन आणि GDPR उल्लंघनांच्या चौकशीची प्राथमिक जबाबदारी डच डेटा प्रोटेक्शन अथॉरिटी (Autoriteit Persoonsgegevens, किंवा AP) कडे आहे.
तक्रारी, मीडिया रिपोर्ट्स किंवा नियमित ऑडिटच्या आधारे एपी तपास सुरू करू शकते.
तपासादरम्यान, प्राधिकरण कागदपत्रांची विनंती करू शकते, जागेवर तपासणी करू शकते आणि कर्मचाऱ्यांच्या मुलाखती घेऊ शकते.
नवीन सायबरबेव्हिलिगिंगस्वेट अंतर्गत सायबरसुरक्षा दायित्वांसाठी, क्षेत्र-विशिष्ट नियामक देखरेख करतात.
ग्राहक आणि बाजारपेठ प्राधिकरण (ACM) डिजिटल पायाभूत सुविधा आणि दूरसंचार पुरवठादारांचे पर्यवेक्षण करते.
डच सेंट्रल बँक (DNB) वित्तीय संस्थांवर देखरेख करते.
आर्थिक व्यवहार आणि हवामान मंत्री, पायाभूत सुविधा आणि जल व्यवस्थापन मंत्री आणि आरोग्यसेवा मंत्री हे प्रत्येकी त्यांच्या संबंधित क्षेत्रात अंमलबजावणीचे अधिकार धारण करतात.
हे नियामक तुमच्या प्रणालींचे ऑडिट करू शकतात, घटना प्रतिसाद प्रक्रियांचे पुनरावलोकन करू शकतात आणि तुमचे जोखीम व्यवस्थापन कायदेशीर मानके पूर्ण करते की नाही याचे मूल्यांकन करू शकतात.
जर उल्लंघन आढळले तर ते तुमच्या संस्थेकडून अंमलबजावणी खर्च देखील वसूल करू शकतात.
नॅशनल सायबर सिक्युरिटी सेंटरम (NCSC) नियामकांमध्ये समन्वय साधते परंतु थेट दंड आकारत नाही.
प्रशासकीय आणि आर्थिक दंड
कायदेशीर चौकटी आणि उल्लंघनांच्या तीव्रतेनुसार आर्थिक दंड वेगवेगळा असतो.
GDPR अंमलबजावणी अंतर्गत, AP तुमच्या वार्षिक जागतिक उलाढालीच्या ४% किंवा €२० दशलक्ष पर्यंत दंड आकारू शकते, जे जास्त असेल.
प्राधिकरण उल्लंघनाचे स्वरूप, प्रभावित व्यक्तींची संख्या आणि तपासादरम्यान तुमचे सहकार्य यासारख्या घटकांचा विचार करते.
सायबरबेव्हिलिगिंगस्वेट अंतर्गत, दंड एका स्तरित रचनेचे अनुसरण करतात:
| घटक वर्गीकरण | कमाल दंड | उलाढाल पर्यायी |
|---|---|---|
| आवश्यक घटक (EE) | € 10 दशलक्ष | १.४% जागतिक उलाढाल |
| बेलंग्रिजके एंटिटेइटेन (बीई) | € 7 दशलक्ष | १.४% जागतिक उलाढाल |
नियामक तुम्हाला निश्चित वेळेत विशिष्ट सुरक्षा उपाय लागू करण्यास सांगणारे सुधारात्मक आदेश देखील जारी करू शकतात.
वारंवार झालेल्या अपयशांमुळे उल्लंघनांच्या सार्वजनिक प्रकटीकरणाद्वारे नावलौकिक आणि लाजिरवाणेपणा होऊ शकतो.
गंभीर प्रकरणांमध्ये, आवश्यक संस्था म्हणून वर्गीकृत केलेल्या संस्थांच्या संचालकांना संचालक मंडळाच्या पदांवरून वैयक्तिक अपात्रतेला सामोरे जावे लागू शकते.
सार्वजनिक क्षेत्रातील संस्थांना आर्थिक दंडातून सूट आहे परंतु त्यांना सुधारात्मक अंमलबजावणी कृती आणि संभाव्य संसदीय छाननीला सामोरे जावे लागते.
कायदेशीर मदत आणि अपील
तुम्हाला अंमलबजावणी निर्णयांना आव्हान देण्याचा अधिकार आहे प्रशासकीय अपील.
दंडाची सूचना मिळाल्यानंतर, तुम्ही सहा आठवड्यांच्या आत जारी करणाऱ्या प्राधिकरणाकडे आक्षेप (बेझवार) सादर करू शकता.
नियामकाने आपल्या निर्णयाचा पुनर्विचार करावा आणि औपचारिक प्रतिसाद द्यावा.
जर तुम्ही पुनर्विचार निकालाशी असहमत असाल, तर तुम्ही जिल्हा न्यायालयात (रेक्टबँक) अपील करू शकता.
नियामकाने योग्य प्रक्रियांचे पालन केले आणि कायदा योग्यरित्या लागू केला की नाही याचा न्यायालय आढावा घेते.
तुम्ही नंतर अपील न्यायालयाच्या निर्णयांविरुद्ध कौन्सिल ऑफ स्टेट (Afdeling bestuursrechtspraak van de Raad van State) च्या प्रशासकीय अधिकार क्षेत्र विभागाकडे, जे सर्वोच्च प्रशासकीय न्यायालय म्हणून काम करते.
अपील प्रक्रियेदरम्यान, तुम्ही नियामकांनी आदेश दिलेल्या कोणत्याही सुधारात्मक उपाययोजनांची अंमलबजावणी करत राहणे आवश्यक आहे.
अपील निकाल येईपर्यंत न्यायालये आर्थिक दंड स्थगित करू शकतात, परंतु हे स्वयंचलित नाही.
सायबरसुरक्षा व्यवस्थापनातील प्रमुख भूमिका आणि जबाबदाऱ्या
डेटा संरक्षण अधिकाऱ्यांची नियुक्ती करण्यापासून ते बोर्ड-स्तरीय जबाबदारी स्थापित करण्यापर्यंत आणि कर्मचाऱ्यांना सुरक्षा प्रोटोकॉलवर प्रशिक्षण देण्यापर्यंत, सायबरसुरक्षा कार्ये कोण व्यवस्थापित करते हे संस्थांनी स्पष्टपणे परिभाषित केले पाहिजे.
डेटा संरक्षण अधिकारी आणि नियुक्त्या
जर तुमची संस्था मोठ्या प्रमाणात संवेदनशील वैयक्तिक डेटावर प्रक्रिया करत असेल किंवा व्यक्तींवर पद्धतशीरपणे लक्ष ठेवत असेल तर तुम्ही डेटा प्रोटेक्शन ऑफिसर (DPO) नियुक्त करणे आवश्यक आहे.
डेटा संरक्षण अधिकारी आणि डेटा विषयांसाठी डीपीओ तुमचा प्राथमिक संपर्क बिंदू म्हणून काम करतो.
तुमच्या डीपीओला डेटा संरक्षण कायदा आणि माहिती सुरक्षा पद्धतींमध्ये विशिष्ट पात्रता आवश्यक आहे.
त्यांनी थेट तुमच्या सर्वोच्च व्यवस्थापन स्तरावर अहवाल द्यावा आणि त्यांची कर्तव्ये पार पाडल्याबद्दल त्यांना काढून टाकता येणार नाही.
यामध्ये GDPR अनुपालनाचे निरीक्षण करणे, डेटा संरक्षण प्रभाव मूल्यांकन करणे आणि एन्क्रिप्शन आणि क्रिप्टोग्राफी आवश्यकतांवर सल्ला देणे समाविष्ट आहे.
तुम्ही डीपीओच्या जबाबदाऱ्या स्पष्टपणे नोंदवल्या पाहिजेत.
यामध्ये तुमच्या डिजिटल पायाभूत सुविधांचे ऑडिट करण्याचा आणि तुमच्या घटना प्रतिसाद योजनेचा आढावा घेण्याचा त्यांचा अधिकार समाविष्ट आहे.
जर तुम्ही अनेक EU देशांमध्ये काम करत असाल, तर तुम्ही त्यांच्या व्यावसायिक गुणांवर आणि संबंधित अधिकारक्षेत्रांच्या ज्ञानावर आधारित एकच DPO नियुक्त करू शकता.
कॉर्पोरेट प्रशासन आणि जबाबदारी
सायबरसुरक्षा जोखीम व्यवस्थापनाची अंतिम जबाबदारी तुमच्या संचालक मंडळावर आहे.
त्यांनी सुरक्षा उपायांना मान्यता दिली पाहिजे, पुरेसे संसाधने वाटप केली पाहिजेत आणि सायबर लवचिकता प्रयत्नांचे योग्य पर्यवेक्षण सुनिश्चित केले पाहिजे.
नेतृत्व जबाबदारीमध्ये हे समाविष्ट आहे:
- सुरक्षा धोरणांना मान्यता देणे माहिती सुरक्षा चौकटींसाठी
- जोखीम मूल्यांकनांचे निरीक्षण करणे आणि ऑपरेशनल लवचिकता नियोजन
- ऑडिट अनुपालन सुनिश्चित करणे स्वतंत्र पुनरावलोकनांद्वारे
- बजेट वाटप सायबरसुरक्षा व्यवस्थापनासाठी आणि कर्मचारी प्रशिक्षण
सुरक्षेच्या निर्णयासाठी तुम्हाला स्पष्ट अधिकार रेषा स्थापित करण्याची आवश्यकता आहे.
सुरक्षा उपायांना कोण मान्यता देतो, अंमलबजावणीचे पर्यवेक्षण कोण करतो आणि ऑडिट कोण करतो याचे दस्तऐवज.
तुमच्या व्यवस्थापनाने नियमितपणे सायबरसुरक्षा कामगिरीचा आढावा घेतला पाहिजे आणि तुमच्या डिजिटल पायाभूत सुविधांना येणाऱ्या धोक्यांनुसार धोरणे समायोजित केली पाहिजेत.
अंतर्गत धोरणे आणि कर्मचारी प्रशिक्षण
तुमच्या संस्थेतील सुरक्षा भूमिका परिभाषित करणारी दस्तऐवजीकृत धोरणे तुम्ही तयार केली पाहिजेत.
या धोरणांमध्ये डेटा संरक्षण, घटनांना प्रतिसाद देणे आणि सायबर लवचिकता राखणे यासाठीच्या जबाबदाऱ्या निर्दिष्ट केल्या पाहिजेत.
तुमच्या सुरक्षा धोरणांमध्ये हे समाविष्ट असले पाहिजे:
- प्रवेश नियंत्रणे आणि प्रमाणीकरण आवश्यकता
- डेटा वर्गीकरण आणि एन्क्रिप्शन मानके
- घटना नोंदवण्याची प्रक्रिया
- नियमित सुरक्षा जागरूकता प्रशिक्षण
तुम्ही सर्व कर्मचाऱ्यांना माहिती सुरक्षा पद्धतींबद्दल सतत प्रशिक्षण दिले पाहिजे.
यासहीत फिशिंग ओळखणे प्रयत्न करणे, संवेदनशील डेटा योग्यरित्या हाताळणे आणि तुमच्या घटनेच्या प्रतिसाद योजनेचे पालन करणे.
प्रशिक्षण विशिष्ट भूमिकांनुसार तयार केले पाहिजे, ज्यामध्ये तांत्रिक कर्मचाऱ्यांना क्रिप्टोग्राफी आणि सुरक्षा नियंत्रणांवर प्रगत सूचना मिळतील.
तुमच्या धोरणांचे नियमितपणे पुनरावलोकन केले पाहिजे आणि नियम बदलले पाहिजेत किंवा नवीन धोके उद्भवले तर ते अपडेट केले पाहिजेत.
सायबर सुरक्षा पद्धतींमध्ये धोरण अंमलबजावणी आणि कर्मचारी विकासासाठी तुम्हाला पुरेसे संसाधने सुनिश्चित करण्याची आवश्यकता आहे.
सायबरसुरक्षा घटनांचे प्रकार आणि उदयोन्मुख धोके
सायबरसुरक्षा घटनांमध्ये फसव्या ईमेलपासून ते मोठ्या प्रमाणात नेटवर्क व्यत्यय येतात ज्यामुळे संपूर्ण संस्था धोक्यात येऊ शकतात.
या धोक्यांना समजून घेतल्याने तुम्हाला भेद्यता ओळखण्यास आणि उल्लंघन झाल्यास जबाबदारी कोणाची आहे हे ठरविण्यास मदत होते.
फिशिंग, मालवेअर आणि रॅन्समवेअर
फिशिंग तुम्हाला येणाऱ्या सर्वात सामान्य सायबरसुरक्षा धोक्यांपैकी एक आहे.
हल्लेखोर तुमचे पासवर्ड, आर्थिक माहिती किंवा इतर संवेदनशील डेटा चोरण्यासाठी कायदेशीर कंपन्यांचे असल्याचे भासवून ईमेल किंवा संदेश पाठवतात.
हे हल्ले ६० टक्क्यांहून अधिक सोशल इंजिनिअरिंग घटनांसाठी जबाबदार आहेत.
मालवेअर तुमच्या संगणक प्रणाली किंवा नेटवर्कला हानी पोहोचवणाऱ्या हानिकारक सॉफ्टवेअरचा संदर्भ देते.
यामध्ये तुमचा डेटा अॅक्सेस करण्यासाठी किंवा तुमच्या ऑपरेशन्समध्ये व्यत्यय आणण्यासाठी डिझाइन केलेले व्हायरस, ट्रोजन आणि इतर दुर्भावनापूर्ण कोड समाविष्ट आहेत.
ransomware हा एक विशिष्ट प्रकारचा मालवेअर आहे जो तुमच्या फाइल्समधील अॅक्सेस ब्लॉक करतो आणि रिस्टोअर करण्यासाठी पैसे मागतो.
तुम्ही खंडणी दिली तरी, हल्लेखोर तुमचा अॅक्सेस पुनर्संचयित करतील किंवा चोरीला गेलेला डेटा हटवतील याची कोणतीही हमी नाही.
२०२० ते २०२१ दरम्यान, संघटनांना जागतिक स्तरावर सुमारे २४,००० सायबरसुरक्षा घटनांना सामोरे जावे लागले, ज्यामध्ये आर्थिक नुकसानात रॅन्समवेअरने महत्त्वाची भूमिका बजावली.
सेवा नाकारणे (DoS) आणि वितरित DoS (DDoS) हल्ले
DoS हल्ला तुमच्या सिस्टीमवर ट्रॅफिकचा भार पडतो जेणेकरून कायदेशीर वापरकर्त्यांना सेवा उपलब्ध होणार नाहीत.
एकाच स्रोतामुळे तुमचे नेटवर्क क्रॅश होईपर्यंत किंवा काम करण्यास खूप मंद होईपर्यंत विनंत्या भरून जातात.
DDoS हल्ले तुमच्या पायाभूत सुविधांवर समन्वित हल्ले करण्यासाठी अनेक तडजोड केलेल्या प्रणालींचा वापर करा.
हे वितरित हल्ले थांबवणे कठीण आहे कारण ते एकाच वेळी अनेक ठिकाणांहून येतात.
डीडीओएस हल्ल्यांमुळे सरकारी वेबसाइटपासून ते खाजगी क्षेत्रातील कामकाजापर्यंत महत्त्वाच्या सेवांमध्ये व्यत्यय येऊ शकतो.
सुरक्षेच्या घटनेला मोठे उल्लंघन होण्यापासून रोखण्यासाठी तुमच्याकडे सामान्यतः पहिल्या शोधापासून 62 मिनिटांपेक्षा कमी वेळ असतो.
DoS किंवा DDoS हल्ल्यांना तोंड देताना ही अरुंद खिडकी जलद प्रतिसाद देणे आवश्यक बनवते.
फसवणूक आणि अनधिकृत प्रवेश
फ्रॉड सायबर सुरक्षेमध्ये तुमच्या सिस्टम किंवा डेटामध्ये अनधिकृत प्रवेश मिळविण्यासाठी फसव्या पद्धतींचा समावेश आहे.
यामध्ये ओळख चोरी, पेमेंट फसवणूक आणि क्रेडेन्शियल तडजोड यांचा समावेश आहे.
अनधिकृत प्रवेश जेव्हा कोणी परवानगीशिवाय नेटवर्क, सिस्टम किंवा डेटामध्ये प्रवेश करण्यासाठी तुमच्या सुरक्षा धोरणांचे उल्लंघन करते तेव्हा असे होते.
हे याद्वारे होऊ शकते:
- चोरीला गेलेले लॉगिन क्रेडेन्शियल्स
- शोषित सॉफ्टवेअर भेद्यता
- बायपास केलेली सुरक्षा नियंत्रणे
- सध्याच्या किंवा माजी कर्मचाऱ्यांकडून अंतर्गत धमक्या
अंतर्गत डेटा चोरीकडे अनेकदा दुर्लक्ष केले जाते परंतु ते बाह्य हल्ल्यांइतकेच हानिकारक असू शकते.
२०२१ मध्ये, अंतर्गत हल्ल्यांचा सरासरी खर्च १२.५ दशलक्ष पौंडांवर पोहोचला.
कर्मचाऱ्यांकडून अनावधानाने होणारा डेटा लीक देखील संगणक गैरवापर कायदा (१९९०) अंतर्गत सुरक्षा घटना म्हणून गणला जातो.
क्षेत्र आणि पुरवठा साखळीतील भेद्यता
सायबर गुन्ह्यांमुळे गंभीर पायाभूत सुविधा क्षेत्रांना वाढत्या जोखमींचा सामना करावा लागतो, ज्यामध्ये आरोग्यसेवा, ऊर्जा आणि वित्तीय सेवा हे प्रमुख लक्ष्य आहेत.
२०२० ते २०२१ दरम्यान व्यावसायिक क्षेत्राला जवळपास ३,६०० घटनांचा अनुभव आला, ज्यामुळे ते सर्वात जास्त लक्ष्यित उद्योग बनले.
पुरवठा साखळी सुरक्षा हल्लेखोर तुमच्यावर थेट हल्ला करण्याऐवजी तुमच्या भागीदारांना आणि तृतीय-पक्ष विक्रेत्यांना लक्ष्य करत असल्याने हे वाढत्या प्रमाणात महत्वाचे झाले आहे.
हे तृतीय-पक्ष विक्रेते हल्ले तुमच्या क्लायंटच्या डेटामध्ये प्रवेश करण्यासाठी तुमच्या भागीदार संस्थांमधील कमकुवत सुरक्षा उपायांचा फायदा घेतात.
पुरवठा साखळीतील भेद्यता हल्लेखोरांना एकाच उल्लंघनाद्वारे अनेक संस्थांना धोका निर्माण करण्यास अनुमती देते.
जेव्हा तुमच्या विक्रेत्याच्या सिस्टीम तुमच्याशी जोडल्या जातात, तेव्हा त्यांच्या सुरक्षा कमकुवतपणा तुमच्या सुरक्षा कमकुवतपणा बनतात.
या परस्परसंबंधित जोखमीचा अर्थ असा आहे की तुम्ही केवळ तुमच्या स्वतःच्या सायबरसुरक्षा उपायांचेच नव्हे तर तुमच्या पुरवठा साखळीतील प्रत्येक संस्थेच्या उपायांचे देखील मूल्यांकन केले पाहिजे.
राष्ट्र-राज्ये वाढत्या प्रमाणात प्रतिस्पर्धी सायबर स्पेसची चाचणी घेतात आणि त्यात प्रवेश करतात, बहुतेकदा सरकारच्या वतीने काम करताना खाजगी संस्थांच्या नावाखाली काम करतात.
वारंवार विचारले जाणारे प्रश्न
डेटा उल्लंघनानंतर डच कंपन्यांनी कठोर अहवाल आवश्यकता आणि अनुपालन मानकांचे पालन केले पाहिजे, ज्यामध्ये त्यांच्या भूमिका आणि जबाबदाऱ्यांनुसार अनेक पक्षांची जबाबदारी वाढेल.
या जबाबदाऱ्या समजून घेतल्याने संस्थांना राष्ट्रीय आणि युरोपियन नियमांचे पालन करताना स्वतःचे आणि प्रभावित व्यक्तींचे संरक्षण करण्यास मदत होते.
डेटा उल्लंघनानंतर डच कंपन्यांचे कायदेशीर दायित्व काय आहे?
तुमच्या संस्थेने डेटा उल्लंघनाची जाणीव झाल्यानंतर ७२ तासांच्या आत डच डेटा प्रोटेक्शन अथॉरिटी (Autoriteit Persoonsgegevens) ला सूचित केले पाहिजे.
ही आवश्यकता GDPR अंतर्गत लागू होते, जी नेदरलँड्समध्ये डेटा संरक्षण नियंत्रित करते.
तुमच्या उल्लंघनाच्या सूचनेमध्ये तुम्हाला विशिष्ट माहिती द्यावी लागेल.
यामध्ये उल्लंघनाचे स्वरूप, प्रभावित व्यक्तींची संख्या, संभाव्य परिणाम आणि तुम्ही घेतलेले किंवा घेण्याची योजना असलेले उपाय समाविष्ट आहेत.
जर तुम्ही ७२ तासांच्या आत सर्व तपशील देऊ शकत नसाल, तर तुम्ही विलंबाचे कारण स्पष्ट करावे आणि उर्वरित माहिती लवकरात लवकर सादर करावी.
जेव्हा उल्लंघनामुळे व्यक्तींच्या हक्कांना आणि स्वातंत्र्यांना मोठा धोका निर्माण होतो, तेव्हा तुम्ही प्रभावित व्यक्तींना थेट माहिती दिली पाहिजे.
योग्य कारणांशिवाय तुम्ही ही सूचना देण्यास विलंब करू शकत नाही.
प्रभावित व्यक्तींशी तुमचा संवाद स्पष्ट असावा आणि उल्लंघनाचे संभाव्य परिणाम आणि ते स्वतःचे संरक्षण करण्यासाठी कोणती पावले उचलू शकतात हे स्पष्ट करावे.
तुम्ही अधिकाऱ्यांना त्यांची तक्रार केली की नाही याची पर्वा न करता, सर्व डेटा उल्लंघनांचे तपशीलवार दस्तऐवजीकरण तुम्ही राखले पाहिजे.
या कागदपत्रांमध्ये उल्लंघनाभोवतीची तथ्ये, त्याचे परिणाम आणि केलेल्या उपाययोजनांचा समावेश असावा.
डच डेटा प्रोटेक्शन अथॉरिटी तपासणी किंवा तपासादरम्यान या कागदपत्रांची विनंती करू शकते.
नेदरलँड्स कायद्यांतर्गत डेटा उल्लंघनाची जबाबदारी कशी निश्चित केली जाते?
नेदरलँड्समधील डेटा उल्लंघनाची जबाबदारी डेटा कंट्रोलर किंवा डेटा प्रोसेसर म्हणून तुमच्या भूमिकेवर अवलंबून असते.
डेटा नियंत्रक वैयक्तिक डेटा प्रक्रिया करण्याचे उद्दिष्टे आणि माध्यमे ठरवतात, तर डेटा प्रोसेसर नियंत्रकांच्या वतीने डेटा हाताळतात.
आपल्या कायदेशीर जबाबदाऱ्या या वर्गीकरणावर आधारित भिन्न आहेत.
डेटा नियंत्रक म्हणून, डेटा संरक्षण नियमांचे पालन सुनिश्चित करण्याची प्राथमिक जबाबदारी तुमची आहे.
वैयक्तिक डेटा संरक्षित करण्यासाठी तुम्ही योग्य तांत्रिक आणि संस्थात्मक उपाययोजना राबवल्या पाहिजेत.
तुम्ही उल्लंघन रोखण्यासाठी वाजवी पावले उचलली का आणि तुमच्या सुरक्षा पद्धतींमध्ये तुम्ही निष्काळजीपणाने वागला का याचे मूल्यांकन न्यायालये करतात.
जर डेटा प्रोसेसर नियंत्रकाच्या सूचनांचे पालन करण्यात अयशस्वी झाले किंवा त्यांच्या कराराच्या जबाबदाऱ्यांचे उल्लंघन केले तर त्यांना देखील जबाबदारीचा सामना करावा लागू शकतो.
तथापि, प्रोसेसरकडे सामान्यतः नियंत्रकांपेक्षा अधिक मर्यादित दायित्व असते.
जर तुम्ही नियंत्रकाकडून योग्य परवानगीशिवाय डेटा प्रक्रिया केली किंवा मान्य सुरक्षा उपायांची अंमलबजावणी करण्यात अयशस्वी झालात, तर तुम्हाला थेट जबाबदार धरले जाऊ शकते.
दायित्व निश्चित करताना डच न्यायालये अनेक घटकांचा वापर करतात.
यामध्ये उल्लंघनाची तीव्रता, तडजोड केलेल्या डेटाची संवेदनशीलता, उल्लंघनापूर्वी तुमचे सुरक्षा उपाय आणि घटना उघड झाल्यानंतर तुमचा प्रतिसाद यांचा समावेश आहे.
तुमच्या संस्थेचा आकार आणि संसाधने न्यायालये कोणत्या वाजवी सुरक्षा उपायांचा विचार करतात यावर देखील प्रभाव पाडतात.
जेव्हा अनेक पक्ष डेटा उल्लंघनात योगदान देतात तेव्हा संयुक्त जबाबदारी उद्भवू शकते.
जर तुम्ही इतर नियंत्रक किंवा प्रोसेसरसह जबाबदारी सामायिक केली तर न्यायालये प्रत्येक पक्षाला संपूर्ण नुकसानीसाठी जबाबदार धरू शकतात.
त्यानंतर तुम्ही इतर जबाबदार पक्षांकडून त्यांच्या उल्लंघनात दिलेल्या योगदानाच्या आधारे भरपाई मागू शकता.
नेदरलँड्समधील डेटा सुरक्षा घटनांसाठी कोणत्या पक्षांना जबाबदार धरले जाऊ शकते?
डेटा सुरक्षा घटनांसाठी डेटा नियंत्रकांची प्राथमिक जबाबदारी असते.
एक नियंत्रक म्हणून, तुम्ही वैयक्तिक डेटा कसा प्रक्रिया केला जातो याबद्दल निर्णय घेता आणि योग्य सुरक्षा उपायांची खात्री करणे आवश्यक आहे.
उल्लंघनानंतर तुमच्या संस्थेला प्रशासकीय दंड, नागरी दायित्व आणि प्रतिष्ठेचे नुकसान होऊ शकते.
डेटा प्रोसेसर त्यांच्या करारात्मक आणि कायदेशीर जबाबदाऱ्या पूर्ण करण्यात अयशस्वी झाल्यास त्यांना जबाबदार धरले जाऊ शकते.
जर तुम्ही नियंत्रकाच्या वतीने डेटा प्रक्रिया करत असाल, तर तुम्ही तुमच्या करारात निर्दिष्ट केलेल्या सुरक्षा उपायांची अंमलबजावणी केली पाहिजे आणि नियंत्रकाच्या कायदेशीर सूचनांचे पालन केले पाहिजे.
जर तुम्ही तुमच्या अधिकारांचे उल्लंघन केले किंवा पुरेशी सुरक्षा राखण्यात अयशस्वी झालात तर तुम्हाला थेट जबाबदारी येईल.
तुमच्या संस्थेचे संचालक आणि अधिकारी काही विशिष्ट परिस्थितीत वैयक्तिक जबाबदारीचा सामना करू शकतात.
नेदरलँड्समधील NIS2 निर्देश अंमलबजावणी अंतर्गत, सायबरसुरक्षा प्रशासनातील अपयशांसाठी व्यवस्थापनाला वैयक्तिकरित्या जबाबदार धरले जाऊ शकते.
यामध्ये गंभीर उल्लंघन झाल्यास संचालक म्हणून काम करण्यास अपात्र ठरवण्याची शक्यता समाविष्ट आहे.
सुरक्षा घटनांसाठी तृतीय-पक्ष सेवा प्रदाते देखील जबाबदार असू शकतात.
जर तुम्ही क्लाउड सेवा, आयटी सपोर्ट किंवा इतर बाह्य प्रदात्यांवर अवलंबून असाल, तर त्यांच्या अपयशांमुळे उल्लंघन झाल्यास ते जबाबदारी सामायिक करू शकतात.
या प्रदात्यांसोबतच्या तुमच्या करारांमध्ये सुरक्षा जबाबदाऱ्या आणि दायित्वाच्या अटी स्पष्टपणे परिभाषित केल्या पाहिजेत.
डच डेटा प्रोटेक्शन अथॉरिटी ही प्राथमिक अंमलबजावणी संस्था म्हणून काम करते.
उल्लंघनांसाठी थेट जबाबदार नसले तरी, प्राधिकरण घटनांची चौकशी करते, सुधारणांचे आदेश जारी करते आणि पालन न करणाऱ्या संस्थांवर प्रशासकीय दंड आकारते.
डच डेटा संरक्षण नियमांचे पालन न केल्यास संस्थांना कोणते परिणाम भोगावे लागतात?
तुमच्या संस्थेला €20 दशलक्ष किंवा तुमच्या जागतिक वार्षिक उलाढालीच्या 4% पर्यंत प्रशासकीय दंड होऊ शकतो, यापैकी जी रक्कम जास्त असेल ती. डच डेटा प्रोटेक्शन ऑथॉरिटी उल्लंघनाचे स्वरूप, तीव्रता, कालावधी आणि तपासादरम्यान तुमचे सहकार्य यावर आधारित दंडाची रक्कम ठरवते.
आर्थिक दंडाव्यतिरिक्त, प्राधिकरण तुमच्या कामकाजात व्यत्यय आणणारे सुधारात्मक उपाय लागू करू शकते. या उपायांमध्ये डेटा प्रोसेसिंग क्रियाकलापांवर तात्पुरते निर्बंध, विशिष्ट उल्लंघने दुरुस्त करण्याचे आदेश आणि अनिवार्य ऑडिट यांचा समावेश आहे.
जोपर्यंत तुम्ही अनुपालन दाखवत नाही तोपर्यंत तुम्हाला काही व्यावसायिक क्रियाकलाप स्थगित करावे लागू शकतात. अनुपालन न केल्यास तुमच्या संस्थेला मोठ्या प्रमाणात प्रतिष्ठेचे नुकसान होण्याचा धोका असतो.
डेटा उल्लंघन आणि नियामक दंडांची सार्वजनिक माहिती दिल्याने ग्राहकांचा विश्वास कमी होऊ शकतो आणि व्यावसायिक संबंध बिघडू शकतात. डच डेटा प्रोटेक्शन अथॉरिटी अंमलबजावणी निर्णय प्रकाशित करते, जे जनतेला आणि माध्यमांना उपलब्ध राहतात.
नुकसान भरपाईसाठी पीडित व्यक्तींकडून तुम्हाला दिवाणी खटल्यांना सामोरे जावे लागू शकते. डेटा संरक्षण उल्लंघनामुळे झालेल्या भौतिक आणि गैर-भौतिक नुकसानीचा दावा व्यक्ती करू शकतात.
डच न्यायालयांनी थेट आर्थिक नुकसान न होताही, वैयक्तिक डेटावरील त्रास आणि नियंत्रण गमावल्याच्या दाव्यांना वाढत्या प्रमाणात मान्यता दिली आहे. गंभीर उल्लंघनांनंतर तुमच्या व्यवसायाच्या संधी मर्यादित होऊ शकतात.
काही क्षेत्रांना करार राखण्यासाठी सुरक्षा प्रमाणपत्रे किंवा अनुपालन नोंदी आवश्यक असतात, विशेषतः सरकारी संस्था किंवा नियमन केलेल्या उद्योगांशी व्यवहार करताना.
नेदरलँड्समध्ये डेटा उल्लंघन झाल्यानंतर प्रभावित व्यक्ती कोणत्या प्रकारे भरपाई मागू शकतात?
जर तुम्हाला वाटत असेल की एखाद्या संस्थेने तुमच्या डेटा संरक्षण अधिकारांचे उल्लंघन केले आहे, तर तुम्ही डच डेटा संरक्षण प्राधिकरणाकडे तक्रार दाखल करू शकता. प्राधिकरण तक्रारींची चौकशी करते आणि पालन न करणाऱ्या संस्थांविरुद्ध अंमलबजावणीची कारवाई करू शकते.
या प्रक्रियेसाठी तुम्हाला काहीही खर्च येत नाही आणि त्यासाठी कायदेशीर प्रतिनिधित्वाची आवश्यकता नाही. तुम्हाला जबाबदार संस्थेविरुद्ध दिवाणी खटला चालवण्याचा अधिकार आहे.
डेटा संरक्षण उल्लंघनामुळे होणाऱ्या भौतिक आणि गैर-भौतिक नुकसानांसाठी डच कायदा तुम्हाला भरपाई मागण्याची परवानगी देतो. भौतिक नुकसानांमध्ये आर्थिक नुकसान समाविष्ट आहे, तर गैर-भौतिक नुकसानांमध्ये त्रास, चिंता आणि तुमच्या वैयक्तिक डेटावरील नियंत्रण गमावणे समाविष्ट आहे.
तुम्ही तुमचा दावा आकस्मिक आधारावर हाताळण्यासाठी वकिलाची मदत घेऊ शकता किंवा जर तुम्ही आर्थिक पात्रता निकष पूर्ण करत असाल तर कायदेशीर मदत घेऊ शकता. नेदरलँड्समधील अनेक कायदा संस्था डेटा संरक्षण प्रकरणांमध्ये विशेषज्ञ आहेत आणि तुमच्या दाव्याच्या ताकदीबद्दल तुम्हाला सल्ला देऊ शकतात.
वर्ग कृती यंत्रणा प्रभावित व्यक्तींच्या गटांना एकत्रितपणे दावे करण्यास अनुमती देतात. तुम्ही न्यायालयात न जाता थेट संस्थेकडून भरपाई मागू शकता.
अनेक संस्था खटल्याचा खर्च आणि नकारात्मक प्रसिद्धी टाळण्यासाठी खाजगीरित्या दावे निकाली काढणे पसंत करतात. जर संस्थेने डेटा संरक्षण नियमांचे स्पष्टपणे उल्लंघन केले असेल किंवा उल्लंघनामुळे लक्षणीय नुकसान झाले असेल तर तुमची वाटाघाटीची स्थिती मजबूत होते.
जर डेटा प्रोसेसर उल्लंघनाची जबाबदारी घेत असतील तर तुम्ही त्यांच्याविरुद्ध दावे देखील करू शकता. GDPR अंतर्गत, नियंत्रक आणि प्रोसेसर दोघेही नुकसानीसाठी जबाबदार असू शकतात.
जर अनेक पक्षांनी उल्लंघनात हातभार लावला असेल, तर तुम्ही कोणत्याही जबाबदार पक्षाकडून संपूर्ण रक्कम मागू शकता.
नेदरलँड्समध्ये कार्यरत असलेल्या संस्थांसाठी डेटा उल्लंघन झाल्यास GDPR दायित्व आणि जबाबदाऱ्यांवर कसा प्रभाव पाडते?
जीडीपीआर वैयक्तिक डेटाच्या संरक्षणाबाबत संस्थांसाठी स्पष्ट दायित्वे स्थापित करते.
डेटा सुरक्षितता सुनिश्चित करण्यासाठी संस्थांनी योग्य तांत्रिक आणि संघटनात्मक उपाययोजना राबवल्या पाहिजेत.
डेटा उल्लंघन झाल्यास, संस्थांना ७२ तासांच्या आत संबंधित पर्यवेक्षी प्राधिकरणाला सूचित करणे आवश्यक आहे.
जर उल्लंघनामुळे व्यक्तींच्या हक्कांना आणि स्वातंत्र्यांना मोठा धोका निर्माण होत असेल, तर प्रभावित व्यक्तींना देखील माहिती दिली पाहिजे.
या आवश्यकतांचे पालन करण्यात अयशस्वी झाल्यास मोठा दंड होऊ शकतो आणि संस्थेची प्रतिष्ठा धोक्यात येऊ शकते.
GDPR अंतर्गत डेटा नियंत्रक आणि प्रोसेसर दोघांनाही वेगवेगळ्या जबाबदाऱ्या आहेत आणि करारांमध्ये या भूमिका स्पष्टपणे परिभाषित केल्या पाहिजेत.
