Facebook Instagram LinkedIn X-twitter
Book Appointment
IT seadus

Küberturvalisus ja vastutus Hollandis: andmetega seotud rikkumise vastutuse selgitus

  • Esileht
  • Blogi
  • Küberturvalisus ja vastutus Hollandis: andmetega seotud rikkumise vastutuse selgitus
Tagasi kõigi artiklite juurde
Grupp ärispetsialiste arutab kontoris küberturvalisust ja juriidilist vastutust, käes Hollandi digitaalne kaart, millel on näha turvaikoonid.

Andmelekkeid juhtub Hollandis iga päev. Kui need juhtuvad, peab keegi nende eest vastutama. vastutus.

Hollandi seaduste ja isikuandmete kaitse üldmääruse (GDPR) kohaselt vastutavad isikuandmeid haldavad organisatsioonid peamiselt nende kaitsmise eest ja seisavad silmitsi oluline vastutus rikkumiste toimumise korral. Kui teie ettevõte kannatab cyberattack, võidakse teile määrata trahv kuni 20 miljonit eurot või 4% teie ülemaailmsest aastakäibest, olenevalt sellest, kumb summa on suurem.

Iga Hollandis tegutseva organisatsiooni jaoks on oluline mõista, kes kannab vastutust pärast andmetega seotud rikkumist. Vastus ei ole alati üheselt mõistetav, kuna vastutus võib ulatuda teie ettevõttest kaugemale, hõlmates ka kolmandatest osapooltest teenusepakkujaid, töötajaid ja teisi andmetöötluses osalevaid isikuid.

Hollandi andmekaitseamet ja teised reguleerivad asutused määravad vastutuse teie rolli alusel kas andmetöötleja või -töötlejana, teie kehtestatud turvameetmete ja intsidendile reageerimise kiiruse põhjal.

See artikkel annab ülevaate Hollandi küberturvalisust reguleerivast õigusraamistikust ja selgitab, kuidas määratakse vastutus pärast rikkumist. Saate teada oma teavitamiskohustustest, rikkumise korral määratavatest karistustest ja praktilistest sammudest, mida saate astuda oma organisatsiooni kaitsmiseks nii küberrünnakute kui ka õiguslike tagajärgede eest.

Küberturvalisuse ja andmekaitse õigusraamistik

Rühm spetsialiste arutab kontoris küberturvalisuse ja juriidilisi küsimusi, käes sülearvutid ja Hollandi digitaalne kaart, mis näitab võrguühendusi.

Holland tegutseb mitmetasandilise küberturvalisuse ja andmekaitsealaste õigusaktide alusel, mis ühendavad ELi-üleseid eeskirju riiklike rakendusseadustega. Need seadused kehtestavad selged kohustused isikuandmeid käitlevatele ja kriitilist infrastruktuuri haldavatele organisatsioonidele.

Need loovad erinõuded erinevatele sektoritele, sealhulgas telekommunikatsioonile, rahandusele ja seadus jõustamine.

Isikuandmete kaitse üldmäärus (GDPR) ja selle rakendamine Hollandis

. GDPR toimib peamise andmekaitseraamistik kogu ELis, sealhulgas Madalmaades. See kehtestab isikuandmete töötlemise terviklikud eeskirjad ja nõuab organisatsioonidelt teabe kaitsmiseks asjakohaste tehniliste ja korralduslike meetmete rakendamist.

Madalmaad rakendasid isikuandmete kaitse üldmäärust (GDPR) Hollandi isikuandmete kaitse üldmääruse rakendusseadus (Välistingimustes mõõdetav AVG), mis kohandab ELi nõuded Hollandi õigusega. See seadus sisaldab konkreetseid sätteid siseriiklike olude jaoks, säilitades samal ajal kooskõla Euroopa standarditega.

See määrab Hollandi andmekaitseasutuse (Isikuandmete volitus) kui jõustamise eest vastutav järelevalveasutus.

GDPR-i kohaselt peate aru andma andmete rikkumisi järelevalveasutusele 72 tunni jooksul pärast rikkumisest teadasaamist. Kui rikkumised kujutavad endast suurt ohtu üksikisikute õigustele ja vabadustele, peate sellest teavitama ka mõjutatud isikuid põhjendamatu viivituseta.

Need teavitamisnõuded moodustavad rikkumisvastutuse aluse Hollandis.

. Verzamelwet Gegevensbescherming (Kollektiivse andmekaitse seadus) täiustab mitmesuguseid Hollandi seadusi, et need vastaksid isikuandmete kaitse üldmääruse (GDPR) standarditele. See tagab järjepidevuse eri õigusvaldkondades.

Küberturvalisuse seadus ja NIS2 direktiiv

. NIS2 direktiiv laiendab oluliselt küberturvalisuse nõudeid olulistele ja olulistele üksustele kogu ELis. Madalmaad rakendavad seda direktiivi direktiivi ajakohastamise kaudu. Küberveilimise märg (Hollandi küberturvalisuse seadus), millega algselt võeti üle esimene võrgu- ja infosüsteemide turvalisuse direktiiv.

NIS2 laiendab hõlmatud sektorite ulatust ning kehtestab rangemad turvanõuded, intsidentidest teatamise kohustused ja juhtkonna vastutuse sätted. Te peate rakendama konkreetseid riskijuhtimismeetmeid ja teatama olulistest intsidentidest 24 tunni jooksul pärast nendest teadasaamist.

. Võrgu- ja infosüsteemide turvalisuse seadus ja kaasas Võrgu- ja infosüsteemide turvalisuse määrus kehtestada oluliste teenuste operaatoritele ja digitaalsete teenuste osutajatele üksikasjalikud nõuded. Need seadused näevad ette baasturvameetmed, regulaarsed auditid ja koostöö riiklike küberturvalisuse asutustega.

Õigusaktiga on määratud eri sektorite jaoks konkreetsed pädevad asutused. See tagab küberturvalisuse tavade spetsialiseeritud järelevalve.

Muud asjakohased seadused ja direktiivid

. ELi e-privaatsuse direktiiv täiendab isikuandmete kaitse üldmäärust (GDPR), käsitledes elektroonilise side privaatsust. See nõuab küpsiste ja sarnaste tehnoloogiate kasutamiseks nõusolekut ning kaitseb sideandmete konfidentsiaalsust.

. Telekommunikatsiooniseadus (Telekommunikatsioonivaade) kehtestab telekommunikatsiooniteenuse pakkujatele konkreetsed turvakohustused, sealhulgas nõuded võrgu terviklikkuse ja kasutajaandmete kaitsmiseks. See seadus toimib koos andmekaitseseadustega, et tagada sidesektoris igakülgne kaitse.

. Kriitiliste üksuste vastupidavuse seadus (CRA) tugevdab avaliku julgeoleku ja majandusliku stabiilsuse seisukohast kriitilise tähtsusega üksuste füüsilisi ja küberturvalisuse nõudeid. See nõuab riskihindamist ja vastupidavusmeetmeid, mis ületavad standardseid küberturvalisuse sätteid.

Need raamistikud loovad kattuvaid kohustusi. Mitmes sektoris tegutsedes või erinevat tüüpi andmeid käsitsedes tuleb neis orienteeruda.

Sektoripõhised määrused

. Finantsjärelevalve seadus (Wet op het financieel toezicht) kehtestab finantsasutustele ranged küberturvalisuse ja andmekaitse nõuded. Finantssektoris tegutsedes peate rakendama tugevaid turvakontrolle, intsidentidele reageerimise protseduure ja regulaarseid testimisprotokolle.

Õiguskaitseorganitele esitatakse seaduse alusel erinõudeid. Politseiandmete seadus (Märg politseimeetmed) Ja Wet justitiële en strafvorderlijke gegevens (Kohtu- ja kriminaalmenetluse andmete seadus). Need seadused reguleerivad, kuidas politsei ja kohtuasutused uurimiste ja kriminaalmenetluste käigus isikuandmeid koguvad, töötlevad ja kaitsevad.

Tervishoiuteenuse osutajad peavad lisaks GDPR-i standardnõuetele järgima täiendavaid privaatsuskaitsemeetmeid. See peegeldab meditsiinilise teabe tundlikku olemust.

NIS2 rakendamisega kaasnevad spetsiifilised kohustused energia-, transpordi- ja veesektorites, kus on kohandatud turvameetmed, mis vastavad nende tegevusriskidele.

Iga sektoripõhine regulatsioon kehtestab ainulaadse vastavuskohustuse. Oluline on kindlaks teha, millised seadused kehtivad teie organisatsiooni konkreetse tegevuse ja andmetöötlustoimingute suhtes.

Vastutuse määramine pärast andmete rikkumist

Rühm spetsialiste arutab küberturvalisust ja vastutust moodsas kontoris, kus digitaalsed ekraanid näitavad andmetega seotud rikkumiste graafikat.

Madalmaades sõltub vastutus andmetega seotud rikkumise eest teie rollist isikuandmete töötlemisel, turvameetmed rakendasite ja kas järgisite aruandlusnõudeid. Hollandi andmekaitseamet ja teised järelevalveasutused määravad vastutuse teie juriidilisi kohustusi isikuandmete kaitse üldmääruse ja riiklike küberturvalisuse seaduste alusel.

Vastutuse määratlemine: vastutavad töötlejad, volitatud töötlejad ja kolmandad isikud

Teie vastutus pärast isikuandmete rikkumine oleneb sellest, kas tegutsed nagu andmetöötleja või volitatud töötleja. Vastutavad töötlejad otsustavad, kuidas ja miks isikuandmeid töödeldakse, mistõttu on nemad peamiselt vastutavad turvaintsidentide eest.

Volitatud töötlejad töötlevad andmeid vastutavate töötlejate nimel ja kannavad vastutust, kui nad ei täida juhiseid või ei rakenda piisavaid turvameetmeid.

Kolmandatel osapooltel, näiteks digiteenuste pakkujatel, on eraldi vastutus. Kui kasutate väliseid tarnijaid, vastutate teie nende tegevuse eest, kui nad teie nimel andmeid töötlevad.

Teie lepingutes peavad olema täpsustatud turvakohustused ja intsidentide käsitlemise protseduurid.

Kui tegemist on mitme osapoolega, saab vastutust jagada. Kui nii teie kui ka teie volitatud töötleja ei ole rakendanud tehnilisi ja korralduslikke meetmeid, võivad Autoriteit Persoonsgegevens teile mõlemale karistusi määrata.

Järelevalveasutus uurib iga poole rolli rikkumises, et määrata vastutus.

Järelevalveasutused ja regulatiivsed rollid

Autoriteit Persoonsgegevens on Hollandi andmekaitseasutus, mis vastutab isikuandmete kaitse üldmääruse (GDPR) järgimise tagamise eest. Te peate isikuandmete rikkumisest teatama sellele järelevalveasutusele 72 tunni jooksul pärast intsidendist teadasaamist.

Juhtumite aruandluse tähtaegade mittetäitmine suurendab teie vastutust.

Riiklik Küberjulgeolekukeskus (NCSC) tegeleb laiema küberturvalisuse ohud mis mõjutavad oluliste teenuste operaatoreid. Kui pakute kriitilist taristut või digiteenuseid, peate olulistest turvaintsidentidest teatama ka riiklikule keskkonstaabel (NCSC).

Need aruanded aitavad koordineerida riikide reageeringut küberohtudele.

Mõlemad ametiasutused viivad turvaintsidentide järel läbi uurimisi. Autoriteit Persoonsgegevens võib määrata trahve kuni 20 miljonit eurot või 4% teie aastasest ülemaailmsest käibest, olenevalt sellest, kumb on suurem.

Nad võtavad arvesse selliseid tegureid nagu rikkumise iseloom, mõjutatud isikute arv ja teie reageerimismeetmed.

ENISA suunised mõjutavad seda, kuidas Hollandi ametiasutused hindavad teie vastavust küberturvalisuse nõuetele.

Korralduslikud ja tehnilised meetmed

Teie rakendatud tehnilised ja korralduslikud meetmed mõjutavad otseselt vastutuse kindlaksmääramist. Nende meetmete hulka kuuluvad krüpteerimine, juurdepääsu kontroll, regulaarne turvatestimine ja töötajate koolitamine.

Kohtud ja järelevalveasutus hindavad, kas teie turvalisus oli kaasnevate riskidega võrreldes asjakohane.

Te peate dokumenteerima oma turvameetmed ja esitama äritegevuse järjepidevuse plaani. Kui te ei suuda tõestada piisavate ettevaatusabinõude rakendamist, suureneb vastutus märkimisväärselt.

Regulaarsed riskianalüüsid aitavad teil haavatavusi enne rikkumiste toimumist tuvastada.

Intsidentide käsitlemise protseduurid on üliolulised. Teil on vaja selgeid protokolle isikuandmete rikkumiste avastamiseks, uurimiseks ja neile reageerimiseks.

Teie reageerimisaeg ja turvaintsidentide ohjeldamise efektiivsus mõjutavad karistusotsuseid.

Autoriteit Personsgegevens eeldab, et säilitate oma turvaraamistiku kohta tõendeid. Ilma nõuetekohase dokumentatsioonita on mõistliku hoolsuse tõendamine uurimise käigus keeruline.

Tarneahela ja teenusepakkujate mõju

Tarneahela turvalisus tekitab keerulisi vastutusküsimusi. Kui teie teenusepakkujad kogevad teie andmeid mõjutavaid rikkumisi, võite ikkagi tagajärgedega silmitsi seista.

Peate tarnijate suhtes läbi viima hoolsuskohustuse ja pidevalt jälgima nende turvapraktikaid.

Oluliste teenuste operaatoritele esitatakse tarnijate haldamise osas rangemad nõuded. Te peate tagama, et teie tarneahela digitaalsete teenuste pakkujad säilitavad standardeid, mis vastavad teie enda kohustustele.

Lepingulistes kokkulepetes tuleks selgelt määratleda intsidentidest teatamise kohustused ja vastutuse jaotus.

Kui rikkumine pärineb teie tarneahelast, kontrollib Autoriteit Persoonsgegevens, kas olete teinud piisavaid tarnijate hindamisi. Teie vastutus sõltub sellest, kas olete võtnud mõistlikke meetmeid tarnija turvalisuse kontrollimiseks.

Te ei saa vastutust täielikult delegeerida isegi kolmandate osapoolte töötlejate kasutamisel.

Mitmetasandilised tarneahelad nõuavad erilist valvsust. Teil on vaja ülevaadet alltöötlejatest ja nende turvameetmetest, et kaitsta end kaskaadsete tõrgete eest, mis kahjustavad isikuandmeid mitmes organisatsioonis.

Andmete rikkumisest teatamise kohustused

Holland rakendab mitmekihilist teavitamisraamistikku vastavalt isikuandmete kaitse üldmäärusele ja riiklikele küberturvalisuse seadustele. Vastutavad töötlejad peavad rikkumistest teatama isikuandmete ametile (PDA) 72 tunni jooksul, kui on oht andmesubjekti õigused.

Kõrge riskiga rikkumised nõuavad mõjutatud isikute otsest teavitamist.

Ajagraafikud ja menetlusnõuded

Te peate isikuandmete rikkumisest teavitama isikuandmete kaitse üldinspektorit põhjendamatu viivituseta ja võimaluse korral hiljemalt 72 tunni jooksul pärast sellest teada saamist. See kohustus kehtib välja arvatud juhul, kui rikkumine tõenäoliselt ei kujuta endast ohtu füüsiliste isikute õigustele ja vabadustele.

Teade peab võimaluse korral sisaldama konkreetset teavet. Peate esitama asjaomaste andmesubjektide kategooriad ja ligikaudse arvu, mõjutatud isikuandmete kategooriad ja ligikaudse arvu ning oma andmekaitseametniku või muu kontaktpunkti nime.

Samuti peate kirjeldama rikkumise tõenäolisi tagajärgi ja selle lahendamiseks võetud või kavandatud meetmeid.

Kui te ei saa kogu nõutavat teavet 72 tunni jooksul esitada, võite selle esitada etappidena. Peate oma esialgses teates selgitama viivituse põhjuseid.

Keda ja millal tuleb teavitada

Kui isikuandmete rikkumine võib tõenäoliselt kujutada endast suurt ohtu nende õigustele ja vabadustele, peate sellest otse teavitama mõjutatud andmesubjekte. Teavitamine peab toimuma põhjendamatu viivituseta ning selges ja lihtsas keeles.

Andmesubjektide otsest teavitamist ei nõuta kolmel konkreetsel juhul. Te ei pea teavitama, kui olete rakendanud asjakohaseid tehnilisi ja korralduslikke kaitsemeetmeid (näiteks krüpteerimist), mis muudavad andmed volitamata isikutele loetamatuks.

Samuti ei pea te teavitama, kui olete võtnud edasisi meetmeid, et tagada andmesubjekti õigustele avalduva kõrge riski realiseerumine, või kui otsene suhtlus nõuaks ebaproportsionaalselt suuri pingutusi. Sellistel juhtudel on vaja avalikku suhtlust või sarnaseid meetmeid.

Finantsjärelevalve seaduse alusel tegutsevad finantsettevõtted on andmesubjekti teavitamise kohustusest vabastatud. Nad peavad siiski PDA-le aru andma.

Volitatud töötlejatel on erinevad kohustused. Te peate vastutavat töötlejat teavitama põhjendamatu viivituseta pärast isikuandmete rikkumisest teadasaamist, olenemata riskitasemest.

See on nii isikuandmete kaitse üldmääruse (GDPR) alusel seadusjärgne nõue kui ka see peaks olema lisatud teie töötlemislepingusse.

Valdkondlikud ja riiklikud teavitamisnõuded

Lisaks isikuandmete kaitse üldmääruse (GDPR) kohustustele võite olenevalt sektorist silmitsi seista täiendavate aruandlusnõuetega. WBNI (võrgu- ja infosüsteemide turvalisuse seadus) nõuab teatud üksustelt turvaintsidentide teatamist küberturvalisuse asutustele isegi siis, kui need intsidendid ei kvalifitseeru isikuandmete rikkumiseks.

Avalike elektrooniliste sidevõrkude pakkujad peavad teatama inimkeskkonna ja transpordi inspektsioonile (ILT). Tervishoiuorganisatsioonidel on kohustus teavitada tervise- ja noorsooinspektsiooni meditsiiniseadmete ohutust või patsiendiandmeid mõjutavatest intsidentidest.

Finantsteenuste ettevõtted peavad järgima finantsjärelevalve õigusaktide kohaseid sektoripõhiseid nõudeid.

Kriitilise infrastruktuuri pakkujatel on WBNI kohaselt suurenenud kohustused. Olulistest intsidentidest, mis võivad olulisi teenuseid oluliselt häirida, tuleb teatada arvutiturbe intsidentidele reageerimise meeskonnale (CSIRT).

Avalikud ettevõtted võivad olla sunnitud teatama turvaintsidentidest, mis võivad investorite otsuseid oluliselt mõjutada.

Need valdkondlikud nõuded toimivad sageli koos GDPR-i kohustustega, mitte ei asenda neid. Sõltuvalt teie organisatsiooni tegevusest ja rikkumise olemusest peate võib-olla ühe intsidendi kohta esitama mitu teadet erinevatele asutustele.

Nõuete täitmata jätmise korral rakendatavad sanktsioonid ja sanktsioonid

Hollandi ametivõimudel on selged volitused küberturvalisuse puuduste uurimiseks ja märkimisväärsete rahaliste karistuste määramiseks organisatsioonidele, kes ei kaitse isikuandmeid või ei vasta turvanõuetele.

Jõustamisraamistik hõlmab mitut reguleerivat asutust, kellel on konkreetsed järelevalvekohustused, struktureeritud karistusskeemid ja määratletud apellatsioonimenetlused organisatsioonidele, kellele karistused määratakse.

Uurimis- ja järelevalvevolitused

Andmetega seotud rikkumiste ja isikuandmete kaitse üldmääruse (GDPR) rikkumiste uurimise eest vastutab peamiselt Hollandi andmekaitseamet (Autoriteit Persoonsgegevens ehk AP).

AP saab algatada uurimisi kaebuste, meediakajastuste või rutiinsete auditite põhjal.

Juurdluse käigus võib asutus nõuda dokumente, teha kohapealseid kontrolle ja küsitleda töötajaid.

Uue Cyberbeveiligingswet'i kohaste küberturvalisuse kohustuste osas teostavad järelevalvet valdkonnapõhised reguleerivad asutused.

Tarbija- ja Turuamet (ACM) teostab järelevalvet digitaalse taristu ja telekommunikatsiooniteenuste pakkujate üle.

Hollandi keskpank (DNB) teostab finantsasutuste üle järelevalvet.

Majandus- ja kliimaministril, taristu- ja veemajanduse ministril ning tervishoiuministril on igaühel oma vastavates sektorites täitevvõim.

Need regulaatorid saavad teie süsteeme auditeerida, vaadata üle intsidentidele reageerimise protseduurid ja hinnata, kas teie riskijuhtimine vastab seaduslikele standarditele.

Samuti võivad nad rikkumiste tuvastamise korral teie organisatsioonilt sisse nõuda jõustamiskulusid.

Riiklik Küberjulgeoleku Keskus (NCSC) koordineerib regulaatorite vahelist tegevust, kuid ei määra otse karistusi.

Haldus- ja rahalised karistused

Rahalised karistused varieeruvad sõltuvalt õigusraamistikust ja rikkumiste raskusastmest.

GDPR-i jõustamise kohaselt võib AP määrata trahve kuni 20 miljonit eurot või 4% teie aastasest ülemaailmsest käibest, olenevalt sellest, kumb on suurem.

Asutus võtab uurimise ajal arvesse selliseid tegureid nagu rikkumise laad, mõjutatud isikute arv ja teie koostöö.

Cyberbeveiligingsweti kohaselt järgivad karistused astmelist struktuuri:

Üksuste klassifikatsioon Maksimaalne trahv Käibe alternatiiv
Olulised üksused (EE) € 10 miljonit 2% globaalne käive
Üldised üksused (BE) € 7 miljonit 1.4% globaalne käive

Samuti võivad regulaatorid välja anda parandusmeetmeid, mis nõuavad konkreetsete turvameetmete rakendamist kindlaksmääratud aja jooksul.

Korduvad rikkumised võivad kaasa tuua rikkumiste avalikustamise kaudu nimepidi häbistamise.

Oluliseks üksuseks liigitatud organisatsioonide direktorid võivad rasketel juhtudel sattuda isikliku diskvalifitseerimiseni juhatuse liikme kohalt.

Avaliku sektori organisatsioonid on rahalistest karistustest vabastatud, kuid nende suhtes kohaldatakse parandusmeetmeid ja võimalikku parlamentaarset kontrolli.

Õiguskaitse ja apellatsioonid

Teil on õigus vaidlustada täitemenetluse otsuseid, kasutades järgmist: halduskaebused.

Pärast trahviteate saamist saate esitada väljastavale asutusele vastuväite (bezwaar) kuue nädala jooksul.

Reguleeriv asutus peab oma otsuse ümber vaatama ja andma ametliku vastuse.

Kui te ei nõustu uuesti läbivaatamise tulemusega, võite esitada apellatsiooni ringkonnakohtule (rechtbank).

Kohus kontrollib, kas regulaator järgis nõuetekohast menetlust ja kohaldas seadust õigesti.

Siis võite apellatsioonikohtu otsused Riiginõukogu haldusjurisdiktsiooni osakonnale (Afdeling bestuursrechtspraak van de Raad van State), mis toimib kõrgeima halduskohtuna.

Kogu apellatsiooniprotsessi vältel peate jätkama reguleerivate asutuste määratud parandusmeetmete rakendamist.

Kohtud võivad rahaliste karistuste määramise kuni apellatsiooni tulemusteni peatada, kuid see ei ole automaatne.

Küberturvalisuse haldamise peamised rollid ja kohustused

Organisatsioonid peavad selgelt määratlema, kes haldab küberturvalisuse ülesandeid, alates andmekaitseametnike määramisest kuni juhatuse tasandil vastutuse kehtestamise ja töötajate koolitamiseni turvaprotokollide osas.

Andmekaitseametnikud ja ametisse nimetamine

Kui teie organisatsioon töötleb tundlikke isikuandmeid ulatuslikult või jälgib üksikisikuid süstemaatiliselt, peate määrama andmekaitseametniku.

Andmekaitseametnik on teie peamine kontaktpunkt andmekaitseasutuste ja andmesubjektide jaoks.

Teie andmekaitseametnikul peab olema andmekaitseõiguse ja infoturbe tavade alane erikvalifikatsioon.

Nad peavad aru andma otse teie kõrgeimale juhtkonnale ja neid ei saa oma ülesannete täitmise pärast vallandada.

See roll hõlmab isikuandmete kaitse üldmääruse (GDPR) nõuetele vastavuse jälgimist, andmekaitse mõjuhinnangute läbiviimist ning krüpteerimis- ja krüptograafianõuete nõustamist.

Te peaksite andmekaitseametniku kohustused selgelt dokumenteerima.

See hõlmab nende volitusi teie digitaalse infrastruktuuri auditeerimiseks ja teie intsidentidele reageerimise plaani läbivaatamiseks.

Kui tegutsete mitmes ELi riigis, saate määrata ühe andmekaitseametniku, tuginedes tema professionaalsetele omadustele ja asjakohaste jurisdiktsioonide tundmisele.

Ühingu juhtimine ja vastutus

Teie juhatusel on küberturvalisuse riskijuhtimise eest lõplik vastutus.

Nad peavad heaks kiitma turvameetmed, eraldama piisavalt ressursse ja tagama küberturvalisuse jõupingutuste nõuetekohase järelevalve.

Juhtimisvastutus hõlmab järgmist:

  • Turvapoliitikate kinnitamine infoturbe raamistike jaoks
  • Riskianalüüside järelevalve ja operatiivse vastupidavuse planeerimine
  • Auditi nõuetele vastavuse tagamine sõltumatute arvustuste kaudu
  • Eelarvete eraldamine küberturvalisuse haldamise ja töötajate koolitus

Turvalisusega seotud otsuste langetamiseks peate kehtestama selged volitused.

Dokument, kes kinnitab turvameetmed, kes teostab järelevalvet rakendamise üle ja kes viib läbi auditeid.

Teie juhtkond peab küberturvalisuse toimivust regulaarselt üle vaatama ja strateegiaid kohandama vastavalt teie digitaalse infrastruktuuri muutuvatele ohtudele.

Sise-eeskirjad ja töötajate koolitus

Peate looma dokumenteeritud poliitikad, mis määratlevad turberollid kogu teie organisatsioonis.

Need poliitikad peaksid täpsustama andmekaitse, intsidentidele reageerimise ja küberturvalisuse säilitamise kohustused.

Teie turvapoliitikad peavad hõlmama järgmist:

  • Juurdepääsu kontroll ja autentimisnõuded
  • Andmete klassifitseerimise ja krüpteerimise standardid
  • Juhtumite teatamise protseduurid
  • Regulaarne turvateadlikkuse koolitus

Sa peaksid pakkuma kõigile töötajatele pidevat koolitust infoturbe tavade kohta.

See hõlmab andmepüügi äratundmine katsed, tundlike andmete nõuetekohane käitlemine ja intsidentidele reageerimise plaani järgimine.

Koolitus peab olema kohandatud konkreetsetele rollidele, kusjuures tehniline personal saab krüptograafia ja turvakontrollide alal põhjalikku väljaõpet.

Teie poliitikaid tuleb regulaarselt läbi vaadata ja ajakohastada, kui eeskirjad muutuvad või ilmnevad uued riskid.

Teil tuleb tagada piisavad ressursid nii poliitika rakendamiseks kui ka töötajate arendamiseks küberturvalisuse tavade valdkonnas.

Küberturvalisuse intsidentide tüübid ja tekkivad ohud

Küberturvalisuse intsidendid ulatuvad petlikest meilidest kuni ulatuslike võrgukatkestusteni, mis võivad kahjustada terveid organisatsioone.

Nende ohtude mõistmine aitab teil tuvastada haavatavusi ja määrata kindlaks, kes lasub vastutusel rikkumise korral.

Andmepüük, pahavara ja lunavara

Phishing on endiselt üks levinumaid küberturvalisuse ohte, millega kokku puutute.

Ründajad saadavad teile e-kirju või sõnumeid, mis teesklevad, et pärinevad seaduslikelt ettevõtetelt, et varastada teie paroole, finantsteavet või muid tundlikke andmeid.

Need rünnakud põhjustavad üle 60 protsendi sotsiaalse manipuleerimise juhtumitest.

malware viitab kahjulikule tarkvarale, mis kahjustab teie arvutisüsteeme või võrke.

See hõlmab viiruseid, troojalasi ja muud pahatahtlikku koodi, mis on loodud teie andmetele juurdepääsuks või teie tegevuse häirimiseks.

väljapressimisvaraga on teatud tüüpi pahavara, mis blokeerib juurdepääsu teie failidele ja nõuab taastamise eest tasu.

Isegi kui maksate lunaraha, pole mingit garantiid, et ründajad taastavad teie juurdepääsu või kustutavad varastatud andmed.

Aastatel 2020–2021 seisid organisatsioonid kogu maailmas silmitsi ligikaudu 24 000 küberturvalisuse intsidendiga, kusjuures lunavara mängis olulist rolli rahaliste kahjude tekkimises.

Teenusetõkestamise (DoS) ja hajutatud DoS-rünnakud (DDoS)

DoS-rünnakud üle koormata oma süsteeme liiklusega, et muuta teenused õigustatud kasutajatele kättesaamatuks.

Üks allikas uputab teie võrgu päringutega üle, kuni see kokku jookseb või muutub toimimiseks liiga aeglaseks.

DDoS rünnakud kasutada mitut ohustatud süsteemi, et algatada oma infrastruktuuri vastu koordineeritud rünnakuid.

Neid hajutatud rünnakuid on raskem peatada, kuna need tulevad samaaegselt mitmest kohast.

DDoS-rünnakud võivad häirida kriitilisi teenuseid, alates valitsuse veebisaitidest kuni erasektori tegevuseni.

Tavaliselt on teil alates esimesest avastamisest vähem kui 62 minutit, et vältida turvaintsidendi muutumist tõsiseks rikkumiseks.

See kitsas aken muudab kiire reageerimise DoS- või DDoS-rünnakute korral ülioluliseks.

Pettus ja volitamata juurdepääs

Pettus Küberturvalisus hõlmab pettusi, et saada volitamata juurdepääs teie süsteemidele või andmetele.

See hõlmab identiteedivargust, maksepettust ja volituste ohtu seadmist.

Volitamata juurdepääs toimub siis, kui keegi rikub teie turvapoliitikaid, et pääseda juurde võrkudele, süsteemidele või andmetele ilma loata.

See võib juhtuda järgmistel viisidel:

  • Varastatud sisselogimismandaadid
  • Kasutatud tarkvara haavatavused
  • Turvakontrollidest mööda hiilimine
  • Praeguste või endiste töötajate siseringiohud

Sisemiste andmete vargus jääb sageli tähelepanuta, kuid see võib olla sama kahjulik kui välised rünnakud.

2021. aastal ulatusid siseringirünnakute keskmised kulud 12.5 miljoni naelani.

Isegi töötajate tahtmatud andmelekked loetakse arvutikuritarvituse seaduse (1990) kohaselt turvaintsidentideks.

Sektori ja tarneahela haavatavused

Kriitilise infrastruktuuri sektorid seisavad silmitsi suurenenud küberkuritegevuse riskidega, kusjuures peamised sihtmärgid on tervishoid, energeetika ja finantsteenused.

Professionaalses sektoris toimus aastatel 2020–2021 ligi 3,600 intsidenti, mis teeb sellest kõige enam sihikule võetud tööstusharu.

Tarneahela turvalisus on muutunud üha olulisemaks, kuna ründajad võtavad sihikule teie partnerid ja kolmandate osapoolte müüjad, selle asemel et teid otse rünnata.

Need kolmandate osapoolte rünnakud kasutavad teie partnerorganisatsioonide nõrgemaid turvameetmeid ära, et pääseda ligi teie klientide andmetele.

Tarneahela haavatavused võimaldavad ründajatel ühe rikkumisega nakatada mitut organisatsiooni.

Kui teie tarnija süsteemid teie omadega ühenduvad, muutuvad nende turvanõrkused teie turvanõrkusteks.

See omavahel seotud risk tähendab, et peate hindama mitte ainult oma küberturvalisuse meetmeid, vaid ka iga teie tarneahela organisatsiooni meetmeid.

Rahvusriigid testivad ja tungivad üha enam konkureerivatesse küberruumidesse, tegutsedes sageli eraettevõtete varjus, kuid valitsuste nimel.

Korduma kippuvad küsimused

Hollandi ettevõtted peavad pärast andmetega seotud rikkumist järgima rangeid aruandlusnõudeid ja vastavusstandardeid, kusjuures vastutus laieneb mitmele osapoolele olenevalt nende rollidest ja vastutusalast.

Nende kohustuste mõistmine aitab organisatsioonidel kaitsta ennast ja mõjutatud isikuid, järgides samal ajal riiklikke ja Euroopa eeskirju.

Millised on Hollandi ettevõtete juriidilised kohustused pärast andmetega seotud rikkumist?

Teie organisatsioon peab andmetega seotud rikkumisest teada saamisest 72 tunni jooksul teavitama Hollandi andmekaitseasutust (Autoriteit Persoonsgegevens).

See nõue kehtib isikuandmete kaitse üldmääruse (GDPR) alusel, mis reguleerib andmekaitset kogu Hollandis.

Rikkumisteates peate esitama konkreetse teabe.

See hõlmab rikkumise olemust, mõjutatud isikute arvu, võimalikke tagajärgi ja meetmeid, mida olete võtnud või kavatsete võtta.

Kui te ei saa kõiki andmeid 72 tunni jooksul esitada, peate viivituse põhjust selgitama ja ülejäänud teabe esitama nii kiiresti kui võimalik.

Kui rikkumine kujutab endast suurt ohtu üksikisikute õigustele ja vabadustele, peate sellest teavitama ka otse mõjutatud isikuid.

Te ei saa selle teavitusega viivitada ilma mõjuva põhjuseta.

Teie suhtlus mõjutatud isikutega peaks olema selge ja selgitama rikkumise tõenäolisi tagajärgi ning samme, mida nad saavad enda kaitsmiseks astuda.

Te peate säilitama üksikasjaliku dokumentatsiooni kõigi andmetega seotud rikkumiste kohta, olenemata sellest, kas te neist ametivõimudele teatate.

See dokumentatsioon peaks sisaldama rikkumisega seotud fakte, selle tagajärgi ja võetud parandusmeetmeid.

Hollandi andmekaitseamet võib neid dokumente kontrollide või uurimiste käigus nõuda.

Kuidas määratakse Hollandi õiguse kohaselt vastutus andmetega seotud rikkumiste eest?

Vastutus andmetega seotud rikkumiste eest Hollandis sõltub teie rollist kas andmetöötlejana või andmetöötlejana.

Andmetöötlejad määravad isikuandmete töötlemise eesmärgid ja vahendid, samas kui andmetöötlejad töötlevad andmeid vastutavate töötlejate nimel.

Sinu juriidilised kohustused erinevad selle klassifikatsiooni põhjal.

Andmetöötlejana kannate esmast vastutust andmekaitse-eeskirjade järgimise tagamise eest.

Te peate rakendama isikuandmete kaitsmiseks asjakohaseid tehnilisi ja korralduslikke meetmeid.

Kohtud hindavad, kas astusite rikkumise ärahoidmiseks mõistlikke samme ja kas tegutsesite oma turvapraktikates hooletult.

Andmetöötlejad võivad vastutada ka siis, kui nad ei järgi vastutava töötleja juhiseid või rikuvad oma lepingulisi kohustusi.

Volitatud töötlejatel on aga tavaliselt piiratum vastutus kui vastutavatel töötlejatel.

Kui töötlete andmeid ilma vastutava töötleja nõuetekohase loata või ei rakenda kokkulepitud turvameetmeid, võidakse teid otseselt vastutavaks pidada.

Hollandi kohtud arvestavad vastutuse kindlaksmääramisel mitmete teguritega.

Nende hulka kuuluvad rikkumise tõsidus, ohustatud andmete tundlikkus, teie turvameetmed enne rikkumist ja teie reageering pärast intsidendi avastamist.

Teie organisatsiooni suurus ja ressursid mõjutavad samuti seda, milliseid turvameetmeid kohtud mõistlikeks peavad.

Ühine vastutus võib tekkida siis, kui andmetega seotud rikkumisele on kaasa aidanud mitu osapoolt.

Kui jagate vastutust teiste vastutavate töötlejate või volitatud töötlejatega, võivad kohtud iga poole kogu kahju eest vastutavaks pidada.

Seejärel saate nõuda hüvitist teistelt vastutavatelt osapooltelt vastavalt nende vastavale panusele rikkumisse.

Milliseid osapooli saab Madalmaades andmeturbeintsidentide eest vastutavaks pidada?

Andmeturbeintsidentide eest vastutavad peamiselt andmekontrolörid.

Vastutava töötlejana langetate otsuseid isikuandmete töötlemise kohta ja peate tagama asjakohaste turvameetmete olemasolu.

Teie organisatsioonile võidakse rikkumise korral määrata haldustrahve, tsiviilvastutust ja mainekahju.

Andmetöötlejaid saab vastutusele võtta, kui nad ei täida oma lepingulisi ja seadusest tulenevaid kohustusi.

Kui töötlete andmeid vastutava töötleja nimel, peate rakendama oma lepingus täpsustatud turvameetmeid ja järgima vastutava töötleja seaduslikke juhiseid.

Teil lasub otsene vastutus, kui te ületate oma volitusi või ei taga piisavat turvalisust.

Teie organisatsiooni direktorid ja ametnikud võivad teatud asjaoludel isiklikult vastutada.

NIS2 direktiivi rakendamise kohaselt Madalmaades saab juhtkonda pidada isiklikult vastutavaks küberturvalisuse juhtimise puuduste eest.

See hõlmab võimalikku direktorina tegutsemisest diskvalifitseerimist tõsiste rikkumiste korral.

Turvaintsidentide eest võivad vastutada ka kolmanda osapoole teenusepakkujad.

Kui tuginete pilveteenustele, IT-toele või muudele välistele pakkujatele, võivad nad jagada vastutust, kui nende vead aitavad kaasa rikkumisele.

Teie lepingud nende pakkujatega peaksid selgelt määratlema turvakohustused ja vastutuse tingimused.

Peamine jõustamisasutus on Hollandi andmekaitseamet.

Kuigi amet ei vastuta rikkumiste eest otseselt, uurib ta intsidente, annab välja parandusmeetmeid ja määrab nõuetele mittevastavatele organisatsioonidele haldustrahve.

Millised tagajärjed võivad organisatsioonidele tekkida Hollandi andmekaitse-eeskirjade mittejärgimise korral?

Teie organisatsioonile võidakse määrata haldustrahv kuni 20 miljonit eurot või 4% teie ülemaailmsest aastakäibest, olenevalt sellest, kumb summa on suurem. Hollandi andmekaitseamet määrab trahvisummad rikkumise laadi, raskusastme, kestuse ja teie koostöö põhjal uurimise ajal.

Lisaks rahalistele karistustele võib amet kehtestada parandusmeetmeid, mis häirivad teie tegevust. Nende meetmete hulka kuuluvad ajutised andmetöötlustegevuse piiramised, korraldus konkreetsete rikkumiste kõrvaldamiseks ja kohustuslikud auditid.

Teil võib tekkida vajadus teatud äritegevused peatada, kuni olete vastavuse tõendanud. Teie organisatsiooni maine võib nõuetele mittevastavuse korral oluliselt kahjustuda.

Andmetega seotud rikkumiste ja regulatiivsete karistuste avalikustamine võib õõnestada klientide usaldust ja kahjustada ärisuhteid. Hollandi andmekaitseamet avaldab täiteotsuseid, mis jäävad avalikkusele ja meediale kättesaadavaks.

Mõjutatud isikud võivad esitada teile tsiviilhagi kahju hüvitamise nõudmisega. Üksikisikud saavad nõuda andmekaitse rikkumistest tuleneva materiaalse ja mittemateriaalse kahju hüvitamist.

Hollandi kohtud on üha enam tunnustanud isikuandmete üle kontrolli kaotamise ja kahju hüvitamise nõudeid isegi ilma otsese rahalise kahjuta. Teie ärivõimalused võivad pärast tõsiseid rikkumisi olla piiratud.

Mõned sektorid nõuavad lepingute haldamiseks turvasertifikaate või vastavusdokumente, eriti valitsusasutuste või reguleeritud tööstusharudega suhtlemisel.

Kuidas saavad mõjutatud isikud Hollandis pärast andmetega seotud rikkumist hüvitist taotleda?

Kui arvate, et organisatsioon on rikkunud teie andmekaitseõigusi, võite esitada kaebuse Hollandi andmekaitseasutusele. Andmekaitseasutus uurib kaebusi ja võib võtta eeskirju rikkuvate organisatsioonide vastu jõustamismeetmeid.

See protsess ei maksa teile midagi ega nõua õigusabi. Teil on õigus algatada vastutava organisatsiooni vastu tsiviilhagi.

Hollandi seadus lubab teil nõuda hüvitist nii varalise kui ka mittevaralise kahju eest, mis on tekkinud andmekaitse rikkumise tagajärjel. Varaline kahju hõlmab rahalist kahju, mittevaraline kahju aga stressi, ärevust ja kontrolli kaotust oma isikuandmete üle.

Võite oma nõude menetlemiseks kaasata advokaadi tingimusliku hüvitise alusel või taotleda õigusabi, kui vastate rahalise abikõlblikkuse kriteeriumidele. Paljud Hollandi advokaadibürood on spetsialiseerunud andmekaitsega seotud juhtumitele ja saavad teid teie nõude tugevuse osas nõustada.

Kollektiivhagi mehhanismid võimaldavad mõjutatud isikute gruppidel esitada nõudeid kollektiivselt. Teil on võimalik taotleda hüvitist otse organisatsioonilt ilma kohtusse pöördumata.

Paljud organisatsioonid eelistavad kohtukulude ja negatiivse reklaami vältimiseks vaidlusi eraviisiliselt lahendada. Teie läbirääkimispositsioon tugevneb, kui organisatsioon rikkus selgelt andmekaitse-eeskirju või kui rikkumine põhjustas olulist kahju.

Samuti võite esitada nõudeid andmetöötlejate vastu, kui nemad vastutavad rikkumise eest. GDPR-i kohaselt saab nii vastutavaid töötlejaid kui ka volitatud töötlejaid kahjude eest vastutavaks pidada.

Kui rikkumisele kaasa aitas mitu osapoolt, võite nõuda kogu summat ükskõik milliselt vastutavalt osapoolelt.

Kuidas mõjutab isikuandmete kaitse üldmäärus Madalmaades tegutsevate üksuste vastutust ja ülesandeid andmetega seotud rikkumise korral?

GDPR kehtestab organisatsioonidele selged kohustused isikuandmete kaitse osas.

Üksused peavad andmete turvalisuse tagamiseks rakendama asjakohaseid tehnilisi ja korralduslikke meetmeid.

Andmete rikkumise korral on organisatsioonid kohustatud sellest 72 tunni jooksul teavitama asjakohast järelevalveasutust.

Kui rikkumine kujutab endast suurt ohtu üksikisikute õigustele ja vabadustele, tuleb sellest teavitada ka mõjutatud üksikisikuid.

Nende nõuete eiramine võib kaasa tuua märkimisväärseid trahve ja kahju organisatsiooni mainele.

Nii andmetöötlejatel kui ka volitatud töötlejatel on GDPR-i kohaselt erinevad kohustused ning lepingutes tuleb need rollid selgelt määratleda.

Vajad õigusabi?

Võta ühendust Law & More saada asjatundlikku nõu oma õigusküsimustes. Meie mitmekeelne meeskond on valmis teid aitama.

Broneeri konsultatsioon
Võta meiega ühendust

Kas vajate juriidilist nõu?

Meie kogenud juristid on valmis teid teie juriidiliste küsimustega abistama.

Broneeri konsultatsioon

Teemaga seotud artiklid

Ettevõtte juhatus sülearvuti, juriidiliste dokumentide ja GDPR-i nõuetele vastavuse juhtpaneeliga, kus on hoiatusindikaatorid – illustratsioon, mis kirjeldab GDPR-i alusel andmete jagamisega kaasnevaid õiguslikke riske
IT seadus

7 GDPR-i riski, mida iga ettevõte peab andmete jagamisel teadma

Andmete jagamine on tänapäevase kaubanduse elujõud. Olenemata sellest, kas olete uue pilveteenuse pakkujaga liitumas,

Loe edasi
Õhuvaade moodsale tehnoloogialinnakule kuldsel tunnil, kus on roheliste küngaste ja kauge linna siluetiga ümbritsetud klaasist kontorihooned – mis sümboliseerivad tehnoloogia ja juriidilise riski kokkupuutepunkti.
Kriminaalõiguse, IT seadus

Tehnoloogiaettevõtjate kriminaalvastutus: millal muutub tsiviilõiguslik intellektuaalomandi vaidlus kriminaalseks?

Hollandi SaaS-ettevõte saab tegevuse lõpetamise kirja, milles väidetakse, et nende teenuse põhifunktsioon

Loe edasi
Moodne kontor kuldsel tunnil, kus on tehnilised joonised, patendidokument ja messingist prototüüp elegantsel laual, kust avaneb vaade linna siluetile.
IT seadus

Patendi taotlemine Hollandis: täielik juhend ettevõtjatele

1. Sissejuhatus – Miks on patent ettevõtjatele oluline? Olete kulutanud kuid –

Loe edasi

Olge kursis Hollandi õigusega

Liitu meie uudiskirjaga, et saada uusimaid õigusalaseid teadmisi, regulatiivseid uuendusi ja praktilisi nõuandeid.

Law & More logo
Kõik logod vertikaalselt (1)

Teenused

Tegevusvaldkonnad

Quick Link

Kontaktinfo

Facebook Instagram LinkedIn puperdama

© 2026 Law & More. Kõik õigused kaitstud.

Avatud olekuajad image.webp
Klantenvertellen.nl Law and More klientide arvustused

Rahvusvaheline advokaadibüroo, mis teenindab ettevõtteid ja eraisikuid Eindhoven ja Amsterdam. 

Ekspertiis Brainporti tehnoloogiaökosüsteemis.

 

Facebook Instagram LinkedIn puperdama
Logos

Teenused

Tegevusvaldkonnad

Quick Link

© 2026 Law & More. Kõik õigused kaitstud.

Üldtingimustes  ·  Isikuandmete avaldamine  ·  Kaebuste lahendamise kord  ·  Küpsistepoliitika

Võta ühendust

  • +31 20 369 71 21
  • Amsterdam: Pietersbergweg 291, 1105 BM (külastuskoht)
  • E-R: 08:00-18:00 | L-P: 09.00-17.00

Keel:

Avatud olekuajad image.webp
Klantenvertellen.nl Law and More klientide arvustused