Úniky dat se v Nizozemsku stávají každý den. Když k nim dojde, někdo musí podniknout kroky. odpovědnost.

Podle nizozemského práva a GDPR jsou organizace, které spravují osobní údaje, primárně odpovědné za jejich ochranu a čelí významná odpovědnost když dojde k porušením. Pokud vaše firma trpí kybernetický útok, můžete čelit pokutám až do výše 20 milionů eur nebo 4 % vašeho celosvětového ročního obratu, v závislosti na tom, která částka je vyšší.

Pochopení toho, kdo nese odpovědnost za únik dat, je zásadní pro každou organizaci působící v Nizozemsku. Odpověď není vždy jednoduchá, protože odpovědnost se může rozšířit i mimo vaši společnost a zahrnovat externí poskytovatele služeb, zaměstnance a další strany zapojené do zpracování dat.

Nizozemský úřad pro ochranu osobních údajů a další regulační orgány určují odpovědnost na základě vaší role správce nebo zpracovatele údajů, bezpečnostních opatření, která jste zavedli, a rychlosti vaší reakce na incident.

Tento článek rozebírá právní rámec upravující kybernetickou bezpečnost v Nizozemsku a vysvětluje, jak se odpovědnost určuje po narušení bezpečnosti. Dozvíte se o svých oznamovacích povinnostech, sankcích, které vám hrozí za nedodržení předpisů, a praktických krocích, které můžete podniknout k ochraně své organizace před kybernetickými útoky i právními důsledky.

Právní rámec pro kybernetickou bezpečnost a ochranu osobních údajů

Nizozemsko funguje v rámci několika vrstev legislativy v oblasti kybernetické bezpečnosti a ochrany údajů, která kombinuje celoevropské předpisy s vnitrostátními prováděcími zákony. Tyto zákony stanoví jasné povinnosti pro organizace nakládající s osobními údaji a provozující kritickou infrastrukturu.

Vytvářejí specifické požadavky pro různá odvětví, včetně telekomunikací, financí a zákon vynucení.

Obecné nařízení o ochraně osobních údajů (GDPR) a jeho implementace v Nizozemsku

Jedno GDPR slouží jako primární rámec ochrany osobních údajů v celé EU, včetně Nizozemska. Stanovuje komplexní pravidla pro zpracování osobních údajů a vyžaduje, aby organizace zavedly vhodná technická a organizační opatření na ochranu informací.

Nizozemsko implementovalo GDPR prostřednictvím Nizozemský zákon o implementaci GDPR (Průměrná hodnota zatěžování), který přizpůsobuje požadavky EU nizozemskému právu. Tento zákon poskytuje specifická ustanovení pro vnitrostátní okolnosti a zároveň zachovává soulad s evropskými standardy.

Označuje nizozemský úřad pro ochranu osobních údajů (Osobní údaje úřadu) jako dozorčí orgán odpovědný za vymáhání.

Podle GDPR musíte nahlásit narušení dat dozorovému orgánu do 72 hodin od zjištění. Pokud porušení představuje vysoké riziko pro práva a svobody jednotlivců, musíte o tom bez zbytečného odkladu informovat i dotčené osoby.

Tyto oznamovací požadavky tvoří základ odpovědnosti za porušení v Nizozemsku.

Jedno Verzamelwet Gegevensbescherming (Zákon o kolektivní ochraně osobních údajů) dále zpřesňuje různé nizozemské zákony, aby byly v souladu se standardy GDPR. Tím je zajištěna konzistence napříč různými právními oblastmi.

Zákon o kybernetické bezpečnosti a směrnice NIS2

Jedno Směrnice NIS2 výrazně rozšiřuje požadavky na kybernetickou bezpečnost pro základní a důležité subjekty v celé EU. Nizozemsko tuto směrnici implementuje prostřednictvím aktualizací Kybernetické závoje (nizozemský zákon o kybernetické bezpečnosti), který původně transponoval první směrnici o bezpečnosti informací a informací (NIS).

NIS2 rozšiřuje rozsah zahrnutých odvětví a zavádí přísnější bezpečnostní požadavky, povinnosti hlášení incidentů a ustanovení o odpovědnosti managementu. Musíte zavést specifická opatření pro řízení rizik a hlásit významné incidenty do 24 hodin od jejich zjištění.

Jedno Zákon o bezpečnosti sítí a informačních systémů a doprovázející Vyhláška o bezpečnosti sítí a informačních systémů stanoví podrobné požadavky pro provozovatele základních služeb a poskytovatele digitálních služeb. Tyto zákony nařizují základní bezpečnostní opatření, pravidelné audity a koordinaci s národními orgány pro kybernetickou bezpečnost.

Legislativa určuje specifické příslušné orgány pro různá odvětví. To zajišťuje specializovaný dohled nad postupy v oblasti kybernetické bezpečnosti.

Další relevantní zákony a směrnice

Jedno Směrnice EU o soukromí a elektronických komunikacích Doplňuje GDPR tím, že se zabývá ochranou soukromí v elektronické komunikaci. Vyžaduje souhlas s používáním souborů cookie a podobných technologií a chrání důvěrnost komunikačních dat.

Jedno Zákon o telekomunikacích (Telekomunikace) ukládá poskytovatelům telekomunikačních služeb specifické bezpečnostní povinnosti, včetně požadavků na ochranu integrity sítě a uživatelských dat. Tento zákon funguje společně se zákony na ochranu osobních údajů, aby zajistil komplexní ochranu v komunikačním sektoru.

Jedno Zákon o odolnosti kritických entit (CRA) posiluje požadavky na fyzickou a kybernetickou bezpečnost pro subjekty považované za klíčové pro veřejnou bezpečnost a ekonomickou stabilitu. Vyžaduje posouzení rizik a opatření odolnosti nad rámec standardních ustanovení o kybernetické bezpečnosti.

Tyto rámce vytvářejí překrývající se povinnosti. Musíte se v nich orientovat, pokud působíte napříč více sektory nebo zpracováváte různé typy dat.

Odvětvové předpisy

Jedno Zákon o finančním dohledu (Wet op het financeel toezicht) zavádí přísné požadavky na kybernetickou bezpečnost a ochranu dat pro finanční instituce. Při provozu ve finančním sektoru musíte zavést robustní bezpečnostní kontroly, postupy pro reakci na incidenty a pravidelné testovací protokoly.

Donucovací orgány čelí specializovaným požadavkům podle Zákon o policejních údajích (Mokré policejní výlevy) a Wet justitiële en strafvorderlijke gegevens (Zákon o údajích v soudním a trestním řízení). Tyto zákony upravují, jak policejní a soudní orgány shromažďují, zpracovávají a chrání osobní údaje během vyšetřování a trestního řízení.

Poskytovatelé zdravotní péče musí dodržovat další záruky ochrany osobních údajů nad rámec standardních požadavků GDPR. To odráží citlivou povahu lékařských informací.

Energetický, dopravní a vodohospodářský sektor čelí v rámci implementace NIS2 specifickým povinnostem s bezpečnostními opatřeními přizpůsobenými jejich provozním rizikům.

Každý předpis specifický pro daný sektor ukládá specifické požadavky na dodržování předpisů. Je nezbytné zjistit, které zákony se vztahují na specifické činnosti a operace zpracování údajů vaší organizace.

Přiřazení odpovědnosti po narušení bezpečnosti dat

V Nizozemsku závisí odpovědnost za únik údajů na vaší roli při zpracování osobních údajů, tj. bezpečnostní opatření jste implementovali a zda jste dodrželi požadavky na podávání zpráv. Nizozemský úřad pro ochranu osobních údajů a další dozorové orgány určují odpovědnost na základě právní závazky v souladu s GDPR a národními zákony o kybernetické bezpečnosti.

Definování odpovědnosti: Správci, zpracovatelé a třetí strany

Vaše odpovědnost po porušení ochrany osobních údajů záleží na tom, zda se chováte jako správce údajů nebo zpracovatel. Správci rozhodují o tom, jak a proč jsou osobní údaje zpracovávány, a proto nesou primární odpovědnost za bezpečnostní incidenty.

Zpracovatelé zpracovávají data jménem správců a nesou odpovědnost, pokud překročí pokyny nebo neimplementují odpovídající bezpečnostní opatření.

Třetí strany, jako například poskytovatelé digitálních služeb, nesou samostatnou odpovědnost. Pokud využíváte externí dodavatele, zůstáváte odpovědní za jejich jednání, když zpracovávají data vaším jménem.

Vaše smlouvy musí specifikovat bezpečnostní povinnosti a postupy pro řešení incidentů.

Pokud je zapojeno více stran, může být odpovědnost sdílena. Pokud vy i váš zpracovatel nezavedete technická a organizační opatření, můžete oběma čelit sankcím ze strany Úřadu pro ochranu osobních údajů.

Dozorový orgán zkoumá roli každé strany v porušení, aby mohl určit odpovědnost.

Dozorčí orgány a regulační role

Nizozemský úřad pro ochranu osobních údajů (Autoriteit Persoonsgegevens) slouží jako úřad pro ochranu osobních údajů (Data Protection Authority) a je odpovědný za vymáhání dodržování GDPR. Úniky osobních údajů musíte tomuto dozorovému úřadu nahlásit do 72 hodin od zjištění incidentu.

Nedodržení termínů pro hlášení incidentů zvyšuje vaši odpovědnost.

Národní centrum kybernetické bezpečnosti (NCSC) se zabývá širší kybernetické bezpečnostní hrozby ovlivňující provozovatele základních služeb. Pokud poskytujete kritickou infrastrukturu nebo digitální služby, musíte také hlásit NCSC významné bezpečnostní incidenty.

Tyto zprávy pomáhají koordinovat národní reakce na kybernetické hrozby.

Oba orgány provádějí vyšetřování bezpečnostních incidentů. Autoriteit Persoonsgegevens může uložit pokuty až do výše 20 milionů eur nebo 4 % vašeho ročního celosvětového obratu, podle toho, která částka je vyšší.

Zohledňují faktory, jako je povaha narušení, počet postižených osob a vaše reakční opatření.

Pokyny agentury ENISA ovlivňují, jak nizozemské orgány posuzují váš soulad s požadavky na kybernetickou bezpečnost.

Organizační a technická opatření

Vaše implementace technických a organizačních opatření přímo ovlivňuje určení odpovědnosti. Tato opatření zahrnují šifrování, kontrolu přístupu, pravidelné bezpečnostní testování a školení zaměstnanců.

Soudy a dozorový orgán posuzují, zda vaše zabezpečení bylo přiměřené s ohledem na související rizika.

Musíte zdokumentovat svá bezpečnostní opatření a prokázat plánování kontinuity provozu. Pokud nemůžete prokázat dostatečná opatření, odpovědnost se podstatně zvyšuje.

Pravidelné hodnocení rizik vám pomůže identifikovat zranitelnosti dříve, než dojde k narušení bezpečnosti.

Postupy pro řešení incidentů jsou klíčové. Potřebujete jasné protokoly pro odhalování, vyšetřování a reakci na úniky osobních údajů.

Vaše doba odezvy a efektivita při zvládání bezpečnostních incidentů ovlivňují rozhodnutí o sankcích.

Úřad pro ochranu osobních údajů (Autoriteit Persoonsgegevens) očekává, že si budete uchovávat doklady o svém bezpečnostním rámci. Bez řádné dokumentace je prokázání přiměřené péče během vyšetřování obtížné.

Dopad dodavatelského řetězce a poskytovatelů služeb

Zabezpečení dodavatelského řetězce s sebou nese složité otázky odpovědnosti. I když vaši poskytovatelé služeb zaznamenají narušení bezpečnosti vašich dat, můžete i tak čelit důsledkům.

Musíte provádět due diligence u dodavatelů a průběžně sledovat jejich bezpečnostní postupy.

Provozovatelé základních služeb čelí přísnějším požadavkům na správu dodavatelů. Musíte zajistit, aby poskytovatelé digitálních služeb ve vašem dodavatelském řetězci dodržovali standardy odpovídající vašim vlastním závazkům.

Smluvní ujednání by měla jasně definovat povinnosti hlášení incidentů a rozdělení odpovědnosti.

Pokud k narušení bezpečnosti dochází ve vašem dodavatelském řetězci, úřad pro ochranu osobních údajů (Autoriteit Persoonsgegevens) prověří, zda jste provedli odpovídající posouzení dodavatelů. Vaše odpovědnost závisí na tom, zda jste podnikli přiměřené kroky k ověření bezpečnosti dodavatelů.

Ani při využití zpracovatelů třetích stran nemůžete plně delegovat odpovědnost.

Víceúrovňové dodavatelské řetězce vyžadují zvýšenou ostražitost. Potřebujete přehled o dílčích zpracovatelích a jejich bezpečnostních opatřeních, abyste se chránili před kaskádovými selháními, která ohrožují osobní údaje napříč více organizacemi.

Povinnosti týkající se oznámení o narušení bezpečnosti údajů

Nizozemsko zavádí vícevrstvý rámec pro oznamování podle GDPR a vnitrostátních zákonů o kybernetické bezpečnosti. Správci musí nahlásit porušení Úřadu pro ochranu osobních údajů (PDA) do 72 hodin, pokud existuje riziko práva subjektu údajů.

Vysoce rizikové narušení vyžadovat přímé informování dotčených osob.

Časové harmonogramy a procedurální požadavky

O porušení ochrany osobních údajů musíte informovat PDA bez zbytečného odkladu a pokud možno nejpozději do 72 hodin od zjištění. Tato povinnost platí, pokud je nepravděpodobné, že by porušení povedlo k ohrožení práv a svobod fyzických osob.

Oznámení musí pokud možno obsahovat konkrétní informace. Musíte uvést kategorie a přibližný počet dotčených subjektů údajů, kategorie a přibližný počet dotčených záznamů osobních údajů a jméno svého pověřence pro ochranu osobních údajů nebo jiného kontaktního místa.

Musíte také popsat pravděpodobné důsledky porušení a přijatá nebo navržená opatření k jeho řešení.

Pokud nemůžete poskytnout všechny požadované informace do 72 hodin, můžete je podat po částech. Důvody jakéhokoli zpoždění musíte vysvětlit ve svém původním oznámení.

Kdo musí být informován a kdy

Pokud je pravděpodobné, že porušení ochrany osobních údajů povede k vysokému riziku pro práva a svobody dotčených subjektů údajů, musíte o tom informovat přímo. Toto oznámení musí proběhnout bez zbytečného odkladu a musí být formulováno jasným a srozumitelným jazykem.

Přímé oznámení subjektům údajů se nevyžaduje ve třech specifických případech. Oznámení nemusíte provádět, pokud jste zavedli vhodná technická a organizační ochranná opatření (například šifrování), která znemožňují přístup k údajům neoprávněným osobám.

Také nemusíte oznamovat, pokud jste přijali následná opatření zajišťující, že vysoké riziko pro práva subjektu údajů pravděpodobně již nenastane, nebo pokud by přímá komunikace vyžadovala nepřiměřené úsilí. V takových případech je místo toho vyžadována veřejná komunikace nebo podobná opatření.

Finanční společnosti jsou podle zákona o finančním dohledu osvobozeny od oznamovací povinnosti vůči subjektu údajů. I tak musí podávat zprávy PDA.

Zpracovatelé mají odlišné povinnosti. Musíte správce bez zbytečného odkladu informovat poté, co se dozvíte o jakémkoli porušení ochrany osobních údajů, bez ohledu na úroveň rizika.

Toto je jak zákonný požadavek podle GDPR, tak by mělo být zahrnuto i ve vaší smlouvě o zpracování údajů.

Odvětvové a národní požadavky na oznamování

Kromě povinností vyplývajících z GDPR se můžete v závislosti na vašem odvětví setkat s dalšími požadavky na hlášení. Zákon o bezpečnosti sítí a informačních systémů (WBNI) vyžaduje, aby určité subjekty hlásily bezpečnostní incidenty orgánům kybernetické bezpečnosti, a to i v případě, že tyto incidenty nekvalifikují jako narušení ochrany osobních údajů.

Poskytovatelé veřejných elektronických komunikačních sítí musí podávat zprávy Inspektorátu pro lidské prostředí a dopravu (ILT). Zdravotnické organizace mají povinnost informovat Inspektorát zdraví a péče o mládež o incidentech ovlivňujících bezpečnost zdravotnických prostředků nebo údaje o pacientech.

Firmy poskytující finanční služby musí splňovat odvětvové požadavky podle právních předpisů o finančním dohledu.

Poskytovatelé kritické infrastruktury mají v rámci zákona WBNI zvýšené povinnosti. Musíte hlásit závažné incidenty týmu pro reakci na počítačové bezpečnostní incidenty (CSIRT), které by mohly podstatně narušit základní služby.

Veřejné společnosti mohou být povinny oznámit bezpečnostní incidenty, které by mohly podstatně ovlivnit rozhodnutí investorů.

Tyto odvětvové požadavky často fungují souběžně s povinnostmi GDPR, spíše než aby je nahrazovaly. V závislosti na činnostech vaší organizace a povaze porušení může být nutné podat v souvislosti s jedním incidentem více oznámení různým orgánům.

Vymáhání a sankce za nedodržování předpisů

Nizozemské úřady mají jasné pravomoci vyšetřovat selhání v kybernetické bezpečnosti a ukládat značné finanční sankce organizacím, které nechrání osobní údaje nebo nesplňují bezpečnostní požadavky.

Rámec pro vymáhání práva zahrnuje řadu regulačních orgánů se specifickými dohledovými povinnostmi, strukturované sankční systémy a definované odvolací postupy pro organizace, které čelí sankcím.

Vyšetřovací a dohledové pravomoci

Nizozemský úřad pro ochranu osobních údajů (Autoriteit Persoonsgegevens neboli AP) nese primární odpovědnost za vyšetřování úniků dat a porušení GDPR.

Agentura AP může zahájit vyšetřování na základě stížností, zpráv v médiích nebo běžných auditů.

Během vyšetřování si orgán může vyžádat dokumentaci, provádět kontroly na místě a vyslýchat zaměstnance.

Dohled nad povinnostmi v oblasti kybernetické bezpečnosti podle nového zákona Cyberbeveiligingswet vykonávají odvětvoví regulační orgány.

Úřad pro spotřebitele a trhy (ACM) dohlíží na poskytovatele digitální infrastruktury a telekomunikačních služeb.

Nizozemská centrální banka (DNB) dohlíží na finanční instituce.

Ministr hospodářství a klimatu, ministr infrastruktury a vodního hospodářství a ministr zdravotnictví mají každý z nich donucovací pravomoci ve svých příslušných odvětvích.

Tito regulační orgány mohou auditovat vaše systémy, kontrolovat postupy reakce na incidenty a posuzovat, zda vaše řízení rizik splňuje zákonné normy.

V případě zjištění porušení mohou od vaší organizace také vymáhat náklady na vymáhání.

Národní centrum kybernetické bezpečnosti (NCSC) koordinuje činnost regulačních orgánů, ale přímo neukládá sankce.

Administrativní a finanční sankce

Finanční sankce se liší v závislosti na právním rámci a závažnosti porušení.

V rámci vymáhání GDPR může AP uložit pokuty až do výše 20 milionů eur nebo 4 % vašeho ročního globálního obratu, podle toho, která částka je vyšší.

Úřad zvažuje faktory, jako je povaha porušení, počet dotčených osob a vaše spolupráce během vyšetřování.

Podle zákona o kybernetickém upozornění (Cyberbeveiligingswet) se sankce řídí stupňovitou strukturou:

Regulační orgány mohou také vydat nápravná nařízení, která od vás vyžadují zavedení konkrétních bezpečnostních opatření ve stanovených lhůtách.

Opakovaná selhání mohou vést k pojmenování a zostuzení prostřednictvím veřejného zveřejnění porušení.

Ředitelé organizací klasifikovaných jako nezbytné subjekty mohou v závažných případech čelit osobní diskvalifikaci z funkcí v představenstvu.

Organizace veřejného sektoru jsou osvobozeny od finančních sankcí, ale čelí nápravným opatřením a potenciální parlamentní kontrole.

Právní prostředky a odvolání

Máte právo napadnout rozhodnutí o vymáhání práva prostřednictvím správní odvolání.

Po obdržení pokuty můžete do šesti týdnů podat námitku (bezwaar) u orgánu, který ji vydal.

Regulátor musí své rozhodnutí přehodnotit a poskytnout formální odpověď.

Pokud s výsledkem nového posouzení nesouhlasíte, můžete se odvolat k okresnímu soudu (rechtbank).

Soud přezkoumává, zda regulační orgán dodržel řádné postupy a správně aplikoval zákon.

Pak můžete rozhodnutí odvolacího soudu na oddělení správní jurisdikce Státní rady (Afdeling bestuursrechtspraak van de Raad van State), které slouží jako nejvyšší správní soud.

Během celého procesu odvolání musíte i nadále provádět veškerá nápravná opatření nařízená regulačními orgány.

Soudy mohou pozastavit finanční sankce do doby, než bude vynesen odvolací rozsudek, ale není to automatické.

Klíčové role a odpovědnosti v řízení kybernetické bezpečnosti

Organizace musí jasně definovat, kdo řídí úkoly kybernetické bezpečnosti, od jmenování pověřenců pro ochranu osobních údajů až po stanovení odpovědnosti na úrovni představenstva a školení zaměstnanců v oblasti bezpečnostních protokolů.

Pověřenci pro ochranu osobních údajů a jejich jmenování

Pokud vaše organizace zpracovává citlivé osobní údaje ve velkém měřítku nebo systematicky monitoruje jednotlivce, musíte jmenovat pověřence pro ochranu osobních údajů (DPO).

Pověřenec pro ochranu osobních údajů slouží jako váš hlavní kontaktní bod pro orgány ochrany osobních údajů a subjekty údajů.

Váš pověřenec pro ochranu osobních údajů (DPO) potřebuje specifickou kvalifikaci v oblasti práva na ochranu osobních údajů a postupů v oblasti informační bezpečnosti.

Musí přímo podléhat vašemu nejvyššímu managementu a nemohou být propuštěni za plnění svých povinností.

Tato role zahrnuje sledování dodržování GDPR, provádění posouzení dopadu na ochranu osobních údajů a poradenství v oblasti požadavků na šifrování a kryptografii.

Měli byste jasně zdokumentovat odpovědnosti pověřence pro ochranu osobních údajů.

To zahrnuje i jejich pravomoc auditovat vaši digitální infrastrukturu a kontrolovat váš plán reakce na incidenty.

Pokud působíte ve více zemích EU, můžete určit jednoho pověřence pro ochranu osobních údajů na základě jeho odborných kvalit a znalostí příslušných jurisdikcí.

Správa a řízení společností a odpovědnost

Vaše správní rada nese konečnou odpovědnost za řízení rizik kybernetické bezpečnosti.

Musí schválit bezpečnostní opatření, přidělit dostatečné zdroje a zajistit řádný dohled nad úsilím o kybernetickou odolnost.

Odpovědnost vedení zahrnuje:

• Schvalování bezpečnostních zásad pro rámce informační bezpečnosti
• Dohled nad hodnocením rizik a plánování provozní odolnosti
• Zajištění souladu s auditem prostřednictvím nezávislých recenzí
• Přidělování rozpočtů pro řízení kybernetické bezpečnosti a školení zaměstnanců

Musíte stanovit jasné hranice pravomocí pro rozhodování v oblasti bezpečnosti.

Dokumentujte, kdo schvaluje bezpečnostní opatření, kdo dohlíží na jejich implementaci a kdo provádí audity.

Vaše vedení musí pravidelně kontrolovat výkonnost kybernetické bezpečnosti a upravovat strategie na základě vyvíjejících se hrozeb pro vaši digitální infrastrukturu.

Interní zásady a školení zaměstnanců

Musíte vytvořit zdokumentované zásady, které definují bezpečnostní role v celé vaší organizaci.

Tyto zásady by měly specifikovat odpovědnosti za ochranu dat, reakci na incidenty a udržování kybernetické odolnosti.

Vaše bezpečnostní zásady musí zahrnovat:

• Řízení přístupu a požadavky na ověřování
• Standardy klasifikace a šifrování dat
• Postupy hlášení incidentů
• Pravidelné školení o bezpečnosti

Měli byste všem zaměstnancům poskytovat průběžné školení v oblasti postupů informační bezpečnosti.

To zahrnuje rozpoznávání phishingu pokusy, správné zacházení s citlivými údaji a dodržování plánu reakce na incidenty.

Školení musí být přizpůsobeno konkrétním rolím, přičemž techničtí pracovníci musí absolvovat pokročilé školení v oblasti kryptografie a bezpečnostních kontrol.

Vaše zásady musí být pravidelně revidovány a aktualizovány, když se změní předpisy nebo se objeví nová rizika.

Musíte zajistit dostatečné zdroje jak pro implementaci politik, tak pro rozvoj zaměstnanců v oblasti kybernetické bezpečnosti.

Typy kybernetických bezpečnostních incidentů a vznikající hrozby

Kybernetické incidenty sahají od klamavých e-mailů až po rozsáhlé narušení sítě, které může ohrozit celé organizace.

Pochopení těchto hrozeb vám pomůže identifikovat zranitelnosti a určit, kdo leží odpovědnost v případě narušení bezpečnosti.

Phishing, malware a ransomware

Phishing zůstává jednou z nejčastějších kybernetických hrozeb, se kterými se setkáte.

Útočníci rozesílají e-maily nebo zprávy, které se vydávají za zprávy od legitimních společností, aby ukradli vaše hesla, finanční informace nebo jiné citlivé údaje.

Tyto útoky jsou zodpovědné za více než 60 procent incidentů sociálního inženýrství.

Malware označuje škodlivý software, který poškozuje vaše počítačové systémy nebo sítě.

To zahrnuje viry, trojské koně a další škodlivý kód určený k přístupu k vašim datům nebo narušení vašeho provozu.

Ransomware je specifický typ malwaru, který blokuje přístup k vašim souborům a požaduje platbu za jejich obnovení.

I když zaplatíte výkupné, neexistuje žádná záruka, že útočníci obnoví váš přístup nebo smažou ukradená data.

Mezi lety 2020 a 2021 čelily organizace po celém světě zhruba 24 000 kybernetických bezpečnostních incidentů, přičemž ransomware sehrál významnou roli ve finančních ztrátách.

Útoky typu Denial-of-Service (DoS) a distribuované DoS (DDoS)

Útoky DoS zahltit vaše systémy provozem, aby služby nebyly dostupné legitimním uživatelům.

Jeden zdroj zahlcuje vaši síť požadavky, dokud se nezhroutí nebo se nestane příliš pomalou na to, aby fungovala.

Útoky DDoS použít více napadených systémů k zahájení koordinovaných útoků proti vaší infrastruktuře.

Tyto distribuované útoky je těžší zastavit, protože přicházejí z mnoha míst současně.

Útoky DDoS mohou narušit kritické služby, od vládních webových stránek až po operace soukromého sektoru.

Obvykle máte méně než 62 minut od první detekce na to, abyste zabránili tomu, aby se bezpečnostní incident stal závažným narušením bezpečnosti.

Díky tomuto úzkému časovému oknu je rychlá reakce nezbytná při útokech DoS nebo DDoS.

Podvod a neoprávněný přístup

Podvod v kybernetické bezpečnosti zahrnuje klamavé praktiky s cílem získat neoprávněný přístup k vašim systémům nebo datům.

To zahrnuje krádež identity, platební podvody a kompromitaci přihlašovacích údajů.

Neoprávněný přístup dochází, když někdo poruší vaše bezpečnostní zásady a získá přístup k sítím, systémům nebo datům bez povolení.

To se může stát prostřednictvím:

• Ukradené přihlašovací údaje
• Zneužívané softwarové zranitelnosti
• Obejití bezpečnostních kontrol
• Hrozby ze strany současných nebo bývalých zaměstnanců

Krádež interních dat je často přehlížena, ale může být stejně škodlivá jako útoky zvenčí.

V roce 2021 dosáhly průměrné náklady na útoky zevnitř 12.5 milionu liber.

Dokonce i neúmyslné úniky dat zaměstnanci se podle zákona o zneužívání počítačů (1990) považují za bezpečnostní incidenty.

Zranitelnosti odvětví a dodavatelského řetězce

Odvětví kritické infrastruktury čelí zvýšeným rizikům kyberkriminality, přičemž hlavními cíli jsou zdravotnictví, energetika a finanční služby.

Profesionální sektor zaznamenal mezi lety 2020 a 2021 téměř 3 600 incidentů, což z něj činí nejčastěji terčované odvětví.

Zabezpečení dodavatelského řetězce se stává stále důležitějším, protože útočníci cílí na vaše partnery a dodavatele třetích stran, spíše než na vás přímo.

Tyto útoky třetích stran využívají slabší bezpečnostní opatření ve vašich partnerských organizacích k přístupu k datům vašich klientů.

Zranitelnosti v dodavatelském řetězci umožňují útočníkům ohrozit více organizací jediným narušením.

Když se systémy vašeho dodavatele připojí k vašemu, jejich bezpečnostní slabiny se stanou vašimi bezpečnostními slabinami.

Toto vzájemně propojené riziko znamená, že musíte vyhodnotit nejen svá vlastní opatření kybernetické bezpečnosti, ale také opatření každé organizace ve vašem dodavatelském řetězci.

Národní státy stále častěji testují a pronikají do konkurenčních kybernetických prostorů, často fungují pod rouškou soukromých subjektů, ale jednají jménem vlád.

Často kladené dotazy

Nizozemské společnosti se musí po úniku dat řídit přísnými požadavky na podávání zpráv a standardy dodržování předpisů, přičemž odpovědnost se vztahuje na více stran v závislosti na jejich rolích a odpovědnostech.

Pochopení těchto povinností pomáhá organizacím chránit sebe i dotčené osoby a zároveň zachovat soulad s národními a evropskými předpisy.

Jaké jsou právní povinnosti nizozemských společností po úniku dat?

Vaše organizace musí do 72 hodin od zjištění narušení bezpečnosti údajů informovat nizozemský úřad pro ochranu osobních údajů (Autoriteit Persoonsgegevens).

Tento požadavek platí v rámci GDPR, které upravuje ochranu osobních údajů v celém Nizozemsku.

Ve svém oznámení o narušení bezpečnosti musíte uvést konkrétní informace.

To zahrnuje povahu narušení, počet dotčených osob, možné důsledky a opatření, která jste přijali nebo plánujete přijmout.

Pokud nemůžete poskytnout všechny podrobnosti do 72 hodin, musíte zpoždění vysvětlit a zbývající informace odeslat co nejdříve.

Pokud porušení představuje vysoké riziko pro práva a svobody jednotlivců, musíte o tom dotčené osoby informovat přímo.

Toto oznámení nemůžete odložit bez oprávněných důvodů.

Vaše komunikace s dotčenými osobami by měla být jasná a měla by vysvětlovat pravděpodobné důsledky narušení a kroky, které mohou podniknout k vlastní ochraně.

Musíte vést podrobnou dokumentaci o všech únicích dat, bez ohledu na to, zda je nahlásíte úřadům.

Tato dokumentace by měla obsahovat skutečnosti týkající se porušení, jeho důsledky a přijatá nápravná opatření.

Nizozemský úřad pro ochranu osobních údajů si může tuto dokumentaci vyžádat během inspekcí nebo vyšetřování.

Jak se podle nizozemského práva určuje odpovědnost za úniky dat?

Odpovědnost za úniky dat v Nizozemsku závisí na vaší roli jakožto správce nebo zpracovatele údajů.

Správci údajů určují účely a prostředky zpracování osobních údajů, zatímco zpracovatelé údajů nakládají s údaji jménem správců.

váš právní odpovědnost liší se na základě této klasifikace.

Jako správce údajů nesete primární odpovědnost za zajištění dodržování předpisů o ochraně osobních údajů.

Musíte zavést vhodná technická a organizační opatření k ochraně osobních údajů.

Soudy posuzují, zda jste podnikli přiměřené kroky k zabránění narušení a zda jste při zajišťování bezpečnosti jednali nedbale.

Zpracovatelé údajů mohou také čelit odpovědnosti, pokud nedodrží pokyny správce nebo poruší své smluvní povinnosti.

Zpracovatelé však obvykle mají omezenější odpovědnost než správci.

Pokud zpracováváte údaje bez řádného povolení od správce nebo neimplementujete dohodnutá bezpečnostní opatření, můžete nést přímou odpovědnost.

Nizozemské soudy při určování odpovědnosti uplatňují několik faktorů.

Patří mezi ně závažnost narušení, citlivost ohrožených dat, vaše bezpečnostní opatření před narušením a vaše reakce po zjištění incidentu.

Velikost a zdroje vaší organizace také ovlivňují, co soudy považují za přiměřená bezpečnostní opatření.

Společná odpovědnost může vzniknout, pokud se k úniku dat připojí více stran.

Pokud sdílíte odpovědnost s dalšími správci nebo zpracovateli, soudy mohou každou stranu považovat za odpovědnou za celou škodu.

Poté můžete požadovat odškodnění od ostatních odpovědných stran na základě jejich příslušného podílu na porušení.

Které strany mohou být v Nizozemsku odpovědné za incidenty v oblasti bezpečnosti dat?

Správci údajů nesou primární odpovědnost za incidenty v oblasti zabezpečení dat.

Jako správce rozhodujete o tom, jak budou osobní údaje zpracovávány, a musíte zajistit, aby byla zavedena vhodná bezpečnostní opatření.

Vaše organizace může v důsledku porušení čelit správním pokutám, občanskoprávní odpovědnosti a poškození pověsti.

Zpracovatelé údajů mohou nést odpovědnost, pokud neplní své smluvní a zákonné povinnosti.

Pokud zpracováváte údaje jménem správce, musíte zavést bezpečnostní opatření uvedená ve vaší smlouvě a dodržovat zákonné pokyny správce.

Pokud překročíte své pravomoci nebo nezajistíte dostatečné zabezpečení, čelíte přímé odpovědnosti.

Ředitelé a vedoucí pracovníci vaší organizace mohou za určitých okolností čelit osobní odpovědnosti.

V rámci implementace směrnice NIS2 v Nizozemsku může být vedení osobně odpovědné za selhání v řízení kybernetické bezpečnosti.

To zahrnuje i možné vyloučení z funkce ředitele v případě závažného porušení.

Poskytovatelé služeb třetích stran mohou také nést odpovědnost za bezpečnostní incidenty.

Pokud se spoléháte na cloudové služby, IT podporu nebo jiné externí poskytovatele, mohou nést podíl na odpovědnosti, pokud jejich selhání přispěje k narušení bezpečnosti.

Vaše smlouvy s těmito poskytovateli by měly jasně definovat bezpečnostní povinnosti a podmínky ručení.

Nizozemský úřad pro ochranu osobních údajů slouží jako hlavní orgán pro vymáhání práva.

Ačkoli není přímo odpovědný za porušení, úřad vyšetřuje incidenty, vydává nápravná opatření a ukládá správní pokuty organizacím, které nedodržují předpisy.

Jaké důsledky hrozí organizacím v případě nedodržování nizozemských předpisů o ochraně osobních údajů?

Vaše organizace může čelit správním pokutám až do výše 20 milionů eur nebo 4 % vašeho celosvětového ročního obratu, podle toho, která částka je vyšší. Nizozemský úřad pro ochranu osobních údajů stanoví výši pokut na základě povahy, závažnosti, trvání a vaší spolupráce během vyšetřování.

Kromě finančních sankcí může Úřad uložit nápravná opatření, která naruší váš provoz. Tato opatření zahrnují dočasná omezení činností v oblasti zpracování údajů, příkazy k nápravě konkrétních porušení a povinné audity.

Možná budete muset pozastavit určité obchodní aktivity, dokud neprokážete soulad s předpisy. Vaše organizace riskuje značné poškození pověsti v důsledku nedodržení předpisů.

Veřejné zveřejnění narušení bezpečnosti dat a regulačních sankcí může narušit důvěru zákazníků a poškodit obchodní vztahy. Nizozemský úřad pro ochranu osobních údajů zveřejňuje rozhodnutí o vymáhání práva, která zůstávají přístupná veřejnosti a médiím.

Můžete čelit občanskoprávním žalobám od dotčených osob, které požadují náhradu škody. Jednotlivci mohou požadovat náhradu majetkové i nemajetkové škody vzniklé v důsledku porušení ochrany osobních údajů.

Nizozemské soudy stále častěji uznávají nároky na náhradu škody a ztrátu kontroly nad osobními údaji, a to i bez přímých finančních ztrát. Vaše obchodní příležitosti mohou být po závažném porušení omezeny.

Některá odvětví vyžadují bezpečnostní certifikace nebo záznamy o shodě s předpisy pro udržení smluv, zejména při jednání s vládními subjekty nebo regulovanými odvětvími.

Jakými způsoby se mohou dotčené osoby domáhat nápravy po úniku údajů v Nizozemsku?

Pokud se domníváte, že nějaká organizace porušila vaše práva na ochranu osobních údajů, můžete podat stížnost u nizozemského Úřadu pro ochranu osobních údajů. Úřad stížnosti prošetřuje a může proti organizacím, které nedodržují pravidla, přijmout donucovací opatření.

Tento proces vás nic nestojí a nevyžaduje právní zastoupení. Máte právo vést občanskoprávní spor proti odpovědné organizaci.

Nizozemské právo vám umožňuje požadovat náhradu za majetkovou i nemajetkovou újmu vzniklou v důsledku porušení ochrany údajů. Majetková újma zahrnuje finanční ztráty, zatímco nemajetková újma zahrnuje tíseň, úzkost a ztrátu kontroly nad vašimi osobními údaji.

Můžete si najmout právníka, který se postará o váš nárok na základě podmíněného odškodnění, nebo pokud splňujete kritéria finanční způsobilosti, vyhledat právní pomoc. Mnoho advokátních kanceláří v Nizozemsku se specializuje na případy ochrany osobních údajů a může vám poradit ohledně závažnosti vašeho nároku.

Mechanismy hromadných žalob umožňují skupinám dotčených osob uplatňovat nároky kolektivně. Můžete požadovat odškodnění přímo od organizace, aniž byste se obrátili na soud.

Mnoho organizací dává přednost soukromému řešení nároků, aby se vyhnuly nákladům na soudní spory a negativní publicitě. Vaše vyjednávací pozice se posiluje, pokud organizace jasně porušila předpisy o ochraně osobních údajů nebo pokud porušení způsobilo značnou škodu.

Můžete také uplatnit nároky vůči zpracovatelům údajů, pokud nesou odpovědnost za porušení. Podle GDPR mohou být za škody odpovědní jak správci, tak zpracovatelé.

Pokud se k porušení podílelo více stran, můžete požadovat náhradu škody v plné výši od kterékoli odpovědné strany.

Jak GDPR ovlivňuje odpovědnost a povinnosti v případě úniku dat pro subjekty působící v Nizozemsku?

GDPR stanoví pro organizace jasné povinnosti týkající se ochrany osobních údajů.

Subjekty musí zavést vhodná technická a organizační opatření k zajištění bezpečnosti dat.

V případě narušení bezpečnosti dat jsou organizace povinny do 72 hodin informovat příslušný dozorový orgán.

Pokud porušení představuje vysoké riziko pro práva a svobody jednotlivců, musí být informovány i dotčené osoby.

Nedodržení těchto požadavků může vést k vysokým pokutám a poškození pověsti organizace.

Správci i zpracovatelé údajů mají podle GDPR odlišné povinnosti a smlouvy musí tyto role jasně definovat.