नेदरल्याण्ड्समा हरेक दिन डेटा उल्लंघनका घटनाहरू हुन्छन्। जब तिनीहरू हुन्छन्, कसैले न कसैले लिनुपर्छ जिम्मेवारी.
डच कानून र GDPR अन्तर्गत, व्यक्तिगत डेटा नियन्त्रण गर्ने संस्थाहरू मुख्यतया यसको सुरक्षा र सामना गर्न जिम्मेवार हुन्छन् महत्वपूर्ण दायित्व जब उल्लंघनहरू हुन्छन्। यदि तपाईंको व्यवसायमा समस्या छ भने साइबरटैक, कुन रकम बढी छ भन्ने आधारमा तपाईंलाई €२० मिलियन वा तपाईंको विश्वव्यापी वार्षिक कारोबारको ४% सम्म जरिवाना हुन सक्छ।
नेदरल्याण्ड्समा सञ्चालन हुने कुनै पनि संस्थाको लागि डेटा उल्लंघन पछि कसले जिम्मेवारी लिन्छ भन्ने कुरा बुझ्नु आवश्यक छ। उत्तर सधैं सीधा हुँदैन, किनकि दायित्व तपाईंको कम्पनीभन्दा बाहिर तेस्रो-पक्ष सेवा प्रदायकहरू, कर्मचारीहरू र डेटा प्रशोधनमा संलग्न अन्य पक्षहरू समावेश गर्न विस्तार हुन सक्छ।
डच डाटा संरक्षण प्राधिकरण र अन्य नियामकहरूले डाटा नियन्त्रक वा प्रोसेसरको रूपमा तपाईंको भूमिका, तपाईंले अपनाउनुभएका सुरक्षा उपायहरू, र तपाईंले घटनामा कति चाँडो प्रतिक्रिया दिनुभयो भन्ने आधारमा जिम्मेवारी निर्धारण गर्छन्।
यस लेखले नेदरल्याण्ड्समा साइबर सुरक्षालाई नियन्त्रण गर्ने कानुनी ढाँचालाई तोड्छ र उल्लङ्घन पछि दायित्व कसरी तोकिन्छ भनेर व्याख्या गर्दछ। तपाईंले आफ्नो सूचना दायित्वहरू, पालना नगरेकोमा तपाईंले सामना गर्ने दण्डहरू, र साइबर आक्रमण र कानुनी परिणामहरू दुवैबाट आफ्नो संस्थालाई जोगाउन तपाईंले चाल्न सक्ने व्यावहारिक कदमहरूको बारेमा सिक्नुहुनेछ।
साइबर सुरक्षा र डेटा सुरक्षाको लागि कानूनी रूपरेखा
नेदरल्याण्ड्सले साइबर सुरक्षा र डेटा सुरक्षा कानूनका धेरै तहहरू अन्तर्गत काम गर्छ, जसले EU-व्यापी नियमहरूलाई राष्ट्रिय कार्यान्वयन कानूनहरूसँग संयोजन गर्दछ। यी कानूनहरूले व्यक्तिगत डेटा ह्यान्डल गर्ने र महत्वपूर्ण पूर्वाधार सञ्चालन गर्ने संस्थाहरूको लागि स्पष्ट दायित्वहरू स्थापित गर्दछ।
तिनीहरूले दूरसञ्चार, वित्त, र सहित विभिन्न क्षेत्रहरूको लागि विशिष्ट आवश्यकताहरू सिर्जना गर्छन् कानुन प्रवर्तन।
सामान्य डेटा संरक्षण नियमन (GDPR) र डच कार्यान्वयन
यो GDPR प्राथमिकको रूपमा काम गर्दछ डेटा सुरक्षा ढाँचा नेदरल्याण्ड्स सहित EU भरि। यसले व्यक्तिगत डेटा प्रशोधनको लागि व्यापक नियमहरू स्थापित गर्दछ र संस्थाहरूलाई जानकारी सुरक्षित गर्न उपयुक्त प्राविधिक र संगठनात्मक उपायहरू लागू गर्न आवश्यक छ।
नेदरल्याण्ड्सले GDPR लाई निम्न मार्फत लागू गर्यो: डच GDPR कार्यान्वयन ऐन (Uitvoeringswet औसत), जसले EU आवश्यकताहरूलाई डच कानूनमा अनुकूलन गर्दछ। यो ऐनले युरोपेली मापदण्डहरूसँग मिल्दोजुल्दो कायम राख्दै राष्ट्रिय परिस्थितिहरूको लागि विशेष प्रावधानहरू प्रदान गर्दछ।
यसले डच डाटा संरक्षण प्राधिकरणलाई तोक्छ (Personsgegevens Autoriteit) कार्यान्वयनको लागि जिम्मेवार पर्यवेक्षक निकायको रूपमा।
GDPR अन्तर्गत, तपाईंले रिपोर्ट गर्नुपर्छ डाटा उल्लंघन थाहा पाएको ७२ घण्टा भित्र पर्यवेक्षक अधिकारीलाई जानकारी गराउनु पर्छ। जब उल्लङ्घनले व्यक्तिहरूको अधिकार र स्वतन्त्रतामा उच्च जोखिम निम्त्याउँछ, तपाईंले अनावश्यक ढिलाइ नगरी प्रभावित व्यक्तिहरूलाई पनि सूचित गर्नुपर्छ।
यी सूचना आवश्यकताहरूले नेदरल्याण्ड्समा उल्लंघन दायित्वको जग बनाउँछन्।
यो Verzamelwet Gegevensbescherming (सामूहिक डेटा संरक्षण ऐन) ले GDPR मापदण्डहरूसँग मिल्दोजुल्दो बनाउन विभिन्न डच कानूनहरूलाई थप परिष्कृत गर्दछ। यसले विभिन्न कानुनी क्षेत्रहरूमा एकरूपता सुनिश्चित गर्दछ।
साइबर सुरक्षा ऐन र NIS2 निर्देशिका
यो NIS2 निर्देशिका EU भरिका आवश्यक र महत्त्वपूर्ण संस्थाहरूको लागि साइबर सुरक्षा आवश्यकताहरूलाई उल्लेखनीय रूपमा विस्तार गर्दछ। नेदरल्याण्ड्सले यो निर्देशनलाई अद्यावधिकहरू मार्फत कार्यान्वयन गर्दैछ साइबरबेभिलिगिङस्वेट (डच साइबरसुरक्षा ऐन), जसले मूल रूपमा पहिलो NIS निर्देशनलाई स्थानान्तरण गर्यो।
NIS2 ले समेटिएका क्षेत्रहरूको दायरा फराकिलो बनाउँछ र कडा सुरक्षा आवश्यकताहरू, घटना रिपोर्टिङ दायित्वहरू, र व्यवस्थापन जवाफदेहिता प्रावधानहरू प्रस्तुत गर्दछ। तपाईंले विशेष जोखिम व्यवस्थापन उपायहरू लागू गर्नुपर्छ र महत्त्वपूर्ण घटनाहरू बारे सचेत भएको २४ घण्टा भित्र रिपोर्ट गर्नुपर्छ।
यो नेटवर्क र सूचना प्रणाली सुरक्षा ऐन र सँगै नेटवर्क र सूचना प्रणाली सुरक्षा डिक्री आवश्यक सेवा सञ्चालकहरू र डिजिटल सेवा प्रदायकहरूको लागि विस्तृत आवश्यकताहरू स्थापित गर्नुहोस्। यी कानूनहरूले आधारभूत सुरक्षा उपायहरू, नियमित लेखा परीक्षणहरू, र राष्ट्रिय साइबर सुरक्षा अधिकारीहरूसँग समन्वयलाई अनिवार्य गर्दछ।
कानूनले विभिन्न क्षेत्रहरूको लागि विशिष्ट सक्षम अधिकारीहरू तोकेको छ। यसले साइबर सुरक्षा अभ्यासहरूको विशेष निगरानी सुनिश्चित गर्दछ।
अन्य सान्दर्भिक कानून र निर्देशनहरू
यो EU ई-प्राइभेसी निर्देशिका इलेक्ट्रोनिक सञ्चार गोपनीयतालाई सम्बोधन गरेर GDPR लाई पूरक बनाउँछ। यसले कुकीज र समान प्रविधिहरूको लागि सहमति आवश्यक पर्दछ, र सञ्चार डेटाको गोपनीयतालाई सुरक्षित गर्दछ।
यो दूरसञ्चार ऐन (टेलिकम्युनिकेट) ले दूरसञ्चार प्रदायकहरूमा विशिष्ट सुरक्षा दायित्वहरू लागू गर्दछ, जसमा नेटवर्क अखण्डता र प्रयोगकर्ता डेटा सुरक्षित गर्ने आवश्यकताहरू समावेश छन्। यो ऐनले सञ्चार क्षेत्रमा व्यापक सुरक्षा सुनिश्चित गर्न डेटा सुरक्षा कानूनसँगै काम गर्दछ।
यो महत्वपूर्ण निकायहरूको लचिलोपन ऐन (CRA) ले सार्वजनिक सुरक्षा र आर्थिक स्थिरताको लागि महत्वपूर्ण मानिने संस्थाहरूको लागि भौतिक र साइबर सुरक्षा आवश्यकताहरूलाई बलियो बनाउँछ। यसलाई मानक साइबर सुरक्षा प्रावधानहरूभन्दा बाहिर जोखिम मूल्याङ्कन र लचिलोपन उपायहरू आवश्यक पर्दछ।
यी फ्रेमवर्कहरूले ओभरल्यापिङ दायित्वहरू सिर्जना गर्छन्। धेरै क्षेत्रहरूमा सञ्चालन गर्दा वा विभिन्न प्रकारका डेटा ह्यान्डल गर्दा तपाईंले तिनीहरूलाई नेभिगेट गर्नुपर्छ।
क्षेत्र-विशिष्ट नियमहरू
यो वित्तीय सुपरिवेक्षण ऐन (Wet op het financieel toezicht) वित्तीय संस्थाहरूको लागि कडा साइबर सुरक्षा र डेटा सुरक्षा आवश्यकताहरू स्थापित गर्दछ। वित्तीय क्षेत्रमा काम गर्दा तपाईंले बलियो सुरक्षा नियन्त्रण, घटना प्रतिक्रिया प्रक्रियाहरू, र नियमित परीक्षण प्रोटोकलहरू लागू गर्नुपर्छ।
कानून प्रवर्तन संस्थाहरूले निम्न अन्तर्गत विशेष आवश्यकताहरूको सामना गर्छन्: प्रहरी तथ्याङ्क ऐन (भिजेको राजनीति) र Wet justitiële en strafvorderlijke gegevens (न्यायिक तथा फौजदारी प्रक्रिया तथ्याङ्क ऐन)। यी कानूनहरूले अनुसन्धान र फौजदारी कार्यवाहीको क्रममा प्रहरी र न्यायिक अधिकारीहरूले व्यक्तिगत तथ्याङ्क कसरी सङ्कलन, प्रशोधन र सुरक्षा गर्छन् भन्ने कुरालाई नियन्त्रण गर्छन्।
स्वास्थ्य सेवा प्रदायकहरूले मानक GDPR आवश्यकताहरू बाहेक थप गोपनीयता सुरक्षा उपायहरूको पालना गर्नुपर्छ। यसले चिकित्सा जानकारीको संवेदनशील प्रकृतिलाई प्रतिबिम्बित गर्दछ।
NIS2 कार्यान्वयन अन्तर्गत ऊर्जा, यातायात र पानी क्षेत्रहरूले विशिष्ट दायित्वहरूको सामना गर्छन्, जसमा तिनीहरूको सञ्चालन जोखिमहरू अनुरूप सुरक्षा उपायहरू अपनाइन्छ।
प्रत्येक क्षेत्र-विशिष्ट नियमनले अद्वितीय अनुपालन बोझहरू लगाउँछ। तपाईंको संस्थाको विशिष्ट गतिविधिहरू र डेटा प्रशोधन कार्यहरूमा कुन कानूनहरू लागू हुन्छन् भनेर पहिचान गर्नु आवश्यक छ।
डाटा उल्लंघन पछि दायित्व तोक्ने
नेदरल्याण्ड्समा, डेटा उल्लङ्घनको दायित्व व्यक्तिगत डेटा प्रशोधन गर्ने तपाईंको भूमिकामा निर्भर गर्दछ, सुरक्षा उपायहरू तपाईंले कार्यान्वयन गर्नुभयो, र तपाईंले रिपोर्टिङ आवश्यकताहरू पालना गर्नुभयो कि गर्नुभएन। डच डाटा संरक्षण प्राधिकरण र अन्य पर्यवेक्षक निकायहरूले जिम्मेवारी निर्धारण गर्छन् कानूनी दायित्वहरु GDPR र राष्ट्रिय साइबर सुरक्षा कानून अन्तर्गत।
जिम्मेवारी परिभाषित गर्दै: नियन्त्रकहरू, प्रशोधकहरू, र तेस्रो पक्षहरू
पछि तपाईंको दायित्व व्यक्तिगत डेटा उल्लंघन तपाईं एकको रूपमा काम गर्नुहुन्छ कि हुन्न भन्ने कुरामा निर्भर गर्दछ डेटा नियन्त्रक वा प्रोसेसर। नियन्त्रकहरूले व्यक्तिगत डेटा कसरी र किन प्रशोधन गरिन्छ भन्ने निर्णय गर्छन्, जसले गर्दा उनीहरूलाई सुरक्षा घटनाहरूको लागि मुख्य रूपमा उत्तरदायी बनाउँछ।
प्रोसेसरहरूले नियन्त्रकहरूको तर्फबाट डेटा ह्यान्डल गर्छन् र यदि तिनीहरूले निर्देशनहरू पार गरे वा पर्याप्त सुरक्षा उपायहरू लागू गर्न असफल भएमा उत्तरदायित्वको सामना गर्छन्।
डिजिटल सेवा प्रदायकहरू जस्ता तेस्रो पक्षहरूले छुट्टाछुट्टै जिम्मेवारीहरू बोक्छन्। यदि तपाईंले बाह्य आपूर्तिकर्ताहरू प्रयोग गर्नुहुन्छ भने, तिनीहरूले तपाईंको तर्फबाट डेटा प्रशोधन गर्दा तिनीहरूको कार्यहरूको लागि तपाईं जवाफदेही रहनुहुन्छ।
तपाईंको सम्झौताहरूमा सुरक्षा दायित्वहरू र घटना ह्यान्डलिङ प्रक्रियाहरू निर्दिष्ट हुनुपर्छ।
जब धेरै पक्षहरू संलग्न हुन्छन्, दायित्व साझा गर्न सकिन्छ। यदि तपाईं र तपाईंको प्रोसेसर दुवैले प्राविधिक र संगठनात्मक उपायहरू लागू गर्न असफल हुनुभयो भने, तपाईं दुवैले Autoriteit Persoonsgegevens बाट जरिवाना भोग्न सक्नुहुन्छ।
पर्यवेक्षक अधिकारीले जिम्मेवारी तोक्न उल्लङ्घनमा प्रत्येक पक्षको भूमिकाको जाँच गर्छ।
पर्यवेक्षकीय अधिकारीहरू र नियामक भूमिकाहरू
Autoriteit Persoonsgegevens ले GDPR अनुपालन लागू गर्न जिम्मेवार डच डेटा संरक्षण प्राधिकरणको रूपमा काम गर्दछ। तपाईंले घटनाको बारेमा थाहा पाएको ७२ घण्टा भित्र यस पर्यवेक्षक प्राधिकरणलाई व्यक्तिगत डेटा उल्लंघनको रिपोर्ट गर्नुपर्छ।
घटना रिपोर्ट गर्ने समयसीमा पूरा गर्न असफल हुँदा तपाईंको दायित्व बढ्छ।
राष्ट्रिय साइबर सुरक्षा केन्द्र (NCSC) ले व्यापक रूपमा ह्यान्डल गर्छ साइबरसुरक्षा खतरा आवश्यक सेवा सञ्चालकहरूलाई असर गर्ने। यदि तपाईंले महत्वपूर्ण पूर्वाधार वा डिजिटल सेवाहरू प्रदान गर्नुहुन्छ भने, तपाईंले NCSC लाई महत्त्वपूर्ण सुरक्षा घटनाहरू पनि रिपोर्ट गर्नुपर्छ।
यी प्रतिवेदनहरूले साइबर खतराहरूप्रति राष्ट्रिय प्रतिक्रियाहरू समन्वय गर्न मद्दत गर्छन्।
सुरक्षा घटनाहरू पछि दुवै अधिकारीहरूले अनुसन्धान गर्छन्। Autoriteit Persoonsgegevens ले €20 मिलियन वा तपाईंको वार्षिक विश्वव्यापी कारोबारको 4%, जुन बढी हुन्छ, सम्म जरिवाना जारी गर्न सक्छ।
तिनीहरूले उल्लंघनको प्रकृति, प्रभावित व्यक्तिहरूको संख्या, र तपाईंको प्रतिक्रिया उपायहरू जस्ता कारकहरूलाई विचार गर्छन्।
ENISA दिशानिर्देशहरूले डच अधिकारीहरूले साइबर सुरक्षा आवश्यकताहरूसँग तपाईंको अनुपालनको मूल्याङ्कन कसरी गर्छन् भन्ने कुरालाई प्रभाव पार्छ।
संगठनात्मक र प्राविधिक उपायहरू
तपाईंको प्राविधिक र संगठनात्मक उपायहरूको कार्यान्वयनले दायित्व निर्धारणलाई प्रत्यक्ष असर गर्छ। यी उपायहरूमा इन्क्रिप्शन, पहुँच नियन्त्रण, नियमित सुरक्षा परीक्षण, र कर्मचारी प्रशिक्षण समावेश छन्।
अदालत र पर्यवेक्षक अधिकारीले तपाईंको सुरक्षा संलग्न जोखिमहरूको लागि उपयुक्त थियो कि थिएन भनेर मूल्याङ्कन गर्छन्।
तपाईंले आफ्नो सुरक्षा उपायहरू कागजात गर्नुपर्छ र व्यापार निरन्तरता योजना प्रदर्शन गर्नुपर्छ। यदि तपाईंले पर्याप्त सावधानीहरू प्रमाणित गर्न सक्नुहुन्न भने, दायित्व उल्लेखनीय रूपमा बढ्छ।
नियमित जोखिम मूल्याङ्कनले तपाईंलाई उल्लङ्घन हुनुभन्दा पहिले नै कमजोरीहरू पहिचान गर्न मद्दत गर्छ।
घटना ह्यान्डलिङ प्रक्रियाहरू महत्त्वपूर्ण छन्। व्यक्तिगत डेटा उल्लङ्घनहरू पत्ता लगाउन, अनुसन्धान गर्न र प्रतिक्रिया दिनको लागि तपाईंलाई स्पष्ट प्रोटोकलहरू चाहिन्छ।
सुरक्षा घटनाहरू नियन्त्रण गर्न तपाईंको प्रतिक्रिया समय र प्रभावकारिताले दण्ड निर्णयहरूलाई प्रभाव पार्छ।
Autoriteit Persoonsgegevens ले तपाईंबाट आफ्नो सुरक्षा ढाँचाको प्रमाण कायम राख्न अपेक्षा गर्दछ। उचित कागजात बिना, अनुसन्धानको क्रममा उचित हेरचाह प्रमाणित गर्न गाह्रो हुन्छ।
आपूर्ति श्रृंखला र सेवा प्रदायकहरूको प्रभाव
आपूर्ति शृङ्खला सुरक्षाले जटिल दायित्व समस्याहरू सिर्जना गर्दछ। जब तपाईंका सेवा प्रदायकहरूले तपाईंको डेटालाई असर गर्ने उल्लंघनहरू अनुभव गर्छन्, तपाईंले अझै पनि परिणामहरू भोग्न सक्नुहुन्छ।
तपाईंले आपूर्तिकर्ताहरूमा उचित परिश्रम गर्नुपर्छ र तिनीहरूको सुरक्षा अभ्यासहरूको निरन्तर निगरानी गर्नुपर्छ।
अत्यावश्यक सेवा सञ्चालकहरूले विक्रेता व्यवस्थापनका लागि कडा आवश्यकताहरूको सामना गर्छन्। तपाईंले आफ्नो आपूर्ति शृङ्खलामा डिजिटल सेवा प्रदायकहरूले तपाईंको आफ्नै दायित्वहरूसँग मेल खाने मापदण्डहरू कायम राखेको सुनिश्चित गर्नुपर्छ।
सम्झौता सम्झौताहरूले घटना रिपोर्टिङ कर्तव्य र दायित्व बाँडफाँडलाई स्पष्ट रूपमा परिभाषित गर्नुपर्छ।
यदि तपाईंको आपूर्ति श्रृंखलाबाट उल्लङ्घन भएको छ भने, Autoriteit Persoonsgegevens ले तपाईंले पर्याप्त विक्रेता मूल्याङ्कन गर्नुभयो कि भएन भनेर जाँच गर्छ। तपाईंको दायित्व तपाईंले आपूर्तिकर्ता सुरक्षा प्रमाणित गर्न उचित कदम चाल्नुभयो कि भएन भन्नेमा निर्भर गर्दछ।
तेस्रो-पक्ष प्रोसेसरहरू प्रयोग गर्दा पनि तपाईंले पूर्ण रूपमा जिम्मेवारी प्रत्यायोजन गर्न सक्नुहुन्न।
बहु-स्तरीय आपूर्ति शृङ्खलाहरूलाई थप सतर्कता आवश्यक पर्दछ। धेरै संस्थाहरूमा व्यक्तिगत डेटालाई सम्झौता गर्ने क्यास्केडिङ विफलताहरूबाट बचाउनको लागि तपाईंलाई उप-प्रोसेसरहरू र तिनीहरूको सुरक्षा उपायहरूमा दृश्यता आवश्यक पर्दछ।
डेटा उल्लंघन सूचना दायित्वहरू
नेदरल्याण्ड्सले GDPR र राष्ट्रिय साइबर सुरक्षा कानून अन्तर्गत बहु-स्तरीय सूचना ढाँचा लागू गर्दछ। नियन्त्रकहरूले अनिवार्य रूपमा उल्लङ्घनहरू रिपोर्ट गर्नुहोस् जोखिम भएमा ७२ घण्टा भित्र व्यक्तिगत डेटा प्राधिकरण (PDA) लाई डेटा विषय अधिकार.
उच्च जोखिम उल्लङ्घनहरू प्रभावित व्यक्तिहरूलाई सिधा सूचना दिन आवश्यक छ।
समयरेखा र प्रक्रियागत आवश्यकताहरू
तपाईंले अनावश्यक ढिलाइ नगरी PDA लाई सूचित गर्नुपर्छ र सम्भव भएसम्म, व्यक्तिगत डेटा उल्लङ्घनको बारेमा थाहा पाएको ७२ घण्टा भन्दा ढिलो नगरी। यो दायित्व लागू हुन्छ जबसम्म उल्लङ्घनले प्राकृतिक व्यक्तिहरूको अधिकार र स्वतन्त्रतामा जोखिम निम्त्याउने सम्भावना हुँदैन।
सूचनामा सम्भव भएसम्म विशेष जानकारी समावेश गर्नुपर्छ। तपाईंले सम्बन्धित डेटा विषयहरूको वर्ग र अनुमानित संख्या, प्रभावित व्यक्तिगत डेटा रेकर्डहरूको वर्ग र अनुमानित संख्या, र तपाईंको डेटा सुरक्षा अधिकारी वा अन्य सम्पर्क बिन्दुको नाम प्रदान गर्न आवश्यक छ।
तपाईंले उल्लंघनको सम्भावित परिणामहरू र यसलाई सम्बोधन गर्न लिइएका वा प्रस्ताव गरिएका उपायहरू पनि वर्णन गर्नुपर्छ।
यदि तपाईंले ७२ घण्टा भित्र सबै आवश्यक जानकारी प्रदान गर्न सक्नुहुन्न भने, तपाईंले यसलाई चरणबद्ध रूपमा पेश गर्न सक्नुहुन्छ। तपाईंले आफ्नो प्रारम्भिक सूचनामा ढिलाइको कारणहरू व्याख्या गर्नुपर्छ।
कसलाई र कहिले सूचित गर्नुपर्छ
व्यक्तिगत डेटा उल्लङ्घनले उनीहरूको अधिकार र स्वतन्त्रतामा उच्च जोखिम निम्त्याउने सम्भावना हुँदा तपाईंले प्रभावित डेटा विषयहरूलाई सिधै सूचित गर्नुपर्छ। यो सूचना अनावश्यक ढिलाइ नगरी जारी गर्नुपर्छ र स्पष्ट र सरल भाषा प्रयोग गर्नुपर्छ।
तीन विशेष परिस्थितिहरूमा डेटा विषयहरूलाई प्रत्यक्ष सूचना आवश्यक पर्दैन। यदि तपाईंले उपयुक्त प्राविधिक र संगठनात्मक सुरक्षा उपायहरू (जस्तै इन्क्रिप्शन) लागू गर्नुभयो जसले डेटा अनधिकृत व्यक्तिहरूलाई बुझ्न नसक्ने बनाउँछ भने तपाईंलाई सूचित गर्न आवश्यक छैन।
यदि तपाईंले डेटा विषय अधिकारको उच्च जोखिम अब सम्भव नहुने कुरा सुनिश्चित गर्न पछिल्ला उपायहरू लिनुभयो भने, वा प्रत्यक्ष सञ्चारमा असमान प्रयास समावेश हुनेछ भने, तपाईंलाई सूचित गर्न आवश्यक पर्दैन। त्यस्ता अवस्थाहरूमा, सार्वजनिक सञ्चार वा यस्तै उपायहरू आवश्यक पर्दछ।
वित्तीय सुपरिवेक्षण ऐन अन्तर्गत रहेका वित्तीय कम्पनीहरूलाई डेटा विषय सूचना दायित्वबाट मुक्त गरिएको छ। तिनीहरूले अझै पनि PDA मा रिपोर्ट गर्नुपर्छ।
प्रोसेसरहरूको छुट्टै दायित्व हुन्छ। जोखिम स्तरलाई ध्यान नदिई, कुनै पनि व्यक्तिगत डेटा उल्लङ्घनको बारेमा सचेत भएपछि तपाईंले अनावश्यक ढिलाइ नगरी नियन्त्रकलाई सूचित गर्नुपर्छ।
यो GDPR अन्तर्गत एक वैधानिक आवश्यकता हो र तपाईंको प्रशोधन सम्झौतामा समावेश हुनुपर्छ।
क्षेत्रगत र राष्ट्रिय सूचना आवश्यकताहरू
GDPR दायित्वहरू बाहेक, तपाईंले आफ्नो क्षेत्रको आधारमा थप रिपोर्टिङ आवश्यकताहरूको सामना गर्न सक्नुहुन्छ। WBNI (नेटवर्क र सूचना प्रणाली सुरक्षा ऐन) ले केही संस्थाहरूलाई सुरक्षा घटनाहरू साइबर सुरक्षा अधिकारीहरूलाई रिपोर्ट गर्न आवश्यक छ, जबकि यी घटनाहरू व्यक्तिगत डेटा उल्लङ्घनको रूपमा योग्य छैनन्।
सार्वजनिक इलेक्ट्रोनिक सञ्चार सञ्जालका प्रदायकहरूले मानव वातावरण तथा यातायात निरीक्षक (ILT) लाई रिपोर्ट गर्नुपर्छ। स्वास्थ्य सेवा संस्थाहरूले चिकित्सा उपकरण सुरक्षा वा बिरामीको डेटालाई असर गर्ने घटनाहरूको बारेमा स्वास्थ्य तथा युवा हेरचाह निरीक्षकलाई सूचित गर्नुपर्ने दायित्वहरू सामना गर्छन्।
वित्तीय सेवा फर्महरूले वित्तीय पर्यवेक्षण कानून अन्तर्गत क्षेत्र-विशिष्ट आवश्यकताहरूको पालना गर्नुपर्छ।
महत्वपूर्ण पूर्वाधार प्रदायकहरूले WBNI अन्तर्गत दायित्वहरू बढाएका छन्। तपाईंले कम्प्युटर सुरक्षा घटना प्रतिक्रिया टोली (CSIRT) लाई महत्त्वपूर्ण घटनाहरू रिपोर्ट गर्नुपर्छ जसले आवश्यक सेवाहरूमा उल्लेखनीय रूपमा बाधा पुर्याउन सक्छ।
सार्वजनिक कम्पनीहरूले लगानीकर्ताको निर्णयलाई भौतिक रूपमा असर गर्न सक्ने सुरक्षा घटनाहरूलाई सूचित गर्नुपर्ने हुन सक्छ।
यी क्षेत्रगत आवश्यकताहरू प्रायः GDPR दायित्वहरूलाई प्रतिस्थापन गर्नुको सट्टा सँगसँगै काम गर्छन्। तपाईंको संस्थाको गतिविधि र उल्लङ्घनको प्रकृतिमा निर्भर गर्दै, तपाईंले एउटै घटनाको लागि विभिन्न अधिकारीहरूलाई धेरै सूचनाहरू दिनुपर्ने हुन सक्छ।
अनुपालन नगरेकोमा प्रवर्तन र दण्डहरू
डच अधिकारीहरूसँग साइबर सुरक्षा विफलताहरूको अनुसन्धान गर्ने र व्यक्तिगत डेटा सुरक्षित गर्न वा सुरक्षा आवश्यकताहरू पूरा गर्न असफल हुने संस्थाहरूलाई पर्याप्त आर्थिक जरिवाना लगाउने स्पष्ट अधिकार छ।
कार्यान्वयन ढाँचामा विशेष निरीक्षण जिम्मेवारीहरू, संरचित दण्ड योजनाहरू, र दण्डको सामना गर्ने संस्थाहरूका लागि परिभाषित पुनरावेदन प्रक्रियाहरू सहित धेरै नियामकहरू समावेश छन्।
अनुसन्धान र निरीक्षण शक्तिहरू
डच डाटा संरक्षण प्राधिकरण (Autoriteit Persoonsgegevens, वा AP) ले डाटा उल्लंघन र GDPR उल्लङ्घनको अनुसन्धान गर्ने प्राथमिक जिम्मेवारी लिन्छ।
एपीले गुनासो, मिडिया रिपोर्ट वा नियमित लेखापरीक्षणको आधारमा अनुसन्धान सुरु गर्न सक्छ।
अनुसन्धानको क्रममा, प्राधिकरणले कागजातहरू अनुरोध गर्न, स्थलगत निरीक्षण गर्न र कर्मचारी सदस्यहरूसँग अन्तर्वार्ता लिन सक्छ।
नयाँ Cyberbeveiligingswet अन्तर्गत साइबर सुरक्षा दायित्वहरूको लागि, क्षेत्र-विशिष्ट नियामकहरूले निरीक्षण गर्छन्।
उपभोक्ता तथा बजार प्राधिकरण (ACM) ले डिजिटल पूर्वाधार र दूरसञ्चार प्रदायकहरूको सुपरिवेक्षण गर्दछ।
डच केन्द्रीय बैंक (DNB) ले वित्तीय संस्थाहरूको निरीक्षण गर्दछ।
आर्थिक मामिला तथा जलवायु मन्त्री, पूर्वाधार तथा जल व्यवस्थापन मन्त्री र स्वास्थ्य सेवा मन्त्री प्रत्येकले आ-आफ्नो क्षेत्र भित्र कार्यान्वयन शक्ति राख्छन्।
यी नियामकहरूले तपाईंको प्रणालीहरूको लेखा परीक्षण गर्न, घटना प्रतिक्रिया प्रक्रियाहरूको समीक्षा गर्न र तपाईंको जोखिम व्यवस्थापनले कानुनी मापदण्डहरू पूरा गर्छ कि गर्दैन भनेर मूल्याङ्कन गर्न सक्छन्।
यदि उल्लङ्घनहरू फेला परेमा तिनीहरूले तपाईंको संस्थाबाट कार्यान्वयन लागत पनि असुल गर्न सक्छन्।
राष्ट्रिय साइबर सुरक्षा केन्द्र (NCSC) ले नियामकहरू बीच समन्वय गर्छ तर प्रत्यक्ष रूपमा जरिवाना लगाउँदैन।
प्रशासनिक तथा वित्तीय दण्डहरू
कानूनी ढाँचा र उल्लङ्घनको गम्भीरतामा आधारित आर्थिक दण्डहरू फरक-फरक हुन्छन्।
GDPR प्रवर्तन अन्तर्गत, AP ले €२० मिलियन वा तपाईंको वार्षिक विश्वव्यापी कारोबारको ४%, जुन बढी हुन्छ, सम्म जरिवाना लगाउन सक्छ।
प्राधिकरणले उल्लङ्घनको प्रकृति, प्रभावित व्यक्तिहरूको संख्या, र अनुसन्धानको क्रममा तपाईंको सहयोग जस्ता कारकहरूलाई विचार गर्दछ।
साइबरबेभिलिगिंगस्वेट अन्तर्गत, दण्डहरूले तहबद्ध संरचना पछ्याउँछन्:
| इकाई वर्गीकरण | अधिकतम जरिवाना | टर्नओभर वैकल्पिक |
|---|---|---|
| आवश्यक संस्था (EE) | € 10 मिलियन | १.४% विश्वव्यापी कारोबार |
| बेलाङ्ग्रिज्के इन्टेटिटेन (BE) | € 7 मिलियन | १.४% विश्वव्यापी कारोबार |
नियामकहरूले तपाईंलाई तोकिएको समयसीमा भित्र विशेष सुरक्षा उपायहरू लागू गर्न आवश्यक पर्ने सुधारात्मक आदेशहरू पनि जारी गर्न सक्छन्।
बारम्बार असफलताहरूले उल्लङ्घनको सार्वजनिक खुलासा मार्फत नामकरण र लज्जा निम्त्याउन सक्छ।
गम्भीर अवस्थामा अत्यावश्यक संस्थाको रूपमा वर्गीकृत संस्थाका निर्देशकहरूले बोर्ड पदबाट व्यक्तिगत अयोग्यता भोग्न सक्छन्।
सार्वजनिक क्षेत्रका संस्थाहरूलाई वित्तीय जरिवानाबाट छुट दिइएको छ तर सुधारात्मक कार्यान्वयन कारबाही र सम्भावित संसदीय छानबिनको सामना गर्नुपर्छ।
कानुनी सहारा र पुनरावेदनहरू
तपाईंलाई प्रवर्तन निर्णयहरूलाई चुनौती दिने अधिकार छ प्रशासनिक पुनरावेदनहरू.
जरिवानाको सूचना प्राप्त गरेपछि, तपाईंले छ हप्ता भित्र जारी गर्ने अधिकारीलाई आपत्ति (बेज्वार) पेश गर्न सक्नुहुन्छ।
नियामकले आफ्नो निर्णयमा पुनर्विचार गर्नुपर्छ र औपचारिक प्रतिक्रिया दिनुपर्छ।
यदि तपाईं पुनर्विचारको नतिजासँग असहमत हुनुहुन्छ भने, तपाईं जिल्ला अदालत (रेच्टबैंक) मा पुनरावेदन गर्न सक्नुहुन्छ।
अदालतले नियामकले उचित प्रक्रियाहरू पालना गर्यो कि गरेन र कानूनलाई सही रूपमा लागू गर्यो कि गरेन भनेर समीक्षा गर्छ।
त्यसपछि तपाईंले पुनरावेदन अदालतका निर्णयहरू राज्य परिषद् (Afdeling bestuursrechtspraak van de Raad van State) को प्रशासनिक अधिकार क्षेत्र डिभिजनमा, जसले सर्वोच्च प्रशासनिक अदालतको रूपमा काम गर्दछ।
पुनरावेदन प्रक्रियाभरि, तपाईंले नियामकहरूले आदेश दिएका कुनै पनि सुधारात्मक उपायहरू लागू गर्न जारी राख्नुपर्छ।
अदालतहरूले पुनरावेदनको नतिजा नआउन्जेलसम्म आर्थिक जरिवाना स्थगित गर्न सक्छन्, तर यो स्वचालित हुँदैन।
साइबर सुरक्षा व्यवस्थापनमा प्रमुख भूमिका र जिम्मेवारीहरू
संस्थाहरूले साइबर सुरक्षा कार्यहरू कसले व्यवस्थापन गर्छ भनेर स्पष्ट रूपमा परिभाषित गर्नुपर्छ, डेटा सुरक्षा अधिकारीहरू नियुक्त गर्नेदेखि बोर्ड-स्तरीय जवाफदेहिता स्थापना गर्ने र सुरक्षा प्रोटोकलहरूमा कर्मचारीहरूलाई तालिम दिनेसम्म।
डेटा संरक्षण अधिकारीहरू र नियुक्तिहरू
यदि तपाईंको संस्थाले संवेदनशील व्यक्तिगत डेटालाई ठूलो मात्रामा प्रशोधन गर्छ वा व्यक्तिहरूलाई व्यवस्थित रूपमा निगरानी गर्छ भने तपाईंले डेटा संरक्षण अधिकारी (DPO) नियुक्त गर्नुपर्छ।
डेटा सुरक्षा अधिकारीहरू र डेटा विषयहरूका लागि DPO ले तपाईंको प्राथमिक सम्पर्क बिन्दुको रूपमा काम गर्दछ।
तपाईंको DPO लाई डेटा सुरक्षा कानून र सूचना सुरक्षा अभ्यासहरूमा विशिष्ट योग्यताहरू आवश्यक पर्दछ।
उनीहरूले तपाईंको उच्चतम व्यवस्थापन स्तरमा सिधै रिपोर्ट गर्नुपर्छ र आफ्नो कर्तव्य पालना गरेको कारण बर्खास्त गर्न सकिँदैन।
यस भूमिकामा GDPR अनुपालनको अनुगमन, डेटा सुरक्षा प्रभाव मूल्याङ्कन सञ्चालन, र इन्क्रिप्शन र क्रिप्टोग्राफी आवश्यकताहरूमा सल्लाह दिने समावेश छ।
तपाईंले DPO को जिम्मेवारीहरू स्पष्ट रूपमा दस्तावेजीकरण गर्नुपर्छ।
यसमा तपाईंको डिजिटल पूर्वाधारको लेखा परीक्षण गर्ने र तपाईंको घटना प्रतिक्रिया योजनाको समीक्षा गर्ने अधिकार समावेश छ।
यदि तपाईं धेरै EU देशहरूमा काम गर्नुहुन्छ भने, तपाईंले उनीहरूको व्यावसायिक गुणहरू र सान्दर्भिक क्षेत्राधिकारको ज्ञानको आधारमा एउटा DPO तोक्न सक्नुहुन्छ।
कर्पोरेट सुशासन र जवाफदेहिता
साइबर सुरक्षा जोखिम व्यवस्थापनको लागि तपाईंको निर्देशक बोर्डको अन्तिम जिम्मेवारी छ।
तिनीहरूले सुरक्षा उपायहरू अनुमोदन गर्नुपर्छ, पर्याप्त स्रोतहरू आवंटित गर्नुपर्छ, र साइबर लचिलोपन प्रयासहरूको उचित पर्यवेक्षण सुनिश्चित गर्नुपर्छ।
नेतृत्वको जवाफदेहितामा समावेश छन्:
- सुरक्षा नीतिहरू अनुमोदन गर्दै सूचना सुरक्षा ढाँचाहरूको लागि
- जोखिम मूल्याङ्कनको निरीक्षण गर्दै र परिचालन लचिलोपन योजना
- लेखापरीक्षण अनुपालन सुनिश्चित गर्दै स्वतन्त्र समीक्षा मार्फत
- बजेट विनियोजन साइबर सुरक्षा व्यवस्थापनको लागि र कर्मचारी प्रशिक्षण
सुरक्षा निर्णय लिने क्रममा तपाईंले स्पष्ट अधिकार रेखाहरू स्थापित गर्न आवश्यक छ।
सुरक्षा उपायहरू अनुमोदन गर्ने, कार्यान्वयनको सुपरिवेक्षण गर्ने र लेखा परीक्षण गर्ने कागजात।
तपाईंको व्यवस्थापनले नियमित रूपमा साइबर सुरक्षा कार्यसम्पादनको समीक्षा गर्नुपर्छ र तपाईंको डिजिटल पूर्वाधारमा विकसित खतराहरूको आधारमा रणनीतिहरू समायोजन गर्नुपर्छ।
आन्तरिक नीति र कर्मचारी प्रशिक्षण
तपाईंले आफ्नो संस्थाभरि सुरक्षा भूमिकाहरू परिभाषित गर्ने दस्तावेजीकृत नीतिहरू सिर्जना गर्नुपर्छ।
यी नीतिहरूले डेटा सुरक्षा, घटना प्रतिक्रिया, र साइबर लचिलोपन कायम राख्ने जिम्मेवारीहरू निर्दिष्ट गर्नुपर्छ।
तपाईंको सुरक्षा नीतिहरूले निम्न कुराहरू समेट्नु पर्छ:
- पहुँच नियन्त्रण र प्रमाणीकरण आवश्यकताहरू
- डेटा वर्गीकरण र इन्क्रिप्शन मानकहरू
- घटना रिपोर्टिङ प्रक्रियाहरू
- नियमित सुरक्षा जागरूकता तालिम
तपाईंले सबै कर्मचारीहरूलाई सूचना सुरक्षा अभ्यासहरूमा निरन्तर तालिम प्रदान गर्नुपर्छ।
यसमा समावेश छ फिसिङ पहिचान गर्दै प्रयासहरू, संवेदनशील डेटालाई उचित रूपमा ह्यान्डल गर्ने, र तपाईंको घटना प्रतिक्रिया योजना पालना गर्ने।
तालिम विशिष्ट भूमिकाहरू अनुरूप हुनुपर्छ, प्राविधिक कर्मचारीहरूले क्रिप्टोग्राफी र सुरक्षा नियन्त्रणहरूमा उन्नत निर्देशन प्राप्त गर्नुपर्छ।
नियमहरू परिवर्तन हुँदा वा नयाँ जोखिमहरू देखा पर्दा तपाईंका नीतिहरूको नियमित रूपमा समीक्षा गरिनुपर्छ र अद्यावधिक गरिनुपर्छ।
साइबर सुरक्षा अभ्यासहरूमा नीति कार्यान्वयन र कर्मचारी विकास दुवैको लागि तपाईंले पर्याप्त स्रोतहरू सुनिश्चित गर्न आवश्यक छ।
साइबर सुरक्षा घटनाहरूका प्रकारहरू र उदीयमान खतराहरू
साइबर सुरक्षा घटनाहरू भ्रामक इमेलहरूदेखि लिएर ठूला स्तरका नेटवर्क अवरोधहरू सम्मका हुन्छन् जसले सम्पूर्ण संस्थाहरूलाई सम्झौता गर्न सक्छ।
यी खतराहरू बुझ्नाले तपाईंलाई कमजोरीहरू पहिचान गर्न र उल्लङ्घन हुँदा जिम्मेवारी कहाँ हुन्छ भनेर निर्धारण गर्न मद्दत गर्दछ।
फिसिङ, मालवेयर, र र्यान्समवेयर
फिसिङ तपाईंले सामना गर्नुहुने सबैभन्दा सामान्य साइबर सुरक्षा खतराहरू मध्ये एक हो।
आक्रमणकारीहरूले तपाईंको पासवर्ड, वित्तीय जानकारी, वा अन्य संवेदनशील डेटा चोर्नको लागि वैध कम्पनीहरूबाट आएको बहाना गर्दै इमेल वा सन्देशहरू पठाउँछन्।
यी आक्रमणहरू ६० प्रतिशतभन्दा बढी सामाजिक इन्जिनियरिङ घटनाहरूको लागि जिम्मेवार छन्।
मालवेयर तपाईंको कम्प्युटर प्रणाली वा नेटवर्कहरूलाई क्षति पुर्याउने हानिकारक सफ्टवेयरलाई जनाउँछ।
यसमा तपाईंको डेटा पहुँच गर्न वा तपाईंको सञ्चालनमा बाधा पुर्याउन डिजाइन गरिएको भाइरस, ट्रोजन र अन्य दुर्भावनापूर्ण कोडहरू समावेश छन्।
ransomware एक विशेष प्रकारको मालवेयर हो जसले तपाईंको फाइलहरूमा पहुँच रोक्छ र पुनर्स्थापनाको लागि भुक्तानी माग गर्दछ।
तपाईंले फिरौती तिर्नुभयो भने पनि, आक्रमणकारीहरूले तपाईंको पहुँच पुनर्स्थापित गर्नेछन् वा चोरी भएको डेटा मेटाउनेछन् भन्ने कुनै ग्यारेन्टी छैन।
२०२० र २०२१ को बीचमा, संस्थाहरूले विश्वव्यापी रूपमा लगभग २४,००० साइबर सुरक्षा घटनाहरूको सामना गरे, जसमा वित्तीय नोक्सानीमा ransomware ले महत्त्वपूर्ण भूमिका खेलेको थियो।
सेवा अस्वीकार (DoS) र वितरित DoS (DDoS) आक्रमणहरू
डो एस आक्रमणहरू वैध प्रयोगकर्ताहरूलाई सेवाहरू उपलब्ध गराउन तपाईंको प्रणालीहरूमा ट्राफिकको मात्रा बढाउनुहोस्।
एउटा मात्र स्रोतले तपाईंको नेटवर्कलाई अनुरोधहरूले भरिदिन्छ जबसम्म यो क्र्यास हुँदैन वा काम गर्न धेरै ढिलो हुँदैन।
DDoS हमलाहरू तपाईंको पूर्वाधार विरुद्ध समन्वित आक्रमणहरू सुरु गर्न धेरै सम्झौता गरिएका प्रणालीहरू प्रयोग गर्नुहोस्।
यी वितरित आक्रमणहरू रोक्न गाह्रो छ किनकि तिनीहरू एकै साथ धेरै स्थानहरूबाट आउँछन्।
DDoS आक्रमणहरूले सरकारी वेबसाइटदेखि निजी क्षेत्रका सञ्चालनसम्मका महत्वपूर्ण सेवाहरूमा बाधा पुर्याउन सक्छन्।
सुरक्षा घटनालाई ठूलो उल्लङ्घन हुनबाट रोक्नको लागि पहिलो पटक पत्ता लागेको ६२ मिनेटभन्दा कम समय तपाईंसँग हुन्छ।
यो साँघुरो झ्यालले DoS वा DDoS आक्रमणहरूको सामना गर्दा द्रुत प्रतिक्रियालाई आवश्यक बनाउँछ।
ठगी र अनधिकृत पहुँच
धोखाधडी साइबर सुरक्षामा तपाईंको प्रणाली वा डेटामा अनधिकृत पहुँच प्राप्त गर्न भ्रामक अभ्यासहरू समावेश छन्।
यसमा पहिचान चोरी, भुक्तानी ठगी, र प्रमाणपत्र सम्झौता समावेश छ।
अनधिकृत पहुँच जब कसैले अनुमति बिना नेटवर्क, प्रणाली, वा डेटा पहुँच गर्न तपाईंको सुरक्षा नीतिहरू उल्लङ्घन गर्छ तब हुन्छ।
यो निम्न मार्फत हुन सक्छ:
- चोरी भएका लगइन प्रमाणहरू
- शोषण गरिएका सफ्टवेयर कमजोरीहरू
- बाइपास गरिएका सुरक्षा नियन्त्रणहरू
- वर्तमान वा पूर्व कर्मचारीहरूबाट भित्री धम्कीहरू
भित्री डेटा चोरी प्रायः बेवास्ता गरिन्छ तर बाह्य आक्रमणहरू जत्तिकै हानिकारक हुन सक्छ।
२०२१ मा, भित्री आक्रमणको औसत लागत १२.५ मिलियन पाउण्ड पुग्यो।
कर्मचारीहरूद्वारा अनजानमा गरिएको डेटा चुहावटलाई पनि कम्प्युटर दुरुपयोग ऐन (१९९०) अन्तर्गत सुरक्षा घटनाको रूपमा गणना गरिन्छ।
क्षेत्र र आपूर्ति शृङ्खला जोखिमहरू
महत्वपूर्ण पूर्वाधार क्षेत्रहरूले साइबर अपराधबाट बढ्दो जोखिमको सामना गर्छन्, जसमा स्वास्थ्य सेवा, ऊर्जा र वित्तीय सेवाहरू प्रमुख लक्ष्य हुन्।
व्यावसायिक क्षेत्रले २०२० र २०२१ को बीचमा लगभग ३,६०० घटनाहरू अनुभव गर्यो, जसले गर्दा यो सबैभन्दा लक्षित उद्योग बन्यो।
आपूर्ति श्रृंखला सुरक्षा आक्रमणकारीहरूले तपाईंलाई प्रत्यक्ष आक्रमण गर्नुको सट्टा तपाईंका साझेदारहरू र तेस्रो-पक्ष विक्रेताहरूलाई लक्षित गर्ने भएकाले यो झन् महत्त्वपूर्ण भएको छ।
यी तेस्रो-पक्ष विक्रेता आक्रमणहरूले तपाईंको ग्राहकहरूको डेटा पहुँच गर्न तपाईंको साझेदार संस्थाहरूमा कमजोर सुरक्षा उपायहरूको शोषण गर्छन्।
आपूर्ति शृङ्खलाका कमजोरीहरूले आक्रमणकारीहरूलाई एउटै उल्लङ्घन मार्फत धेरै संस्थाहरूलाई सम्झौता गर्न अनुमति दिन्छ।
जब तपाईंको विक्रेताको प्रणाली तपाईंको प्रणालीसँग जोडिन्छ, तिनीहरूको सुरक्षा कमजोरीहरू तपाईंको सुरक्षा कमजोरीहरू बन्छ।
यो अन्तरसम्बन्धित जोखिमको अर्थ तपाईंले आफ्नो साइबर सुरक्षा उपायहरू मात्र नभई आफ्नो आपूर्ति शृङ्खलामा रहेका प्रत्येक संस्थाको पनि मूल्याङ्कन गर्नुपर्छ।
राष्ट्र-राज्यहरूले प्रतिद्वन्द्वी साइबर स्पेसहरूको परीक्षण र प्रवेश बढ्दो रूपमा गरिरहेका छन्, प्रायः सरकारको तर्फबाट काम गर्दा निजी संस्थाहरूको आडमा सञ्चालन गरिरहेका छन्।
प्राय : सोधिने प्रश्नहरू
डेटा उल्लङ्घन पछि डच कम्पनीहरूले कडा रिपोर्टिङ आवश्यकताहरू र अनुपालन मापदण्डहरू नेभिगेट गर्नुपर्छ, जसको दायित्व उनीहरूको भूमिका र जिम्मेवारीहरूमा निर्भर गर्दै धेरै पक्षहरूमा विस्तार हुन्छ।
यी दायित्वहरू बुझ्नाले संस्थाहरूलाई राष्ट्रिय र युरोपेली नियमहरूको पालना कायम राख्दै आफूलाई र प्रभावित व्यक्तिहरूलाई सुरक्षित राख्न मद्दत गर्छ।
डेटा उल्लंघन पछि डच कम्पनीहरूको कानुनी दायित्व के हो?
तपाईंको संस्थाले डेटा उल्लङ्घनको बारेमा थाहा पाएको ७२ घण्टा भित्र डच डेटा संरक्षण प्राधिकरण (Autoriteit Persoonsgegevens) लाई सूचित गर्नुपर्छ।
यो आवश्यकता GDPR अन्तर्गत लागू हुन्छ, जसले नेदरल्याण्ड्सभरि डेटा सुरक्षालाई नियन्त्रण गर्दछ।
तपाईंले आफ्नो उल्लङ्घन सूचनामा विशेष जानकारी प्रदान गर्न आवश्यक छ।
यसमा उल्लंघनको प्रकृति, प्रभावित व्यक्तिहरूको संख्या, सम्भावित परिणामहरू, र तपाईंले चाल्नुभएको वा लिने योजना बनाउनुभएको उपायहरू समावेश छन्।
यदि तपाईंले ७२ घण्टा भित्र सबै विवरणहरू प्रदान गर्न सक्नुहुन्न भने, तपाईंले ढिलाइको कारण स्पष्ट पार्नु पर्छ र बाँकी जानकारी सकेसम्म चाँडो पेश गर्नु पर्छ।
जब उल्लङ्घनले व्यक्तिहरूको अधिकार र स्वतन्त्रतामा उच्च जोखिम निम्त्याउँछ, तपाईंले प्रभावित व्यक्तिहरूलाई सिधै जानकारी पनि दिनुपर्छ।
उचित कारण बिना तपाईंले यो सूचना ढिलाइ गर्न सक्नुहुन्न।
प्रभावित व्यक्तिहरूसँग तपाईंको कुराकानी स्पष्ट हुनुपर्छ र उल्लंघनको सम्भावित परिणामहरू र उनीहरूले आफूलाई सुरक्षित राख्न के कदम चाल्न सक्छन् भनेर व्याख्या गर्नुपर्छ।
तपाईंले अधिकारीहरूलाई रिपोर्ट गरे पनि नभए पनि, सबै डेटा उल्लङ्घनहरूको विस्तृत कागजातहरू कायम राख्नुपर्छ।
यस कागजातमा उल्लङ्घन, यसको प्रभाव र गरिएको उपचारात्मक कारबाही सम्बन्धी तथ्यहरू समावेश हुनुपर्छ।
डच डाटा संरक्षण प्राधिकरणले निरीक्षण वा अनुसन्धानको क्रममा यो कागजात अनुरोध गर्न सक्छ।
नेदरल्याण्ड्सको कानून अन्तर्गत डेटा उल्लंघनको लागि दायित्व कसरी निर्धारण गरिन्छ?
नेदरल्याण्ड्समा डेटा उल्लंघनको लागि दायित्व डेटा नियन्त्रक वा डेटा प्रोसेसरको रूपमा तपाईंको भूमिकामा निर्भर गर्दछ।
डेटा नियन्त्रकहरूले व्यक्तिगत डेटा प्रशोधन गर्ने उद्देश्य र माध्यमहरू निर्धारण गर्छन्, जबकि डेटा प्रोसेसरहरूले नियन्त्रकहरूको तर्फबाट डेटा ह्यान्डल गर्छन्।
तपाईंको कानुनी जिम्मेवारीहरू यस वर्गीकरणको आधारमा फरक हुन्छ।
डेटा नियन्त्रकको रूपमा, डेटा सुरक्षा नियमहरूको अनुपालन सुनिश्चित गर्ने प्राथमिक जिम्मेवारी तपाईंको हो।
व्यक्तिगत डेटा सुरक्षित गर्न तपाईंले उपयुक्त प्राविधिक र संगठनात्मक उपायहरू लागू गर्नुपर्छ।
अदालतहरूले तपाईंले उल्लङ्घन रोक्नको लागि उचित कदम चाल्नुभयो किुभएन र तपाईंले आफ्नो सुरक्षा अभ्यासहरूमा लापरवाही गर्नुभयो कि भएन भनेर मूल्याङ्कन गर्छन्।
यदि डाटा प्रोसेसरहरूले नियन्त्रकको निर्देशनहरू पालना गर्न असफल भए वा तिनीहरूको सम्झौता दायित्वहरू उल्लङ्घन गरेमा उनीहरूले पनि दायित्व भोग्न सक्छन्।
यद्यपि, प्रोसेसरहरूको सामान्यतया नियन्त्रकहरू भन्दा बढी सीमित दायित्व हुन्छ।
यदि तपाईंले नियन्त्रकबाट उचित अनुमति बिना डेटा प्रशोधन गर्नुभयो वा सहमत सुरक्षा उपायहरू लागू गर्न असफल हुनुभयो भने, तपाईंलाई प्रत्यक्ष रूपमा जिम्मेवार ठहराउन सकिन्छ।
डच अदालतहरूले दायित्व निर्धारण गर्दा धेरै कारकहरू लागू गर्छन्।
यसमा उल्लंघनको गम्भीरता, सम्झौता गरिएको डेटाको संवेदनशीलता, उल्लंघन अघि तपाईंको सुरक्षा उपायहरू, र घटना पत्ता लगाएपछि तपाईंको प्रतिक्रिया समावेश छ।
तपाईंको संस्थाको आकार र स्रोतहरूले अदालतहरूले उचित सुरक्षा उपायहरू लिने कुरालाई पनि प्रभाव पार्छ।
धेरै पक्षहरूले डेटा उल्लंघनमा योगदान पुर्याउँदा संयुक्त दायित्व उत्पन्न हुन सक्छ।
यदि तपाईंले अन्य नियन्त्रकहरू वा प्रोसेसरहरूसँग जिम्मेवारी साझा गर्नुभयो भने, अदालतहरूले प्रत्येक पक्षलाई सम्पूर्ण क्षतिको लागि जिम्मेवार ठहराउन सक्छन्।
त्यसपछि तपाईंले अन्य जिम्मेवार पक्षहरूबाट उल्लङ्घनमा उनीहरूको योगदानको आधारमा क्षतिपूर्ति माग्न सक्नुहुन्छ।
नेदरल्याण्ड्समा डेटा सुरक्षा घटनाहरूको लागि कुन पक्षहरूलाई जवाफदेही बनाउन सकिन्छ?
डेटा सुरक्षा घटनाहरूको लागि डेटा नियन्त्रकहरूले प्राथमिक उत्तरदायित्व लिन्छन्।
एक नियन्त्रकको रूपमा, तपाईंले व्यक्तिगत डेटा कसरी प्रशोधन गरिन्छ भन्ने बारे निर्णय लिनुहुन्छ र उपयुक्त सुरक्षा उपायहरू सुनिश्चित गर्नुपर्छ।
उल्लंघन पछि तपाईंको संस्थाले प्रशासनिक जरिवाना, नागरिक दायित्व र प्रतिष्ठामा क्षति पुर्याउन सक्छ।
डेटा प्रोसेसरहरूले आफ्नो सम्झौता र कानुनी दायित्वहरू पूरा गर्न असफल भएमा उनीहरूलाई जवाफदेही बनाउन सकिन्छ।
यदि तपाईंले नियन्त्रकको तर्फबाट डेटा प्रशोधन गर्नुहुन्छ भने, तपाईंले आफ्नो सम्झौतामा निर्दिष्ट सुरक्षा उपायहरू लागू गर्नुपर्छ र नियन्त्रकको कानुनी निर्देशनहरूको पालना गर्नुपर्छ।
यदि तपाईंले आफ्नो अधिकार नाघ्नुभयो वा पर्याप्त सुरक्षा कायम गर्न असफल हुनुभयो भने तपाईं प्रत्यक्ष जिम्मेवार हुनुहुन्छ।
तपाईंको संस्थाका निर्देशक र अधिकारीहरूले निश्चित परिस्थितिहरूमा व्यक्तिगत दायित्वको सामना गर्न सक्छन्।
नेदरल्याण्ड्समा NIS2 निर्देशिका कार्यान्वयन अन्तर्गत, साइबर सुरक्षा प्रशासनमा असफलताको लागि व्यवस्थापनलाई व्यक्तिगत रूपमा जिम्मेवार ठहराउन सकिन्छ।
यसमा गम्भीर उल्लङ्घन भएमा निर्देशकको रूपमा सेवा गर्नबाट सम्भावित अयोग्यता समावेश छ।
तेस्रो-पक्ष सेवा प्रदायकहरूले पनि सुरक्षा घटनाहरूको लागि जवाफदेही हुन सक्छन्।
यदि तपाईं क्लाउड सेवाहरू, IT समर्थन, वा अन्य बाह्य प्रदायकहरूमा भर पर्नुहुन्छ भने, तिनीहरूको असफलताले उल्लङ्घनमा योगदान पुर्याउँदा तिनीहरू जिम्मेवारी साझा गर्न सक्छन्।
यी प्रदायकहरूसँगको तपाईंको सम्झौताले सुरक्षा जिम्मेवारी र दायित्वका सर्तहरू स्पष्ट रूपमा परिभाषित गर्नुपर्छ।
डच डाटा संरक्षण प्राधिकरणले प्राथमिक कार्यान्वयन निकायको रूपमा काम गर्दछ।
उल्लंघनको लागि प्रत्यक्ष रूपमा जिम्मेवार नभए पनि, प्राधिकरणले घटनाहरूको अनुसन्धान गर्छ, सुधारात्मक आदेश जारी गर्छ, र गैर-अनुपालन संस्थाहरूलाई प्रशासनिक जरिवाना लगाउँछ।
डच डेटा सुरक्षा नियमहरूको पालना नगर्दा संस्थाहरूले कस्तो परिणाम भोग्छन्?
तपाईंको संस्थाले €२० मिलियन वा तपाईंको विश्वव्यापी वार्षिक कारोबारको ४% सम्मको प्रशासनिक जरिवाना भोग्न सक्छ, जुन रकम बढी होस्। डच डाटा संरक्षण प्राधिकरणले उल्लङ्घनको प्रकृति, गम्भीरता, अवधि र अनुसन्धानको क्रममा तपाईंको सहयोगको आधारमा जरिवाना रकम निर्धारण गर्दछ।
वित्तीय जरिवाना बाहेक, प्राधिकरणले तपाईंको सञ्चालनमा बाधा पुर्याउने सुधारात्मक उपायहरू लागू गर्न सक्छ। यी उपायहरूमा डेटा प्रशोधन गतिविधिहरूमा अस्थायी प्रतिबन्धहरू, विशिष्ट उल्लङ्घनहरू सुधार गर्न आदेशहरू, र अनिवार्य लेखापरीक्षणहरू समावेश छन्।
तपाईंले अनुपालन प्रदर्शन नगरेसम्म केही व्यावसायिक गतिविधिहरू स्थगित गर्नुपर्ने हुन सक्छ। अनुपालन नगरेपछि तपाईंको संस्थाले उल्लेखनीय प्रतिष्ठामा क्षति पुर्याउने जोखिम हुन्छ।
डेटा उल्लङ्घन र नियामक दण्डहरूको सार्वजनिक खुलासाले ग्राहकको विश्वासलाई कमजोर बनाउन सक्छ र व्यावसायिक सम्बन्धलाई क्षति पुर्याउन सक्छ। डच डेटा संरक्षण प्राधिकरणले प्रवर्तन निर्णयहरू प्रकाशित गर्दछ, जुन जनता र मिडियाको लागि पहुँचयोग्य रहन्छ।
क्षतिपूर्तिको लागि क्षतिपूर्ति खोज्दै प्रभावित व्यक्तिहरूबाट तपाईंले नागरिक मुद्दाहरूको सामना गर्न सक्नुहुन्छ। व्यक्तिहरूले डेटा सुरक्षा उल्लङ्घनबाट उत्पन्न हुने भौतिक र गैर-भौतिक क्षतिहरूको दाबी गर्न सक्छन्।
डच अदालतहरूले प्रत्यक्ष आर्थिक क्षति बिना नै, व्यक्तिगत डेटामाथिको संकट र नियन्त्रण गुमाउने दावीहरूलाई बढ्दो रूपमा मान्यता दिएका छन्। गम्भीर उल्लङ्घन पछि तपाईंको व्यवसायिक अवसरहरू प्रतिबन्धित हुन सक्छन्।
केही क्षेत्रहरूलाई सम्झौताहरू कायम राख्न सुरक्षा प्रमाणपत्र वा अनुपालन रेकर्डहरू आवश्यक पर्दछ, विशेष गरी सरकारी निकायहरू वा नियमन गरिएका उद्योगहरूसँग व्यवहार गर्दा।
नेदरल्याण्ड्समा डाटा उल्लंघन भएपछि प्रभावित व्यक्तिहरूले कुन तरिकाले क्षतिपूर्ति खोज्न सक्छन्?
यदि तपाईंलाई कुनै संस्थाले तपाईंको डेटा सुरक्षा अधिकार उल्लङ्घन गरेको विश्वास लाग्छ भने तपाईंले डच डेटा संरक्षण प्राधिकरणमा उजुरी दर्ता गर्न सक्नुहुन्छ। प्राधिकरणले उजुरीहरूको अनुसन्धान गर्छ र गैर-अनुपालनकारी संस्थाहरू विरुद्ध प्रवर्तन कारबाही गर्न सक्छ।
यो प्रक्रियाको लागि तपाईंलाई कुनै खर्च लाग्दैन र कानुनी प्रतिनिधित्वको आवश्यकता पर्दैन। तपाईंलाई जिम्मेवार संस्था विरुद्ध नागरिक मुद्दा चलाउने अधिकार छ।
डच कानूनले तपाईंलाई डेटा सुरक्षा उल्लङ्घनबाट हुने भौतिक र गैर-भौतिक क्षतिको लागि क्षतिपूर्ति दाबी गर्न अनुमति दिन्छ। भौतिक क्षतिमा वित्तीय क्षति समावेश छ, जबकि गैर-भौतिक क्षतिमा तपाईंको व्यक्तिगत डेटामाथिको पीडा, चिन्ता र नियन्त्रण गुमाउनु समावेश छ।
यदि तपाईंले वित्तीय योग्यता मापदण्ड पूरा गर्नुभयो भने, तपाईंले आकस्मिक आधारमा आफ्नो दाबी सम्हाल्न वकिललाई नियुक्त गर्न सक्नुहुन्छ वा कानुनी सहायता लिन सक्नुहुन्छ। नेदरल्याण्ड्सका धेरै कानुनी फर्महरू डेटा सुरक्षा मामिलाहरूमा विशेषज्ञ छन् र तपाईंको दाबीको बलमा तपाईंलाई सल्लाह दिन सक्छन्।
वर्गीय कार्य संयन्त्रले प्रभावित व्यक्तिहरूको समूहलाई सामूहिक रूपमा दावीहरू अघि बढाउन अनुमति दिन्छ। तपाईं अदालत नगई संस्थाबाट सिधै क्षतिपूर्ति खोज्न सक्नुहुन्छ।
धेरै संस्थाहरूले मुद्दाको लागत र नकारात्मक प्रचारबाट बच्न निजी रूपमा दाबीहरू समाधान गर्न रुचाउँछन्। यदि संस्थाले स्पष्ट रूपमा डेटा सुरक्षा नियमहरू उल्लङ्घन गरेको छ वा उल्लङ्घनले महत्त्वपूर्ण हानि पुर्याएको छ भने तपाईंको वार्ताको स्थिति बलियो हुन्छ।
यदि डेटा प्रोसेसरहरूले उल्लङ्घनको जिम्मेवारी वहन गर्छन् भने तपाईंले तिनीहरू विरुद्ध पनि दावी गर्न सक्नुहुन्छ। GDPR अन्तर्गत, नियन्त्रकहरू र प्रोसेसरहरू दुवैलाई क्षतिको लागि उत्तरदायी ठहराउन सकिन्छ।
यदि धेरै पक्षहरूले उल्लङ्घनमा योगदान पुर्याएका छन् भने, तपाईंले कुनै पनि जिम्मेवार पक्षबाट पूर्ण रकम दाबी गर्न सक्नुहुन्छ।
नेदरल्याण्ड्समा सञ्चालन हुने संस्थाहरूको डेटा उल्लंघनको घटनामा GDPR ले दायित्व र जिम्मेवारीहरूलाई कसरी प्रभाव पार्छ?
GDPR ले व्यक्तिगत डेटाको सुरक्षा सम्बन्धी संस्थाहरूको लागि स्पष्ट दायित्वहरू स्थापित गर्दछ।
डाटा सुरक्षा सुनिश्चित गर्न निकायहरूले उपयुक्त प्राविधिक र संगठनात्मक उपायहरू कार्यान्वयन गर्नुपर्छ।
डेटा उल्लंघन भएको खण्डमा, संस्थाहरूले ७२ घण्टा भित्र सम्बन्धित पर्यवेक्षक अधिकारीलाई सूचित गर्नुपर्नेछ।
यदि उल्लङ्घनले व्यक्तिहरूको अधिकार र स्वतन्त्रतामा उच्च जोखिम निम्त्याउँछ भने, प्रभावित व्यक्तिहरूलाई पनि जानकारी गराउनुपर्छ।
यी आवश्यकताहरूको पालना गर्न असफल भएमा ठूलो जरिवाना र संस्थाको प्रतिष्ठामा क्षति पुग्न सक्छ।
GDPR अन्तर्गत डेटा नियन्त्रक र प्रोसेसर दुवैको छुट्टाछुट्टै जिम्मेवारी हुन्छ, र सम्झौताहरूले यी भूमिकाहरूलाई स्पष्ट रूपमा परिभाषित गर्नुपर्छ।
