નેધરલેન્ડ્સમાં દરરોજ ડેટા ભંગ થાય છે. જ્યારે તેઓ થાય છે, ત્યારે કોઈને તો લેવું જ પડે છે જવાબદારી.

ડચ કાયદા અને GDPR હેઠળ, વ્યક્તિગત ડેટાને નિયંત્રિત કરતી સંસ્થાઓ મુખ્યત્વે તેના રક્ષણ અને સામનો કરવા માટે જવાબદાર છે નોંધપાત્ર જવાબદારી જ્યારે ઉલ્લંઘન થાય છે. જો તમારા વ્યવસાયને નુકસાન થાય છે cyberattack, તમને €20 મિલિયન અથવા તમારા વૈશ્વિક વાર્ષિક ટર્નઓવરના 4% સુધીનો દંડ થઈ શકે છે, જે રકમ વધારે છે તેના આધારે.

નેધરલેન્ડ્સમાં કાર્યરત કોઈપણ સંસ્થા માટે ડેટા ભંગ પછી કોણ જવાબદારી નિભાવે છે તે સમજવું જરૂરી છે. જવાબ હંમેશા સીધો હોતો નથી, કારણ કે જવાબદારી તમારી કંપનીથી આગળ વધીને તૃતીય-પક્ષ સેવા પ્રદાતાઓ, કર્મચારીઓ અને ડેટા પ્રોસેસિંગમાં સામેલ અન્ય પક્ષોનો સમાવેશ કરી શકે છે.

ડચ ડેટા પ્રોટેક્શન ઓથોરિટી અને અન્ય નિયમનકારો ડેટા કંટ્રોલર અથવા પ્રોસેસર તરીકેની તમારી ભૂમિકા, તમે કયા સુરક્ષા પગલાં લીધા હતા અને તમે ઘટના પર કેટલી ઝડપથી પ્રતિક્રિયા આપી તેના આધારે જવાબદારી નક્કી કરે છે.

આ લેખ નેધરલેન્ડ્સમાં સાયબર સુરક્ષાને નિયંત્રિત કરતા કાનૂની માળખાને તોડે છે અને ઉલ્લંઘન પછી જવાબદારી કેવી રીતે સોંપવામાં આવે છે તે સમજાવે છે. તમે તમારી સૂચના જવાબદારીઓ, પાલન ન કરવા બદલ તમને મળતા દંડ અને સાયબર હુમલાઓ અને કાનૂની પરિણામો બંનેથી તમારા સંગઠનને સુરક્ષિત રાખવા માટે તમે લઈ શકો તેવા વ્યવહારુ પગલાં વિશે શીખી શકશો.

સાયબર સુરક્ષા અને ડેટા સુરક્ષા માટે કાનૂની માળખું

નેધરલેન્ડ્સ સાયબર સુરક્ષા અને ડેટા સુરક્ષા કાયદાના બહુવિધ સ્તરો હેઠળ કાર્ય કરે છે, જે EU-વ્યાપી નિયમોને રાષ્ટ્રીય અમલીકરણ કાયદાઓ સાથે જોડે છે. આ કાયદાઓ વ્યક્તિગત ડેટાનું સંચાલન કરતી અને મહત્વપૂર્ણ માળખાગત સુવિધાઓનું સંચાલન કરતી સંસ્થાઓ માટે સ્પષ્ટ જવાબદારીઓ સ્થાપિત કરે છે.

તેઓ ટેલિકોમ્યુનિકેશન, ફાઇનાન્સ અને સહિત વિવિધ ક્ષેત્રો માટે ચોક્કસ જરૂરિયાતો બનાવે છે કાયદો અમલ

જનરલ ડેટા પ્રોટેક્શન રેગ્યુલેશન (GDPR) અને ડચ અમલીકરણ

આ GDPR પ્રાથમિક તરીકે સેવા આપે છે ડેટા સુરક્ષા માળખું નેધરલેન્ડ્સ સહિત સમગ્ર EU માં. તે વ્યક્તિગત ડેટાની પ્રક્રિયા માટે વ્યાપક નિયમો સ્થાપિત કરે છે અને સંસ્થાઓને માહિતીને સુરક્ષિત રાખવા માટે યોગ્ય તકનીકી અને સંગઠનાત્મક પગલાં અમલમાં મૂકવાની જરૂર છે.

નેધરલેન્ડ્સે GDPR ને આના દ્વારા લાગુ કર્યું ડચ GDPR અમલીકરણ કાયદો (સરેરાશ), જે EU જરૂરિયાતોને ડચ કાયદા અનુસાર અનુકૂલિત કરે છે. આ અધિનિયમ યુરોપિયન ધોરણો સાથે સંરેખણ જાળવી રાખીને રાષ્ટ્રીય પરિસ્થિતિઓ માટે ચોક્કસ જોગવાઈઓ પ્રદાન કરે છે.

તે ડચ ડેટા પ્રોટેક્શન ઓથોરિટી (Autoriteit Personsgegevens) અમલીકરણ માટે જવાબદાર સુપરવાઇઝરી સંસ્થા તરીકે.

GDPR હેઠળ, તમારે જાણ કરવી આવશ્યક છે માહિતી ભંગ તેમના વિશે જાણ થયાના 72 કલાકની અંદર સુપરવાઇઝરી ઓથોરિટીને જાણ કરો. જ્યારે ઉલ્લંઘનો વ્યક્તિઓના અધિકારો અને સ્વતંત્રતાઓ માટે ઉચ્ચ જોખમો ઉભા કરે છે, ત્યારે તમારે અસરગ્રસ્ત વ્યક્તિઓને પણ અનુચિત વિલંબ કર્યા વિના સૂચિત કરવું આવશ્યક છે.

આ સૂચના આવશ્યકતાઓ નેધરલેન્ડ્સમાં ભંગ જવાબદારીનો પાયો બનાવે છે.

આ Verzamelwet Gegevensbescherming (કલેક્ટિવ ડેટા પ્રોટેક્શન એક્ટ) GDPR ધોરણો સાથે સુસંગત થવા માટે વિવિધ ડચ કાયદાઓને વધુ સુધારે છે. આ વિવિધ કાનૂની ક્ષેત્રોમાં સુસંગતતા સુનિશ્ચિત કરે છે.

સાયબર સુરક્ષા કાયદો અને NIS2 નિર્દેશ

આ NIS2 નિર્દેશ સમગ્ર EU માં આવશ્યક અને મહત્વપૂર્ણ સંસ્થાઓ માટે સાયબર સુરક્ષા આવશ્યકતાઓને નોંધપાત્ર રીતે વિસ્તૃત કરે છે. નેધરલેન્ડ્સ આ નિર્દેશને અપડેટ્સ દ્વારા લાગુ કરી રહ્યું છે સાયબરબેવેઇલીંગ્સવેટ (ડચ સાયબર સુરક્ષા અધિનિયમ), જેણે મૂળ રૂપે પ્રથમ NIS નિર્દેશને સ્થાનાંતરિત કર્યો.

NIS2 આવરી લેવાયેલા ક્ષેત્રોનો વ્યાપ વિસ્તૃત કરે છે અને કડક સુરક્ષા આવશ્યકતાઓ, ઘટના રિપોર્ટિંગ જવાબદારીઓ અને વ્યવસ્થાપન જવાબદારીની જોગવાઈઓ રજૂ કરે છે. તમારે ચોક્કસ જોખમ વ્યવસ્થાપન પગલાં અમલમાં મૂકવા જોઈએ અને મહત્વપૂર્ણ ઘટનાઓની જાણ થયાના 24 કલાકની અંદર તેમની જાણ કરવી જોઈએ.

આ નેટવર્ક અને માહિતી પ્રણાલી સુરક્ષા કાયદો અને સાથે નેટવર્ક અને માહિતી પ્રણાલી સુરક્ષા હુકમનામું આવશ્યક સેવાઓના સંચાલકો અને ડિજિટલ સેવા પ્રદાતાઓ માટે વિગતવાર આવશ્યકતાઓ સ્થાપિત કરે છે. આ કાયદાઓ મૂળભૂત સુરક્ષા પગલાં, નિયમિત ઓડિટ અને રાષ્ટ્રીય સાયબર સુરક્ષા સત્તાવાળાઓ સાથે સંકલનને ફરજિયાત બનાવે છે.

આ કાયદો વિવિધ ક્ષેત્રો માટે ચોક્કસ સક્ષમ અધિકારીઓને નિયુક્ત કરે છે. આ સાયબર સુરક્ષા પ્રથાઓની વિશેષ દેખરેખ સુનિશ્ચિત કરે છે.

અન્ય સંબંધિત કાયદા અને નિર્દેશો

આ EU ઇ-પ્રાઇવસી ડાયરેક્ટિવ ઇલેક્ટ્રોનિક સંદેશાવ્યવહાર ગોપનીયતાને સંબોધિત કરીને GDPR ને પૂરક બનાવે છે. તેને કૂકીઝ અને સમાન તકનીકો માટે સંમતિની જરૂર છે, અને સંદેશાવ્યવહાર ડેટાની ગુપ્તતાનું રક્ષણ કરે છે.

આ ટેલિકોમ્યુનિકેશન એક્ટ (ટેલિકોમવેટ) ટેલિકોમ પ્રદાતાઓ પર ચોક્કસ સુરક્ષા જવાબદારીઓ લાદે છે, જેમાં નેટવર્ક અખંડિતતા અને વપરાશકર્તા ડેટાને સુરક્ષિત રાખવા માટેની આવશ્યકતાઓનો સમાવેશ થાય છે. આ અધિનિયમ સંદેશાવ્યવહાર ક્ષેત્રમાં વ્યાપક સુરક્ષા સુનિશ્ચિત કરવા માટે ડેટા સુરક્ષા કાયદાઓ સાથે કામ કરે છે.

આ ક્રિટિકલ એન્ટિટીઝ રેઝિલિયન્સ એક્ટ (CRA) જાહેર સલામતી અને આર્થિક સ્થિરતા માટે મહત્વપૂર્ણ ગણાતી સંસ્થાઓ માટે ભૌતિક અને સાયબર સુરક્ષા જરૂરિયાતોને મજબૂત બનાવે છે. તેને પ્રમાણભૂત સાયબર સુરક્ષા જોગવાઈઓ ઉપરાંત જોખમ મૂલ્યાંકન અને સ્થિતિસ્થાપકતાના પગલાંની જરૂર છે.

આ માળખાઓ ઓવરલેપિંગ જવાબદારીઓ બનાવે છે. બહુવિધ ક્ષેત્રોમાં કામ કરતી વખતે અથવા વિવિધ પ્રકારના ડેટાનું સંચાલન કરતી વખતે તમારે તેમને નેવિગેટ કરવું આવશ્યક છે.

ક્ષેત્ર-વિશિષ્ટ નિયમનો

આ નાણાકીય દેખરેખ કાયદો (Wet op het financieel toezicht) નાણાકીય સંસ્થાઓ માટે કડક સાયબર સુરક્ષા અને ડેટા સુરક્ષા આવશ્યકતાઓ સ્થાપિત કરે છે. નાણાકીય ક્ષેત્રમાં કામ કરતી વખતે તમારે મજબૂત સુરક્ષા નિયંત્રણો, ઘટના પ્રતિભાવ પ્રક્રિયાઓ અને નિયમિત પરીક્ષણ પ્રોટોકોલનો અમલ કરવો આવશ્યક છે.

કાયદા અમલીકરણ સંસ્થાઓને આ હેઠળ વિશેષ જરૂરિયાતોનો સામનો કરવો પડે છે પોલીસ ડેટા એક્ટ (ભીનું રાજકારણી) અને વેટ justitiële en strafvorderlijke gegevens (ન્યાયિક અને ફોજદારી કાર્યવાહી ડેટા અધિનિયમ). આ કાયદાઓ પોલીસ અને ન્યાયિક સત્તાવાળાઓ તપાસ અને ફોજદારી કાર્યવાહી દરમિયાન વ્યક્તિગત ડેટા કેવી રીતે એકત્રિત કરે છે, પ્રક્રિયા કરે છે અને સુરક્ષિત કરે છે તેનું સંચાલન કરે છે.

આરોગ્યસંભાળ પ્રદાતાઓએ માનક GDPR આવશ્યકતાઓ ઉપરાંત વધારાના ગોપનીયતા સુરક્ષા પગલાંનું પાલન કરવું આવશ્યક છે. આ તબીબી માહિતીના સંવેદનશીલ સ્વભાવને પ્રતિબિંબિત કરે છે.

NIS2 અમલીકરણ હેઠળ ઊર્જા, પરિવહન અને પાણી ક્ષેત્રો ચોક્કસ જવાબદારીઓનો સામનો કરે છે, જેમાં તેમના કાર્યકારી જોખમોને અનુરૂપ સુરક્ષા પગલાં લેવામાં આવે છે.

દરેક ક્ષેત્ર-વિશિષ્ટ નિયમન અનન્ય પાલન બોજ લાદે છે. તમારા સંગઠનની ચોક્કસ પ્રવૃત્તિઓ અને ડેટા પ્રોસેસિંગ કામગીરી પર કયા કાયદા લાગુ પડે છે તે ઓળખવું આવશ્યક છે.

ડેટા ભંગ પછી જવાબદારી સોંપવી

નેધરલેન્ડ્સમાં, ડેટા ભંગ માટેની જવાબદારી વ્યક્તિગત ડેટાની પ્રક્રિયા કરવામાં તમારી ભૂમિકા પર આધારિત છે, સુરક્ષા પગલાં તમે અમલમાં મૂક્યો છે, અને તમે રિપોર્ટિંગ આવશ્યકતાઓનું પાલન કર્યું છે કે કેમ. ડચ ડેટા પ્રોટેક્શન ઓથોરિટી અને અન્ય સુપરવાઇઝરી સંસ્થાઓ જવાબદારી નક્કી કરે છે તેના આધારે કાનૂની જવાબદારીઓ GDPR અને રાષ્ટ્રીય સાયબર સુરક્ષા કાયદા હેઠળ.

જવાબદારી વ્યાખ્યાયિત કરવી: નિયંત્રકો, પ્રોસેસર્સ અને તૃતીય પક્ષો

તમારી જવાબદારી પછી વ્યક્તિગત ડેટા ભંગ તમે એક તરીકે કાર્ય કરો છો કે નહીં તેના પર આધાર રાખે છે ડેટા નિયંત્રક અથવા પ્રોસેસર. નિયંત્રકો નક્કી કરે છે કે વ્યક્તિગત ડેટા કેવી રીતે અને શા માટે પ્રક્રિયા કરવામાં આવે છે, જેના કારણે તેઓ મુખ્યત્વે સુરક્ષા ઘટનાઓ માટે જવાબદાર બને છે.

પ્રોસેસર્સ નિયંત્રકો વતી ડેટા હેન્ડલ કરે છે અને જો તેઓ સૂચનાઓનું ઉલ્લંઘન કરે છે અથવા પૂરતા સુરક્ષા પગલાં અમલમાં મૂકવામાં નિષ્ફળ જાય છે તો તેઓ જવાબદારીનો સામનો કરે છે.

ડિજિટલ સેવા પ્રદાતાઓ જેવા તૃતીય પક્ષો અલગ જવાબદારીઓ ધરાવે છે. જો તમે બાહ્ય સપ્લાયર્સનો ઉપયોગ કરો છો, તો જ્યારે તેઓ તમારા વતી ડેટા પર પ્રક્રિયા કરે છે ત્યારે તમે તેમની ક્રિયાઓ માટે જવાબદાર રહેશો.

તમારા કરારોમાં સુરક્ષા જવાબદારીઓ અને ઘટના સંભાળવાની પ્રક્રિયાઓનો ઉલ્લેખ હોવો જોઈએ.

જ્યારે બહુવિધ પક્ષો સામેલ હોય, ત્યારે જવાબદારી વહેંચી શકાય છે. જો તમે અને તમારા પ્રોસેસર બંને તકનીકી અને સંગઠનાત્મક પગલાં લાગુ કરવામાં નિષ્ફળ જાઓ છો, તો તમને બંનેને ઓટોરાઇટ પર્સૂનગેવેન્સ તરફથી દંડનો સામનો કરવો પડી શકે છે.

સુપરવાઇઝરી ઓથોરિટી જવાબદારી સોંપવા માટે ઉલ્લંઘનમાં દરેક પક્ષની ભૂમિકાની તપાસ કરે છે.

સુપરવાઇઝરી ઓથોરિટીઝ અને નિયમનકારી ભૂમિકાઓ

Autoriteit Persoonsgegevens ડચ ડેટા પ્રોટેક્શન ઓથોરિટી તરીકે સેવા આપે છે જે GDPR પાલન લાગુ કરવા માટે જવાબદાર છે. ઘટનાની જાણ થયાના 72 કલાકની અંદર તમારે આ સુપરવાઇઝરી ઓથોરિટીને વ્યક્તિગત ડેટા ભંગની જાણ કરવી આવશ્યક છે.

ઘટનાની જાણ કરવાની સમયમર્યાદા પૂરી કરવામાં નિષ્ફળતા તમારી જવાબદારીમાં વધારો કરે છે.

રાષ્ટ્રીય સાયબર સુરક્ષા કેન્દ્ર (NCSC) વ્યાપક રીતે સંભાળે છે સાયબર સલામતીની ધમકીઓ આવશ્યક સેવાઓના સંચાલકોને અસર કરે છે. જો તમે મહત્વપૂર્ણ માળખાગત સુવિધાઓ અથવા ડિજિટલ સેવાઓ પ્રદાન કરો છો, તો તમારે NCSC ને મહત્વપૂર્ણ સુરક્ષા ઘટનાઓની પણ જાણ કરવી આવશ્યક છે.

આ અહેવાલો સાયબર ધમકીઓ સામે રાષ્ટ્રીય પ્રતિભાવોનું સંકલન કરવામાં મદદ કરે છે.

સુરક્ષા ઘટનાઓ પછી બંને સત્તાવાળાઓ તપાસ કરે છે. ઓટોરાઇટ પર્સૂનગેવેન્સ €20 મિલિયન અથવા તમારા વાર્ષિક વૈશ્વિક ટર્નઓવરના 4%, જે પણ વધારે હોય તે દંડ ફટકારી શકે છે.

તેઓ ભંગની પ્રકૃતિ, અસરગ્રસ્ત વ્યક્તિઓની સંખ્યા અને તમારા પ્રતિભાવના પગલાં જેવા પરિબળોને ધ્યાનમાં લે છે.

ENISA માર્ગદર્શિકા ડચ સત્તાવાળાઓ સાયબર સુરક્ષા આવશ્યકતાઓ સાથે તમારા પાલનનું મૂલ્યાંકન કેવી રીતે કરે છે તે પ્રભાવિત કરે છે.

સંગઠનાત્મક અને ટેકનિકલ પગલાં

ટેકનિકલ અને સંગઠનાત્મક પગલાંના તમારા અમલીકરણથી જવાબદારી નિર્ધારણ પર સીધી અસર પડે છે. આ પગલાંમાં એન્ક્રિપ્શન, ઍક્સેસ નિયંત્રણો, નિયમિત સુરક્ષા પરીક્ષણ અને સ્ટાફ તાલીમનો સમાવેશ થાય છે.

કોર્ટ અને સુપરવાઇઝરી ઓથોરિટી મૂલ્યાંકન કરે છે કે શું તમારી સુરક્ષા સામેલ જોખમો માટે યોગ્ય હતી.

તમારે તમારા સુરક્ષા પગલાંનું દસ્તાવેજીકરણ કરવું જોઈએ અને વ્યવસાય સાતત્ય આયોજન દર્શાવવું જોઈએ. જો તમે પૂરતી સાવચેતી સાબિત ન કરી શકો, તો જવાબદારી નોંધપાત્ર રીતે વધી જાય છે.

નિયમિત જોખમ મૂલ્યાંકન તમને ભંગ થાય તે પહેલાં નબળાઈઓને ઓળખવામાં મદદ કરે છે.

ઘટના સંભાળવાની પ્રક્રિયાઓ મહત્વપૂર્ણ છે. વ્યક્તિગત ડેટા ભંગને શોધવા, તપાસ કરવા અને તેનો જવાબ આપવા માટે તમારે સ્પષ્ટ પ્રોટોકોલની જરૂર છે.

સુરક્ષા ઘટનાઓને રોકવામાં તમારો પ્રતિભાવ સમય અને અસરકારકતા દંડના નિર્ણયોને પ્રભાવિત કરે છે.

ઓટોરાઇટ પર્સૂનગેવેન્સ અપેક્ષા રાખે છે કે તમે તમારા સુરક્ષા માળખાના પુરાવા જાળવી રાખો. યોગ્ય દસ્તાવેજો વિના, તપાસ દરમિયાન વાજબી સંભાળ સાબિત કરવી મુશ્કેલ બની જાય છે.

સપ્લાય ચેઇન અને સેવા પ્રદાતાઓનો પ્રભાવ

સપ્લાય ચેઇન સુરક્ષા જટિલ જવાબદારી સમસ્યાઓ બનાવે છે. જ્યારે તમારા સેવા પ્રદાતાઓ તમારા ડેટાને અસર કરતા ભંગનો અનુભવ કરે છે, ત્યારે પણ તમારે પરિણામોનો સામનો કરવો પડી શકે છે.

તમારે સપ્લાયર્સ પર યોગ્ય તપાસ કરવી જોઈએ અને તેમની સુરક્ષા પ્રથાઓનું સતત નિરીક્ષણ કરવું જોઈએ.

આવશ્યક સેવાઓના સંચાલકોને વેન્ડર મેનેજમેન્ટ માટે કડક આવશ્યકતાઓનો સામનો કરવો પડે છે. તમારે ખાતરી કરવી જોઈએ કે તમારી સપ્લાય ચેઇનમાં ડિજિટલ સેવા પ્રદાતાઓ તમારી પોતાની જવાબદારીઓ સાથે મેળ ખાતા ધોરણો જાળવી રાખે છે.

કરાર કરારોમાં ઘટનાની જાણ કરવાની ફરજો અને જવાબદારીની ફાળવણી સ્પષ્ટ રીતે વ્યાખ્યાયિત થવી જોઈએ.

જો તમારી સપ્લાય ચેઇનમાંથી કોઈ ઉલ્લંઘન થાય છે, તો Autoriteit Persoonsgegevens તપાસ કરે છે કે તમે પર્યાપ્ત વિક્રેતા મૂલ્યાંકન કર્યા છે કે નહીં. તમારી જવાબદારી તમે સપ્લાયર સુરક્ષા ચકાસવા માટે વાજબી પગલાં લીધાં છે કે નહીં તેના પર નિર્ભર છે.

તૃતીય-પક્ષ પ્રોસેસરનો ઉપયોગ કરતી વખતે પણ તમે સંપૂર્ણપણે જવાબદારી સોંપી શકતા નથી.

બહુ-સ્તરીય સપ્લાય ચેઇન્સને વધારાની તકેદારીની જરૂર છે. બહુવિધ સંસ્થાઓમાં વ્યક્તિગત ડેટાને ચેડા કરતી કાસ્કેડિંગ નિષ્ફળતાઓ સામે રક્ષણ આપવા માટે તમારે સબ-પ્રોસેસર અને તેમના સુરક્ષા પગલાંમાં દૃશ્યતાની જરૂર છે.

ડેટા ભંગ સૂચના જવાબદારીઓ

નેધરલેન્ડ્સ GDPR અને રાષ્ટ્રીય સાયબર સુરક્ષા કાયદા હેઠળ બહુ-સ્તરીય સૂચના માળખું લાગુ કરે છે. નિયંત્રકોએ આવશ્યક છે ભંગની જાણ કરો જ્યારે જોખમ હોય ત્યારે 72 કલાકની અંદર પર્સનલ ડેટા ઓથોરિટી (PDA) ને ડેટા વિષય અધિકારો.

ઉચ્ચ જોખમી ભંગ અસરગ્રસ્ત વ્યક્તિઓને સીધી સૂચના આપવાની જરૂર છે.

સમયરેખા અને પ્રક્રિયાગત આવશ્યકતાઓ

તમારે PDA ને અનુચિત વિલંબ વિના અને જ્યાં શક્ય હોય ત્યાં, વ્યક્તિગત ડેટા ભંગની જાણ થયાના 72 કલાક પછી જાણ કરવી જોઈએ. આ જવાબદારી લાગુ પડે છે સિવાય કે ભંગથી કુદરતી વ્યક્તિઓના અધિકારો અને સ્વતંત્રતાઓ માટે જોખમ હોવાની શક્યતા ન હોય.

શક્ય હોય ત્યાં સૂચનામાં ચોક્કસ માહિતી શામેલ હોવી જોઈએ. તમારે સંબંધિત ડેટા વિષયોની શ્રેણીઓ અને અંદાજિત સંખ્યાઓ, અસરગ્રસ્ત વ્યક્તિગત ડેટા રેકોર્ડ્સની શ્રેણીઓ અને અંદાજિત સંખ્યાઓ અને તમારા ડેટા પ્રોટેક્શન ઓફિસર અથવા અન્ય સંપર્ક બિંદુનું નામ પ્રદાન કરવાની જરૂર છે.

તમારે ઉલ્લંઘનના સંભવિત પરિણામો અને તેને સંબોધવા માટે લેવામાં આવેલા અથવા પ્રસ્તાવિત પગલાંનું પણ વર્ણન કરવું આવશ્યક છે.

જો તમે 72 કલાકની અંદર બધી જરૂરી માહિતી પૂરી પાડી શકતા નથી, તો તમે તેને તબક્કાવાર સબમિટ કરી શકો છો. તમારે તમારી પ્રારંભિક સૂચનામાં કોઈપણ વિલંબના કારણો સમજાવવા આવશ્યક છે.

કોને અને ક્યારે જાણ કરવી જોઈએ

જ્યારે વ્યક્તિગત ડેટા ભંગના કારણે તેમના અધિકારો અને સ્વતંત્રતાઓ માટે ઉચ્ચ જોખમ હોવાની શક્યતા હોય ત્યારે તમારે અસરગ્રસ્ત ડેટા વિષયોને સીધી જાણ કરવી જોઈએ. આ સૂચના બિનજરૂરી વિલંબ વિના આપવી જોઈએ અને સ્પષ્ટ અને સરળ ભાષાનો ઉપયોગ કરવો જોઈએ.

ત્રણ ચોક્કસ પરિસ્થિતિઓમાં ડેટા વિષયોને સીધી સૂચના આપવાની જરૂર નથી. જો તમે યોગ્ય તકનીકી અને સંગઠનાત્મક સુરક્ષા પગલાં (જેમ કે એન્ક્રિપ્શન) અમલમાં મૂક્યા હોય જે ડેટાને અનધિકૃત વ્યક્તિઓ માટે અગમ્ય બનાવે છે, તો તમારે સૂચિત કરવાની જરૂર નથી.

જો તમે ડેટા વિષયના અધિકારો માટેનું ઉચ્ચ જોખમ હવે સાકાર થવાની શક્યતા ન રહે તે સુનિશ્ચિત કરવા માટે અનુગામી પગલાં લીધા હોય, અથવા સીધા સંદેશાવ્યવહારમાં અપ્રમાણસર પ્રયાસનો સમાવેશ થાય તો તમારે સૂચિત કરવાની જરૂર નથી. આવા કિસ્સાઓમાં, જાહેર સંદેશાવ્યવહાર અથવા સમાન પગલાં જરૂરી છે.

નાણાકીય દેખરેખ કાયદા હેઠળની નાણાકીય કંપનીઓને ડેટા વિષય સૂચના જવાબદારીમાંથી મુક્તિ આપવામાં આવી છે. તેમણે હજુ પણ PDA ને જાણ કરવી પડશે.

પ્રોસેસર્સની અલગ જવાબદારીઓ હોય છે. કોઈપણ વ્યક્તિગત ડેટા ભંગની જાણ થયા પછી, જોખમ સ્તરને ધ્યાનમાં લીધા વિના, તમારે નિયંત્રકને અનુચિત વિલંબ કર્યા વિના સૂચિત કરવું આવશ્યક છે.

આ GDPR હેઠળ એક કાનૂની જરૂરિયાત છે અને તમારા પ્રક્રિયા કરારમાં શામેલ હોવી જોઈએ.

ક્ષેત્રીય અને રાષ્ટ્રીય સૂચના આવશ્યકતાઓ

GDPR જવાબદારીઓ ઉપરાંત, તમારે તમારા ક્ષેત્રના આધારે વધારાની રિપોર્ટિંગ આવશ્યકતાઓનો સામનો કરવો પડી શકે છે. WBNI (નેટવર્ક અને ઇન્ફર્મેશન સિસ્ટમ્સ સિક્યુરિટી એક્ટ) મુજબ ચોક્કસ સંસ્થાઓએ સાયબર સુરક્ષા અધિકારીઓને સુરક્ષા ઘટનાઓની જાણ કરવી જરૂરી છે, ભલે આ ઘટનાઓ વ્યક્તિગત ડેટા ભંગ તરીકે લાયક ન હોય.

જાહેર ઇલેક્ટ્રોનિક સંચાર નેટવર્કના પ્રદાતાઓએ માનવ પર્યાવરણ અને પરિવહન નિરીક્ષક (ILT) ને જાણ કરવી આવશ્યક છે. આરોગ્યસંભાળ સંસ્થાઓએ તબીબી ઉપકરણ સલામતી અથવા દર્દીના ડેટાને અસર કરતી ઘટનાઓ અંગે આરોગ્ય અને યુવા સંભાળ નિરીક્ષકને જાણ કરવાની જવાબદારીનો સામનો કરવો પડે છે.

નાણાકીય સેવાઓ આપતી કંપનીઓએ નાણાકીય દેખરેખ કાયદા હેઠળ ક્ષેત્ર-વિશિષ્ટ આવશ્યકતાઓનું પાલન કરવું આવશ્યક છે.

WBNI હેઠળ મહત્વપૂર્ણ માળખાગત સુવિધાઓ પ્રદાતાઓએ જવાબદારીઓ વધારી દીધી છે. તમારે કમ્પ્યુટર સુરક્ષા ઘટના પ્રતિભાવ ટીમ (CSIRT) ને મહત્વપૂર્ણ ઘટનાઓની જાણ કરવી આવશ્યક છે જે આવશ્યક સેવાઓને નોંધપાત્ર રીતે વિક્ષેપિત કરી શકે છે.

જાહેર કંપનીઓને એવી સુરક્ષા ઘટનાઓની જાણ કરવાની જરૂર પડી શકે છે જે રોકાણકારોના નિર્ણયોને નોંધપાત્ર રીતે અસર કરી શકે છે.

આ ક્ષેત્રીય જરૂરિયાતો ઘણીવાર GDPR જવાબદારીઓને બદલવાને બદલે તેની સાથે કાર્ય કરે છે. તમારી સંસ્થાની પ્રવૃત્તિઓ અને ઉલ્લંઘનની પ્રકૃતિના આધારે, તમારે એક જ ઘટના માટે વિવિધ અધિકારીઓને બહુવિધ સૂચનાઓ આપવાની જરૂર પડી શકે છે.

પાલન ન કરવા બદલ અમલીકરણ અને પ્રતિબંધો

ડચ સત્તાવાળાઓ પાસે સાયબર સુરક્ષા નિષ્ફળતાઓની તપાસ કરવાની અને વ્યક્તિગત ડેટાને સુરક્ષિત કરવામાં અથવા સુરક્ષા આવશ્યકતાઓને પૂર્ણ કરવામાં નિષ્ફળ રહેતી સંસ્થાઓ પર નોંધપાત્ર નાણાકીય દંડ લાદવાની સ્પષ્ટ સત્તા છે.

અમલીકરણ માળખામાં ચોક્કસ દેખરેખ જવાબદારીઓ, માળખાગત દંડ યોજનાઓ અને પ્રતિબંધોનો સામનો કરતી સંસ્થાઓ માટે વ્યાખ્યાયિત અપીલ પ્રક્રિયાઓ ધરાવતા બહુવિધ નિયમનકારોનો સમાવેશ થાય છે.

તપાસ અને દેખરેખ સત્તાઓ

ડચ ડેટા પ્રોટેક્શન ઓથોરિટી (Autoriteit Persoonsgegevens, અથવા AP) ડેટા ભંગ અને GDPR ઉલ્લંઘનની તપાસ કરવાની પ્રાથમિક જવાબદારી ધરાવે છે.

AP ફરિયાદો, મીડિયા રિપોર્ટ્સ અથવા નિયમિત ઓડિટના આધારે તપાસ શરૂ કરી શકે છે.

તપાસ દરમિયાન, સત્તાધિકારી દસ્તાવેજોની વિનંતી કરી શકે છે, સ્થળ પર નિરીક્ષણ કરી શકે છે અને સ્ટાફના સભ્યોની મુલાકાત લઈ શકે છે.

નવા Cyberbeveiligingswet હેઠળ સાયબર સુરક્ષા જવાબદારીઓ માટે, ક્ષેત્ર-વિશિષ્ટ નિયમનકારો દેખરેખ રાખે છે.

ઓથોરિટી ફોર કન્ઝ્યુમર્સ એન્ડ માર્કેટ્સ (ACM) ડિજિટલ ઇન્ફ્રાસ્ટ્રક્ચર અને ટેલિકોમ્યુનિકેશન પ્રદાતાઓનું નિરીક્ષણ કરે છે.

ડચ સેન્ટ્રલ બેંક (DNB) નાણાકીય સંસ્થાઓની દેખરેખ રાખે છે.

આર્થિક બાબતો અને આબોહવા મંત્રી, માળખાગત સુવિધાઓ અને જળ વ્યવસ્થાપન મંત્રી અને આરોગ્ય સંભાળ મંત્રી દરેક પોતપોતાના ક્ષેત્રોમાં અમલીકરણ સત્તાઓ ધરાવે છે.

આ નિયમનકારો તમારી સિસ્ટમ્સનું ઑડિટ કરી શકે છે, ઘટના પ્રતિભાવ પ્રક્રિયાઓની સમીક્ષા કરી શકે છે અને મૂલ્યાંકન કરી શકે છે કે તમારું જોખમ સંચાલન કાનૂની ધોરણોને પૂર્ણ કરે છે કે નહીં.

જો ઉલ્લંઘન જોવા મળે તો તેઓ તમારી સંસ્થા પાસેથી અમલીકરણ ખર્ચ પણ વસૂલ કરી શકે છે.

નેશનલ સાયબર સિક્યુરિટી સેન્ટરમ (NCSC) નિયમનકારો વચ્ચે સંકલન કરે છે પરંતુ સીધા દંડ લાદતું નથી.

વહીવટી અને નાણાકીય દંડ

કાનૂની માળખા અને ઉલ્લંઘનની ગંભીરતાના આધારે નાણાકીય દંડ બદલાય છે.

GDPR અમલીકરણ હેઠળ, AP €20 મિલિયન અથવા તમારા વાર્ષિક વૈશ્વિક ટર્નઓવરના 4%, જે પણ વધારે હોય તે દંડ લાદી શકે છે.

સત્તાધિકારી ઉલ્લંઘનની પ્રકૃતિ, અસરગ્રસ્ત વ્યક્તિઓની સંખ્યા અને તપાસ દરમિયાન તમારા સહકાર જેવા પરિબળોને ધ્યાનમાં લે છે.

સાયબરબેવિલીંગ્સવેટ હેઠળ, દંડ એક સ્તરીય માળખાને અનુસરે છે:

નિયમનકારો સુધારાત્મક આદેશો પણ જારી કરી શકે છે જેમાં તમને નિર્ધારિત સમયમર્યાદામાં ચોક્કસ સુરક્ષા પગલાં અમલમાં મૂકવાની જરૂર પડે છે.

વારંવાર નિષ્ફળતાઓના પરિણામે ઉલ્લંઘનોની જાહેર જાહેરાત દ્વારા નામકરણ અને શરમજનક સ્થિતિ સર્જાઈ શકે છે.

ગંભીર કિસ્સાઓમાં આવશ્યક સંસ્થાઓ તરીકે વર્ગીકૃત કરાયેલી સંસ્થાઓના ડિરેક્ટરોને બોર્ડના હોદ્દા પરથી વ્યક્તિગત ગેરલાયક ઠેરવવામાં આવી શકે છે.

જાહેર ક્ષેત્રની સંસ્થાઓ નાણાકીય દંડમાંથી મુક્ત છે પરંતુ સુધારાત્મક અમલીકરણ પગલાં અને સંભવિત સંસદીય ચકાસણીનો સામનો કરે છે.

કાનૂની આશ્રય અને અપીલો

તમને અમલીકરણના નિર્ણયોને પડકારવાનો અધિકાર છે વહીવટી અપીલો.

દંડની સૂચના મળ્યા પછી, તમે છ અઠવાડિયાની અંદર જારી કરનાર અધિકારીને વાંધો (બિનજવાબ) સબમિટ કરી શકો છો.

નિયમનકારે તેના નિર્ણય પર પુનર્વિચાર કરવો જોઈએ અને ઔપચારિક પ્રતિભાવ આપવો જોઈએ.

જો તમે પુનર્વિચારણાના પરિણામ સાથે અસંમત હો, તો તમે જિલ્લા અદાલત (રેક્ટબેંક) માં અપીલ કરી શકો છો.

કોર્ટ સમીક્ષા કરે છે કે નિયમનકારે યોગ્ય પ્રક્રિયાઓનું પાલન કર્યું છે અને કાયદાને યોગ્ય રીતે લાગુ કર્યો છે કે નહીં.

પછી તમે અપીલ કોર્ટના નિર્ણયો કાઉન્સિલ ઓફ સ્ટેટ (Afdeling bestuursrechtspraak van de Raad van State) ના વહીવટી અધિકારક્ષેત્ર વિભાગને, જે સર્વોચ્ચ વહીવટી અદાલત તરીકે સેવા આપે છે.

અપીલ પ્રક્રિયા દરમ્યાન, તમારે નિયમનકારો દ્વારા આદેશિત કોઈપણ સુધારાત્મક પગલાંનો અમલ ચાલુ રાખવો આવશ્યક છે.

અપીલના પરિણામો આવે ત્યાં સુધી અદાલતો નાણાકીય દંડ સ્થગિત કરી શકે છે, પરંતુ આ આપમેળે થતું નથી.

સાયબર સુરક્ષા વ્યવસ્થાપનમાં મુખ્ય ભૂમિકાઓ અને જવાબદારીઓ

સંસ્થાઓએ સ્પષ્ટપણે વ્યાખ્યાયિત કરવું જોઈએ કે સાયબર સુરક્ષા કાર્યોનું સંચાલન કોણ કરે છે, જેમાં ડેટા પ્રોટેક્શન અધિકારીઓની નિમણૂકથી લઈને બોર્ડ-સ્તરની જવાબદારી સ્થાપિત કરવા અને કર્મચારીઓને સુરક્ષા પ્રોટોકોલ પર તાલીમ આપવાનો સમાવેશ થાય છે.

ડેટા પ્રોટેક્શન અધિકારીઓ અને નિમણૂકો

જો તમારી સંસ્થા સંવેદનશીલ વ્યક્તિગત ડેટાને મોટા પાયે પ્રોસેસ કરતી હોય અથવા વ્યક્તિઓ પર વ્યવસ્થિત રીતે દેખરેખ રાખતી હોય, તો તમારે ડેટા પ્રોટેક્શન ઓફિસર (DPO) ની નિમણૂક કરવી આવશ્યક છે.

ડેટા સુરક્ષા અધિકારીઓ અને ડેટા વિષયો માટે DPO તમારા સંપર્કના પ્રાથમિક બિંદુ તરીકે સેવા આપે છે.

તમારા DPO ને ડેટા સુરક્ષા કાયદા અને માહિતી સુરક્ષા પ્રથાઓમાં ચોક્કસ લાયકાતની જરૂર છે.

તેમણે સીધા તમારા ઉચ્ચતમ મેનેજમેન્ટ સ્તરને રિપોર્ટ કરવો જોઈએ અને તેમની ફરજો બજાવવા બદલ તેમને બરતરફ કરી શકાતા નથી.

આ ભૂમિકામાં GDPR પાલનનું નિરીક્ષણ કરવું, ડેટા સુરક્ષા અસર મૂલ્યાંકન કરવું અને એન્ક્રિપ્શન અને ક્રિપ્ટોગ્રાફી આવશ્યકતાઓ પર સલાહ આપવી શામેલ છે.

તમારે DPO ની જવાબદારીઓનું સ્પષ્ટપણે દસ્તાવેજીકરણ કરવું જોઈએ.

આમાં તમારા ડિજિટલ ઇન્ફ્રાસ્ટ્રક્ચરનું ઑડિટ કરવાની અને તમારી ઘટના પ્રતિભાવ યોજનાની સમીક્ષા કરવાની તેમની સત્તાનો સમાવેશ થાય છે.

જો તમે બહુવિધ EU દેશોમાં કાર્ય કરો છો, તો તમે તેમના વ્યાવસાયિક ગુણો અને સંબંધિત અધિકારક્ષેત્રોના જ્ઞાનના આધારે એક જ DPO નિયુક્ત કરી શકો છો.

કોર્પોરેટ ગવર્નન્સ અને જવાબદારી

સાયબર સુરક્ષા જોખમ વ્યવસ્થાપન માટેની અંતિમ જવાબદારી તમારા ડિરેક્ટર બોર્ડ પાસે છે.

તેમણે સુરક્ષા પગલાંને મંજૂરી આપવી જોઈએ, પૂરતા સંસાધનોની ફાળવણી કરવી જોઈએ અને સાયબર સ્થિતિસ્થાપકતાના પ્રયાસોનું યોગ્ય નિરીક્ષણ સુનિશ્ચિત કરવું જોઈએ.

નેતૃત્વ જવાબદારીમાં શામેલ છે:

• સુરક્ષા નીતિઓને મંજૂરી આપવી માહિતી સુરક્ષા માળખા માટે
• જોખમ મૂલ્યાંકનનું નિરીક્ષણ કરવું અને ઓપરેશનલ સ્થિતિસ્થાપકતા આયોજન
• ઓડિટ પાલનની ખાતરી કરવી સ્વતંત્ર સમીક્ષાઓ દ્વારા
• બજેટ ફાળવણી સાયબર સુરક્ષા વ્યવસ્થાપન માટે અને કર્મચારી તાલીમ

સુરક્ષા નિર્ણય લેવા માટે તમારે સ્પષ્ટ સત્તા રેખાઓ સ્થાપિત કરવાની જરૂર છે.

સુરક્ષા પગલાં કોણ મંજૂર કરે છે, અમલીકરણનું નિરીક્ષણ કોણ કરે છે અને ઓડિટ કોણ કરે છે તે દસ્તાવેજ.

તમારા મેનેજમેન્ટે નિયમિતપણે સાયબર સુરક્ષા કામગીરીની સમીક્ષા કરવી જોઈએ અને તમારા ડિજિટલ ઈન્ફ્રાસ્ટ્રક્ચર માટે વિકસતા જોખમોના આધારે વ્યૂહરચનાઓ ગોઠવવી જોઈએ.

આંતરિક નીતિઓ અને કર્મચારી તાલીમ

તમારે એવી દસ્તાવેજીકૃત નીતિઓ બનાવવી જોઈએ જે તમારા સંગઠનમાં સુરક્ષા ભૂમિકાઓને વ્યાખ્યાયિત કરે.

આ નીતિઓમાં ડેટા સુરક્ષા, ઘટના પ્રતિભાવ અને સાયબર સ્થિતિસ્થાપકતા જાળવવા માટેની જવાબદારીઓનો ઉલ્લેખ કરવો જોઈએ.

તમારી સુરક્ષા નીતિઓમાં આ બાબતો આવરી લેવી જોઈએ:

• ઍક્સેસ નિયંત્રણો અને પ્રમાણીકરણ આવશ્યકતાઓ
• ડેટા વર્ગીકરણ અને એન્ક્રિપ્શન ધોરણો
• ઘટનાની જાણ કરવાની પ્રક્રિયાઓ
• નિયમિત સુરક્ષા જાગૃતિ તાલીમ

તમારે બધા કર્મચારીઓને માહિતી સુરક્ષા પ્રથાઓ પર સતત તાલીમ આપવી જોઈએ.

આમાં શામેલ છે ફિશિંગ ઓળખવું પ્રયાસો, સંવેદનશીલ ડેટાને યોગ્ય રીતે હેન્ડલ કરવા, અને તમારી ઘટના પ્રતિભાવ યોજનાનું પાલન કરવું.

તાલીમ ચોક્કસ ભૂમિકાઓ અનુસાર હોવી જોઈએ, જેમાં ટેકનિકલ સ્ટાફને ક્રિપ્ટોગ્રાફી અને સુરક્ષા નિયંત્રણો પર અદ્યતન સૂચનાઓ પ્રાપ્ત થવી જોઈએ.

જ્યારે નિયમો બદલાય છે અથવા નવા જોખમો ઉદ્ભવે છે ત્યારે તમારી નીતિઓની નિયમિતપણે સમીક્ષા કરવી જોઈએ અને અપડેટ કરવી જોઈએ.

સાયબર સુરક્ષા પ્રથાઓમાં નીતિ અમલીકરણ અને સ્ટાફ વિકાસ બંને માટે તમારે પૂરતા સંસાધનો સુનિશ્ચિત કરવાની જરૂર છે.

સાયબર સુરક્ષા ઘટનાઓના પ્રકારો અને ઉભરતા જોખમો

સાયબર સુરક્ષા ઘટનાઓમાં ભ્રામક ઇમેઇલ્સથી લઈને મોટા પાયે નેટવર્ક વિક્ષેપોનો સમાવેશ થાય છે જે સમગ્ર સંસ્થાઓને જોખમમાં મૂકી શકે છે.

આ ધમકીઓને સમજવાથી તમને નબળાઈઓ ઓળખવામાં અને ઉલ્લંઘન થાય ત્યારે જવાબદારી ક્યાં છે તે નક્કી કરવામાં મદદ મળે છે.

ફિશિંગ, માલવેર અને રેન્સમવેર

ફિશીંગ તમે જે સૌથી સામાન્ય સાયબર સુરક્ષા ખતરાઓનો સામનો કરશો તેમાંથી એક છે.

હુમલાખોરો તમારા પાસવર્ડ્સ, નાણાકીય માહિતી અથવા અન્ય સંવેદનશીલ ડેટા ચોરી કરવા માટે કાયદેસર કંપનીઓના હોવાનો ડોળ કરીને ઇમેઇલ્સ અથવા સંદેશાઓ મોકલે છે.

આ હુમલાઓ 60 ટકાથી વધુ સોશિયલ એન્જિનિયરિંગ ઘટનાઓ માટે જવાબદાર છે.

મૉલવેર તમારા કમ્પ્યુટર સિસ્ટમ્સ અથવા નેટવર્ક્સને નુકસાન પહોંચાડતા હાનિકારક સોફ્ટવેરનો ઉલ્લેખ કરે છે.

આમાં વાયરસ, ટ્રોજન અને અન્ય દૂષિત કોડનો સમાવેશ થાય છે જે તમારા ડેટાને ઍક્સેસ કરવા અથવા તમારા કાર્યોમાં વિક્ષેપ પાડવા માટે રચાયેલ છે.

ransomware એ એક ચોક્કસ પ્રકારનો માલવેર છે જે તમારી ફાઇલોની ઍક્સેસને અવરોધે છે અને પુનઃસ્થાપન માટે ચૂકવણીની માંગ કરે છે.

જો તમે ખંડણી ચૂકવી દો છો, તો પણ કોઈ ગેરેંટી નથી કે હુમલાખોરો તમારી ઍક્સેસ પુનઃસ્થાપિત કરશે અથવા ચોરાયેલો ડેટા કાઢી નાખશે.

2020 અને 2021 ની વચ્ચે, સંસ્થાઓએ વૈશ્વિક સ્તરે આશરે 24,000 સાયબર સુરક્ષા ઘટનાઓનો સામનો કર્યો હતો, જેમાં રેન્સમવેર નાણાકીય નુકસાનમાં મહત્વપૂર્ણ ભૂમિકા ભજવે છે.

સેવાનો ઇનકાર (DoS) અને વિતરિત DoS (DDoS) હુમલાઓ

ડોસ એટેક કાયદેસર વપરાશકર્તાઓ માટે સેવાઓ ઉપલબ્ધ ન થાય તે માટે તમારી સિસ્ટમમાં ટ્રાફિક ભરાઈ જાય છે.

એક જ સ્ત્રોત તમારા નેટવર્કને વિનંતીઓથી ભરી દે છે જ્યાં સુધી તે ક્રેશ ન થાય અથવા કાર્ય કરવામાં ખૂબ ધીમું ન થઈ જાય.

ડીડીઓ હુમલો કરે છે તમારા ઇન્ફ્રાસ્ટ્રક્ચર સામે સંકલિત હુમલાઓ શરૂ કરવા માટે બહુવિધ ચેડા થયેલી સિસ્ટમોનો ઉપયોગ કરો.

આ વિતરિત હુમલાઓને રોકવા મુશ્કેલ છે કારણ કે તે એક સાથે અનેક સ્થળોએથી આવે છે.

DDoS હુમલાઓ સરકારી વેબસાઇટ્સથી લઈને ખાનગી ક્ષેત્રની કામગીરી સુધીની મહત્વપૂર્ણ સેવાઓને વિક્ષેપિત કરી શકે છે.

સુરક્ષા ઘટનાને મોટી ભંગ બનતી અટકાવવા માટે, તમારી પાસે સામાન્ય રીતે પહેલી વાર શોધ થયા પછી 62 મિનિટથી ઓછો સમય હોય છે.

આ સાંકડી બારી DoS અથવા DDoS હુમલાનો સામનો કરતી વખતે ઝડપી પ્રતિભાવને આવશ્યક બનાવે છે.

છેતરપિંડી અને અનધિકૃત પ્રવેશ

છેતરપિંડી સાયબર સુરક્ષામાં તમારી સિસ્ટમ્સ અથવા ડેટાની અનધિકૃત ઍક્સેસ મેળવવા માટે છેતરપિંડીનો સમાવેશ થાય છે.

આમાં ઓળખ ચોરી, ચુકવણી છેતરપિંડી અને ઓળખપત્ર સાથે ચેડાનો સમાવેશ થાય છે.

અનધિકૃત પ્રવેશ જ્યારે કોઈ વ્યક્તિ પરવાનગી વિના નેટવર્ક, સિસ્ટમ અથવા ડેટાને ઍક્સેસ કરવા માટે તમારી સુરક્ષા નીતિઓનો ભંગ કરે છે ત્યારે થાય છે.

આ આના દ્વારા થઈ શકે છે:

• ચોરાયેલા લોગિન ઓળખપત્રો
• શોષણ કરાયેલ સોફ્ટવેર નબળાઈઓ
• સુરક્ષા નિયંત્રણોને બાયપાસ કર્યા
• વર્તમાન અથવા ભૂતપૂર્વ કર્મચારીઓ તરફથી આંતરિક ધમકીઓ

આંતરિક ડેટા ચોરી ઘણીવાર અવગણવામાં આવે છે પરંતુ તે બાહ્ય હુમલાઓ જેટલી જ નુકસાનકારક હોઈ શકે છે.

2021 માં, આંતરિક હુમલાઓનો સરેરાશ ખર્ચ 12.5 મિલિયન પાઉન્ડ સુધી પહોંચ્યો.

કર્મચારીઓ દ્વારા અજાણતાં ડેટા લીક થવાને પણ કમ્પ્યુટર દુરુપયોગ અધિનિયમ (1990) હેઠળ સુરક્ષા ઘટનાઓ તરીકે ગણવામાં આવે છે.

ક્ષેત્ર અને પુરવઠા શૃંખલાની નબળાઈઓ

મહત્વપૂર્ણ માળખાગત ક્ષેત્રો સાયબર ક્રાઇમના વધતા જોખમોનો સામનો કરે છે, જેમાં આરોગ્યસંભાળ, ઊર્જા અને નાણાકીય સેવાઓ મુખ્ય લક્ષ્યો છે.

૨૦૨૦ અને ૨૦૨૧ ની વચ્ચે વ્યાવસાયિક ક્ષેત્રે લગભગ ૩,૬૦૦ ઘટનાઓનો અનુભવ કર્યો, જેના કારણે તે સૌથી વધુ લક્ષિત ઉદ્યોગ બન્યો.

સપ્લાય ચેઇન સુરક્ષા હુમલાખોરો તમારા પર સીધો હુમલો કરવાને બદલે તમારા ભાગીદારો અને તૃતીય-પક્ષ વિક્રેતાઓને નિશાન બનાવે છે, તેથી આ બાબત વધુને વધુ મહત્વપૂર્ણ બની ગઈ છે.

આ તૃતીય-પક્ષ વિક્રેતા હુમલાઓ તમારા ગ્રાહકોના ડેટાને ઍક્સેસ કરવા માટે તમારા ભાગીદાર સંગઠનોમાં નબળા સુરક્ષા પગલાંનો ઉપયોગ કરે છે.

સપ્લાય ચેઇન નબળાઈઓ હુમલાખોરોને એક જ ભંગ દ્વારા બહુવિધ સંસ્થાઓ સાથે ચેડા કરવાની મંજૂરી આપે છે.

જ્યારે તમારા વિક્રેતાની સિસ્ટમ તમારી સિસ્ટમ સાથે જોડાય છે, ત્યારે તેમની સુરક્ષા નબળાઈઓ તમારી સુરક્ષા નબળાઈઓ બની જાય છે.

આ પરસ્પર જોડાયેલા જોખમનો અર્થ એ છે કે તમારે ફક્ત તમારા પોતાના સાયબર સુરક્ષા પગલાંનું જ નહીં પરંતુ તમારી સપ્લાય ચેઇનમાં દરેક સંસ્થાના પગલાંનું પણ મૂલ્યાંકન કરવું જોઈએ.

રાષ્ટ્ર-રાજ્યો વધુને વધુ હરીફ સાયબર સ્પેસનું પરીક્ષણ અને પ્રવેશ કરી રહ્યા છે, ઘણીવાર સરકાર વતી કાર્ય કરતી વખતે ખાનગી સંસ્થાઓના આડમાં કાર્ય કરે છે.

વારંવાર પૂછાતા પ્રશ્નો

ડેટા ભંગ પછી ડચ કંપનીઓએ કડક રિપોર્ટિંગ આવશ્યકતાઓ અને પાલન ધોરણોનું પાલન કરવું જોઈએ, જેમાં તેમની ભૂમિકાઓ અને જવાબદારીઓના આધારે બહુવિધ પક્ષો પર જવાબદારી લંબાય છે.

આ જવાબદારીઓને સમજવાથી સંસ્થાઓને રાષ્ટ્રીય અને યુરોપિયન નિયમોનું પાલન જાળવી રાખીને પોતાને અને અસરગ્રસ્ત વ્યક્તિઓનું રક્ષણ કરવામાં મદદ મળે છે.

ડેટા ભંગ બાદ ડચ કંપનીઓની કાનૂની જવાબદારીઓ શું છે?

ડેટા ભંગની જાણ થયાના 72 કલાકની અંદર તમારી સંસ્થાએ ડચ ડેટા પ્રોટેક્શન ઓથોરિટી (Autoriteit Persoonsgegevens) ને જાણ કરવી આવશ્યક છે.

આ જરૂરિયાત GDPR હેઠળ લાગુ પડે છે, જે સમગ્ર નેધરલેન્ડ્સમાં ડેટા સુરક્ષાનું સંચાલન કરે છે.

તમારે તમારા ભંગની સૂચનામાં ચોક્કસ માહિતી આપવાની જરૂર છે.

આમાં ભંગની પ્રકૃતિ, અસરગ્રસ્ત વ્યક્તિઓની સંખ્યા, સંભવિત પરિણામો અને તમે લીધેલા પગલાં અથવા લેવાની યોજનાનો સમાવેશ થાય છે.

જો તમે ૭૨ કલાકની અંદર બધી વિગતો આપી શકતા નથી, તો તમારે વિલંબનું કારણ સમજાવવું પડશે અને બાકીની માહિતી શક્ય તેટલી વહેલી તકે સબમિટ કરવી પડશે.

જ્યારે ઉલ્લંઘન વ્યક્તિઓના અધિકારો અને સ્વતંત્રતાઓ માટે ઉચ્ચ જોખમ ઊભું કરે છે, ત્યારે તમારે અસરગ્રસ્ત વ્યક્તિઓને સીધી જાણ કરવી જોઈએ.

તમે વાજબી કારણો વિના આ સૂચનામાં વિલંબ કરી શકતા નથી.

અસરગ્રસ્ત વ્યક્તિઓ સાથેનો તમારો સંદેશ સ્પષ્ટ હોવો જોઈએ અને ઉલ્લંઘનના સંભવિત પરિણામો અને તેઓ પોતાને બચાવવા માટે કયા પગલાં લઈ શકે છે તે સમજાવવું જોઈએ.

તમારે બધા ડેટા ભંગના વિગતવાર દસ્તાવેજો જાળવવા આવશ્યક છે, પછી ભલે તમે અધિકારીઓને તેની જાણ કરો કે નહીં.

આ દસ્તાવેજીકરણમાં ભંગ, તેની અસરો અને લેવામાં આવેલા ઉપચારાત્મક પગલાંની આસપાસના તથ્યોનો સમાવેશ થવો જોઈએ.

ડચ ડેટા પ્રોટેક્શન ઓથોરિટી નિરીક્ષણો અથવા તપાસ દરમિયાન આ દસ્તાવેજોની વિનંતી કરી શકે છે.

નેધરલેન્ડ કાયદા હેઠળ ડેટા ભંગ માટે જવાબદારી કેવી રીતે નક્કી કરવામાં આવે છે?

નેધરલેન્ડ્સમાં ડેટા ભંગ માટેની જવાબદારી ડેટા કંટ્રોલર અથવા ડેટા પ્રોસેસર તરીકેની તમારી ભૂમિકા પર આધારિત છે.

ડેટા નિયંત્રકો વ્યક્તિગત ડેટાની પ્રક્રિયા કરવાના હેતુઓ અને માધ્યમો નક્કી કરે છે, જ્યારે ડેટા પ્રોસેસર્સ નિયંત્રકો વતી ડેટાનું સંચાલન કરે છે.

તમારા કાનૂની જવાબદારીઓ આ વર્ગીકરણના આધારે અલગ પડે છે.

ડેટા કંટ્રોલર તરીકે, ડેટા સુરક્ષા નિયમોનું પાલન સુનિશ્ચિત કરવાની પ્રાથમિક જવાબદારી તમારી છે.

વ્યક્તિગત ડેટાને સુરક્ષિત રાખવા માટે તમારે યોગ્ય તકનીકી અને સંગઠનાત્મક પગલાં અમલમાં મૂકવા આવશ્યક છે.

અદાલતો મૂલ્યાંકન કરે છે કે શું તમે ભંગ અટકાવવા માટે વાજબી પગલાં લીધાં છે અને શું તમે તમારી સુરક્ષા પ્રથાઓમાં બેદરકારીપૂર્વક વર્ત્યા છે.

જો ડેટા પ્રોસેસર્સ નિયંત્રકની સૂચનાઓનું પાલન કરવામાં નિષ્ફળ જાય અથવા તેમની કરારની જવાબદારીઓનો ભંગ કરે તો તેઓ પણ જવાબદારીનો સામનો કરી શકે છે.

જોકે, પ્રોસેસર્સ સામાન્ય રીતે નિયંત્રકો કરતાં વધુ મર્યાદિત જવાબદારી ધરાવે છે.

જો તમે નિયંત્રકની યોગ્ય પરવાનગી વિના ડેટા પર પ્રક્રિયા કરો છો અથવા સંમત સુરક્ષા પગલાં લાગુ કરવામાં નિષ્ફળ જાઓ છો, તો તમને સીધા જવાબદાર ઠેરવવામાં આવી શકે છે.

ડચ અદાલતો જવાબદારી નક્કી કરતી વખતે ઘણા પરિબળો લાગુ કરે છે.

આમાં ભંગની ગંભીરતા, ચેડા થયેલા ડેટાની સંવેદનશીલતા, ભંગ પહેલાં તમારા સુરક્ષા પગલાં અને ઘટનાની જાણ થયા પછી તમારી પ્રતિક્રિયાનો સમાવેશ થાય છે.

તમારી સંસ્થાનું કદ અને સંસાધનો પણ અદાલતો કયા વાજબી સુરક્ષા પગલાં લે છે તેના પર અસર કરે છે.

જ્યારે બહુવિધ પક્ષો ડેટા ભંગમાં ફાળો આપે છે ત્યારે સંયુક્ત જવાબદારી ઊભી થઈ શકે છે.

જો તમે અન્ય નિયંત્રકો અથવા પ્રોસેસર્સ સાથે જવાબદારી શેર કરો છો, તો કોર્ટ દરેક પક્ષને સમગ્ર નુકસાન માટે જવાબદાર ઠેરવી શકે છે.

પછી તમે અન્ય જવાબદાર પક્ષો પાસેથી ભંગમાં તેમના યોગદાનના આધારે વળતર માંગી શકો છો.

નેધરલેન્ડ્સમાં ડેટા સુરક્ષા ઘટનાઓ માટે કયા પક્ષોને જવાબદાર ઠેરવી શકાય છે?

ડેટા સુરક્ષા ઘટનાઓ માટે ડેટા નિયંત્રકો પ્રાથમિક જવાબદારી ધરાવે છે.

એક નિયંત્રક તરીકે, તમે વ્યક્તિગત ડેટા કેવી રીતે પ્રક્રિયા કરવામાં આવે છે તે અંગે નિર્ણયો લો છો અને યોગ્ય સુરક્ષા પગલાંની ખાતરી કરવી આવશ્યક છે.

ઉલ્લંઘન બાદ તમારી સંસ્થાને વહીવટી દંડ, નાગરિક જવાબદારી અને પ્રતિષ્ઠાને નુકસાન થઈ શકે છે.

ડેટા પ્રોસેસર્સ જ્યારે તેમની કરાર અને કાનૂની જવાબદારીઓનું પાલન કરવામાં નિષ્ફળ જાય ત્યારે તેમને જવાબદાર ઠેરવી શકાય છે.

જો તમે નિયંત્રક વતી ડેટા પર પ્રક્રિયા કરો છો, તો તમારે તમારા કરારમાં ઉલ્લેખિત સુરક્ષા પગલાં અમલમાં મૂકવા પડશે અને નિયંત્રકની કાયદેસર સૂચનાઓનું પાલન કરવું પડશે.

જો તમે તમારા અધિકારનો ભંગ કરો છો અથવા પૂરતી સુરક્ષા જાળવવામાં નિષ્ફળ જાઓ છો, તો તમારે સીધી જવાબદારીનો સામનો કરવો પડશે.

ચોક્કસ સંજોગોમાં તમારી સંસ્થાના ડિરેક્ટરો અને અધિકારીઓ વ્યક્તિગત જવાબદારીનો સામનો કરી શકે છે.

નેધરલેન્ડ્સમાં NIS2 ડાયરેક્ટિવ અમલીકરણ હેઠળ, સાયબર સુરક્ષા શાસનમાં નિષ્ફળતાઓ માટે મેનેજમેન્ટને વ્યક્તિગત રીતે જવાબદાર ઠેરવી શકાય છે.

જો ગંભીર ઉલ્લંઘન થાય તો ડિરેક્ટર તરીકે સેવા આપવાથી સંભવિત ગેરલાયકાતનો આમાં સમાવેશ થાય છે.

સુરક્ષા ઘટનાઓ માટે તૃતીય-પક્ષ સેવા પ્રદાતાઓ પણ જવાબદારી સહન કરી શકે છે.

જો તમે ક્લાઉડ સેવાઓ, આઇટી સપોર્ટ અથવા અન્ય બાહ્ય પ્રદાતાઓ પર આધાર રાખતા હોવ, તો જ્યારે તેમની નિષ્ફળતા ભંગમાં ફાળો આપે છે ત્યારે તેઓ જવાબદારી શેર કરી શકે છે.

આ પ્રદાતાઓ સાથેના તમારા કરારોમાં સુરક્ષા જવાબદારીઓ અને જવાબદારીની શરતો સ્પષ્ટ રીતે વ્યાખ્યાયિત થવી જોઈએ.

ડચ ડેટા પ્રોટેક્શન ઓથોરિટી પ્રાથમિક અમલીકરણ સંસ્થા તરીકે સેવા આપે છે.

ઉલ્લંઘન માટે સીધી રીતે જવાબદાર ન હોવા છતાં, ઓથોરિટી ઘટનાઓની તપાસ કરે છે, સુધારાત્મક આદેશો જારી કરે છે અને પાલન ન કરતી સંસ્થાઓ પર વહીવટી દંડ લાદે છે.

ડચ ડેટા સુરક્ષા નિયમોનું પાલન ન કરવા બદલ સંસ્થાઓને કયા પરિણામોનો સામનો કરવો પડે છે?

તમારી સંસ્થાને €20 મિલિયન અથવા તમારા વૈશ્વિક વાર્ષિક ટર્નઓવરના 4%, જે રકમ વધારે હોય તે રકમ સુધી વહીવટી દંડનો સામનો કરવો પડી શકે છે. ડચ ડેટા પ્રોટેક્શન ઓથોરિટી ઉલ્લંઘનની પ્રકૃતિ, ગંભીરતા, અવધિ અને તપાસ દરમિયાન તમારા સહકારના આધારે દંડની રકમ નક્કી કરે છે.

નાણાકીય દંડ ઉપરાંત, ઓથોરિટી તમારા કામકાજમાં વિક્ષેપ પાડતા સુધારાત્મક પગલાં લાદી શકે છે. આ પગલાંમાં ડેટા પ્રોસેસિંગ પ્રવૃત્તિઓ પર કામચલાઉ પ્રતિબંધો, ચોક્કસ ઉલ્લંઘનોને સુધારવાના આદેશો અને ફરજિયાત ઓડિટનો સમાવેશ થાય છે.

જ્યાં સુધી તમે પાલન ન કરો ત્યાં સુધી તમારે અમુક વ્યવસાયિક પ્રવૃત્તિઓ સ્થગિત કરવાની જરૂર પડી શકે છે. પાલન ન કરવાથી તમારી સંસ્થાની પ્રતિષ્ઠાને નોંધપાત્ર નુકસાન થવાનું જોખમ રહેલું છે.

ડેટા ભંગ અને નિયમનકારી દંડની જાહેર જાહેરાત ગ્રાહકોના વિશ્વાસને નષ્ટ કરી શકે છે અને વ્યવસાયિક સંબંધોને નુકસાન પહોંચાડી શકે છે. ડચ ડેટા પ્રોટેક્શન ઓથોરિટી અમલીકરણના નિર્ણયો પ્રકાશિત કરે છે, જે જાહેર જનતા અને મીડિયા માટે સુલભ રહે છે.

તમને નુકસાન માટે વળતર મેળવવા માટે અસરગ્રસ્ત વ્યક્તિઓ તરફથી નાગરિક મુકદ્દમાનો સામનો કરવો પડી શકે છે. વ્યક્તિઓ ડેટા સુરક્ષા ઉલ્લંઘનના પરિણામે ભૌતિક અને બિન-ભૌતિક નુકસાનનો દાવો કરી શકે છે.

ડચ અદાલતોએ સીધા નાણાકીય નુકસાન વિના પણ, વ્યક્તિગત ડેટા પર તકલીફ અને નિયંત્રણ ગુમાવવાના દાવાઓને વધુને વધુ માન્યતા આપી છે. ગંભીર ઉલ્લંઘનો પછી તમારા વ્યવસાયની તકો પ્રતિબંધિત થઈ શકે છે.

કેટલાક ક્ષેત્રોને કરાર જાળવવા માટે સુરક્ષા પ્રમાણપત્રો અથવા પાલન રેકોર્ડની જરૂર પડે છે, ખાસ કરીને જ્યારે સરકારી સંસ્થાઓ અથવા નિયમન કરાયેલ ઉદ્યોગો સાથે વ્યવહાર કરવામાં આવે છે.

નેધરલેન્ડ્સમાં ડેટા ભંગ પછી અસરગ્રસ્ત વ્યક્તિઓ કઈ રીતે નિવારણ માંગી શકે છે?

જો તમને લાગે કે કોઈ સંસ્થાએ તમારા ડેટા સુરક્ષા અધિકારોનું ઉલ્લંઘન કર્યું છે, તો તમે ડચ ડેટા પ્રોટેક્શન ઓથોરિટીમાં ફરિયાદ નોંધાવી શકો છો. ઓથોરિટી ફરિયાદોની તપાસ કરે છે અને પાલન ન કરતી સંસ્થાઓ સામે કાર્યવાહી કરી શકે છે.

આ પ્રક્રિયામાં તમને કોઈ ખર્ચ થતો નથી અને કાનૂની પ્રતિનિધિત્વની જરૂર નથી. તમને જવાબદાર સંસ્થા સામે નાગરિક મુકદ્દમા ચલાવવાનો અધિકાર છે.

ડચ કાયદો તમને ડેટા સુરક્ષા ઉલ્લંઘનથી થતા ભૌતિક અને બિન-ભૌતિક બંને પ્રકારના નુકસાન માટે વળતરનો દાવો કરવાની મંજૂરી આપે છે. ભૌતિક નુકસાનમાં નાણાકીય નુકસાનનો સમાવેશ થાય છે, જ્યારે બિન-ભૌતિક નુકસાનમાં તકલીફ, ચિંતા અને તમારા વ્યક્તિગત ડેટા પર નિયંત્રણ ગુમાવવાનો સમાવેશ થાય છે.

જો તમે નાણાકીય પાત્રતાના માપદંડોને પૂર્ણ કરો છો, તો તમે આકસ્મિક ધોરણે તમારા દાવાને સંભાળવા માટે વકીલનો ઉપયોગ કરી શકો છો અથવા કાનૂની સહાય મેળવી શકો છો. નેધરલેન્ડ્સમાં ઘણી કાયદાકીય સંસ્થાઓ ડેટા સુરક્ષા કેસોમાં નિષ્ણાત છે અને તમારા દાવાની મજબૂતાઈ અંગે તમને સલાહ આપી શકે છે.

વર્ગ કાર્યવાહી પદ્ધતિઓ અસરગ્રસ્ત વ્યક્તિઓના જૂથોને સામૂહિક રીતે દાવાઓ આગળ ધપાવવાની મંજૂરી આપે છે. તમે કોર્ટમાં ગયા વિના સીધા સંસ્થા પાસેથી વળતર માંગી શકો છો.

ઘણી સંસ્થાઓ મુકદ્દમાના ખર્ચ અને નકારાત્મક પ્રચારથી બચવા માટે ખાનગી રીતે દાવાઓનું સમાધાન કરવાનું પસંદ કરે છે. જો સંસ્થાએ સ્પષ્ટપણે ડેટા સુરક્ષા નિયમોનું ઉલ્લંઘન કર્યું હોય અથવા જો ઉલ્લંઘનને કારણે નોંધપાત્ર નુકસાન થયું હોય તો તમારી વાટાઘાટોની સ્થિતિ મજબૂત બને છે.

જો ડેટા પ્રોસેસર્સ ભંગ માટે જવાબદાર હોય તો તમે તેમની સામે પણ દાવા કરી શકો છો. GDPR હેઠળ, નિયંત્રકો અને પ્રોસેસર્સ બંને નુકસાન માટે જવાબદાર હોઈ શકે છે.

જો બહુવિધ પક્ષોએ ભંગમાં ફાળો આપ્યો હોય, તો તમે કોઈપણ જવાબદાર પક્ષ પાસેથી સંપૂર્ણ રકમનો દાવો કરી શકો છો.

નેધરલેન્ડ્સમાં કાર્યરત સંસ્થાઓ માટે ડેટા ભંગની ઘટનામાં GDPR જવાબદારી અને જવાબદારીઓને કેવી રીતે પ્રભાવિત કરે છે?

GDPR વ્યક્તિગત ડેટાના રક્ષણ અંગે સંસ્થાઓ માટે સ્પષ્ટ જવાબદારીઓ સ્થાપિત કરે છે.

ડેટા સુરક્ષા સુનિશ્ચિત કરવા માટે સંસ્થાઓએ યોગ્ય તકનીકી અને સંગઠનાત્મક પગલાં અમલમાં મૂકવા જોઈએ.

ડેટા ભંગની ઘટનામાં, સંસ્થાઓએ 72 કલાકની અંદર સંબંધિત સુપરવાઇઝરી ઓથોરિટીને જાણ કરવી જરૂરી છે.

જો ઉલ્લંઘન વ્યક્તિઓના અધિકારો અને સ્વતંત્રતાઓ માટે ઉચ્ચ જોખમ ઊભું કરે છે, તો અસરગ્રસ્ત વ્યક્તિઓને પણ જાણ કરવી આવશ્યક છે.

આ આવશ્યકતાઓનું પાલન કરવામાં નિષ્ફળતાના પરિણામે નોંધપાત્ર દંડ થઈ શકે છે અને સંસ્થાની પ્રતિષ્ઠાને નુકસાન થઈ શકે છે.

GDPR હેઠળ ડેટા નિયંત્રકો અને પ્રોસેસર્સ બંનેની અલગ-અલગ જવાબદારીઓ છે, અને કરારોએ આ ભૂમિકાઓને સ્પષ્ટ રીતે વ્યાખ્યાયિત કરવી આવશ્યક છે.