നെതർലൻഡ്‌സിൽ എല്ലാ ദിവസവും ഡാറ്റാ ലംഘനങ്ങൾ നടക്കുന്നു. അങ്ങനെ സംഭവിക്കുമ്പോൾ, ആരെങ്കിലും എടുക്കണം ഉത്തരവാദിത്തം.

ഡച്ച് നിയമവും GDPR ഉം അനുസരിച്ച്, വ്യക്തിഗത ഡാറ്റ നിയന്ത്രിക്കുന്ന സ്ഥാപനങ്ങൾ പ്രാഥമികമായി അത് സംരക്ഷിക്കുന്നതിനും നേരിടുന്നതിനും ഉത്തരവാദിത്തമുള്ളവരാണ് ഗണ്യമായ ബാധ്യത ലംഘനങ്ങൾ സംഭവിക്കുമ്പോൾ. നിങ്ങളുടെ ബിസിനസ്സിന് ഒരു ബുദ്ധിമുട്ട് നേരിടുകയാണെങ്കിൽ ച്യ്ബെരത്തച്ക്, ഏത് തുകയാണ് കൂടുതലെന്നതിനെ ആശ്രയിച്ച്, നിങ്ങൾക്ക് 20 മില്യൺ യൂറോ വരെ അല്ലെങ്കിൽ നിങ്ങളുടെ ആഗോള വാർഷിക വിറ്റുവരവിന്റെ 4% വരെ പിഴ ഈടാക്കാം.

നെതർലാൻഡിൽ പ്രവർത്തിക്കുന്ന ഏതൊരു സ്ഥാപനത്തിനും ഡാറ്റാ ലംഘനത്തിന് ശേഷം ആരാണ് ഉത്തരവാദിയെന്ന് മനസ്സിലാക്കേണ്ടത് അത്യാവശ്യമാണ്. ഉത്തരം എല്ലായ്പ്പോഴും ലളിതമല്ല, കാരണം ബാധ്യത നിങ്ങളുടെ കമ്പനിക്ക് അപ്പുറത്തേക്ക് മൂന്നാം കക്ഷി സേവന ദാതാക്കൾ, ജീവനക്കാർ, ഡാറ്റാ പ്രോസസ്സിംഗിൽ ഉൾപ്പെട്ടിരിക്കുന്ന മറ്റ് കക്ഷികൾ എന്നിവയിലേക്ക് വ്യാപിക്കാം.

ഒരു ഡാറ്റ കൺട്രോളർ അല്ലെങ്കിൽ പ്രോസസ്സർ എന്ന നിലയിലുള്ള നിങ്ങളുടെ പങ്ക്, നിങ്ങൾ സ്വീകരിച്ച സുരക്ഷാ നടപടികൾ, സംഭവത്തോട് നിങ്ങൾ എത്ര വേഗത്തിൽ പ്രതികരിച്ചു എന്നതിനെ അടിസ്ഥാനമാക്കിയാണ് ഡച്ച് ഡാറ്റാ പ്രൊട്ടക്ഷൻ അതോറിറ്റിയും മറ്റ് റെഗുലേറ്റർമാരും ഉത്തരവാദിത്തം നിർണ്ണയിക്കുന്നത്.

ഈ ലേഖനം നെതർലാൻഡ്‌സിലെ സൈബർ സുരക്ഷയെ നിയന്ത്രിക്കുന്ന നിയമ ചട്ടക്കൂടിനെ വിശകലനം ചെയ്യുകയും ഒരു ലംഘനത്തിന് ശേഷം ബാധ്യത എങ്ങനെ നിയോഗിക്കപ്പെടുന്നു എന്ന് വിശദീകരിക്കുകയും ചെയ്യുന്നു. നിങ്ങളുടെ അറിയിപ്പ് ബാധ്യതകൾ, പാലിക്കാത്തതിന് നിങ്ങൾ നേരിടുന്ന പിഴകൾ, സൈബർ ആക്രമണങ്ങളിൽ നിന്നും നിയമപരമായ പ്രത്യാഘാതങ്ങളിൽ നിന്നും നിങ്ങളുടെ സ്ഥാപനത്തെ സംരക്ഷിക്കാൻ നിങ്ങൾക്ക് സ്വീകരിക്കാവുന്ന പ്രായോഗിക നടപടികൾ എന്നിവയെക്കുറിച്ച് നിങ്ങൾ പഠിക്കും.

സൈബർ സുരക്ഷയ്ക്കും ഡാറ്റ സംരക്ഷണത്തിനുമുള്ള നിയമ ചട്ടക്കൂട്

യൂറോപ്യൻ യൂണിയൻ വ്യാപകമായുള്ള നിയന്ത്രണങ്ങൾ ദേശീയ നിർവ്വഹണ നിയമങ്ങളുമായി സംയോജിപ്പിച്ചുകൊണ്ട്, സൈബർ സുരക്ഷയുടെയും ഡാറ്റാ സംരക്ഷണത്തിന്റെയും ഒന്നിലധികം തലങ്ങളിലുള്ള നിയമനിർമ്മാണത്തിന് കീഴിലാണ് നെതർലാൻഡ്‌സ് പ്രവർത്തിക്കുന്നത്. വ്യക്തിഗത ഡാറ്റ കൈകാര്യം ചെയ്യുന്നതും നിർണായകമായ അടിസ്ഥാന സൗകര്യങ്ങൾ പ്രവർത്തിപ്പിക്കുന്നതുമായ സ്ഥാപനങ്ങൾക്ക് ഈ നിയമങ്ങൾ വ്യക്തമായ ബാധ്യതകൾ സ്ഥാപിക്കുന്നു.

ടെലികമ്മ്യൂണിക്കേഷൻ, ധനകാര്യം, എന്നിവയുൾപ്പെടെ വിവിധ മേഖലകൾക്കായി അവ പ്രത്യേക ആവശ്യകതകൾ സൃഷ്ടിക്കുന്നു. നിയമം നടപ്പാക്കൽ.

ജനറൽ ഡാറ്റ പ്രൊട്ടക്ഷൻ റെഗുലേഷനും (GDPR) ഡച്ച് ഇംപ്ലിമെന്റേഷനും

ദി ജി.ഡി.പി.ആർ പ്രാഥമികമായി പ്രവർത്തിക്കുന്നു ഡാറ്റ സംരക്ഷണ ചട്ടക്കൂട് നെതർലാൻഡ്‌സ് ഉൾപ്പെടെ EU-വിലുടനീളം. വ്യക്തിഗത ഡാറ്റ പ്രോസസ്സ് ചെയ്യുന്നതിനുള്ള സമഗ്രമായ നിയമങ്ങൾ ഇത് സ്ഥാപിക്കുകയും വിവരങ്ങൾ പരിരക്ഷിക്കുന്നതിന് ഉചിതമായ സാങ്കേതികവും സംഘടനാപരവുമായ നടപടികൾ നടപ്പിലാക്കാൻ സ്ഥാപനങ്ങളോട് ആവശ്യപ്പെടുകയും ചെയ്യുന്നു.

നെതർലാൻഡ്‌സ് GDPR നടപ്പിലാക്കിയത് ഡച്ച് GDPR നടപ്പാക്കൽ നിയമം (ശരാശരി ശരാശരി), ഇത് EU ആവശ്യകതകളെ ഡച്ച് നിയമങ്ങളുമായി പൊരുത്തപ്പെടുത്തുന്നു. യൂറോപ്യൻ മാനദണ്ഡങ്ങളുമായി പൊരുത്തപ്പെടുത്തൽ നിലനിർത്തിക്കൊണ്ട് ദേശീയ സാഹചര്യങ്ങൾക്കായി പ്രത്യേക വ്യവസ്ഥകൾ ഈ നിയമം നൽകുന്നു.

ഇത് ഡച്ച് ഡാറ്റാ പ്രൊട്ടക്ഷൻ അതോറിറ്റിയെ നിയോഗിക്കുന്നു (ഓട്ടോറൈറ്റ് പേഴ്സൺസ്ഗെഗെവൻസ്) നടപ്പിലാക്കുന്നതിന് ഉത്തരവാദിത്തമുള്ള മേൽനോട്ട സ്ഥാപനം എന്ന നിലയിൽ.

GDPR പ്രകാരം, നിങ്ങൾ റിപ്പോർട്ട് ചെയ്യണം ഡാറ്റ ലംഘനങ്ങൾ ലംഘനങ്ങൾ വ്യക്തികളുടെ അവകാശങ്ങൾക്കും സ്വാതന്ത്ര്യങ്ങൾക്കും ഉയർന്ന അപകടസാധ്യത സൃഷ്ടിക്കുമ്പോൾ, അനാവശ്യ കാലതാമസം കൂടാതെ നിങ്ങൾ ബാധിത വ്യക്തികളെ അറിയിക്കണം.

നെതർലാൻഡ്‌സിൽ നിയമലംഘന ബാധ്യതയുടെ അടിത്തറയാണ് ഈ അറിയിപ്പ് ആവശ്യകതകൾ.

ദി വെര്സമെല്വെത് ഗെഗെവെംസ്ബെസ്ഛെര്മിന്ഗ് (കളക്ടീവ് ഡാറ്റ പ്രൊട്ടക്ഷൻ ആക്റ്റ്) GDPR മാനദണ്ഡങ്ങളുമായി പൊരുത്തപ്പെടുന്നതിന് വിവിധ ഡച്ച് നിയമങ്ങളെ കൂടുതൽ പരിഷ്കരിക്കുന്നു. ഇത് വ്യത്യസ്ത നിയമ ഡൊമെയ്‌നുകളിൽ സ്ഥിരത ഉറപ്പാക്കുന്നു.

സൈബർ സുരക്ഷാ നിയമവും NIS2 നിർദ്ദേശവും

ദി NIS2 നിർദ്ദേശം EU-വിലുടനീളമുള്ള അവശ്യവും പ്രധാനപ്പെട്ടതുമായ സ്ഥാപനങ്ങൾക്കായുള്ള സൈബർ സുരക്ഷാ ആവശ്യകതകൾ ഗണ്യമായി വികസിപ്പിക്കുന്നു. നെതർലാൻഡ്‌സ് ഈ നിർദ്ദേശം നടപ്പിലാക്കുന്നത് അപ്‌ഡേറ്റുകളിലൂടെയാണ്. സൈബർ സുഖസൗകര്യങ്ങൾ (ഡച്ച് സൈബർ സുരക്ഷാ നിയമം), ഇത് ആദ്യത്തെ NIS നിർദ്ദേശം ആദ്യം മാറ്റിസ്ഥാപിച്ചു.

NIS2 പരിരക്ഷിത മേഖലകളുടെ വ്യാപ്തി വിശാലമാക്കുകയും കർശനമായ സുരക്ഷാ ആവശ്യകതകൾ, സംഭവ റിപ്പോർട്ടിംഗ് ബാധ്യതകൾ, മാനേജ്മെന്റ് ഉത്തരവാദിത്ത വ്യവസ്ഥകൾ എന്നിവ അവതരിപ്പിക്കുകയും ചെയ്യുന്നു. നിങ്ങൾ നിർദ്ദിഷ്ട റിസ്ക് മാനേജ്മെന്റ് നടപടികൾ നടപ്പിലാക്കുകയും പ്രധാനപ്പെട്ട സംഭവങ്ങളെക്കുറിച്ച് ബോധവാന്മാരായി 24 മണിക്കൂറിനുള്ളിൽ റിപ്പോർട്ട് ചെയ്യുകയും വേണം.

ദി നെറ്റ്‌വർക്ക് ആൻഡ് ഇൻഫർമേഷൻ സിസ്റ്റംസ് സെക്യൂരിറ്റി ആക്ട് ഒപ്പം അനുഗമിക്കുന്നു നെറ്റ്‌വർക്ക്, ഇൻഫർമേഷൻ സിസ്റ്റംസ് സെക്യൂരിറ്റി ഡിക്രി അവശ്യ സേവന ഓപ്പറേറ്റർമാർക്കും ഡിജിറ്റൽ സേവന ദാതാക്കൾക്കും വിശദമായ ആവശ്യകതകൾ സ്ഥാപിക്കുന്നു. ഈ നിയമങ്ങൾ അടിസ്ഥാന സുരക്ഷാ നടപടികൾ, പതിവ് ഓഡിറ്റുകൾ, ദേശീയ സൈബർ സുരക്ഷാ അധികാരികളുമായുള്ള ഏകോപനം എന്നിവ നിർബന്ധമാക്കുന്നു.

വിവിധ മേഖലകൾക്കായി പ്രത്യേക യോഗ്യതയുള്ള അധികാരികളെ നിയമിക്കുന്നു. ഇത് സൈബർ സുരക്ഷാ രീതികളുടെ പ്രത്യേക മേൽനോട്ടം ഉറപ്പാക്കുന്നു.

മറ്റ് പ്രസക്തമായ നിയമങ്ങളും നിർദ്ദേശങ്ങളും

ദി EU ഇ-പ്രൈവസി ഡയറക്റ്റീവ് ഇലക്ട്രോണിക് ആശയവിനിമയ സ്വകാര്യതയെ അഭിസംബോധന ചെയ്തുകൊണ്ട് GDPR-നെ പൂരകമാക്കുന്നു. ഇതിന് കുക്കികൾക്കും സമാന സാങ്കേതികവിദ്യകൾക്കും സമ്മതം ആവശ്യമാണ്, കൂടാതെ ആശയവിനിമയ ഡാറ്റയുടെ രഹസ്യാത്മകത സംരക്ഷിക്കുകയും ചെയ്യുന്നു.

ദി ടെലികമ്മ്യൂണിക്കേഷൻ നിയമം (ടെലികമ്മ്യൂണിക്കേഷൻ) നെറ്റ്‌വർക്ക് സമഗ്രതയും ഉപയോക്തൃ ഡാറ്റയും സംരക്ഷിക്കുന്നതിനുള്ള ആവശ്യകതകൾ ഉൾപ്പെടെ ടെലികോം ദാതാക്കളിൽ പ്രത്യേക സുരക്ഷാ ബാധ്യതകൾ ചുമത്തുന്നു. ആശയവിനിമയ മേഖലയിൽ സമഗ്രമായ സംരക്ഷണം ഉറപ്പാക്കുന്നതിന് ഈ നിയമം ഡാറ്റാ സംരക്ഷണ നിയമങ്ങൾക്കൊപ്പം പ്രവർത്തിക്കുന്നു.

ദി ക്രിട്ടിക്കൽ എന്റിറ്റീസ് റെസിലിയൻസ് ആക്ട് പൊതു സുരക്ഷയ്ക്കും സാമ്പത്തിക സ്ഥിരതയ്ക്കും നിർണായകമെന്ന് കരുതുന്ന സ്ഥാപനങ്ങൾക്കായുള്ള ഭൗതിക, സൈബർ സുരക്ഷാ ആവശ്യകതകൾ (CRA) ശക്തിപ്പെടുത്തുന്നു. ഇതിന് സ്റ്റാൻഡേർഡ് സൈബർ സുരക്ഷാ വ്യവസ്ഥകൾക്കപ്പുറം അപകടസാധ്യത വിലയിരുത്തലുകളും പ്രതിരോധ നടപടികളും ആവശ്യമാണ്.

ഈ ചട്ടക്കൂടുകൾ ഓവർലാപ്പിംഗ് ബാധ്യതകൾ സൃഷ്ടിക്കുന്നു. ഒന്നിലധികം മേഖലകളിൽ പ്രവർത്തിക്കുമ്പോഴോ വിവിധ തരം ഡാറ്റ കൈകാര്യം ചെയ്യുമ്പോഴോ നിങ്ങൾ അവ നാവിഗേറ്റ് ചെയ്യണം.

സെക്ടർ-നിർദ്ദിഷ്ട നിയന്ത്രണങ്ങൾ

ദി സാമ്പത്തിക മേൽനോട്ട നിയമം (വെറ്റ് ഓപ് ഹെറ്റ് ഫിനാൻഷ്യൽ ടോസിക്റ്റ്) ധനകാര്യ സ്ഥാപനങ്ങൾക്ക് കർശനമായ സൈബർ സുരക്ഷയും ഡാറ്റ സംരക്ഷണ ആവശ്യകതകളും സ്ഥാപിക്കുന്നു. ധനകാര്യ മേഖലയിൽ പ്രവർത്തിക്കുമ്പോൾ നിങ്ങൾ ശക്തമായ സുരക്ഷാ നിയന്ത്രണങ്ങൾ, സംഭവ പ്രതികരണ നടപടിക്രമങ്ങൾ, പതിവ് പരിശോധന പ്രോട്ടോക്കോളുകൾ എന്നിവ നടപ്പിലാക്കണം.

നിയമ നിർവ്വഹണ സ്ഥാപനങ്ങൾ പ്രത്യേക ആവശ്യകതകൾ നേരിടുന്നു, അതായത് പോലീസ് ഡാറ്റ ആക്റ്റ് (വെറ്റ് പൊളിറ്റീജ്ജെവൻസ്) ഒപ്പം വെറ്റ് ജസ്‌റ്റിറ്റിയലെ എൻ സ്‌ട്രാഫ്‌വോർഡർലിജ്‌കെ ഗെഗെവൻസ് (ജുഡീഷ്യൽ ആൻഡ് ക്രിമിനൽ പ്രൊസീജ്യർ ഡാറ്റ ആക്റ്റ്). അന്വേഷണങ്ങളിലും ക്രിമിനൽ നടപടികളിലും പോലീസും ജുഡീഷ്യൽ അധികാരികളും വ്യക്തിഗത ഡാറ്റ എങ്ങനെ ശേഖരിക്കുന്നു, പ്രോസസ്സ് ചെയ്യുന്നു, സംരക്ഷിക്കുന്നു എന്നതിനെ ഈ നിയമങ്ങൾ നിയന്ത്രിക്കുന്നു.

ആരോഗ്യ സംരക്ഷണ ദാതാക്കൾ സ്റ്റാൻഡേർഡ് GDPR ആവശ്യകതകൾക്കപ്പുറം അധിക സ്വകാര്യതാ സുരക്ഷാ മുൻകരുതലുകൾ പാലിക്കേണ്ടതുണ്ട്. ഇത് മെഡിക്കൽ വിവരങ്ങളുടെ സെൻസിറ്റീവ് സ്വഭാവത്തെ പ്രതിഫലിപ്പിക്കുന്നു.

NIS2 നടപ്പിലാക്കുന്നതിന് കീഴിൽ ഊർജ്ജം, ഗതാഗതം, ജലം എന്നീ മേഖലകൾ പ്രത്യേക ബാധ്യതകൾ നേരിടുന്നു, അവയുടെ പ്രവർത്തന അപകടസാധ്യതകൾക്ക് അനുയോജ്യമായ സുരക്ഷാ നടപടികൾ സ്വീകരിക്കുന്നു.

ഓരോ മേഖലാ നിർദ്ദിഷ്ട നിയന്ത്രണവും സവിശേഷമായ അനുസരണ ഭാരങ്ങൾ ചുമത്തുന്നു. നിങ്ങളുടെ സ്ഥാപനത്തിന്റെ നിർദ്ദിഷ്ട പ്രവർത്തനങ്ങൾക്കും ഡാറ്റ പ്രോസസ്സിംഗ് പ്രവർത്തനങ്ങൾക്കും ഏതൊക്കെ നിയമങ്ങൾ ബാധകമാണെന്ന് തിരിച്ചറിയേണ്ടത് അത്യാവശ്യമാണ്.

ഡാറ്റാ ലംഘനത്തിന് ശേഷം ബാധ്യത നൽകൽ

നെതർലാൻഡിൽ, ഡാറ്റാ ലംഘനത്തിനുള്ള ബാധ്യത വ്യക്തിഗത ഡാറ്റ പ്രോസസ്സ് ചെയ്യുന്നതിലെ നിങ്ങളുടെ പങ്കിനെ ആശ്രയിച്ചിരിക്കുന്നു, സുരക്ഷാ നടപടികൾ നിങ്ങൾ നടപ്പിലാക്കിയിട്ടുണ്ടോ, റിപ്പോർട്ടിംഗ് ആവശ്യകതകൾ പാലിച്ചിട്ടുണ്ടോ എന്നും. ഡച്ച് ഡാറ്റാ പ്രൊട്ടക്ഷൻ അതോറിറ്റിയും മറ്റ് സൂപ്പർവൈസറി ബോഡികളും ഉത്തരവാദിത്തം നിർണ്ണയിക്കുന്നത് നിയമപരമായ ബാധ്യതകൾ GDPR, ദേശീയ സൈബർ സുരക്ഷാ നിയമങ്ങൾ എന്നിവ പ്രകാരം.

ഉത്തരവാദിത്തം നിർവചിക്കൽ: കൺട്രോളറുകൾ, പ്രോസസ്സറുകൾ, മൂന്നാം കക്ഷികൾ

നിങ്ങളുടെ ബാധ്യത a വ്യക്തിഗത ഡാറ്റ ലംഘനം നിങ്ങൾ പ്രവർത്തിക്കുന്നുണ്ടോ എന്നതിനെ ആശ്രയിച്ചിരിക്കും ഡാറ്റ കൺട്രോളർ അല്ലെങ്കിൽ പ്രോസസ്സർ. വ്യക്തിഗത ഡാറ്റ എങ്ങനെ, എന്തുകൊണ്ട് പ്രോസസ്സ് ചെയ്യണമെന്ന് കൺട്രോളർമാർ തീരുമാനിക്കുന്നു, ഇത് സുരക്ഷാ സംഭവങ്ങൾക്ക് പ്രാഥമികമായി അവരെ ബാധ്യസ്ഥരാക്കുന്നു.

കൺട്രോളർമാർക്ക് വേണ്ടി പ്രോസസ്സറുകൾ ഡാറ്റ കൈകാര്യം ചെയ്യുന്നു, നിർദ്ദേശങ്ങൾ ലംഘിച്ചാലോ മതിയായ സുരക്ഷാ നടപടികൾ നടപ്പിലാക്കുന്നതിൽ പരാജയപ്പെട്ടാലോ ബാധ്യത നേരിടേണ്ടിവരും.

ഡിജിറ്റൽ സേവന ദാതാക്കൾ പോലുള്ള മൂന്നാം കക്ഷികൾക്ക് പ്രത്യേക ഉത്തരവാദിത്തങ്ങളുണ്ട്. നിങ്ങൾ ബാഹ്യ വിതരണക്കാരെ ഉപയോഗിക്കുകയാണെങ്കിൽ, നിങ്ങളുടെ പേരിൽ അവർ ഡാറ്റ പ്രോസസ്സ് ചെയ്യുമ്പോൾ അവരുടെ പ്രവർത്തനങ്ങൾക്ക് നിങ്ങൾ ഉത്തരവാദിയായി തുടരും.

നിങ്ങളുടെ കരാറുകളിൽ സുരക്ഷാ ബാധ്യതകളും സംഭവങ്ങൾ കൈകാര്യം ചെയ്യുന്നതിനുള്ള നടപടിക്രമങ്ങളും വ്യക്തമാക്കിയിരിക്കണം.

ഒന്നിലധികം കക്ഷികൾ ഉൾപ്പെട്ടിരിക്കുമ്പോൾ, ബാധ്യത പങ്കിടാം. നിങ്ങളും നിങ്ങളുടെ പ്രോസസ്സറും സാങ്കേതികവും സംഘടനാപരവുമായ നടപടികൾ നടപ്പിലാക്കുന്നതിൽ പരാജയപ്പെട്ടാൽ, നിങ്ങൾ രണ്ടുപേരും Autoriteit Personsgegevens-ൽ നിന്ന് പിഴകൾ നേരിടേണ്ടി വന്നേക്കാം.

ഉത്തരവാദിത്തം ഏൽപ്പിക്കുന്നതിനായി മേൽനോട്ട അതോറിറ്റി ലംഘനത്തിൽ ഓരോ കക്ഷിയുടെയും പങ്ക് പരിശോധിക്കുന്നു.

സൂപ്പർവൈസറി അതോറിറ്റികളും റെഗുലേറ്ററി റോളുകളും

GDPR അനുസരണം നടപ്പിലാക്കുന്നതിന് ഉത്തരവാദിത്തമുള്ള ഡച്ച് ഡാറ്റാ പ്രൊട്ടക്ഷൻ അതോറിറ്റിയായി Autoriteit Persoonsgegevens പ്രവർത്തിക്കുന്നു. സംഭവത്തെക്കുറിച്ച് അറിഞ്ഞ് 72 മണിക്കൂറിനുള്ളിൽ നിങ്ങൾ വ്യക്തിഗത ഡാറ്റാ ലംഘനങ്ങൾ ഈ സൂപ്പർവൈസറി അതോറിറ്റിയെ റിപ്പോർട്ട് ചെയ്യണം.

സംഭവം റിപ്പോർട്ട് ചെയ്യുന്നതിനുള്ള സമയപരിധി പാലിക്കുന്നതിൽ പരാജയപ്പെടുന്നത് നിങ്ങളുടെ ബാധ്യത വർദ്ധിപ്പിക്കുന്നു.

നാഷണൽ സൈബർ സെക്യൂരിറ്റി സെന്റർ (NCSC) കൂടുതൽ വിശാലമായ കാര്യങ്ങൾ കൈകാര്യം ചെയ്യുന്നു സൈബർ സുരക്ഷ ഭീഷണികൾ അവശ്യ സേവനങ്ങളുടെ നടത്തിപ്പുകാരെ ബാധിക്കുന്നു. നിങ്ങൾ നിർണായകമായ അടിസ്ഥാന സൗകര്യങ്ങളോ ഡിജിറ്റൽ സേവനങ്ങളോ നൽകുകയാണെങ്കിൽ, പ്രധാനപ്പെട്ട സുരക്ഷാ സംഭവങ്ങളും NCSC-യിൽ റിപ്പോർട്ട് ചെയ്യണം.

സൈബർ ഭീഷണികൾക്കെതിരായ ദേശീയ പ്രതികരണങ്ങൾ ഏകോപിപ്പിക്കാൻ ഈ റിപ്പോർട്ടുകൾ സഹായിക്കുന്നു.

സുരക്ഷാ സംഭവങ്ങൾക്ക് ശേഷം രണ്ട് അധികാരികളും അന്വേഷണം നടത്തുന്നു. Autoriteit Persoonsgegevens-ന് €20 മില്യൺ വരെ അല്ലെങ്കിൽ നിങ്ങളുടെ വാർഷിക ആഗോള വിറ്റുവരവിന്റെ 4% വരെ പിഴ ചുമത്താം, ഏതാണ് ഉയർന്നത് അത്.

ലംഘനത്തിന്റെ സ്വഭാവം, ബാധിച്ച വ്യക്തികളുടെ എണ്ണം, നിങ്ങളുടെ പ്രതികരണ നടപടികൾ തുടങ്ങിയ ഘടകങ്ങൾ അവർ പരിഗണിക്കുന്നു.

സൈബർ സുരക്ഷാ ആവശ്യകതകൾ പാലിക്കുന്നതിൽ ഡച്ച് അധികാരികൾ നിങ്ങളുടെ വിലയിരുത്തലിനെ ENISA മാർഗ്ഗനിർദ്ദേശങ്ങൾ സ്വാധീനിക്കുന്നു.

സംഘടനാപരവും സാങ്കേതികവുമായ നടപടികൾ

സാങ്കേതികവും സംഘടനാപരവുമായ നടപടികൾ നിങ്ങൾ നടപ്പിലാക്കുന്നത് ബാധ്യതാ നിർണ്ണയങ്ങളെ നേരിട്ട് ബാധിക്കുന്നു. എൻക്രിപ്ഷൻ, ആക്സസ് നിയന്ത്രണങ്ങൾ, പതിവ് സുരക്ഷാ പരിശോധന, ജീവനക്കാരുടെ പരിശീലനം എന്നിവ ഈ നടപടികളിൽ ഉൾപ്പെടുന്നു.

ഉൾപ്പെട്ടിരിക്കുന്ന അപകടസാധ്യതകൾക്ക് നിങ്ങളുടെ സുരക്ഷ അനുയോജ്യമാണോ എന്ന് കോടതികളും മേൽനോട്ട അതോറിറ്റിയും വിലയിരുത്തുന്നു.

നിങ്ങളുടെ സുരക്ഷാ നടപടികൾ രേഖപ്പെടുത്തുകയും ബിസിനസ് തുടർച്ചാ ആസൂത്രണം തെളിയിക്കുകയും വേണം. മതിയായ മുൻകരുതലുകൾ നിങ്ങൾക്ക് തെളിയിക്കാൻ കഴിയുന്നില്ലെങ്കിൽ, ബാധ്യത ഗണ്യമായി വർദ്ധിക്കും.

ലംഘനങ്ങൾ സംഭവിക്കുന്നതിന് മുമ്പ് അപകടസാധ്യതകൾ തിരിച്ചറിയാൻ പതിവ് അപകടസാധ്യത വിലയിരുത്തലുകൾ നിങ്ങളെ സഹായിക്കുന്നു.

സംഭവം കൈകാര്യം ചെയ്യുന്നതിനുള്ള നടപടിക്രമങ്ങൾ നിർണായകമാണ്. വ്യക്തിഗത ഡാറ്റാ ലംഘനങ്ങൾ കണ്ടെത്തുന്നതിനും അന്വേഷിക്കുന്നതിനും പ്രതികരിക്കുന്നതിനും നിങ്ങൾക്ക് വ്യക്തമായ പ്രോട്ടോക്കോളുകൾ ആവശ്യമാണ്.

നിങ്ങളുടെ പ്രതികരണ സമയവും സുരക്ഷാ സംഭവങ്ങൾ തടയുന്നതിലെ ഫലപ്രാപ്തിയും ശിക്ഷാ തീരുമാനങ്ങളെ സ്വാധീനിക്കുന്നു.

നിങ്ങളുടെ സുരക്ഷാ ചട്ടക്കൂടിന്റെ തെളിവുകൾ നിലനിർത്തണമെന്ന് Autoriteit Personsgegevens പ്രതീക്ഷിക്കുന്നു. ശരിയായ രേഖകൾ ഇല്ലാതെ, അന്വേഷണ സമയത്ത് ന്യായമായ പരിചരണം തെളിയിക്കുന്നത് ബുദ്ധിമുട്ടാണ്.

വിതരണ ശൃംഖലയുടെയും സേവന ദാതാക്കളുടെയും സ്വാധീനം

സപ്ലൈ ചെയിൻ സുരക്ഷ സങ്കീർണ്ണമായ ബാധ്യതാ പ്രശ്നങ്ങൾ സൃഷ്ടിക്കുന്നു. നിങ്ങളുടെ സേവന ദാതാക്കൾ നിങ്ങളുടെ ഡാറ്റയെ ബാധിക്കുന്ന ലംഘനങ്ങൾ അനുഭവിക്കുമ്പോൾ, നിങ്ങൾക്ക് ഇപ്പോഴും അനന്തരഫലങ്ങൾ നേരിടേണ്ടി വന്നേക്കാം.

നിങ്ങൾ വിതരണക്കാരെക്കുറിച്ച് കൃത്യമായ ജാഗ്രത പാലിക്കുകയും അവരുടെ സുരക്ഷാ രീതികൾ തുടർച്ചയായി നിരീക്ഷിക്കുകയും വേണം.

അവശ്യ സേവനങ്ങളുടെ ഓപ്പറേറ്റർമാർ വെണ്ടർ മാനേജ്‌മെന്റിൽ കർശനമായ ആവശ്യകതകൾ നേരിടുന്നു. നിങ്ങളുടെ വിതരണ ശൃംഖലയിലെ ഡിജിറ്റൽ സേവന ദാതാക്കൾ നിങ്ങളുടെ സ്വന്തം ബാധ്യതകൾക്ക് അനുയോജ്യമായ മാനദണ്ഡങ്ങൾ പാലിക്കുന്നുണ്ടെന്ന് നിങ്ങൾ ഉറപ്പാക്കണം.

കരാർ കരാറുകൾ സംഭവ റിപ്പോർട്ടിംഗ് കടമകളും ബാധ്യതാ വിഹിതവും വ്യക്തമായി നിർവചിക്കണം.

നിങ്ങളുടെ വിതരണ ശൃംഖലയിൽ നിന്നാണ് ഒരു ലംഘനം ഉണ്ടായതെങ്കിൽ, നിങ്ങൾ മതിയായ വെണ്ടർ വിലയിരുത്തലുകൾ നടത്തിയിട്ടുണ്ടോ എന്ന് Autoriteit Personsgegevens പരിശോധിക്കുന്നു. വിതരണക്കാരുടെ സുരക്ഷ പരിശോധിക്കാൻ നിങ്ങൾ ന്യായമായ നടപടികൾ സ്വീകരിച്ചിട്ടുണ്ടോ എന്നതിനെ ആശ്രയിച്ചിരിക്കും നിങ്ങളുടെ ബാധ്യത.

മൂന്നാം കക്ഷി പ്രോസസ്സറുകൾ ഉപയോഗിക്കുമ്പോൾ പോലും നിങ്ങൾക്ക് ഉത്തരവാദിത്തം പൂർണ്ണമായും ഏൽപ്പിക്കാൻ കഴിയില്ല.

മൾട്ടി-ടയർ വിതരണ ശൃംഖലകൾക്ക് അധിക ജാഗ്രത ആവശ്യമാണ്. ഒന്നിലധികം സ്ഥാപനങ്ങളിലുടനീളം വ്യക്തിഗത ഡാറ്റയിൽ വിട്ടുവീഴ്ച ചെയ്യുന്ന കാസ്കേഡിംഗ് പരാജയങ്ങളിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിന് സബ്-പ്രോസസ്സറുകളെയും അവയുടെ സുരക്ഷാ നടപടികളെയും കുറിച്ച് നിങ്ങൾക്ക് ദൃശ്യപരത ആവശ്യമാണ്.

ഡാറ്റാ ലംഘന അറിയിപ്പ് ബാധ്യതകൾ

ജിഡിപിആറിനും ദേശീയ സൈബർ സുരക്ഷാ നിയമങ്ങൾക്കും കീഴിൽ നെതർലാൻഡ്‌സ് ഒരു മൾട്ടി-ലെയർ അറിയിപ്പ് ചട്ടക്കൂട് നടപ്പിലാക്കുന്നു. കൺട്രോളർമാർ ലംഘനങ്ങൾ റിപ്പോർട്ട് ചെയ്യുക അപകടസാധ്യതയുള്ളപ്പോൾ 72 മണിക്കൂറിനുള്ളിൽ പേഴ്സണൽ ഡാറ്റ അതോറിറ്റിയെ (PDA) അറിയിക്കുക. ഡാറ്റ വിഷയ അവകാശങ്ങൾ.

ഉയർന്ന അപകടസാധ്യതയുള്ള ലംഘനങ്ങൾ ബാധിക്കപ്പെട്ട വ്യക്തികൾക്ക് നേരിട്ട് അറിയിപ്പ് നൽകേണ്ടതുണ്ട്.

സമയരേഖകളും നടപടിക്രമ ആവശ്യകതകളും

അനാവശ്യ കാലതാമസം കൂടാതെ, സാധ്യമാകുന്നിടത്ത്, വ്യക്തിഗത ഡാറ്റ ലംഘനത്തെക്കുറിച്ച് അറിഞ്ഞതിന് ശേഷം 72 മണിക്കൂറിനുള്ളിൽ നിങ്ങൾ PDA-യെ അറിയിക്കണം. ലംഘനം സ്വാഭാവിക വ്യക്തികളുടെ അവകാശങ്ങൾക്കും സ്വാതന്ത്ര്യങ്ങൾക്കും ഒരു അപകടമുണ്ടാക്കാൻ സാധ്യതയില്ലെങ്കിൽ ഈ ബാധ്യത ബാധകമാണ്.

സാധ്യമാകുന്നിടത്തെല്ലാം അറിയിപ്പിൽ നിർദ്ദിഷ്ട വിവരങ്ങൾ ഉൾപ്പെടുത്തണം. ബന്ധപ്പെട്ട ഡാറ്റ വിഷയങ്ങളുടെ വിഭാഗങ്ങളും ഏകദേശ എണ്ണവും, ബാധിച്ച വ്യക്തിഗത ഡാറ്റ രേഖകളുടെ വിഭാഗങ്ങളും ഏകദേശ എണ്ണവും, നിങ്ങളുടെ ഡാറ്റാ പ്രൊട്ടക്ഷൻ ഓഫീസറുടെയോ മറ്റ് കോൺടാക്റ്റ് പോയിന്റിന്റെയോ പേര് എന്നിവ നിങ്ങൾ നൽകേണ്ടതുണ്ട്.

ലംഘനത്തിന്റെ സാധ്യമായ അനന്തരഫലങ്ങളും അത് പരിഹരിക്കാൻ സ്വീകരിച്ചതോ നിർദ്ദേശിക്കപ്പെട്ടതോ ആയ നടപടികളും നിങ്ങൾ വിവരിക്കണം.

72 മണിക്കൂറിനുള്ളിൽ ആവശ്യമായ എല്ലാ വിവരങ്ങളും നൽകാൻ നിങ്ങൾക്ക് കഴിയുന്നില്ലെങ്കിൽ, നിങ്ങൾക്ക് അത് ഘട്ടം ഘട്ടമായി സമർപ്പിക്കാം. നിങ്ങളുടെ പ്രാരംഭ അറിയിപ്പിലെ ഏതെങ്കിലും കാലതാമസത്തിനുള്ള കാരണങ്ങൾ നിങ്ങൾ വിശദീകരിക്കണം.

ആർക്കാണ് അറിയിപ്പ് നൽകേണ്ടത്, എപ്പോൾ

വ്യക്തിഗത ഡാറ്റാ ലംഘനം ബാധിച്ച ഡാറ്റാ വിഷയങ്ങളുടെ അവകാശങ്ങൾക്കും സ്വാതന്ത്ര്യങ്ങൾക്കും ഉയർന്ന അപകടസാധ്യതയുണ്ടാക്കാൻ സാധ്യതയുള്ളപ്പോൾ നിങ്ങൾ അവരെ നേരിട്ട് അറിയിക്കണം. ഈ അറിയിപ്പ് അനാവശ്യ കാലതാമസം കൂടാതെ സംഭവിക്കുകയും വ്യക്തവും ലളിതവുമായ ഭാഷയിൽ ഉപയോഗിക്കുകയും വേണം.

മൂന്ന് പ്രത്യേക സാഹചര്യങ്ങളിൽ ഡാറ്റ വിഷയങ്ങൾക്ക് നേരിട്ട് അറിയിപ്പ് ആവശ്യമില്ല. അനധികൃത വ്യക്തികൾക്ക് ഡാറ്റ മനസ്സിലാക്കാൻ കഴിയാത്തവിധം ഉചിതമായ സാങ്കേതികവും സംഘടനാപരവുമായ സംരക്ഷണ നടപടികൾ (എൻക്രിപ്ഷൻ പോലുള്ളവ) നിങ്ങൾ നടപ്പിലാക്കിയിട്ടുണ്ടെങ്കിൽ നിങ്ങൾ അറിയിക്കേണ്ടതില്ല.

ഡാറ്റാ വിഷയ അവകാശങ്ങൾക്ക് മേലുള്ള ഉയർന്ന അപകടസാധ്യത ഇനി ഉണ്ടാകില്ലെന്ന് ഉറപ്പാക്കാൻ നിങ്ങൾ തുടർന്നുള്ള നടപടികൾ സ്വീകരിച്ചിട്ടുണ്ടോ, അല്ലെങ്കിൽ നേരിട്ടുള്ള ആശയവിനിമയത്തിന് അനുപാതമില്ലാത്ത ശ്രമം ആവശ്യമുണ്ടോ എന്ന് നിങ്ങൾ അറിയിക്കേണ്ടതില്ല. അത്തരം സന്ദർഭങ്ങളിൽ, പൊതു ആശയവിനിമയമോ സമാനമായ നടപടികളോ പകരം ആവശ്യമാണ്.

ഫിനാൻഷ്യൽ സൂപ്പർവിഷൻ ആക്ടിന് കീഴിലുള്ള ഫിനാൻഷ്യൽ കമ്പനികളെ ഡാറ്റാ സബ്ജക്റ്റ് നോട്ടിഫിക്കേഷൻ ബാധ്യതയിൽ നിന്ന് ഒഴിവാക്കിയിരിക്കുന്നു. അവർ ഇപ്പോഴും PDA-യിൽ റിപ്പോർട്ട് ചെയ്യണം.

പ്രോസസ്സറുകൾക്ക് വ്യത്യസ്തമായ ബാധ്യതകളുണ്ട്. വ്യക്തിഗത ഡാറ്റ ലംഘനത്തെക്കുറിച്ച് അറിഞ്ഞതിനുശേഷം, അപകടസാധ്യതയുടെ തോത് പരിഗണിക്കാതെ, അനാവശ്യ കാലതാമസം കൂടാതെ നിങ്ങൾ കൺട്രോളറെ അറിയിക്കണം.

ഇത് GDPR-ന് കീഴിലുള്ള നിയമപരമായ ആവശ്യകതയാണ്, നിങ്ങളുടെ പ്രോസസ്സിംഗ് കരാറിൽ ഇത് ഉൾപ്പെടുത്തണം.

മേഖലാ, ദേശീയ അറിയിപ്പ് ആവശ്യകതകൾ

GDPR ബാധ്യതകൾക്കപ്പുറം, നിങ്ങളുടെ മേഖലയെ ആശ്രയിച്ച് നിങ്ങൾക്ക് അധിക റിപ്പോർട്ടിംഗ് ആവശ്യകതകൾ നേരിടേണ്ടി വന്നേക്കാം. WBNI (നെറ്റ്‌വർക്ക് ആൻഡ് ഇൻഫർമേഷൻ സിസ്റ്റംസ് സെക്യൂരിറ്റി ആക്റ്റ്) പ്രകാരം, സുരക്ഷാ സംഭവങ്ങൾ വ്യക്തിഗത ഡാറ്റ ലംഘനമായി കണക്കാക്കാത്തപ്പോൾ പോലും, ചില സ്ഥാപനങ്ങൾ സൈബർ സുരക്ഷാ അധികാരികൾക്ക് റിപ്പോർട്ട് ചെയ്യണമെന്ന് ആവശ്യപ്പെടുന്നു.

പൊതു ഇലക്ട്രോണിക് ആശയവിനിമയ ശൃംഖലകളുടെ ദാതാക്കൾ ഇൻസ്പെക്ടറേറ്റ് ഫോർ ഹ്യൂമൻ എൻവയോൺമെന്റ് ആൻഡ് ട്രാൻസ്പോർട്ടിൽ (ILT) റിപ്പോർട്ട് ചെയ്യണം. മെഡിക്കൽ ഉപകരണ സുരക്ഷയെയോ രോഗിയുടെ ഡാറ്റയെയോ ബാധിക്കുന്ന സംഭവങ്ങൾ ഹെൽത്ത് ആൻഡ് യൂത്ത് കെയർ ഇൻസ്പെക്ടറേറ്റിനെ അറിയിക്കേണ്ട ബാധ്യത ആരോഗ്യ സംരക്ഷണ സംഘടനകൾ നേരിടുന്നു.

സാമ്പത്തിക സേവന സ്ഥാപനങ്ങൾ സാമ്പത്തിക മേൽനോട്ട നിയമനിർമ്മാണത്തിന് കീഴിലുള്ള മേഖലാ നിർദ്ദിഷ്ട ആവശ്യകതകൾ പാലിക്കണം.

WBNI പ്രകാരം നിർണായകമായ അടിസ്ഥാന സൗകര്യ ദാതാക്കൾ ബാധ്യതകൾ വർദ്ധിപ്പിച്ചിട്ടുണ്ട്. അവശ്യ സേവനങ്ങളെ സാരമായി തടസ്സപ്പെടുത്തിയേക്കാവുന്ന കാര്യമായ സംഭവങ്ങൾ നിങ്ങൾ കമ്പ്യൂട്ടർ സെക്യൂരിറ്റി ഇൻസിഡന്റ് റെസ്‌പോൺസ് ടീമിനെ (CSIRT) റിപ്പോർട്ട് ചെയ്യണം.

നിക്ഷേപകരുടെ തീരുമാനങ്ങളെ സാരമായി ബാധിച്ചേക്കാവുന്ന സുരക്ഷാ സംഭവങ്ങൾ പൊതു കമ്പനികൾ അറിയിക്കേണ്ടി വന്നേക്കാം.

ഈ മേഖലാ ആവശ്യകതകൾ പലപ്പോഴും GDPR ബാധ്യതകൾക്കൊപ്പം പ്രവർത്തിക്കുന്നതിനുപകരം അവ മാറ്റിസ്ഥാപിക്കുന്നില്ല. നിങ്ങളുടെ സ്ഥാപനത്തിന്റെ പ്രവർത്തനങ്ങളെയും ലംഘനത്തിന്റെ സ്വഭാവത്തെയും ആശ്രയിച്ച്, ഒരൊറ്റ സംഭവത്തിന് വ്യത്യസ്ത അധികാരികൾക്ക് ഒന്നിലധികം അറിയിപ്പുകൾ നൽകേണ്ടി വന്നേക്കാം.

പാലിക്കാത്തതിനുള്ള നടപ്പാക്കലും ഉപരോധങ്ങളും

സൈബർ സുരക്ഷാ പരാജയങ്ങൾ അന്വേഷിക്കാനും വ്യക്തിഗത ഡാറ്റ സംരക്ഷിക്കുന്നതിൽ പരാജയപ്പെടുന്നതോ സുരക്ഷാ ആവശ്യകതകൾ പാലിക്കുന്നതിൽ പരാജയപ്പെടുന്നതോ ആയ സ്ഥാപനങ്ങൾക്ക് ഗണ്യമായ സാമ്പത്തിക പിഴ ചുമത്താനും ഡച്ച് അധികാരികൾക്ക് വ്യക്തമായ അധികാരമുണ്ട്.

ഉപരോധങ്ങൾ നേരിടുന്ന സ്ഥാപനങ്ങൾക്കായി പ്രത്യേക മേൽനോട്ട ഉത്തരവാദിത്തങ്ങൾ, ഘടനാപരമായ പിഴ പദ്ധതികൾ, നിർവചിക്കപ്പെട്ട അപ്പീൽ നടപടിക്രമങ്ങൾ എന്നിവയുള്ള ഒന്നിലധികം റെഗുലേറ്റർമാരെയാണ് എൻഫോഴ്‌സ്‌മെന്റ് ചട്ടക്കൂടിൽ ഉൾപ്പെടുത്തിയിരിക്കുന്നത്.

അന്വേഷണ, മേൽനോട്ട അധികാരങ്ങൾ

ഡാറ്റാ ലംഘനങ്ങളും GDPR ലംഘനങ്ങളും അന്വേഷിക്കുന്നതിനുള്ള പ്രാഥമിക ഉത്തരവാദിത്തം ഡച്ച് ഡാറ്റ പ്രൊട്ടക്ഷൻ അതോറിറ്റി (Autoriteit Persoonsgegevens, അല്ലെങ്കിൽ AP) വഹിക്കുന്നു.

പരാതികൾ, മാധ്യമ റിപ്പോർട്ടുകൾ, അല്ലെങ്കിൽ പതിവ് ഓഡിറ്റുകൾ എന്നിവയുടെ അടിസ്ഥാനത്തിൽ എപിക്ക് അന്വേഷണങ്ങൾ ആരംഭിക്കാൻ കഴിയും.

അന്വേഷണ സമയത്ത്, അതോറിറ്റിക്ക് ഡോക്യുമെന്റേഷൻ അഭ്യർത്ഥിക്കാം, ഓൺ-സൈറ്റ് പരിശോധനകൾ നടത്താം, ജീവനക്കാരെ അഭിമുഖം നടത്താം.

പുതിയ സൈബർ സുരക്ഷാ നിയമത്തിന് കീഴിലുള്ള സൈബർ സുരക്ഷാ ബാധ്യതകൾക്കായി, മേഖലാ നിർദ്ദിഷ്ട റെഗുലേറ്റർമാർ മേൽനോട്ടം വഹിക്കുന്നു.

ഡിജിറ്റൽ ഇൻഫ്രാസ്ട്രക്ചർ, ടെലികമ്മ്യൂണിക്കേഷൻ ദാതാക്കളുടെ മേൽനോട്ടം വഹിക്കുന്നത് അതോറിറ്റി ഫോർ കൺസ്യൂമേഴ്‌സ് ആൻഡ് മാർക്കറ്റ്സ് (ACM) ആണ്.

ഡച്ച് സെൻട്രൽ ബാങ്ക് (DNB) ആണ് ധനകാര്യ സ്ഥാപനങ്ങളുടെ മേൽനോട്ടം വഹിക്കുന്നത്.

സാമ്പത്തിക കാര്യ-കാലാവസ്ഥാ മന്ത്രി, അടിസ്ഥാന സൗകര്യ-ജല മാനേജ്‌മെന്റ് മന്ത്രി, ആരോഗ്യ സംരക്ഷണ മന്ത്രി എന്നിവർക്ക് അവരവരുടെ മേഖലകളിൽ നടപ്പിലാക്കൽ അധികാരങ്ങളുണ്ട്.

ഈ റെഗുലേറ്റർമാർക്ക് നിങ്ങളുടെ സിസ്റ്റങ്ങൾ ഓഡിറ്റ് ചെയ്യാനും, സംഭവ പ്രതികരണ നടപടിക്രമങ്ങൾ അവലോകനം ചെയ്യാനും, നിങ്ങളുടെ റിസ്ക് മാനേജ്മെന്റ് നിയമപരമായ മാനദണ്ഡങ്ങൾ പാലിക്കുന്നുണ്ടോ എന്ന് വിലയിരുത്താനും കഴിയും.

ലംഘനങ്ങൾ കണ്ടെത്തിയാൽ, നിങ്ങളുടെ സ്ഥാപനത്തിൽ നിന്ന് നിർവ്വഹണ ചെലവുകൾ അവർക്ക് തിരിച്ചുപിടിക്കാനും കഴിയും.

നാഷണൽ സൈബർ സെക്യൂരിറ്റി സെന്റർ (NCSC) നിയന്ത്രണ ഏജൻസികൾക്കിടയിൽ ഏകോപനം നടത്തുന്നു, പക്ഷേ നേരിട്ട് പിഴ ചുമത്തുന്നില്ല.

ഭരണപരവും സാമ്പത്തികവുമായ പിഴകൾ

നിയമപരമായ ചട്ടക്കൂടും ലംഘനങ്ങളുടെ തീവ്രതയും അനുസരിച്ച് സാമ്പത്തിക പിഴകൾ വ്യത്യാസപ്പെടുന്നു.

GDPR നടപ്പിലാക്കൽ നിയമപ്രകാരം, AP-ക്ക് 20 മില്യൺ യൂറോ വരെയോ നിങ്ങളുടെ വാർഷിക ആഗോള വിറ്റുവരവിന്റെ 4% വരെയോ പിഴ ചുമത്താം, ഏതാണ് ഉയർന്നത് അത്.

ലംഘനത്തിന്റെ സ്വഭാവം, ബാധിച്ച വ്യക്തികളുടെ എണ്ണം, അന്വേഷണങ്ങളിൽ നിങ്ങളുടെ സഹകരണം തുടങ്ങിയ ഘടകങ്ങൾ അതോറിറ്റി പരിഗണിക്കും.

സൈബർ പെരുമാറ്റച്ചട്ടത്തിന് കീഴിൽ, പിഴകൾ ഒരു ശ്രേണിയിലുള്ള ഘടന പിന്തുടരുന്നു:

നിശ്ചിത സമയപരിധിക്കുള്ളിൽ നിർദ്ദിഷ്ട സുരക്ഷാ നടപടികൾ നടപ്പിലാക്കണമെന്ന് ആവശ്യപ്പെടുന്ന തിരുത്തൽ ഉത്തരവുകൾ റെഗുലേറ്റർമാർക്ക് പുറപ്പെടുവിക്കാനും കഴിയും.

ആവർത്തിച്ചുള്ള പരാജയങ്ങൾ ലംഘനങ്ങൾ പരസ്യമായി വെളിപ്പെടുത്തുന്നതിലൂടെ പേരെടുത്ത് പറയുന്നതിനും അപമാനിക്കുന്നതിനും കാരണമായേക്കാം.

അവശ്യ സ്ഥാപനങ്ങളായി തരംതിരിച്ചിരിക്കുന്ന സ്ഥാപനങ്ങളുടെ ഡയറക്ടർമാർക്ക് ഗുരുതരമായ കേസുകളിൽ ബോർഡ് സ്ഥാനങ്ങളിൽ നിന്ന് വ്യക്തിപരമായ അയോഗ്യത നേരിടേണ്ടി വന്നേക്കാം.

പൊതുമേഖലാ സ്ഥാപനങ്ങളെ സാമ്പത്തിക പിഴകളിൽ നിന്ന് ഒഴിവാക്കിയിട്ടുണ്ട്, എന്നാൽ തിരുത്തൽ നടപടികളും പാർലമെന്ററി പരിശോധനയും നേരിടേണ്ടിവരും.

നിയമപരമായ സഹായവും അപ്പീലുകളും

നിർവ്വഹണ തീരുമാനങ്ങളെ വെല്ലുവിളിക്കാൻ നിങ്ങൾക്ക് അവകാശമുണ്ട് ഭരണപരമായ അപ്പീലുകൾ.

പെനാൽറ്റി നോട്ടീസ് ലഭിച്ചതിന് ശേഷം, ആറ് ആഴ്ചയ്ക്കുള്ളിൽ ഇഷ്യൂ ചെയ്യുന്ന അതോറിറ്റിക്ക് ഒരു എതിർപ്പ് (ബെസ്വാർ) സമർപ്പിക്കാം.

റെഗുലേറ്റർ അതിന്റെ തീരുമാനം പുനഃപരിശോധിക്കുകയും ഔപചാരിക പ്രതികരണം നൽകുകയും വേണം.

പുനഃപരിശോധനാ ഫലത്തോട് നിങ്ങൾ വിയോജിക്കുന്നുവെങ്കിൽ, നിങ്ങൾക്ക് ജില്ലാ കോടതിയിൽ (rechtbank) അപ്പീൽ നൽകാം.

റെഗുലേറ്റർ ശരിയായ നടപടിക്രമങ്ങൾ പാലിച്ചിട്ടുണ്ടോ എന്നും നിയമം ശരിയായി പ്രയോഗിച്ചിട്ടുണ്ടോ എന്നും കോടതി അവലോകനം ചെയ്യുന്നു.

അപ്പോൾ നിങ്ങൾക്ക് ചെയ്യാം കോടതി തീരുമാനങ്ങൾ അപ്പീൽ ചെയ്യുക കൗൺസിൽ ഓഫ് സ്റ്റേറ്റ് (Afdeling bestuursrechtspraak van de Raad van State) യുടെ ഏറ്റവും ഉയർന്ന അഡ്മിനിസ്ട്രേറ്റീവ് കോടതിയായി പ്രവർത്തിക്കുന്ന അഡ്മിനിസ്ട്രേറ്റീവ് ജൂറിസ്ഡിക്ഷൻ ഡിവിഷനിലേക്ക്.

അപ്പീൽ പ്രക്രിയയിലുടനീളം, റെഗുലേറ്റർമാർ ഉത്തരവിട്ട ഏതെങ്കിലും തിരുത്തൽ നടപടികൾ നിങ്ങൾ നടപ്പിലാക്കുന്നത് തുടരണം.

അപ്പീൽ ഫലങ്ങൾ വരുന്നത് വരെ കോടതികൾ സാമ്പത്തിക പിഴകൾ താൽക്കാലികമായി നിർത്തിവച്ചേക്കാം, എന്നാൽ ഇത് യാന്ത്രികമായി സംഭവിക്കുന്നതല്ല.

സൈബർ സുരക്ഷാ മാനേജ്മെന്റിലെ പ്രധാന റോളുകളും ഉത്തരവാദിത്തങ്ങളും

ഡാറ്റാ പ്രൊട്ടക്ഷൻ ഓഫീസർമാരെ നിയമിക്കുന്നത് മുതൽ ബോർഡ് തലത്തിലുള്ള ഉത്തരവാദിത്തം സ്ഥാപിക്കുന്നതും സുരക്ഷാ പ്രോട്ടോക്കോളുകളിൽ ജീവനക്കാർക്ക് പരിശീലനം നൽകുന്നതും വരെയുള്ള സൈബർ സുരക്ഷാ ജോലികൾ ആരാണ് കൈകാര്യം ചെയ്യുന്നതെന്ന് സ്ഥാപനങ്ങൾ വ്യക്തമായി നിർവചിക്കണം.

ഡാറ്റാ പ്രൊട്ടക്ഷൻ ഓഫീസർമാരും നിയമനങ്ങളും

നിങ്ങളുടെ സ്ഥാപനം വലിയ തോതിൽ സെൻസിറ്റീവ് വ്യക്തിഗത ഡാറ്റ പ്രോസസ്സ് ചെയ്യുകയോ വ്യക്തികളെ വ്യവസ്ഥാപിതമായി നിരീക്ഷിക്കുകയോ ചെയ്യുകയാണെങ്കിൽ, നിങ്ങൾ ഒരു ഡാറ്റ പ്രൊട്ടക്ഷൻ ഓഫീസറെ (DPO) നിയമിക്കണം.

ഡാറ്റാ പ്രൊട്ടക്ഷൻ അതോറിറ്റികൾക്കും ഡാറ്റ വിഷയങ്ങൾക്കും നിങ്ങളുടെ പ്രാഥമിക സമ്പർക്ക പോയിന്റായി DPO പ്രവർത്തിക്കുന്നു.

നിങ്ങളുടെ ഡിപിഒയ്ക്ക് ഡാറ്റാ പ്രൊട്ടക്ഷൻ നിയമത്തിലും വിവര സുരക്ഷാ രീതികളിലും പ്രത്യേക യോഗ്യതകൾ ആവശ്യമാണ്.

അവർ നിങ്ങളുടെ ഉയർന്ന മാനേജ്‌മെന്റ് തലത്തിൽ നേരിട്ട് റിപ്പോർട്ട് ചെയ്യണം, അവരുടെ ചുമതലകൾ നിർവഹിച്ചതിന് അവരെ പിരിച്ചുവിടാൻ കഴിയില്ല.

ജിഡിപിആർ പാലിക്കൽ നിരീക്ഷിക്കൽ, ഡാറ്റ സംരക്ഷണ ആഘാത വിലയിരുത്തലുകൾ നടത്തൽ, എൻക്രിപ്ഷൻ, ക്രിപ്റ്റോഗ്രഫി ആവശ്യകതകളെക്കുറിച്ച് ഉപദേശിക്കൽ എന്നിവയാണ് ഈ റോളിൽ ഉൾപ്പെടുന്നത്.

ഡിപിഒയുടെ ഉത്തരവാദിത്തങ്ങൾ വ്യക്തമായി രേഖപ്പെടുത്തണം.

നിങ്ങളുടെ ഡിജിറ്റൽ ഇൻഫ്രാസ്ട്രക്ചർ ഓഡിറ്റ് ചെയ്യുന്നതിനും നിങ്ങളുടെ സംഭവ പ്രതികരണ പദ്ധതി അവലോകനം ചെയ്യുന്നതിനുമുള്ള അവരുടെ അധികാരവും ഇതിൽ ഉൾപ്പെടുന്നു.

നിങ്ങൾ ഒന്നിലധികം EU രാജ്യങ്ങളിൽ പ്രവർത്തിക്കുകയാണെങ്കിൽ, അവരുടെ പ്രൊഫഷണൽ ഗുണങ്ങളും പ്രസക്തമായ അധികാരപരിധികളെക്കുറിച്ചുള്ള അറിവും അടിസ്ഥാനമാക്കി നിങ്ങൾക്ക് ഒരൊറ്റ DPO-യെ നിയമിക്കാൻ കഴിയും.

കോർപ്പറേറ്റ് ഭരണവും ഉത്തരവാദിത്തവും

സൈബർ സുരക്ഷാ റിസ്ക് മാനേജ്മെന്റിന്റെ ആത്യന്തിക ഉത്തരവാദിത്തം നിങ്ങളുടെ ഡയറക്ടർ ബോർഡിനാണ്.

അവർ സുരക്ഷാ നടപടികൾ അംഗീകരിക്കുകയും, മതിയായ വിഭവങ്ങൾ അനുവദിക്കുകയും, സൈബർ പ്രതിരോധ ശ്രമങ്ങളുടെ ശരിയായ മേൽനോട്ടം ഉറപ്പാക്കുകയും വേണം.

നേതൃത്വ ഉത്തരവാദിത്തത്തിൽ ഇവ ഉൾപ്പെടുന്നു:

• സുരക്ഷാ നയങ്ങൾ അംഗീകരിക്കുന്നു വിവര സുരക്ഷാ ചട്ടക്കൂടുകൾക്കായി
• അപകടസാധ്യത വിലയിരുത്തലുകൾ നിരീക്ഷിക്കുന്നു പ്രവർത്തന പ്രതിരോധശേഷി ആസൂത്രണവും
• ഓഡിറ്റ് അനുസരണം ഉറപ്പാക്കൽ സ്വതന്ത്ര അവലോകനങ്ങളിലൂടെ
• ബജറ്റുകൾ അനുവദിക്കുന്നു സൈബർ സുരക്ഷാ മാനേജ്മെന്റിനും ജീവനക്കാരുടെ പരിശീലനം

സുരക്ഷാ തീരുമാനമെടുക്കലിനായി വ്യക്തമായ അധികാരപരിധികൾ സ്ഥാപിക്കേണ്ടതുണ്ട്.

സുരക്ഷാ നടപടികൾ ആരാണ് അംഗീകരിക്കുന്നത്, ആരാണ് നടപ്പാക്കൽ മേൽനോട്ടം വഹിക്കുന്നത്, ആരാണ് ഓഡിറ്റുകൾ നടത്തുന്നത് എന്നതിനെക്കുറിച്ചുള്ള രേഖ.

നിങ്ങളുടെ മാനേജ്മെന്റ് സൈബർ സുരക്ഷാ പ്രകടനം പതിവായി അവലോകനം ചെയ്യുകയും നിങ്ങളുടെ ഡിജിറ്റൽ ഇൻഫ്രാസ്ട്രക്ചറിന് ഉണ്ടാകുന്ന ഭീഷണികളെ അടിസ്ഥാനമാക്കി തന്ത്രങ്ങൾ ക്രമീകരിക്കുകയും വേണം.

ആന്തരിക നയങ്ങളും ജീവനക്കാരുടെ പരിശീലനവും

നിങ്ങളുടെ സ്ഥാപനത്തിലുടനീളമുള്ള സുരക്ഷാ റോളുകൾ നിർവചിക്കുന്ന ഡോക്യുമെന്റഡ് നയങ്ങൾ നിങ്ങൾ സൃഷ്ടിക്കണം.

ഡാറ്റ സംരക്ഷണം, സംഭവ പ്രതികരണം, സൈബർ പ്രതിരോധശേഷി നിലനിർത്തൽ എന്നിവയ്ക്കുള്ള ഉത്തരവാദിത്തങ്ങൾ ഈ നയങ്ങൾ വ്യക്തമാക്കണം.

നിങ്ങളുടെ സുരക്ഷാ നയങ്ങൾ ഇവ ഉൾക്കൊള്ളണം:

• ആക്‌സസ് നിയന്ത്രണങ്ങളും പ്രാമാണീകരണ ആവശ്യകതകളും
• ഡാറ്റ വർഗ്ഗീകരണവും എൻക്രിപ്ഷൻ മാനദണ്ഡങ്ങളും
• സംഭവം റിപ്പോർട്ട് ചെയ്യുന്നതിനുള്ള നടപടിക്രമങ്ങൾ
• പതിവ് സുരക്ഷാ അവബോധ പരിശീലനം

എല്ലാ ജീവനക്കാർക്കും വിവര സുരക്ഷാ രീതികളെക്കുറിച്ച് തുടർച്ചയായ പരിശീലനം നൽകണം.

ഇതിൽ ഉൾപ്പെടുന്നു ഫിഷിംഗ് തിരിച്ചറിയൽ ശ്രമങ്ങൾ, സെൻസിറ്റീവ് ഡാറ്റ ശരിയായി കൈകാര്യം ചെയ്യൽ, നിങ്ങളുടെ സംഭവ പ്രതികരണ പദ്ധതി പിന്തുടരൽ.

പ്രത്യേക റോളുകൾക്കനുസൃതമായി പരിശീലനം ക്രമീകരിക്കണം, സാങ്കേതിക ജീവനക്കാർക്ക് ക്രിപ്‌റ്റോഗ്രഫി, സുരക്ഷാ നിയന്ത്രണങ്ങൾ എന്നിവയിൽ വിപുലമായ പരിശീലനം ലഭിക്കും.

നിങ്ങളുടെ നയങ്ങൾ പതിവായി അവലോകനം ചെയ്യുകയും നിയന്ത്രണങ്ങൾ മാറുമ്പോഴോ പുതിയ അപകടസാധ്യതകൾ ഉയർന്നുവരുമ്പോഴോ അപ്‌ഡേറ്റ് ചെയ്യുകയും വേണം.

സൈബർ സുരക്ഷാ രീതികളിൽ നയ നിർവ്വഹണത്തിനും ജീവനക്കാരുടെ വികസനത്തിനും മതിയായ വിഭവങ്ങൾ ഉറപ്പാക്കേണ്ടതുണ്ട്.

സൈബർ സുരക്ഷാ സംഭവങ്ങളുടെ തരങ്ങളും ഉയർന്നുവരുന്ന ഭീഷണികളും

വഞ്ചനാപരമായ ഇമെയിലുകൾ മുതൽ മുഴുവൻ സ്ഥാപനങ്ങളെയും അപകടത്തിലാക്കുന്ന വലിയ തോതിലുള്ള നെറ്റ്‌വർക്ക് തടസ്സങ്ങൾ വരെ സൈബർ സുരക്ഷാ സംഭവങ്ങളിൽ ഉൾപ്പെടുന്നു.

ഈ ഭീഷണികൾ മനസ്സിലാക്കുന്നത്, അപകടസാധ്യതകൾ തിരിച്ചറിയാനും ഒരു ലംഘനം സംഭവിക്കുമ്പോൾ ഉത്തരവാദിത്തം ആരാണെന്ന് നിർണ്ണയിക്കാനും നിങ്ങളെ സഹായിക്കുന്നു.

ഫിഷിംഗ്, മാൽവെയർ, റാൻസംവെയർ

ഫിഷിംഗ് നിങ്ങൾ നേരിടുന്ന ഏറ്റവും സാധാരണമായ സൈബർ സുരക്ഷാ ഭീഷണികളിൽ ഒന്നായി തുടരുന്നു.

നിങ്ങളുടെ പാസ്‌വേഡുകൾ, സാമ്പത്തിക വിവരങ്ങൾ അല്ലെങ്കിൽ മറ്റ് സെൻസിറ്റീവ് ഡാറ്റ മോഷ്ടിക്കുന്നതിനായി ആക്രമണകാരികൾ നിയമാനുസൃത കമ്പനികളിൽ നിന്നാണെന്ന് നടിച്ച് ഇമെയിലുകളോ സന്ദേശങ്ങളോ അയയ്ക്കുന്നു.

ഈ ആക്രമണങ്ങളാണ് 60 ശതമാനത്തിലധികം സോഷ്യൽ എഞ്ചിനീയറിംഗ് സംഭവങ്ങൾക്കും കാരണം.

ക്ഷുദ്രവെയർ നിങ്ങളുടെ കമ്പ്യൂട്ടർ സിസ്റ്റങ്ങളെയോ നെറ്റ്‌വർക്കുകളെയോ നശിപ്പിക്കുന്ന ദോഷകരമായ സോഫ്റ്റ്‌വെയറിനെയാണ് സൂചിപ്പിക്കുന്നത്.

ഇതിൽ വൈറസുകൾ, ട്രോജനുകൾ, നിങ്ങളുടെ ഡാറ്റ ആക്‌സസ് ചെയ്യുന്നതിനോ നിങ്ങളുടെ പ്രവർത്തനങ്ങൾ തടസ്സപ്പെടുത്തുന്നതിനോ രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്ന മറ്റ് ക്ഷുദ്ര കോഡുകൾ എന്നിവ ഉൾപ്പെടുന്നു.

രംസൊമ്വരെ നിങ്ങളുടെ ഫയലുകളിലേക്കുള്ള ആക്‌സസ് തടയുകയും പുനഃസ്ഥാപിക്കുന്നതിന് പണം ആവശ്യപ്പെടുകയും ചെയ്യുന്ന ഒരു പ്രത്യേക തരം മാൽവെയറാണ്.

നിങ്ങൾ മോചനദ്രവ്യം നൽകിയാലും, ആക്രമണകാരികൾ നിങ്ങളുടെ ആക്‌സസ് പുനഃസ്ഥാപിക്കുമെന്നോ മോഷ്ടിച്ച ഡാറ്റ ഇല്ലാതാക്കുമെന്നോ യാതൊരു ഉറപ്പുമില്ല.

2020 നും 2021 നും ഇടയിൽ, സംഘടനകൾ ആഗോളതലത്തിൽ ഏകദേശം 24,000 സൈബർ സുരക്ഷാ സംഭവങ്ങൾ നേരിട്ടു, സാമ്പത്തിക നഷ്ടങ്ങളിൽ റാൻസംവെയർ ഒരു പ്രധാന പങ്ക് വഹിക്കുന്നു.

സേവന നിഷേധ (DoS) ആക്രമണങ്ങളും വിതരണം ചെയ്ത DoS (DDoS) ആക്രമണങ്ങളും

DoS ആക്രമണങ്ങൾ നിയമാനുസൃത ഉപയോക്താക്കൾക്ക് സേവനങ്ങൾ ലഭ്യമാകാതിരിക്കാൻ നിങ്ങളുടെ സിസ്റ്റങ്ങളെ ട്രാഫിക് കൊണ്ട് നിറയ്ക്കുക.

ഒരൊറ്റ ഉറവിടം നിങ്ങളുടെ നെറ്റ്‌വർക്ക് ക്രാഷ് ആകുന്നതുവരെയോ പ്രവർത്തിക്കാൻ വളരെ മന്ദഗതിയിലാകുന്നതുവരെയോ അഭ്യർത്ഥനകൾ കൊണ്ട് നിറയുന്നു.

DDoS ആക്രമണങ്ങൾ നിങ്ങളുടെ ഇൻഫ്രാസ്ട്രക്ചറിനെതിരെ ഏകോപിത ആക്രമണങ്ങൾ നടത്താൻ ഒന്നിലധികം വിട്ടുവീഴ്ച ചെയ്യപ്പെടുന്ന സിസ്റ്റങ്ങൾ ഉപയോഗിക്കുക.

ഈ വ്യാപകമായ ആക്രമണങ്ങൾ ഒരേ സമയം പല സ്ഥലങ്ങളിൽ നിന്ന് വരുന്നതിനാൽ തടയുക ബുദ്ധിമുട്ടാണ്.

സർക്കാർ വെബ്‌സൈറ്റുകൾ മുതൽ സ്വകാര്യ മേഖലയിലെ പ്രവർത്തനങ്ങൾ വരെയുള്ള നിർണായക സേവനങ്ങളെ DDoS ആക്രമണങ്ങൾ തടസ്സപ്പെടുത്തിയേക്കാം.

ഒരു സുരക്ഷാ സംഭവം വലിയ ഒരു ലംഘനമായി മാറുന്നത് തടയാൻ, ആദ്യ കണ്ടെത്തലിൽ നിന്ന് നിങ്ങൾക്ക് സാധാരണയായി 62 മിനിറ്റിൽ താഴെ സമയമേയുള്ളൂ.

DoS അല്ലെങ്കിൽ DDoS ആക്രമണങ്ങൾ നേരിടുമ്പോൾ ദ്രുത പ്രതികരണം അനിവാര്യമാക്കുന്ന ഇടുങ്ങിയ ജാലകം ഇതാണ്.

വഞ്ചനയും അനധികൃത ആക്സസും

വഞ്ചന സൈബർ സുരക്ഷയിൽ നിങ്ങളുടെ സിസ്റ്റങ്ങളിലേക്കോ ഡാറ്റയിലേക്കോ അനധികൃത ആക്‌സസ് നേടുന്നതിനുള്ള വഞ്ചനാപരമായ പ്രവർത്തനങ്ങൾ ഉൾപ്പെടുന്നു.

ഇതിൽ ഐഡന്റിറ്റി മോഷണം, പേയ്‌മെന്റ് തട്ടിപ്പ്, ക്രെഡൻഷ്യൽ വിട്ടുവീഴ്ച എന്നിവ ഉൾപ്പെടുന്നു.

അനധികൃത പ്രവേശനം അനുമതിയില്ലാതെ നെറ്റ്‌വർക്കുകൾ, സിസ്റ്റങ്ങൾ അല്ലെങ്കിൽ ഡാറ്റ ആക്‌സസ് ചെയ്യാൻ ആരെങ്കിലും നിങ്ങളുടെ സുരക്ഷാ നയങ്ങൾ ലംഘിക്കുമ്പോൾ സംഭവിക്കുന്നു.

ഇത് ഇനിപ്പറയുന്നതിലൂടെ സംഭവിക്കാം:

• മോഷ്ടിച്ച പ്രവേശന ക്രെഡൻഷ്യലുകൾ
• ചൂഷണം ചെയ്യപ്പെട്ട സോഫ്റ്റ്‌വെയർ ദുർബലതകൾ
• സുരക്ഷാ നിയന്ത്രണങ്ങൾ മറികടന്നു
• നിലവിലുള്ളതോ മുൻ ജീവനക്കാരിൽ നിന്നോ ഉള്ളിൽ നിന്നുള്ള ഭീഷണികൾ

ആന്തരിക ഡാറ്റാ മോഷണം പലപ്പോഴും അവഗണിക്കപ്പെടുന്നു, പക്ഷേ ബാഹ്യ ആക്രമണങ്ങൾ പോലെ തന്നെ അത് വിനാശകരമായിരിക്കും.

2021-ൽ, ഇൻസൈഡർ ആക്രമണങ്ങളുടെ ശരാശരി ചെലവ് 12.5 ദശലക്ഷം പൗണ്ടിലെത്തി.

കമ്പ്യൂട്ടർ ദുരുപയോഗ നിയമം (1990) പ്രകാരം ജീവനക്കാർ മനഃപൂർവമല്ലാത്ത രീതിയിൽ ഡാറ്റ ചോർത്തുന്നത് പോലും സുരക്ഷാ സംഭവങ്ങളായി കണക്കാക്കും.

മേഖലയുടെയും വിതരണ ശൃംഖലയുടെയും ദുർബലതകൾ

നിർണായകമായ അടിസ്ഥാന സൗകര്യ മേഖലകൾ സൈബർ കുറ്റകൃത്യങ്ങളിൽ നിന്നുള്ള ഉയർന്ന അപകടസാധ്യതകൾ നേരിടുന്നു, ആരോഗ്യ സംരക്ഷണം, ഊർജ്ജം, സാമ്പത്തിക സേവനങ്ങൾ എന്നിവയാണ് പ്രധാന ലക്ഷ്യങ്ങൾ.

2020 നും 2021 നും ഇടയിൽ പ്രൊഫഷണൽ മേഖലയിൽ ഏകദേശം 3,600 സംഭവങ്ങൾ ഉണ്ടായി, ഇത് ഏറ്റവും കൂടുതൽ ലക്ഷ്യമിടുന്ന വ്യവസായമായി മാറി.

വിതരണ ശൃംഖല സുരക്ഷ ആക്രമണകാരികൾ നിങ്ങളെ നേരിട്ട് ആക്രമിക്കുന്നതിനുപകരം നിങ്ങളുടെ പങ്കാളികളെയും മൂന്നാം കക്ഷി വെണ്ടർമാരെയും ലക്ഷ്യമിടുന്നതിനാൽ, ഇത് കൂടുതൽ പ്രാധാന്യമർഹിക്കുന്നു.

നിങ്ങളുടെ പങ്കാളി സ്ഥാപനങ്ങളിലെ ദുർബലമായ സുരക്ഷാ നടപടികൾ ചൂഷണം ചെയ്ത് നിങ്ങളുടെ ക്ലയന്റുകളുടെ ഡാറ്റ ആക്‌സസ് ചെയ്യുന്നതിനാണ് ഈ മൂന്നാം കക്ഷി വെണ്ടർ ആക്രമണങ്ങൾ നടത്തുന്നത്.

സപ്ലൈ ചെയിൻ ദുർബലതകൾ ആക്രമണകാരികൾക്ക് ഒരൊറ്റ ലംഘനത്തിലൂടെ ഒന്നിലധികം സ്ഥാപനങ്ങളിൽ വിട്ടുവീഴ്ച ചെയ്യാൻ അനുവദിക്കുന്നു.

നിങ്ങളുടെ വെണ്ടറുടെ സിസ്റ്റങ്ങൾ നിങ്ങളുടേതുമായി ബന്ധിപ്പിക്കുമ്പോൾ, അവരുടെ സുരക്ഷാ ബലഹീനതകൾ നിങ്ങളുടെ സുരക്ഷാ ബലഹീനതകളായി മാറുന്നു.

പരസ്പരബന്ധിതമായ ഈ അപകടസാധ്യത അർത്ഥമാക്കുന്നത് നിങ്ങളുടെ സ്വന്തം സൈബർ സുരക്ഷാ നടപടികൾ മാത്രമല്ല, നിങ്ങളുടെ വിതരണ ശൃംഖലയിലെ ഓരോ സ്ഥാപനത്തിന്റെയും സൈബർ സുരക്ഷാ നടപടികളും നിങ്ങൾ വിലയിരുത്തണം എന്നാണ്.

രാഷ്ട്രങ്ങൾ എതിരാളികളായ സൈബർ ഇടങ്ങളിൽ കൂടുതൽ പരീക്ഷണം നടത്തുകയും നുഴഞ്ഞുകയറുകയും ചെയ്യുന്നു, പലപ്പോഴും സ്വകാര്യ സ്ഥാപനങ്ങളുടെ മറവിൽ പ്രവർത്തിക്കുകയും സർക്കാരുകൾക്ക് വേണ്ടി പ്രവർത്തിക്കുകയും ചെയ്യുന്നു.

പതിവ് ചോദ്യങ്ങൾ

ഒരു ഡാറ്റാ ലംഘനത്തിന് ശേഷം ഡച്ച് കമ്പനികൾ കർശനമായ റിപ്പോർട്ടിംഗ് ആവശ്യകതകളും അനുസരണ മാനദണ്ഡങ്ങളും പാലിക്കേണ്ടതുണ്ട്, അവരുടെ റോളുകളും ഉത്തരവാദിത്തങ്ങളും അനുസരിച്ച് ഒന്നിലധികം കക്ഷികളിലേക്ക് ബാധ്യത വ്യാപിപ്പിക്കും.

ഈ ബാധ്യതകൾ മനസ്സിലാക്കുന്നത്, ദേശീയ, യൂറോപ്യൻ നിയന്ത്രണങ്ങൾ പാലിക്കുന്നതിനൊപ്പം, സ്വയം പരിരക്ഷിക്കാനും ബാധിക്കപ്പെട്ട വ്യക്തികളെ സംരക്ഷിക്കാനും സ്ഥാപനങ്ങളെ സഹായിക്കുന്നു.

ഡാറ്റാ ലംഘനത്തെത്തുടർന്ന് ഡച്ച് കമ്പനികളുടെ നിയമപരമായ ബാധ്യതകൾ എന്തൊക്കെയാണ്?

ഒരു ഡാറ്റാ ലംഘനത്തെക്കുറിച്ച് അറിഞ്ഞാൽ 72 മണിക്കൂറിനുള്ളിൽ നിങ്ങളുടെ സ്ഥാപനം ഡച്ച് ഡാറ്റാ പ്രൊട്ടക്ഷൻ അതോറിറ്റിയെ (Autoriteit Persoonsgegevens) അറിയിക്കണം.

നെതർലാൻഡ്‌സിലുടനീളമുള്ള ഡാറ്റാ പരിരക്ഷ നിയന്ത്രിക്കുന്ന GDPR-ന് കീഴിൽ ഈ ആവശ്യകത ബാധകമാണ്.

നിങ്ങളുടെ ലംഘന അറിയിപ്പിൽ നിർദ്ദിഷ്ട വിവരങ്ങൾ നൽകേണ്ടതുണ്ട്.

ഇതിൽ ലംഘനത്തിന്റെ സ്വഭാവം, ബാധിച്ച വ്യക്തികളുടെ എണ്ണം, സാധ്യതയുള്ള അനന്തരഫലങ്ങൾ, നിങ്ങൾ സ്വീകരിച്ചതോ സ്വീകരിക്കാൻ പദ്ധതിയിടുന്നതോ ആയ നടപടികൾ എന്നിവ ഉൾപ്പെടുന്നു.

72 മണിക്കൂറിനുള്ളിൽ എല്ലാ വിശദാംശങ്ങളും നൽകാൻ നിങ്ങൾക്ക് കഴിയുന്നില്ലെങ്കിൽ, കാലതാമസത്തിനുള്ള കാരണം വിശദീകരിക്കുകയും ശേഷിക്കുന്ന വിവരങ്ങൾ എത്രയും വേഗം സമർപ്പിക്കുകയും വേണം.

വ്യക്തികളുടെ അവകാശങ്ങൾക്കും സ്വാതന്ത്ര്യങ്ങൾക്കും ലംഘനം ഉയർന്ന അപകടസാധ്യത സൃഷ്ടിക്കുമ്പോൾ, നിങ്ങൾ നേരിട്ട് ബാധിത വ്യക്തികളെ അറിയിക്കുകയും വേണം.

ന്യായമായ കാരണങ്ങളില്ലാതെ നിങ്ങൾക്ക് ഈ അറിയിപ്പ് വൈകിപ്പിക്കാൻ കഴിയില്ല.

ബാധിത വ്യക്തികളുമായുള്ള നിങ്ങളുടെ ആശയവിനിമയം വ്യക്തവും ലംഘനത്തിന്റെ സാധ്യതയുള്ള അനന്തരഫലങ്ങളും സ്വയം പരിരക്ഷിക്കാൻ അവർക്ക് എന്തെല്ലാം നടപടികൾ സ്വീകരിക്കാനാകുമെന്ന് വിശദീകരിക്കുന്നതുമായിരിക്കണം.

അധികാരികളെ അറിയിച്ചാലും ഇല്ലെങ്കിലും, എല്ലാ ഡാറ്റാ ലംഘനങ്ങളുടെയും വിശദമായ ഡോക്യുമെന്റേഷൻ നിങ്ങൾ സൂക്ഷിക്കണം.

ഈ ഡോക്യുമെന്റേഷനിൽ ലംഘനത്തെ ചുറ്റിപ്പറ്റിയുള്ള വസ്തുതകൾ, അതിന്റെ ഫലങ്ങൾ, സ്വീകരിച്ച പരിഹാര നടപടികൾ എന്നിവ ഉൾപ്പെടുത്തണം.

പരിശോധനകളിലോ അന്വേഷണങ്ങളിലോ ഡച്ച് ഡാറ്റാ പ്രൊട്ടക്ഷൻ അതോറിറ്റിക്ക് ഈ ഡോക്യുമെന്റേഷൻ അഭ്യർത്ഥിക്കാം.

നെതർലാൻഡ്‌സ് നിയമപ്രകാരം ഡാറ്റാ ലംഘനങ്ങൾക്കുള്ള ബാധ്യത എങ്ങനെയാണ് നിർണ്ണയിക്കുന്നത്?

നെതർലാൻഡ്‌സിലെ ഡാറ്റാ ലംഘനങ്ങൾക്കുള്ള ബാധ്യത ഒരു ഡാറ്റ കൺട്രോളർ അല്ലെങ്കിൽ ഡാറ്റ പ്രോസസ്സർ എന്ന നിലയിലുള്ള നിങ്ങളുടെ പങ്കിനെ ആശ്രയിച്ചിരിക്കുന്നു.

വ്യക്തിഗത ഡാറ്റ പ്രോസസ്സ് ചെയ്യുന്നതിനുള്ള ഉദ്ദേശ്യങ്ങളും മാർഗങ്ങളും ഡാറ്റ കൺട്രോളർമാർ നിർണ്ണയിക്കുന്നു, അതേസമയം ഡാറ്റ പ്രോസസ്സറുകൾ കൺട്രോളർമാർക്ക് വേണ്ടി ഡാറ്റ കൈകാര്യം ചെയ്യുന്നു.

നിങ്ങളുടെ നിയമപരമായ ഉത്തരവാദിത്തങ്ങൾ ഈ വർഗ്ഗീകരണത്തെ അടിസ്ഥാനമാക്കി വ്യത്യാസപ്പെടുന്നു.

ഒരു ഡാറ്റ കൺട്രോളർ എന്ന നിലയിൽ, ഡാറ്റാ സംരക്ഷണ ചട്ടങ്ങൾ പാലിക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കുന്നതിനുള്ള പ്രാഥമിക ഉത്തരവാദിത്തം നിങ്ങൾക്കാണ്.

വ്യക്തിഗത ഡാറ്റ സംരക്ഷിക്കുന്നതിന് നിങ്ങൾ ഉചിതമായ സാങ്കേതികവും സംഘടനാപരവുമായ നടപടികൾ നടപ്പിലാക്കണം.

ലംഘനം തടയാൻ നിങ്ങൾ ന്യായമായ നടപടികൾ സ്വീകരിച്ചിട്ടുണ്ടോ എന്നും നിങ്ങളുടെ സുരക്ഷാ നടപടികളിൽ അശ്രദ്ധ കാണിച്ചോ എന്നും കോടതികൾ വിലയിരുത്തുന്നു.

കൺട്രോളറുടെ നിർദ്ദേശങ്ങൾ പാലിക്കുന്നതിൽ പരാജയപ്പെടുകയോ കരാർ ബാധ്യതകൾ ലംഘിക്കുകയോ ചെയ്താൽ ഡാറ്റാ പ്രോസസ്സർമാർക്ക് ബാധ്യത നേരിടേണ്ടിവരും.

എന്നിരുന്നാലും, പ്രോസസ്സറുകൾക്ക് സാധാരണയായി കൺട്രോളറുകളേക്കാൾ പരിമിതമായ ബാധ്യതയാണുള്ളത്.

കൺട്രോളറിൽ നിന്നുള്ള ശരിയായ അനുമതിയില്ലാതെ നിങ്ങൾ ഡാറ്റ പ്രോസസ്സ് ചെയ്യുകയോ അല്ലെങ്കിൽ സമ്മതിച്ച സുരക്ഷാ നടപടികൾ നടപ്പിലാക്കുന്നതിൽ പരാജയപ്പെടുകയോ ചെയ്താൽ, നിങ്ങൾ നേരിട്ട് ഉത്തരവാദിയായിരിക്കും.

ബാധ്യത നിർണ്ണയിക്കുമ്പോൾ ഡച്ച് കോടതികൾ നിരവധി ഘടകങ്ങൾ പ്രയോഗിക്കുന്നു.

ഇതിൽ ലംഘനത്തിന്റെ തീവ്രത, അപഹരിക്കപ്പെട്ട ഡാറ്റയുടെ സംവേദനക്ഷമത, ലംഘനത്തിന് മുമ്പുള്ള നിങ്ങളുടെ സുരക്ഷാ നടപടികൾ, സംഭവം കണ്ടെത്തിയതിന് ശേഷമുള്ള നിങ്ങളുടെ പ്രതികരണം എന്നിവ ഉൾപ്പെടുന്നു.

കോടതികൾ ന്യായമായ സുരക്ഷാ നടപടികൾ പരിഗണിക്കുന്നതിനെ നിങ്ങളുടെ സ്ഥാപനത്തിന്റെ വലിപ്പവും വിഭവങ്ങളും സ്വാധീനിക്കുന്നു.

ഒന്നിലധികം കക്ഷികൾ ഡാറ്റാ ലംഘനത്തിന് സംഭാവന നൽകുമ്പോൾ സംയുക്ത ബാധ്യത ഉണ്ടാകാം.

മറ്റ് കൺട്രോളർമാരുമായോ പ്രോസസ്സറുകളുമായോ നിങ്ങൾ ഉത്തരവാദിത്തം പങ്കിടുകയാണെങ്കിൽ, കോടതികൾ ഓരോ കക്ഷിയെയും മുഴുവൻ നാശനഷ്ടങ്ങൾക്കും ഉത്തരവാദികളാക്കിയേക്കാം.

തുടർന്ന് ഉത്തരവാദിത്തപ്പെട്ട മറ്റ് കക്ഷികളിൽ നിന്ന്, ലംഘനത്തിന് അവർ നൽകിയ സംഭാവനകളുടെ അടിസ്ഥാനത്തിൽ നിങ്ങൾക്ക് നഷ്ടപരിഹാരം തേടാം.

നെതർലാൻഡ്‌സിലെ ഡാറ്റാ സുരക്ഷാ സംഭവങ്ങൾക്ക് ഏതൊക്കെ കക്ഷികളെയാണ് ഉത്തരവാദികളാക്കാൻ കഴിയുക?

ഡാറ്റാ സുരക്ഷാ സംഭവങ്ങൾക്ക് പ്രാഥമിക ഉത്തരവാദിത്തം ഡാറ്റാ കൺട്രോളർമാരാണ് വഹിക്കുന്നത്.

ഒരു കൺട്രോളർ എന്ന നിലയിൽ, വ്യക്തിഗത ഡാറ്റ എങ്ങനെ പ്രോസസ്സ് ചെയ്യണമെന്ന് നിങ്ങൾ തീരുമാനിക്കുകയും ഉചിതമായ സുരക്ഷാ നടപടികൾ നിലവിലുണ്ടെന്ന് ഉറപ്പാക്കുകയും വേണം.

ഒരു ലംഘനത്തെത്തുടർന്ന് നിങ്ങളുടെ സ്ഥാപനത്തിന് അഡ്മിനിസ്ട്രേറ്റീവ് പിഴകൾ, സിവിൽ ബാധ്യത, പ്രശസ്തിക്ക് കേടുപാടുകൾ എന്നിവ നേരിടേണ്ടി വന്നേക്കാം.

കരാർ പ്രകാരമുള്ളതും നിയമപരമായതുമായ ബാധ്യതകൾ നിറവേറ്റുന്നതിൽ പരാജയപ്പെടുമ്പോൾ ഡാറ്റാ പ്രോസസ്സർമാരെ ഉത്തരവാദിത്തപ്പെടുത്താവുന്നതാണ്.

ഒരു കൺട്രോളറുടെ പേരിൽ നിങ്ങൾ ഡാറ്റ പ്രോസസ്സ് ചെയ്യുകയാണെങ്കിൽ, നിങ്ങളുടെ കരാറിൽ വ്യക്തമാക്കിയ സുരക്ഷാ നടപടികൾ നിങ്ങൾ നടപ്പിലാക്കുകയും കൺട്രോളറുടെ നിയമപരമായ നിർദ്ദേശങ്ങൾ പാലിക്കുകയും വേണം.

നിങ്ങളുടെ അധികാരപരിധി ലംഘിച്ചാലോ മതിയായ സുരക്ഷ നിലനിർത്തുന്നതിൽ പരാജയപ്പെട്ടാലോ നിങ്ങൾക്ക് നേരിട്ടുള്ള ബാധ്യത നേരിടേണ്ടിവരും.

ചില പ്രത്യേക സാഹചര്യങ്ങളിൽ നിങ്ങളുടെ സ്ഥാപനത്തിന്റെ ഡയറക്ടർമാരും ഓഫീസർമാരും വ്യക്തിപരമായ ബാധ്യത നേരിടേണ്ടി വന്നേക്കാം.

നെതർലാൻഡിൽ NIS2 ഡയറക്റ്റീവ് നടപ്പിലാക്കൽ പ്രകാരം, സൈബർ സുരക്ഷാ ഭരണത്തിലെ പരാജയങ്ങൾക്ക് മാനേജ്‌മെന്റിനെ വ്യക്തിപരമായി ഉത്തരവാദിയാക്കാം.

ഗുരുതരമായ ലംഘനങ്ങൾ സംഭവിച്ചാൽ ഡയറക്ടറായി സേവനമനുഷ്ഠിക്കുന്നതിൽ നിന്ന് അയോഗ്യനാക്കപ്പെടാനുള്ള സാധ്യതയും ഇതിൽ ഉൾപ്പെടുന്നു.

സുരക്ഷാ സംഭവങ്ങൾക്ക് മൂന്നാം കക്ഷി സേവന ദാതാക്കൾക്കും ഉത്തരവാദിത്തം വഹിക്കാൻ കഴിയും.

നിങ്ങൾ ക്ലൗഡ് സേവനങ്ങളെയോ, ഐടി പിന്തുണയെയോ, മറ്റ് ബാഹ്യ ദാതാക്കളെയോ ആശ്രയിക്കുകയാണെങ്കിൽ, അവരുടെ പരാജയങ്ങൾ ഒരു ലംഘനത്തിന് കാരണമാകുമ്പോൾ അവർ ഉത്തരവാദിത്തം പങ്കിട്ടേക്കാം.

ഈ ദാതാക്കളുമായുള്ള നിങ്ങളുടെ കരാറുകളിൽ സുരക്ഷാ ഉത്തരവാദിത്തങ്ങളും ബാധ്യതാ നിബന്ധനകളും വ്യക്തമായി നിർവചിച്ചിരിക്കണം.

ഡച്ച് ഡാറ്റാ പ്രൊട്ടക്ഷൻ അതോറിറ്റിയാണ് പ്രാഥമിക നിർവ്വഹണ സ്ഥാപനമായി പ്രവർത്തിക്കുന്നത്.

ലംഘനങ്ങൾക്ക് നേരിട്ട് ബാധ്യസ്ഥരല്ലെങ്കിലും, അതോറിറ്റി സംഭവങ്ങൾ അന്വേഷിക്കുകയും തിരുത്തൽ ഉത്തരവുകൾ പുറപ്പെടുവിക്കുകയും അനുസരിക്കാത്ത സ്ഥാപനങ്ങൾക്ക് ഭരണപരമായ പിഴ ചുമത്തുകയും ചെയ്യുന്നു.

ഡച്ച് ഡാറ്റാ പ്രൊട്ടക്ഷൻ ചട്ടങ്ങൾ പാലിക്കാത്തതിന് സ്ഥാപനങ്ങൾ എന്ത് പ്രത്യാഘാതങ്ങളാണ് നേരിടുന്നത്?

നിങ്ങളുടെ സ്ഥാപനത്തിന് 20 മില്യൺ യൂറോ വരെ അല്ലെങ്കിൽ നിങ്ങളുടെ ആഗോള വാർഷിക വിറ്റുവരവിന്റെ 4% വരെ പിഴ ചുമത്താം, ഏതാണോ ഉയർന്ന തുക അത്. ലംഘനത്തിന്റെ സ്വഭാവം, തീവ്രത, ദൈർഘ്യം, അന്വേഷണങ്ങളിലെ നിങ്ങളുടെ സഹകരണം എന്നിവയെ അടിസ്ഥാനമാക്കിയാണ് ഡച്ച് ഡാറ്റ പ്രൊട്ടക്ഷൻ അതോറിറ്റി പിഴ തുകകൾ നിശ്ചയിക്കുന്നത്.

സാമ്പത്തിക പിഴകൾക്കപ്പുറം, നിങ്ങളുടെ പ്രവർത്തനങ്ങളെ തടസ്സപ്പെടുത്തുന്ന തിരുത്തൽ നടപടികൾ അതോറിറ്റിക്ക് ചുമത്താൻ കഴിയും. ഡാറ്റ പ്രോസസ്സിംഗ് പ്രവർത്തനങ്ങളിൽ താൽക്കാലിക നിയന്ത്രണങ്ങൾ, നിർദ്ദിഷ്ട ലംഘനങ്ങൾ തിരുത്താനുള്ള ഉത്തരവുകൾ, നിർബന്ധിത ഓഡിറ്റുകൾ എന്നിവ ഈ നടപടികളിൽ ഉൾപ്പെടുന്നു.

നിങ്ങൾ നിയമങ്ങൾ പാലിക്കുന്നത് തെളിയിക്കുന്നത് വരെ ചില ബിസിനസ്സ് പ്രവർത്തനങ്ങൾ താൽക്കാലികമായി നിർത്തിവയ്ക്കേണ്ടി വന്നേക്കാം. പാലിക്കാത്തതിനാൽ നിങ്ങളുടെ സ്ഥാപനത്തിന് കാര്യമായ പ്രശസ്തി നഷ്ടപ്പെടാനുള്ള സാധ്യതയുണ്ട്.

ഡാറ്റാ ലംഘനങ്ങളും നിയന്ത്രണ പിഴകളും പരസ്യമായി വെളിപ്പെടുത്തുന്നത് ഉപഭോക്തൃ വിശ്വാസത്തെ ഇല്ലാതാക്കുകയും ബിസിനസ് ബന്ധങ്ങളെ തകർക്കുകയും ചെയ്യും. ഡച്ച് ഡാറ്റാ പ്രൊട്ടക്ഷൻ അതോറിറ്റി എൻഫോഴ്‌സ്‌മെന്റ് തീരുമാനങ്ങൾ പ്രസിദ്ധീകരിക്കുന്നു, അവ പൊതുജനങ്ങൾക്കും മാധ്യമങ്ങൾക്കും ആക്‌സസ് ചെയ്യാൻ കഴിയും.

നാശനഷ്ടങ്ങൾക്ക് നഷ്ടപരിഹാരം ആവശ്യപ്പെട്ട് ബാധിത വ്യക്തികളിൽ നിന്ന് നിങ്ങൾക്ക് സിവിൽ കേസുകൾ നേരിടേണ്ടി വന്നേക്കാം. ഡാറ്റാ പരിരക്ഷണ ലംഘനങ്ങളുടെ ഫലമായുണ്ടാകുന്ന സാരവത്തായതും സാരവത്തായതുമായ നാശനഷ്ടങ്ങൾക്ക് വ്യക്തികൾക്ക് ക്ലെയിം ചെയ്യാൻ കഴിയും.

നേരിട്ടുള്ള സാമ്പത്തിക നഷ്ടങ്ങൾ ഇല്ലാതെ പോലും, വ്യക്തിഗത ഡാറ്റയുടെ മേലുള്ള ദുരിതത്തിനും നിയന്ത്രണം നഷ്ടപ്പെടുന്നതിനുമുള്ള അവകാശവാദങ്ങൾ ഡച്ച് കോടതികൾ കൂടുതലായി അംഗീകരിച്ചിട്ടുണ്ട്. ഗുരുതരമായ ലംഘനങ്ങൾക്ക് ശേഷം നിങ്ങളുടെ ബിസിനസ്സ് അവസരങ്ങൾ നിയന്ത്രിക്കപ്പെട്ടേക്കാം.

ചില മേഖലകൾക്ക് കരാറുകൾ നിലനിർത്തുന്നതിന് സുരക്ഷാ സർട്ടിഫിക്കേഷനുകളോ അനുസരണ രേഖകളോ ആവശ്യമാണ്, പ്രത്യേകിച്ച് സർക്കാർ സ്ഥാപനങ്ങളുമായോ നിയന്ത്രിത വ്യവസായങ്ങളുമായോ ഇടപെടുമ്പോൾ.

നെതർലാൻഡിൽ ഒരു ഡാറ്റാ ലംഘനത്തിന് ശേഷം ബാധിതരായ വ്യക്തികൾക്ക് ഏതൊക്കെ വിധങ്ങളിൽ പരിഹാരം തേടാം?

ഒരു സ്ഥാപനം നിങ്ങളുടെ ഡാറ്റാ സംരക്ഷണ അവകാശങ്ങൾ ലംഘിച്ചുവെന്ന് നിങ്ങൾ കരുതുന്നുവെങ്കിൽ, നിങ്ങൾക്ക് ഡച്ച് ഡാറ്റാ പ്രൊട്ടക്ഷൻ അതോറിറ്റിയിൽ പരാതി നൽകാം. അതോറിറ്റി പരാതികൾ അന്വേഷിക്കുകയും അനുസരിക്കാത്ത സ്ഥാപനങ്ങൾക്കെതിരെ നടപടിയെടുക്കുകയും ചെയ്യും.

ഈ പ്രക്രിയയ്ക്ക് നിങ്ങൾക്ക് യാതൊരു ചെലവുമില്ല, നിയമപരമായ പ്രാതിനിധ്യവും ആവശ്യമില്ല. ഉത്തരവാദിത്തപ്പെട്ട സ്ഥാപനത്തിനെതിരെ സിവിൽ കേസ് നടത്താൻ നിങ്ങൾക്ക് അവകാശമുണ്ട്.

ഡാറ്റാ പരിരക്ഷണ ലംഘനങ്ങൾ മൂലമുണ്ടാകുന്ന ഭൗതികവും ഭൗതികമല്ലാത്തതുമായ നാശനഷ്ടങ്ങൾക്ക് നഷ്ടപരിഹാരം ക്ലെയിം ചെയ്യാൻ ഡച്ച് നിയമം നിങ്ങളെ അനുവദിക്കുന്നു. ഭൗതിക നാശനഷ്ടങ്ങളിൽ സാമ്പത്തിക നഷ്ടങ്ങൾ ഉൾപ്പെടുന്നു, അതേസമയം ഭൗതികമല്ലാത്ത നാശനഷ്ടങ്ങളിൽ ദുരിതം, ഉത്കണ്ഠ, നിങ്ങളുടെ സ്വകാര്യ ഡാറ്റയുടെ മേലുള്ള നിയന്ത്രണം നഷ്ടപ്പെടൽ എന്നിവ ഉൾപ്പെടുന്നു.

നിങ്ങളുടെ ക്ലെയിം അടിയന്തര സാഹചര്യങ്ങളിൽ കൈകാര്യം ചെയ്യാൻ നിങ്ങൾക്ക് ഒരു അഭിഭാഷകനെ സമീപിക്കാം അല്ലെങ്കിൽ സാമ്പത്തിക യോഗ്യതാ മാനദണ്ഡങ്ങൾ പാലിക്കുന്നുണ്ടെങ്കിൽ നിയമ സഹായം തേടാം. നെതർലാൻഡ്‌സിലെ പല നിയമ സ്ഥാപനങ്ങളും ഡാറ്റ സംരക്ഷണ കേസുകളിൽ വൈദഗ്ദ്ധ്യം നേടിയിട്ടുണ്ട്, കൂടാതെ നിങ്ങളുടെ ക്ലെയിമിന്റെ ശക്തിയെക്കുറിച്ച് നിങ്ങളെ ഉപദേശിക്കാനും കഴിയും.

ക്ലാസ് ആക്ഷൻ സംവിധാനങ്ങൾ ബാധിതരായ വ്യക്തികളുടെ ഗ്രൂപ്പുകൾക്ക് കൂട്ടായി ക്ലെയിമുകൾ ഉന്നയിക്കാൻ അനുവദിക്കുന്നു. കോടതിയിൽ പോകാതെ തന്നെ നിങ്ങൾക്ക് സ്ഥാപനത്തിൽ നിന്ന് നേരിട്ട് നഷ്ടപരിഹാരം തേടാം.

വ്യവഹാര ചെലവുകളും നെഗറ്റീവ് പ്രചാരണവും ഒഴിവാക്കാൻ പല സ്ഥാപനങ്ങളും സ്വകാര്യമായി ക്ലെയിമുകൾ തീർപ്പാക്കാൻ ഇഷ്ടപ്പെടുന്നു. സ്ഥാപനം ഡാറ്റാ സംരക്ഷണ ചട്ടങ്ങൾ വ്യക്തമായി ലംഘിച്ചാലോ അല്ലെങ്കിൽ ലംഘനം കാര്യമായ ദോഷം വരുത്തിയാലോ നിങ്ങളുടെ ചർച്ചാ നിലപാട് ശക്തമാകും.

ലംഘനത്തിന് ഡാറ്റാ പ്രോസസ്സർമാർ ഉത്തരവാദികളാണെങ്കിൽ, നിങ്ങൾക്ക് അവർക്കെതിരെ ക്ലെയിമുകൾ പിന്തുടരാനും കഴിയും. GDPR പ്രകാരം, കൺട്രോളറുകളും പ്രോസസ്സറുകളും നാശനഷ്ടങ്ങൾക്ക് ഉത്തരവാദികളായിരിക്കും.

ഒന്നിലധികം കക്ഷികൾ ലംഘനത്തിന് കാരണക്കാരാണെങ്കിൽ, ഉത്തരവാദിത്തപ്പെട്ട ഏതൊരു കക്ഷിയിൽ നിന്നും നിങ്ങൾക്ക് മുഴുവൻ തുകയും അവകാശപ്പെടാം.

നെതർലാൻഡിൽ പ്രവർത്തിക്കുന്ന സ്ഥാപനങ്ങളുടെ ഡാറ്റാ ലംഘനം ഉണ്ടായാൽ GDPR ബാധ്യതയെയും ഉത്തരവാദിത്തങ്ങളെയും എങ്ങനെ സ്വാധീനിക്കുന്നു?

വ്യക്തിഗത ഡാറ്റയുടെ സംരക്ഷണവുമായി ബന്ധപ്പെട്ട് സ്ഥാപനങ്ങൾക്ക് GDPR വ്യക്തമായ ബാധ്യതകൾ സ്ഥാപിക്കുന്നു.

ഡാറ്റ സുരക്ഷ ഉറപ്പാക്കാൻ സ്ഥാപനങ്ങൾ ഉചിതമായ സാങ്കേതികവും സംഘടനാപരവുമായ നടപടികൾ നടപ്പിലാക്കണം.

ഡാറ്റാ ലംഘനം ഉണ്ടായാൽ, 72 മണിക്കൂറിനുള്ളിൽ ബന്ധപ്പെട്ട മേൽനോട്ട അധികാരിയെ അറിയിക്കാൻ സ്ഥാപനങ്ങൾക്ക് ബാധ്യതയുണ്ട്.

വ്യക്തികളുടെ അവകാശങ്ങൾക്കും സ്വാതന്ത്ര്യങ്ങൾക്കും ലംഘനം ഉയർന്ന അപകടസാധ്യത ഉയർത്തുന്നുവെങ്കിൽ, ബാധിച്ച വ്യക്തികളെയും അറിയിക്കണം.

ഈ ആവശ്യകതകൾ പാലിക്കുന്നതിൽ പരാജയപ്പെടുന്നത് സ്ഥാപനത്തിന് ഗണ്യമായ പിഴയും പ്രശസ്തിക്ക് കോട്ടവും വരുത്തിവച്ചേക്കാം.

GDPR പ്രകാരം ഡാറ്റാ കൺട്രോളറുകൾക്കും പ്രോസസ്സറുകൾക്കും വ്യത്യസ്ത ഉത്തരവാദിത്തങ്ങളുണ്ട്, കൂടാതെ കരാറുകൾ ഈ റോളുകളെ വ്യക്തമായി നിർവചിക്കേണ്ടതുണ്ട്.