Hollanda'da her gün veri ihlalleri yaşanıyor. Böyle durumlarda birilerinin harekete geçmesi gerekiyor. sorumluluk.

Hollanda yasalarına ve GDPR'ye göre, kişisel verileri kontrol eden kuruluşlar öncelikle bu verileri korumakla yükümlüdür ve bu konuda yaptırımlarla karşı karşıyadır. önemli sorumluluk ihlaller meydana geldiğinde. İşletmeniz zarar görürse cyberattackBu durumda, tutarlardan hangisi daha yüksekse ona bağlı olarak, 20 milyon Euro'ya kadar veya yıllık küresel cironuzun %4'üne kadar para cezasıyla karşı karşıya kalabilirsiniz.

Hollanda'da faaliyet gösteren her kuruluş için veri ihlalinden sonra sorumluluğun kimde olduğunu anlamak çok önemlidir. Cevap her zaman basit değildir, çünkü sorumluluk şirketinizin ötesine geçerek üçüncü taraf hizmet sağlayıcıları, çalışanlar ve veri işlemeye dahil olan diğer tarafları da kapsayabilir.

Hollanda Veri Koruma Kurumu ve diğer düzenleyici kurumlar, veri sorumlusu veya veri işleyicisi rolünüze, uyguladığınız güvenlik önlemlerine ve olaya ne kadar hızlı yanıt verdiğinize bağlı olarak sorumluluğu belirler.

Bu makale, Hollanda'da siber güvenliği düzenleyen yasal çerçeveyi ele alıyor ve bir ihlal sonrasında sorumluluğun nasıl belirlendiğini açıklıyor. Bildirim yükümlülükleriniz, uyumsuzluk durumunda karşılaşacağınız cezalar ve kuruluşunuzu hem siber saldırılardan hem de yasal sonuçlardan korumak için atabileceğiniz pratik adımlar hakkında bilgi edineceksiniz.

Siber Güvenlik ve Veri Korumasına İlişkin Yasal Çerçeve

Hollanda, AB çapındaki düzenlemeleri ulusal uygulama yasalarıyla birleştiren çok katmanlı siber güvenlik ve veri koruma mevzuatı altında faaliyet göstermektedir. Bu yasalar, kişisel verileri işleyen ve kritik altyapıyı işleten kuruluşlar için açık yükümlülükler belirlemektedir.

Telekomünikasyon, finans ve diğer sektörler için özel şartlar oluşturuyorlar. hukuk icra.

Genel Veri Koruma Yönetmeliği (GDPR) ve Hollanda'daki Uygulaması

MKS KVKK birincil olarak hizmet eder veri koruma çerçevesi Hollanda da dahil olmak üzere AB genelinde geçerlidir. Kişisel verilerin işlenmesi için kapsamlı kurallar belirler ve kuruluşların bilgileri korumak için uygun teknik ve organizasyonel önlemleri uygulamalarını gerektirir.

Hollanda, GDPR'ı şu yollarla uygulamaya koydu: Hollanda GDPR Uygulama Yasası (GDPR Uygulama YasasıBu yasa, AB gerekliliklerini Hollanda yasalarına uyarlamaktadır. Bu yasa, Avrupa standartlarıyla uyumu korurken ulusal koşullar için özel hükümler içermektedir.

Hollanda Veri Koruma Kurumu'nu yetkilendirir (Hollanda Veri Koruma Kurumu) denetimden sorumlu denetim organı olarak.

GDPR kapsamında bildirimde bulunmanız gerekmektedir. veri ihlalleri İhlallerin farkına varılmasından itibaren 72 saat içinde denetleyici makama bildirilmelidir. İhlaller bireylerin hak ve özgürlükleri için yüksek risk oluşturuyorsa, etkilenen kişilere de gecikmeksizin bildirimde bulunulmalıdır.

Bu bildirim gereklilikleri, Hollanda'da sözleşme ihlalinden kaynaklanan sorumluluğun temelini oluşturmaktadır.

MKS Verzamelwet Gegevensbescherming (Toplu Veri Koruma Yasası), GDPR standartlarına uyum sağlamak için çeşitli Hollanda yasalarını daha da geliştiriyor. Bu, farklı yasal alanlarda tutarlılık sağlıyor.

Siber Güvenlik Yasası ve NIS2 Direktifi

MKS NIS2 Direktifi Bu direktif, AB genelinde temel ve önemli kuruluşlar için siber güvenlik gereksinimlerini önemli ölçüde genişletiyor. Hollanda bu direktifi, güncellemeler yoluyla uygulamaya koyuyor. Sibergüvenlik yasası (Hollanda Siber Güvenlik Yasası), ilk NIS Direktifi'ni esas alan yasadır.

NIS2, kapsanan sektörlerin kapsamını genişletiyor ve daha sıkı güvenlik gereksinimleri, olay bildirim yükümlülükleri ve yönetim sorumluluğu hükümleri getiriyor. Belirli risk yönetimi önlemlerini uygulamanız ve önemli olayları farkına vardıktan sonra 24 saat içinde bildirmeniz gerekmektedir.

MKS Ağ ve Bilgi Sistemleri Güvenliği Yasası ve beraberindeki Ağ ve Bilgi Sistemleri Güvenliği Kararnamesi Temel hizmet operatörleri ve dijital hizmet sağlayıcıları için ayrıntılı gereksinimler belirler. Bu yasalar, temel güvenlik önlemlerini, düzenli denetimleri ve ulusal siber güvenlik otoriteleriyle koordinasyonu zorunlu kılar.

Mevzuat, farklı sektörler için belirli yetkili merciler atamaktadır. Bu, siber güvenlik uygulamalarının uzmanlaşmış bir şekilde denetlenmesini sağlar.

Diğer İlgili Kanunlar ve Direktifler

MKS AB eGizlilik Direktifi Elektronik iletişim gizliliğini ele alarak GDPR'ı tamamlar. Çerezler ve benzer teknolojiler için onay gerektirir ve iletişim verilerinin gizliliğini korur.

MKS Telekomünikasyon Yasası (Telekomünikasyon ıslakBu yasa, telekomünikasyon sağlayıcılarına ağ bütünlüğünü ve kullanıcı verilerini koruma gereklilikleri de dahil olmak üzere belirli güvenlik yükümlülükleri getiriyor. Bu yasa, iletişim sektöründe kapsamlı koruma sağlamak için veri koruma yasalarıyla birlikte çalışmaktadır.

MKS Kritik Varlıkların Dirençliliği Yasası (CRA), kamu güvenliği ve ekonomik istikrar açısından kritik öneme sahip kuruluşlar için fiziksel ve siber güvenlik gereksinimlerini güçlendirir. Standart siber güvenlik hükümlerinin ötesinde risk değerlendirmeleri ve dayanıklılık önlemleri gerektirir.

Bu çerçeveler, üst üste binen yükümlülükler yaratır. Birden fazla sektörde faaliyet gösterirken veya çeşitli veri türlerini işlerken bu çerçeveler arasında yol almanız gerekir.

Sektöre Özel Düzenlemeler

MKS Finansal Denetim Yasası (Islak op het finansal toezicht(Kanun, finans kuruluşları için katı siber güvenlik ve veri koruma gereksinimleri belirler.) Finans sektöründe faaliyet gösterirken sağlam güvenlik kontrolleri, olay müdahale prosedürleri ve düzenli test protokolleri uygulamanız gerekir.

Kanun uygulayıcı kuruluşlar, aşağıdakiler kapsamında özel gereksinimlerle karşı karşıyadır: Polis Veri Yasası (Islak politiegegevens) Ve Sokaklarda ıslak adalet (Yargı ve Ceza Usulü Veri Kanunu). Bu kanunlar, polis ve yargı mercilerinin soruşturmalar ve ceza yargılamaları sırasında kişisel verileri nasıl topladığını, işlediğini ve koruduğunu düzenler.

Sağlık hizmeti sağlayıcıları, standart GDPR gerekliliklerinin ötesinde ek gizlilik koruma önlemlerine uymak zorundadır. Bu durum, tıbbi bilgilerin hassas doğasını yansıtmaktadır.

Enerji, ulaşım ve su sektörleri, NIS2 uygulamasında belirli yükümlülüklerle karşı karşıya olup, operasyonel risklerine uygun özel güvenlik önlemlerine tabidir.

Her sektöre özgü düzenleme, kendine özgü uyumluluk yükümlülükleri getirir. Kuruluşunuzun faaliyetlerine ve veri işleme işlemlerine hangi yasaların uygulanacağını belirlemek çok önemlidir.

Veri İhlali Sonrasında Sorumluluğun Belirlenmesi

Hollanda'da, veri ihlalinden doğan sorumluluk, kişisel verilerin işlenmesindeki rolünüze bağlıdır. güvenlik önlemleri Uyguladığınız yöntemler ve raporlama gerekliliklerine uyup uymadığınız dikkate alınır. Hollanda Veri Koruma Kurumu ve diğer denetleyici kurumlar, sorumluluğu bu yöntemlere göre belirler. yasal yükümlülükler GDPR ve ulusal siber güvenlik yasaları kapsamında.

Sorumluluğun Tanımlanması: Veri Sorumluları, Veri İşleyicileri ve Üçüncü Taraflar

Bir olaydan sonraki sorumluluğunuz kişisel veri ihlali Bu, sizin nasıl davrandığınıza bağlıdır. veri kontrolü veya veri işleyicisi. Veri denetleyicileri, kişisel verilerin nasıl ve neden işleneceğine karar verir ve bu nedenle güvenlik olaylarından öncelikle onlar sorumludur.

Veri işleyiciler, veri sorumluları adına verileri işler ve talimatları aşmaları veya yeterli güvenlik önlemlerini uygulamamaları durumunda sorumlulukla karşı karşıya kalırlar.

Dijital hizmet sağlayıcıları gibi üçüncü tarafların ayrı sorumlulukları vardır. Harici tedarikçiler kullanıyorsanız, sizin adınıza veri işledikleri zaman onların eylemlerinden siz sorumlu olmaya devam edersiniz.

Sözleşmelerinizde güvenlik yükümlülükleri ve olay müdahale prosedürleri belirtilmelidir.

Birden fazla tarafın dahil olduğu durumlarda sorumluluk paylaşılabilir. Hem siz hem de veri işleyiciniz teknik ve organizasyonel önlemleri uygulamakta başarısız olduysanız, her ikiniz de Autoriteit Persoonsgegevens'ten (Kişisel Veri Koruma Kurumu) ceza alabilirsiniz.

Denetleme makamı, sorumluluğu belirlemek için ihlalde yer alan her tarafın rolünü inceler.

Denetleyici Kurumlar ve Düzenleyici Roller

Hollanda Veri Koruma Kurumu (Autoriteit Persoonsgegevens), GDPR uyumluluğunun uygulanmasından sorumludur. Kişisel veri ihlallerini, olayın farkına vardığınız andan itibaren 72 saat içinde bu denetleyici kuruma bildirmeniz gerekmektedir.

Olay bildirim sürelerine uyulmaması sorumluluğunuzu artırır.

Ulusal Siber Güvenlik Merkezi (NCSC) daha geniş kapsamlı konuları ele almaktadır. siber güvenlik tehditleri Bu durum, temel hizmet sağlayıcılarını etkiliyor. Kritik altyapı veya dijital hizmetler sağlıyorsanız, önemli güvenlik olaylarını NCSC'ye bildirmeniz de gerekiyor.

Bu raporlar, siber tehditlere karşı ulusal düzeydeki müdahalelerin koordine edilmesine yardımcı olur.

Her iki yetkili kurum da güvenlik olaylarından sonra soruşturma yürütür. Autoriteit Persoonsgegevens (Kişisel Veri Koruma Kurumu), 20 milyon Euro'ya kadar veya yıllık küresel cironuzun %4'üne kadar (hangisi daha yüksekse) para cezası verebilir.

Veri ihlalinin niteliği, etkilenen kişi sayısı ve aldığınız müdahale önlemleri gibi faktörleri dikkate alırlar.

ENISA yönergeleri, Hollanda makamlarının siber güvenlik gerekliliklerine uyumluluğunuzu değerlendirme biçimini etkiler.

Organizasyonel ve Teknik Önlemler

Teknik ve organizasyonel önlemlerin uygulanması, sorumluluk belirlemelerini doğrudan etkiler. Bu önlemler arasında şifreleme, erişim kontrolleri, düzenli güvenlik testleri ve personel eğitimi yer almaktadır.

Mahkemeler ve denetim makamı, aldığınız güvenlik önlemlerinin söz konusu risklere uygun olup olmadığını değerlendirir.

Güvenlik önlemlerinizi belgelemeli ve iş sürekliliği planlamanızı göstermelisiniz. Yeterli önlemleri kanıtlayamazsanız, sorumluluğunuz önemli ölçüde artar.

Düzenli risk değerlendirmeleri, ihlaller meydana gelmeden önce güvenlik açıklarını belirlemenize yardımcı olur.

Olay yönetimi prosedürleri çok önemlidir. Kişisel veri ihlallerini tespit etmek, araştırmak ve bunlara yanıt vermek için net protokollere ihtiyacınız var.

Güvenlik olaylarına müdahale süreniz ve bu olayları kontrol altına alma etkinliğiniz, ceza kararlarını etkiler.

Autoriteit Persoonsgegevens (Kişisel Veri Koruma Kurumu), güvenlik çerçevenizin kanıtlarını muhafaza etmenizi beklemektedir. Uygun dokümantasyon olmadan, soruşturmalar sırasında makul özeni kanıtlamak zorlaşır.

Tedarik Zinciri ve Hizmet Sağlayıcıların Etkisi

Tedarik zinciri güvenliği karmaşık sorumluluk sorunları yaratır. Hizmet sağlayıcılarınız verilerinizi etkileyen ihlaller yaşadığında, yine de sonuçlarla karşılaşabilirsiniz.

Tedarikçileriniz üzerinde gerekli araştırmayı yapmalı ve güvenlik uygulamalarını sürekli olarak izlemelisiniz.

Temel hizmet sağlayıcıları, tedarikçi yönetimi konusunda daha katı gereksinimlerle karşı karşıyadır. Tedarik zincirinizdeki dijital hizmet sağlayıcılarının kendi yükümlülüklerinize uygun standartları korumasını sağlamalısınız.

Sözleşmelerde olay bildirim yükümlülükleri ve sorumluluk dağılımı açıkça tanımlanmalıdır.

Eğer bir güvenlik ihlali tedarik zincirinizden kaynaklanıyorsa, Autoriteit Persoonsgegevens (Güvenlik ve Veri Koruma Kurumu) yeterli tedarikçi değerlendirmesi yapıp yapmadığınızı inceler. Sorumluluğunuz, tedarikçi güvenliğini doğrulamak için makul adımlar atıp atmadığınıza bağlıdır.

Üçüncü taraf işlemciler kullanırken bile sorumluluğu tamamen devredemezsiniz.

Çok katmanlı tedarik zincirleri ekstra dikkat gerektirir. Birden fazla kuruluşta kişisel verileri tehlikeye atabilecek zincirleme arızalara karşı korunmak için alt işlemciler ve güvenlik önlemleri hakkında bilgi sahibi olmanız gerekir.

Veri İhlali Bildirim Yükümlülükleri

Hollanda, GDPR ve ulusal siber güvenlik yasaları kapsamında çok katmanlı bir bildirim çerçevesi uygulamaktadır. Veri sorumluları şunları yapmak zorundadır: ihlalleri bildir Kişisel Veri Koruma Kurumu'na (KVK) bir risk oluştuğunda 72 saat içinde bildirimde bulunulmalıdır. veri sahibi hakları.

Yüksek riskli ihlaller Etkilenen kişilere doğrudan bildirimde bulunulmasını gerektirir.

Zaman Çizelgeleri ve Prosedürel Gereklilikler

Kişisel verilerin ihlal edildiğini öğrendikten sonra, mümkünse en geç 72 saat içinde, gecikmeksizin PDA'ya bildirimde bulunmalısınız. Bu yükümlülük, ihlalin gerçek kişilerin hak ve özgürlükleri için risk oluşturması muhtemel olmadığı durumlar dışında geçerlidir.

Bildirimde mümkün olduğunca spesifik bilgiler yer almalıdır. İlgili veri sahiplerinin kategorilerini ve yaklaşık sayılarını, etkilenen kişisel veri kayıtlarının kategorilerini ve yaklaşık sayılarını ve Veri Koruma Görevlinizin veya diğer iletişim noktanızın adını belirtmeniz gerekmektedir.

Ayrıca, ihlalin olası sonuçlarını ve bu ihlalleri gidermek için alınan veya önerilen önlemleri de açıklamanız gerekmektedir.

Gerekli tüm bilgileri 72 saatlik süre içinde sağlayamazsanız, bunları aşamalar halinde gönderebilirsiniz. İlk bildiriminizde gecikmenin nedenlerini açıklamanız gerekmektedir.

Kimlere ve ne zaman bildirim yapılmalı?

Kişisel verilerin ihlalinin, ilgili kişilerin hak ve özgürlükleri için yüksek risk oluşturması muhtemel olduğunda, etkilenen veri sahiplerini doğrudan bilgilendirmeniz gerekmektedir. Bu bildirim, gereksiz gecikme olmaksızın ve açık, anlaşılır bir dille yapılmalıdır.

Üç özel durumda veri sahiplerine doğrudan bildirim yapılması gerekmez. Verileri yetkisiz kişilerin anlamasını imkansız hale getiren uygun teknik ve organizasyonel koruma önlemleri (örneğin şifreleme) uyguladıysanız bildirimde bulunmanıza gerek yoktur.

Ayrıca, veri sahibinin haklarına yönelik yüksek riskin artık gerçekleşme olasılığının kalmadığından emin olmak için sonradan önlemler aldıysanız veya doğrudan iletişim orantısız bir çaba gerektiriyorsa bildirimde bulunmanıza gerek yoktur. Bu gibi durumlarda, bunun yerine kamuoyuna duyuru veya benzeri önlemler gereklidir.

Finansal Denetim Yasası kapsamındaki finans şirketleri, veri sahibine bildirim yükümlülüğünden muaftır. Ancak yine de Veri Koruma Kurumu'na (PDA) bildirimde bulunmaları gerekmektedir.

Veri işleyicilerinin farklı yükümlülükleri vardır. Risk seviyesine bakılmaksızın, herhangi bir kişisel veri ihlalinin farkına vardığınız anda veri sorumlusunu gecikmeksizin bilgilendirmeniz gerekmektedir.

Bu, GDPR kapsamında yasal bir gerekliliktir ve veri işleme sözleşmenize dahil edilmelidir.

Sektörel ve Ulusal Bildirim Gereklilikleri

GDPR yükümlülüklerinin ötesinde, sektörünüze bağlı olarak ek raporlama gereksinimleriyle de karşılaşabilirsiniz. WBNI (Ağ ve Bilgi Sistemleri Güvenliği Yasası), bu olaylar kişisel veri ihlali olarak nitelendirilmese bile, belirli kuruluşların güvenlik olaylarını siber güvenlik yetkililerine bildirmesini zorunlu kılar.

Kamuya açık elektronik iletişim ağlarının sağlayıcıları, İnsan Çevresi ve Ulaşım Denetleme Kurumu'na (ILT) rapor vermek zorundadır. Sağlık kuruluşları, tıbbi cihaz güvenliğini veya hasta verilerini etkileyen olaylar hakkında Sağlık ve Gençlik Bakımı Denetleme Kurumu'nu bilgilendirmekle yükümlüdür.

Finansal hizmet firmaları, finansal denetim mevzuatı kapsamındaki sektöre özgü gerekliliklere uymak zorundadır.

Kritik altyapı sağlayıcılarının WBNI kapsamında yükümlülükleri artmıştır. Temel hizmetleri önemli ölçüde aksatabilecek ciddi olayları Bilgisayar Güvenliği Olay Müdahale Ekibine (CSIRT) bildirmeniz gerekmektedir.

Halka açık şirketlerin, yatırımcı kararlarını önemli ölçüde etkileyebilecek güvenlik olaylarını bildirmeleri gerekebilir.

Bu sektörel gereklilikler genellikle GDPR yükümlülüklerinin yerini almaktan ziyade onlarla birlikte işler. Kuruluşunuzun faaliyetlerine ve ihlalin niteliğine bağlı olarak, tek bir olay için farklı yetkililere birden fazla bildirimde bulunmanız gerekebilir.

Kurallara Uymama Durumunda Yaptırım ve Uygulama

Hollanda makamları, siber güvenlik ihlallerini soruşturma ve kişisel verileri koruyamayan veya güvenlik gereksinimlerini karşılayamayan kuruluşlara önemli mali cezalar uygulama konusunda açık yetkilere sahiptir.

Yaptırım çerçevesi, belirli gözetim sorumluluklarına sahip birden fazla düzenleyici kurumu, yapılandırılmış ceza sistemlerini ve yaptırımlarla karşı karşıya kalan kuruluşlar için tanımlanmış itiraz prosedürlerini içermektedir.

Soruşturma ve Gözetim Yetkileri

Hollanda Veri Koruma Kurumu (Autoriteit Persoonsgegevens veya AP), veri ihlallerini ve GDPR ihlallerini soruşturmaktan birincil derecede sorumludur.

AP, şikayetlere, medya haberlerine veya rutin denetimlere dayanarak soruşturma başlatabilir.

Soruşturmalar sırasında yetkili makam, belge talep edebilir, yerinde incelemeler yapabilir ve personel üyeleriyle görüşme gerçekleştirebilir.

Yeni Siber Güvenlik Yasası kapsamındaki siber güvenlik yükümlülükleri için, sektöre özgü düzenleyici kurumlar denetimi yürütmektedir.

Tüketici ve Piyasalar Otoritesi (ACM), dijital altyapı ve telekomünikasyon sağlayıcılarını denetler.

Hollanda Merkez Bankası (DNB) finans kuruluşlarını denetler.

Ekonomi ve İklim Bakanı, Altyapı ve Su Yönetimi Bakanı ve Sağlık Bakanı, kendi sektörlerinde yaptırım uygulama yetkisine sahiptir.

Bu düzenleyici kurumlar sistemlerinizi denetleyebilir, olay müdahale prosedürlerinizi inceleyebilir ve risk yönetiminizin yasal standartlara uygun olup olmadığını değerlendirebilir.

İhlaller tespit edilirse, icra masraflarını da kuruluşunuzdan tahsil edebilirler.

Ulusal Siber Güvenlik Merkezi (NCSC), düzenleyici kurumlar arasında koordinasyonu sağlar ancak doğrudan ceza uygulamaz.

İdari ve Mali Cezalar

Para cezaları, yasal çerçeveye ve ihlallerin ciddiyetine göre değişiklik gösterir.

GDPR uygulaması kapsamında, yetkili merci 20 milyon Euro'ya kadar veya yıllık küresel cironuzun %4'üne kadar (hangisi daha yüksekse) para cezası uygulayabilir.

Yetkili makam, ihlalin niteliği, etkilenen kişi sayısı ve soruşturmalar sırasındaki işbirliğiniz gibi faktörleri dikkate alır.

Siber Güvenlik Yasası uyarınca, cezalar kademeli bir yapıya sahiptir:

Düzenleyici kurumlar ayrıca, belirli zaman dilimleri içinde özel güvenlik önlemlerini uygulamanızı gerektiren düzeltici emirler de verebilirler.

Tekrarlanan başarısızlıklar, ihlallerin kamuoyuna açıklanması yoluyla teşhir edilmeye ve kınanmaya yol açabilir.

Temel ihtiyaç maddeleri satan kuruluşlar olarak sınıflandırılan organizasyonların yöneticileri, ciddi durumlarda yönetim kurulu görevlerinden kişisel olarak men edilebilirler.

Kamu sektörü kuruluşları mali cezalardan muaftır, ancak düzeltici yaptırımlarla ve potansiyel parlamento incelemesiyle karşı karşıya kalabilirler.

Hukuki Başvuru ve Temyizler

Yaptırım kararlarına itiraz etme hakkınız bulunmaktadır. idari temyizler.

Ceza bildirimi aldıktan sonra, altı hafta içinde ilgili makama itirazda bulunabilirsiniz.

Denetleyici kurum kararını yeniden gözden geçirmeli ve resmi bir yanıt vermelidir.

Yeniden değerlendirme sonucuna katılmıyorsanız, bölge mahkemesine (rechtbank) itiraz edebilirsiniz.

Mahkeme, düzenleyici kurumun doğru prosedürleri izleyip izlemediğini ve yasayı doğru uygulayıp uygulamadığını inceler.

o zaman yapabilirsin temyiz mahkemesi kararları En yüksek idari mahkeme olarak görev yapan Danıştay'ın İdari Yargı Bölümü'ne (Afdeling bestuursrechtspraak van de Raad van State) bağlıdır.

İtiraz süreci boyunca, düzenleyici kurumlar tarafından emredilen tüm düzeltici önlemleri uygulamaya devam etmelisiniz.

Mahkemeler, temyiz sonuçları beklenene kadar mali cezaları askıya alabilir, ancak bu otomatik değildir.

Siber Güvenlik Yönetiminde Başlıca Görev ve Sorumluluklar

Kuruluşlar, veri koruma görevlilerinin atanmasından, yönetim kurulu düzeyinde hesap verebilirliğin oluşturulmasına ve çalışanların güvenlik protokolleri konusunda eğitilmesine kadar siber güvenlik görevlerini kimin yöneteceğini açıkça tanımlamalıdır.

Veri Koruma Görevlileri ve Atamaları

Kuruluşunuz büyük ölçekte hassas kişisel veriler işliyorsa veya bireyleri sistematik olarak izliyorsa, bir Veri Koruma Görevlisi (DPO) atamanız gerekmektedir.

Veri Koruma Sorumlusu (DPO), veri koruma yetkilileri ve veri sahipleri için birincil iletişim noktanız olarak görev yapar.

Veri koruma görevlinizin veri koruma hukuku ve bilgi güvenliği uygulamaları konusunda belirli niteliklere sahip olması gerekir.

Bu kişiler doğrudan en üst yönetim kademenize rapor vermek zorundadır ve görevlerini yerine getirdikleri için işten çıkarılamazlar.

Bu görevin sorumlulukları arasında GDPR uyumluluğunun izlenmesi, veri koruma etki değerlendirmelerinin yapılması ve şifreleme ve kriptografi gereksinimleri konusunda danışmanlık verilmesi yer almaktadır.

Veri Koruma Sorumlusunun (DPO) sorumluluklarını açıkça belgelemelisiniz.

Bu, dijital altyapınızı denetleme ve olay müdahale planınızı gözden geçirme yetkilerini de içerir.

Birden fazla AB ülkesinde faaliyet gösteriyorsanız, mesleki nitelikleri ve ilgili yargı yetkileri hakkındaki bilgisine dayanarak tek bir Veri Koruma Sorumlusu (DPO) atayabilirsiniz.

Kurumsal Yönetim ve Hesap Verebilirlik

Siber güvenlik risk yönetimi konusunda nihai sorumluluk yönetim kurulunuzdadır.

Güvenlik önlemlerini onaylamalı, yeterli kaynak tahsis etmeli ve siber dayanıklılık çalışmalarının uygun şekilde denetlenmesini sağlamalıdırlar.

Liderlik sorumluluğu şunları içerir:

• Güvenlik politikalarının onaylanması bilgi güvenliği çerçeveleri için
• Risk değerlendirmelerinin denetlenmesi ve operasyonel dayanıklılık planlaması
• Denetim uyumluluğunun sağlanması bağımsız incelemeler aracılığıyla
• Bütçelerin tahsis edilmesi siber güvenlik yönetimi için ve çalışan eğitimi

Güvenlikle ilgili karar alma süreçlerinde net yetki hatları oluşturmanız gerekiyor.

Güvenlik önlemlerini kimin onayladığını, uygulamayı kimin denetlediğini ve denetimleri kimin gerçekleştirdiğini belgeleyin.

Yönetiminiz siber güvenlik performansını düzenli olarak gözden geçirmeli ve dijital altyapınıza yönelik gelişen tehditlere göre stratejilerini ayarlamalıdır.

İç Politikalar ve Çalışan Eğitimi

Kuruluşunuz genelinde güvenlik rollerini tanımlayan belgelenmiş politikalar oluşturmalısınız.

Bu politikalar, veri koruma, olay müdahalesi ve siber dayanıklılığın sürdürülmesine ilişkin sorumlulukları açıkça belirtmelidir.

Güvenlik politikalarınız şunları kapsamalıdır:

• Erişim kontrolleri ve kimlik doğrulama gereksinimleri
• Veri sınıflandırma ve şifreleme standartları
• Olay raporlama prosedürleri
• Düzenli güvenlik bilinci eğitimi

Tüm çalışanlarınıza bilgi güvenliği uygulamaları konusunda sürekli eğitim vermelisiniz.

Bu içerir kimlik avı saldırılarını tanıma girişimlerde bulunmak, hassas verileri doğru şekilde işlemek ve olay müdahale planınızı takip etmek.

Eğitim, belirli rollere göre uyarlanmalı ve teknik personele kriptografi ve güvenlik kontrolleri konusunda ileri düzeyde eğitim verilmelidir.

Politikalarınız düzenli olarak gözden geçirilmeli ve düzenlemeler değiştiğinde veya yeni riskler ortaya çıktığında güncellenmelidir.

Siber güvenlik uygulamalarında hem politika uygulaması hem de personel geliştirme için yeterli kaynak sağlanması gerekmektedir.

Siber Güvenlik Olaylarının Türleri ve Ortaya Çıkan Tehditler

Siber güvenlik olayları, yanıltıcı e-postalardan, tüm kuruluşları tehlikeye atabilecek büyük ölçekli ağ kesintilerine kadar uzanmaktadır.

Bu tehditleri anlamak, güvenlik açıklarını belirlemenize ve bir ihlal meydana geldiğinde sorumluluğun kimde olduğunu tespit etmenize yardımcı olur.

Kimlik Avı, Kötü Amaçlı Yazılım ve Fidye Yazılımı

Phishing Karşılaşacağınız en yaygın siber güvenlik tehditlerinden biri olmaya devam ediyor.

Saldırganlar, şifrelerinizi, finansal bilgilerinizi veya diğer hassas verilerinizi çalmak için meşru şirketlerden gelmiş gibi görünen e-postalar veya mesajlar gönderirler.

Bu saldırılar, sosyal mühendislik olaylarının %60'ından fazlasından sorumludur.

Malware Bilgisayar sistemlerinize veya ağlarınıza zarar veren zararlı yazılımları ifade eder.

Buna, verilerinize erişmek veya işlemlerinizi aksatmak için tasarlanmış virüsler, truva atları ve diğer kötü amaçlı yazılımlar dahildir.

Ransomware Dosyalarınıza erişimi engelleyen ve geri yükleme için ödeme talep eden özel bir kötü amaçlı yazılım türüdür.

Fidyeyi ödeseniz bile, saldırganların erişiminizi geri yükleyeceğine veya çalınan verileri sileceğine dair hiçbir garanti yok.

2020 ve 2021 yılları arasında, kuruluşlar dünya çapında yaklaşık 24,000 siber güvenlik olayıyla karşı karşıya kaldı ve fidye yazılımları finansal kayıplarda önemli bir rol oynadı.

Hizmet Reddi (DoS) ve Dağıtılmış Hizmet Reddi (DDoS) Saldırıları

DoS saldırıları Sistemlerinizi aşırı trafikle boğarak, meşru kullanıcılar için hizmetleri erişilemez hale getirin.

Tek bir kaynak, ağınızı çökmeye veya işlev göremeyecek kadar yavaşlamaya başlayana kadar isteklerle doldurur.

DDoS saldırıları Birden fazla ele geçirilmiş sistemi kullanarak altyapınıza karşı koordineli saldırılar başlatın.

Bu dağıtılmış saldırıları durdurmak daha zordur çünkü aynı anda birçok yerden gelirler.

DDoS saldırıları, devlet web sitelerinden özel sektör faaliyetlerine kadar kritik hizmetleri aksatabilir.

Bir güvenlik olayının büyük bir ihlale dönüşmesini önlemek için, ilk tespit anından itibaren genellikle 62 dakikadan daha az bir süreniz vardır.

Bu dar zaman aralığı, DoS veya DDoS saldırılarıyla karşı karşıya kalındığında hızlı müdahaleyi hayati önem taşımaktadır.

Dolandırıcılık ve Yetkisiz Erişim

dolandırıcılık Siber güvenlikte, sistemlerinize veya verilerinize yetkisiz erişim sağlamak için aldatıcı uygulamalar kullanılır.

Buna kimlik hırsızlığı, ödeme dolandırıcılığı ve kimlik bilgilerinin ele geçirilmesi de dahildir.

Yetkisiz erişim Birisinin güvenlik politikalarınızı ihlal ederek izinsiz bir şekilde ağlara, sistemlere veya verilere erişmesi durumunda ortaya çıkar.

Bu şu şekilde gerçekleşebilir:

• Çalınan oturum açma bilgileri
• Yazılım güvenlik açıklarından yararlanıldı
• Güvenlik kontrolleri atlatıldı
• Mevcut veya eski çalışanlardan kaynaklanan içeriden tehditler

İçeriden yapılan veri hırsızlığı genellikle göz ardı edilir ancak dışarıdan yapılan saldırılar kadar zarar verici olabilir.

2021 yılında, içeriden yapılan siber saldırıların ortalama maliyeti 12.5 milyon sterline ulaştı.

Çalışanların kasıtsız veri sızıntıları bile Bilgisayar Suistimali Yasası (1990) kapsamında güvenlik olayı olarak değerlendirilir.

Sektör ve Tedarik Zinciri Zafiyetleri

Kritik altyapı sektörleri siber suçlardan kaynaklanan risklerle karşı karşıya kalırken, sağlık, enerji ve finansal hizmetler başlıca hedefler arasında yer alıyor.

Profesyonel sektör, 2020 ve 2021 yılları arasında yaklaşık 3,600 olay yaşadı ve bu da onu en çok hedef alınan sektör haline getirdi.

Tedarik zinciri güvenliği Saldırganlar doğrudan size saldırmak yerine iş ortaklarınızı ve üçüncü taraf tedarikçilerinizi hedef aldıkça, bu durum giderek daha önemli hale geliyor.

Bu üçüncü taraf tedarikçi saldırıları, iş ortağı kuruluşlarınızdaki daha zayıf güvenlik önlemlerinden yararlanarak müşterilerinizin verilerine erişir.

Tedarik zinciri zafiyetleri, saldırganların tek bir ihlal yoluyla birden fazla kuruluşu tehlikeye atmasına olanak tanır.

Tedarikçinizin sistemleri sizin sistemlerinize bağlandığında, onların güvenlik zaafları sizin güvenlik zaaflarınız haline gelir.

Bu birbirine bağlı risk, yalnızca kendi siber güvenlik önlemlerinizi değil, tedarik zincirinizdeki her kuruluşun önlemlerini de değerlendirmeniz gerektiği anlamına gelir.

Ulus devletler, giderek artan bir şekilde rakip siber alanları test ediyor ve bu alanlara nüfuz ediyor; çoğu zaman hükümetler adına hareket ederken özel kuruluşlar kılıfı altında faaliyet gösteriyorlar.

Sıkça Sorulan Sorular

Hollandalı şirketler, veri ihlali sonrasında katı raporlama gereklilikleri ve uyumluluk standartlarıyla başa çıkmak zorundadır; sorumluluk, rollerine ve sorumluluklarına bağlı olarak birden fazla tarafa yayılabilir.

Bu yükümlülükleri anlamak, kuruluşların kendilerini ve etkilenen bireyleri korumalarına ve ulusal ve Avrupa düzenlemelerine uyum sağlamalarına yardımcı olur.

Veri ihlali sonrasında Hollandalı şirketlerin yasal yükümlülükleri nelerdir?

Kuruluşunuz, veri ihlalinin farkına vardığı andan itibaren 72 saat içinde Hollanda Veri Koruma Kurumu'na (Autoriteit Persoonsgegevens) bildirimde bulunmalıdır.

Bu gereklilik, Hollanda genelinde veri korumasını düzenleyen GDPR (Genel Veri Koruma Yönetmeliği) kapsamında uygulanmaktadır.

Veri ihlali bildiriminizde belirli bilgiler vermeniz gerekiyor.

Bu, ihlalin niteliğini, etkilenen kişi sayısını, olası sonuçları ve aldığınız veya almayı planladığınız önlemleri içerir.

Tüm detayları 72 saat içinde sağlayamazsanız, gecikmenin nedenini açıklamanız ve eksik bilgileri en kısa sürede göndermeniz gerekmektedir.

İhlal, bireylerin hak ve özgürlükleri için yüksek risk oluşturuyorsa, etkilenen kişileri doğrudan bilgilendirmeniz de gerekir.

Geçerli bir neden olmaksızın bu bildirimi geciktiremezsiniz.

Etkilenen kişilere yönelik iletişiminiz açık olmalı ve veri ihlalinin olası sonuçlarını ve kendilerini korumak için atabilecekleri adımları açıklamalıdır.

Veri ihlallerinin tümünü, yetkililere bildirip bildirmemenizden bağımsız olarak, ayrıntılı bir şekilde belgelemeniz gerekmektedir.

Bu belgeleme, ihlale ilişkin gerçekleri, etkilerini ve alınan düzeltici önlemleri içermelidir.

Hollanda Veri Koruma Kurumu, denetimler veya soruşturmalar sırasında bu belgeleri talep edebilir.

Hollanda yasalarına göre veri ihlallerinde sorumluluk nasıl belirlenir?

Hollanda'da veri ihlallerinden doğacak sorumluluk, veri sorumlusu veya veri işleyicisi rolünüze bağlıdır.

Veri sorumluları kişisel verilerin işlenmesinin amaçlarını ve yöntemlerini belirlerken, veri işleyiciler veri sorumluları adına verileri işler.

Sizin yasal sorumluluklar Bu sınıflandırmaya göre farklılık gösterirler.

Veri sorumlusu olarak, veri koruma düzenlemelerine uyumu sağlamak sizin birincil sorumluluğunuzdadır.

Kişisel verilerin korunması için uygun teknik ve organizasyonel önlemleri uygulamalısınız.

Mahkemeler, veri ihlalini önlemek için makul adımlar atıp atmadığınızı ve güvenlik uygulamalarınızda ihmalkar davranıp davranmadığınızı değerlendirir.

Veri işleyiciler, veri sorumlusunun talimatlarına uymamaları veya sözleşmeden doğan yükümlülüklerini ihlal etmeleri durumunda da sorumlulukla karşı karşıya kalabilirler.

Ancak, işlemcilerin sorumluluğu genellikle denetleyicilere göre daha sınırlıdır.

Veri sorumlusundan gerekli yetkiyi almadan veri işleme gerçekleştirirseniz veya kararlaştırılan güvenlik önlemlerini uygulamazsanız, doğrudan sorumlu tutulabilirsiniz.

Hollanda mahkemeleri, sorumluluğu belirlerken çeşitli faktörleri dikkate alır.

Bunlar arasında ihlalin ciddiyeti, tehlikeye atılan verilerin hassasiyeti, ihlalden önce aldığınız güvenlik önlemleri ve olayı keşfettikten sonraki yanıtınız yer almaktadır.

Kurumunuzun büyüklüğü ve kaynakları da mahkemelerin makul güvenlik önlemleri olarak değerlendirdiği hususları etkiler.

Birden fazla tarafın veri ihlaline katkıda bulunması durumunda müşterek sorumluluk doğabilir.

Sorumluluğu diğer veri sorumluları veya veri işleyicileriyle paylaşıyorsanız, mahkemeler her bir tarafı tüm zarardan sorumlu tutabilir.

Ardından, ihlale katkıda bulunan diğer sorumlu taraflardan tazminat talep edebilirsiniz.

Hollanda'da veri güvenliği olaylarından hangi taraflar sorumlu tutulabilir?

Veri güvenliği olaylarından birincil sorumluluk veri sorumlularındadır.

Veri sorumlusu olarak, kişisel verilerin nasıl işleneceğine dair kararlar alırsınız ve uygun güvenlik önlemlerinin alındığından emin olmalısınız.

Bir ihlal durumunda kuruluşunuz idari para cezaları, hukuki sorumluluk ve itibar kaybıyla karşı karşıya kalabilir.

Veri işleyiciler, sözleşmesel ve yasal yükümlülüklerini yerine getirmedikleri takdirde sorumlu tutulabilirler.

Bir veri sorumlusu adına veri işliyorsanız, sözleşmenizde belirtilen güvenlik önlemlerini uygulamalı ve veri sorumlusunun yasal talimatlarına uymalısınız.

Yetkinizi aşmanız veya yeterli güvenliği sağlamamanız durumunda doğrudan sorumlulukla karşı karşıya kalırsınız.

Kuruluşunuzun yöneticileri ve yetkilileri belirli durumlarda kişisel sorumlulukla karşı karşıya kalabilirler.

Hollanda'da NIS2 Direktifi'nin uygulanması kapsamında, siber güvenlik yönetişimindeki başarısızlıklar nedeniyle yönetim şahsen sorumlu tutulabilir.

Bu, ciddi ihlallerin meydana gelmesi durumunda yönetim kurulu üyeliğinden men edilme olasılığını da içerir.

Üçüncü taraf hizmet sağlayıcılar da güvenlik olaylarından sorumlu tutulabilir.

Bulut hizmetlerine, BT desteğine veya diğer harici sağlayıcılara güveniyorsanız, onların arızaları bir güvenlik ihlaline yol açtığında sorumluluk paylaşımında bulunabilirler.

Bu sağlayıcılarla yaptığınız sözleşmelerde güvenlik sorumlulukları ve yükümlülük şartları açıkça belirtilmelidir.

Hollanda Veri Koruma Kurumu, başlıca uygulama organı olarak görev yapmaktadır.

Kurum, ihlallerden doğrudan sorumlu olmasa da, olayları soruşturur, düzeltici emirler verir ve kurallara uymayan kuruluşlara idari para cezaları uygular.

Hollanda veri koruma düzenlemelerine uymayan kuruluşlar ne gibi sonuçlarla karşı karşıya kalır?

Kuruluşunuz, 20 milyon Euro'ya kadar veya yıllık küresel cironuzun %4'üne kadar (hangisi daha yüksekse) idari para cezasıyla karşı karşıya kalabilir. Hollanda Veri Koruma Kurumu, para cezası miktarlarını ihlalin niteliğine, ciddiyetine, süresine ve soruşturmalar sırasındaki işbirliğinize göre belirler.

Para cezalarının ötesinde, Kurum faaliyetlerinizi aksatacak düzeltici önlemler de uygulayabilir. Bu önlemler arasında veri işleme faaliyetlerine geçici kısıtlamalar, belirli ihlallerin düzeltilmesi emri ve zorunlu denetimler yer almaktadır.

Uyumluluğu kanıtlayana kadar bazı ticari faaliyetlerinizi askıya almanız gerekebilir. Uyumluluk sağlanmaması durumunda kuruluşunuz önemli itibar kaybı riskiyle karşı karşıya kalacaktır.

Veri ihlallerinin ve düzenleyici cezaların kamuoyuna açıklanması, müşteri güvenini zedeleyebilir ve iş ilişkilerine zarar verebilir. Hollanda Veri Koruma Kurumu, kamuoyunun ve medyanın erişimine açık olan yaptırım kararlarını yayınlamaktadır.

Veri koruma ihlallerinden kaynaklanan zararlar için tazminat talep eden kişiler tarafından açılacak hukuk davalarıyla karşı karşıya kalabilirsiniz. Kişiler, bu ihlallerden kaynaklanan maddi ve manevi zararlar için tazminat talep edebilirler.

Hollanda mahkemeleri, doğrudan mali kayıplar olmasa bile, kişisel veriler üzerindeki baskı ve kontrol kaybına ilişkin talepleri giderek daha fazla kabul etmektedir. Ciddi ihlallerden sonra iş fırsatlarınız kısıtlanabilir.

Bazı sektörler, özellikle devlet kurumları veya düzenlemeye tabi sektörlerle çalışırken, sözleşmeleri sürdürmek için güvenlik sertifikaları veya uyumluluk kayıtları gerektirir.

Hollanda'da veri ihlali sonrasında mağdur kişiler hangi yollarla tazminat talebinde bulunabilirler?

Eğer bir kuruluşun kişisel veri koruma haklarınızı ihlal ettiğine inanıyorsanız, Hollanda Veri Koruma Kurumu'na şikayette bulunabilirsiniz. Kurum, şikayetleri inceler ve kurallara uymayan kuruluşlara karşı yaptırım uygulayabilir.

Bu süreç size hiçbir maliyet getirmez ve yasal temsil gerektirmez. Sorumlu kuruluşa karşı hukuki dava açma hakkınız vardır.

Hollanda yasaları, veri koruma ihlallerinden kaynaklanan hem maddi hem de manevi zararlar için tazminat talep etmenize olanak tanır. Maddi zararlar arasında mali kayıplar yer alırken, manevi zararlar ise sıkıntı, endişe ve kişisel verileriniz üzerindeki kontrol kaybını kapsar.

Davanız için avukat tutabilir veya mali uygunluk kriterlerini karşılıyorsanız adli yardım talep edebilirsiniz. Hollanda'daki birçok hukuk bürosu veri koruma davalarında uzmanlaşmıştır ve davanızın gücü konusunda size tavsiyelerde bulunabilir.

Toplu dava mekanizmaları, etkilenen bireylerden oluşan grupların toplu olarak tazminat talebinde bulunmasına olanak tanır. Mahkemeye gitmeden doğrudan kuruluştan tazminat talep edebilirsiniz.

Birçok kuruluş, dava masraflarından ve olumsuz kamuoyu tepkisinden kaçınmak için tazminat taleplerini özel olarak çözmeyi tercih eder. Kuruluşun veri koruma düzenlemelerini açıkça ihlal etmesi veya ihlalin önemli zarara yol açması durumunda müzakere pozisyonunuz güçlenir.

Veri ihlalinden sorumlu olan veri işleyicilerine karşı da dava açabilirsiniz. GDPR kapsamında hem veri sorumluları hem de veri işleyicileri zararlardan sorumlu tutulabilir.

Veri ihlaline birden fazla taraf katkıda bulunduysa, sorumlu olan tüm taraflardan tam tutarı talep edebilirsiniz.

GDPR, Hollanda'da faaliyet gösteren kuruluşlar için veri ihlali durumunda yükümlülük ve sorumlulukları nasıl etkiliyor?

GDPR, kuruluşlar için kişisel verilerin korunmasına ilişkin açık yükümlülükler belirlemektedir.

Kurumlar, veri güvenliğini sağlamak için uygun teknik ve organizasyonel önlemleri uygulamalıdır.

Veri ihlali durumunda, kuruluşların ilgili denetleyici makama 72 saat içinde bildirimde bulunmaları gerekmektedir.

Eğer ihlal bireylerin hak ve özgürlükleri için yüksek risk oluşturuyorsa, etkilenen bireyler de bilgilendirilmelidir.

Bu şartlara uyulmaması, kuruluş için önemli para cezalarına ve itibar kaybına yol açabilir.

GDPR kapsamında hem veri sorumlularının hem de veri işleyicilerinin farklı sorumlulukları vardır ve sözleşmelerde bu roller açıkça tanımlanmalıdır.