নেদারল্যান্ডসে প্রতিদিনই ডেটা লঙ্ঘনের ঘটনা ঘটে। যখন তা ঘটে, তখন কাউকে না কাউকে অবশ্যই দায়িত্ব.
ডাচ আইন এবং জিডিপিআরের অধীনে, ব্যক্তিগত তথ্য নিয়ন্ত্রণকারী সংস্থাগুলি প্রাথমিকভাবে এটি রক্ষা করার এবং মুখোমুখি হওয়ার জন্য দায়ী উল্লেখযোগ্য দায় যখন লঙ্ঘন ঘটে। যদি আপনার ব্যবসা ক্ষতিগ্রস্ত হয় সাইবার, আপনার জরিমানা হতে পারে €20 মিলিয়ন পর্যন্ত অথবা আপনার বিশ্বব্যাপী বার্ষিক টার্নওভারের 4%, যা নির্ভর করে কোন পরিমাণ বেশি তার উপর।
নেদারল্যান্ডসে পরিচালিত যেকোনো প্রতিষ্ঠানের জন্য ডেটা লঙ্ঘনের পরে কে দায়িত্ব বহন করে তা বোঝা অপরিহার্য। উত্তরটি সর্বদা সহজ নয়, কারণ দায় আপনার কোম্পানির বাইরেও বিস্তৃত হতে পারে, যার মধ্যে তৃতীয় পক্ষের পরিষেবা প্রদানকারী, কর্মচারী এবং ডেটা প্রক্রিয়াকরণের সাথে জড়িত অন্যান্য পক্ষ অন্তর্ভুক্ত থাকতে পারে।
ডাচ ডেটা সুরক্ষা কর্তৃপক্ষ এবং অন্যান্য নিয়ন্ত্রকরা ডেটা নিয়ন্ত্রক বা প্রসেসর হিসেবে আপনার ভূমিকা, আপনার গৃহীত নিরাপত্তা ব্যবস্থা এবং আপনি কত দ্রুত ঘটনার প্রতি সাড়া দিয়েছেন তার উপর ভিত্তি করে দায়িত্ব নির্ধারণ করে।
এই প্রবন্ধে নেদারল্যান্ডসে সাইবার নিরাপত্তা নিয়ন্ত্রণকারী আইনি কাঠামোর বিশদ বর্ণনা করা হয়েছে এবং লঙ্ঘনের পরে কীভাবে দায়বদ্ধতা নির্ধারণ করা হয় তা ব্যাখ্যা করা হয়েছে। আপনি আপনার বিজ্ঞপ্তির বাধ্যবাধকতা, অমান্য করার জন্য আপনার সম্মুখীন হওয়া জরিমানা এবং সাইবার আক্রমণ এবং আইনি পরিণতি উভয় থেকে আপনার সংস্থাকে রক্ষা করার জন্য আপনি যে ব্যবহারিক পদক্ষেপ নিতে পারেন সে সম্পর্কে শিখবেন।
সাইবার নিরাপত্তা এবং তথ্য সুরক্ষার জন্য আইনি কাঠামো
নেদারল্যান্ডস সাইবার নিরাপত্তা এবং ডেটা সুরক্ষা আইনের একাধিক স্তরের অধীনে কাজ করে, যা জাতীয় বাস্তবায়ন আইনের সাথে ইইউ-ব্যাপী প্রবিধানগুলিকে একত্রিত করে। এই আইনগুলি ব্যক্তিগত তথ্য পরিচালনা এবং গুরুত্বপূর্ণ অবকাঠামো পরিচালনাকারী সংস্থাগুলির জন্য স্পষ্ট বাধ্যবাধকতা প্রতিষ্ঠা করে।
তারা টেলিযোগাযোগ, অর্থায়ন, এবং সহ বিভিন্ন ক্ষেত্রের জন্য নির্দিষ্ট প্রয়োজনীয়তা তৈরি করে আইন প্রয়োগ
সাধারণ তথ্য সুরক্ষা নিয়ন্ত্রণ (GDPR) এবং ডাচ বাস্তবায়ন
সার্জারির GDPR প্রাথমিক হিসেবে কাজ করে তথ্য সুরক্ষা কাঠামো নেদারল্যান্ডস সহ ইইউ জুড়ে। এটি ব্যক্তিগত তথ্য প্রক্রিয়াকরণের জন্য ব্যাপক নিয়ম প্রতিষ্ঠা করে এবং তথ্য সুরক্ষার জন্য উপযুক্ত প্রযুক্তিগত এবং সাংগঠনিক ব্যবস্থা বাস্তবায়নের জন্য সংস্থাগুলিকে বাধ্যতামূলক করে।
নেদারল্যান্ডস GDPR বাস্তবায়ন করেছে এর মাধ্যমে ডাচ জিডিপিআর বাস্তবায়ন আইন (ইউটভোয়েরিংসওয়েট গড়), যা ডাচ আইনের সাথে EU প্রয়োজনীয়তাগুলিকে খাপ খাইয়ে নেয়। এই আইনটি ইউরোপীয় মানদণ্ডের সাথে সামঞ্জস্য বজায় রেখে জাতীয় পরিস্থিতির জন্য নির্দিষ্ট বিধান প্রদান করে।
এটি ডাচ ডেটা সুরক্ষা কর্তৃপক্ষকে মনোনীত করে (স্বয়ংক্রিয় ব্যক্তিত্ব) প্রয়োগের জন্য দায়ী তত্ত্বাবধায়ক সংস্থা হিসেবে।
জিডিপিআরের অধীনে, আপনাকে অবশ্যই রিপোর্ট করতে হবে তথ্য লঙ্ঘন সচেতন হওয়ার ৭২ ঘন্টার মধ্যে তত্ত্বাবধায়ক কর্তৃপক্ষের কাছে। যখন লঙ্ঘন ব্যক্তিদের অধিকার এবং স্বাধীনতার জন্য উচ্চ ঝুঁকি তৈরি করে, তখন আপনাকে অবশ্যই অযথা বিলম্ব না করে ক্ষতিগ্রস্ত ব্যক্তিদের অবহিত করতে হবে।
এই বিজ্ঞপ্তির প্রয়োজনীয়তাগুলি নেদারল্যান্ডসে লঙ্ঘনের দায়বদ্ধতার ভিত্তি তৈরি করে।
সার্জারির Verzamelwet Gegevensbescherming (সামগ্রিক তথ্য সুরক্ষা আইন) জিডিপিআর মানদণ্ডের সাথে সামঞ্জস্যপূর্ণ করার জন্য বিভিন্ন ডাচ আইনকে আরও পরিমার্জন করে। এটি বিভিন্ন আইনি ক্ষেত্রে ধারাবাহিকতা নিশ্চিত করে।
সাইবার নিরাপত্তা আইন এবং NIS2 নির্দেশিকা
সার্জারির NIS2 নির্দেশিকা ইইউ জুড়ে অপরিহার্য এবং গুরুত্বপূর্ণ সত্তাগুলির জন্য সাইবার নিরাপত্তার প্রয়োজনীয়তা উল্লেখযোগ্যভাবে প্রসারিত করে। নেদারল্যান্ডস আপডেটের মাধ্যমে এই নির্দেশিকা বাস্তবায়ন করছে সাইবারবেভিলিগিংসওয়েট (ডাচ সাইবারসিকিউরিটি অ্যাক্ট), যা মূলত প্রথম NIS নির্দেশিকা স্থানান্তরিত করেছিল।
NIS2 আওতাভুক্ত খাতগুলির পরিধি বিস্তৃত করে এবং কঠোর নিরাপত্তা প্রয়োজনীয়তা, ঘটনা প্রতিবেদনের বাধ্যবাধকতা এবং ব্যবস্থাপনার জবাবদিহিতার বিধান প্রবর্তন করে। আপনাকে অবশ্যই নির্দিষ্ট ঝুঁকি ব্যবস্থাপনা ব্যবস্থা বাস্তবায়ন করতে হবে এবং উল্লেখযোগ্য ঘটনা সম্পর্কে সচেতন হওয়ার 24 ঘন্টার মধ্যে রিপোর্ট করতে হবে।
সার্জারির নেটওয়ার্ক এবং তথ্য ব্যবস্থা সুরক্ষা আইন এবং সহচর নেটওয়ার্ক এবং তথ্য ব্যবস্থা নিরাপত্তা ডিক্রি প্রয়োজনীয় পরিষেবা প্রদানকারী এবং ডিজিটাল পরিষেবা প্রদানকারীদের জন্য বিস্তারিত প্রয়োজনীয়তা স্থাপন করে। এই আইনগুলি বেসলাইন নিরাপত্তা ব্যবস্থা, নিয়মিত নিরীক্ষা এবং জাতীয় সাইবার নিরাপত্তা কর্তৃপক্ষের সাথে সমন্বয়ের বাধ্যতামূলক করে।
এই আইনে বিভিন্ন ক্ষেত্রের জন্য নির্দিষ্ট যোগ্য কর্তৃপক্ষ নির্ধারণ করা হয়েছে। এটি সাইবার নিরাপত্তা অনুশীলনের বিশেষ তদারকি নিশ্চিত করে।
অন্যান্য প্রাসঙ্গিক আইন এবং নির্দেশিকা
সার্জারির ইইউ ই-প্রাইভেসি নির্দেশিকা ইলেকট্রনিক যোগাযোগের গোপনীয়তা মোকাবেলা করে GDPR-এর পরিপূরক। এটি কুকিজ এবং অনুরূপ প্রযুক্তির জন্য সম্মতি প্রয়োজন, এবং যোগাযোগের তথ্যের গোপনীয়তা রক্ষা করে।
সার্জারির টেলিযোগাযোগ আইন (টেলিকমিউনিকেশন) টেলিকম প্রদানকারীদের উপর নির্দিষ্ট নিরাপত্তা বাধ্যবাধকতা আরোপ করে, যার মধ্যে নেটওয়ার্ক অখণ্ডতা এবং ব্যবহারকারীর ডেটা সুরক্ষার প্রয়োজনীয়তা অন্তর্ভুক্ত। যোগাযোগ খাতে ব্যাপক সুরক্ষা নিশ্চিত করার জন্য এই আইন ডেটা সুরক্ষা আইনের পাশাপাশি কাজ করে।
সার্জারির সমালোচনামূলক সত্তা স্থিতিস্থাপকতা আইন (CRA) জননিরাপত্তা এবং অর্থনৈতিক স্থিতিশীলতার জন্য গুরুত্বপূর্ণ বলে বিবেচিত সত্তাগুলির জন্য ভৌত এবং সাইবার নিরাপত্তার প্রয়োজনীয়তাগুলিকে শক্তিশালী করে। এর জন্য স্ট্যান্ডার্ড সাইবার নিরাপত্তা বিধানের বাইরে ঝুঁকি মূল্যায়ন এবং স্থিতিস্থাপকতা ব্যবস্থা প্রয়োজন।
এই কাঠামোগুলি ওভারল্যাপিং বাধ্যবাধকতা তৈরি করে। একাধিক সেক্টর জুড়ে কাজ করার সময় বা বিভিন্ন ধরণের ডেটা পরিচালনা করার সময় আপনাকে অবশ্যই সেগুলি নেভিগেট করতে হবে।
সেক্টর-নির্দিষ্ট প্রবিধান
সার্জারির আর্থিক তত্ত্বাবধান আইন (Wet op het financieel toezicht) আর্থিক প্রতিষ্ঠানগুলির জন্য কঠোর সাইবার নিরাপত্তা এবং ডেটা সুরক্ষার প্রয়োজনীয়তা স্থাপন করে। আর্থিক খাতে কাজ করার সময় আপনাকে অবশ্যই শক্তিশালী নিরাপত্তা নিয়ন্ত্রণ, ঘটনার প্রতিক্রিয়া পদ্ধতি এবং নিয়মিত পরীক্ষার প্রোটোকল বাস্তবায়ন করতে হবে।
আইন প্রয়োগকারী সংস্থাগুলি এই আইনের অধীনে বিশেষ প্রয়োজনীয়তার সম্মুখীন হয় পুলিশ তথ্য আইন (ভেজা রাজনীতিবিদ) এবং ওয়েট justitiële en strafvorderlijke gegevens (বিচারিক ও ফৌজদারি কার্যবিধির তথ্য আইন)। এই আইনগুলি তদন্ত এবং ফৌজদারি কার্যধারার সময় পুলিশ এবং বিচার বিভাগীয় কর্তৃপক্ষ কীভাবে ব্যক্তিগত তথ্য সংগ্রহ, প্রক্রিয়াকরণ এবং সুরক্ষা দেয় তা নিয়ন্ত্রণ করে।
স্বাস্থ্যসেবা প্রদানকারীদের অবশ্যই স্ট্যান্ডার্ড GDPR প্রয়োজনীয়তার বাইরে অতিরিক্ত গোপনীয়তা সুরক্ষা ব্যবস্থা মেনে চলতে হবে। এটি চিকিৎসা তথ্যের সংবেদনশীল প্রকৃতি প্রতিফলিত করে।
NIS2 বাস্তবায়নের অধীনে জ্বালানি, পরিবহন এবং পানি খাতগুলি নির্দিষ্ট বাধ্যবাধকতার সম্মুখীন হয়, তাদের পরিচালনাগত ঝুঁকির জন্য উপযুক্ত নিরাপত্তা ব্যবস্থা গ্রহণ করে।
প্রতিটি সেক্টর-নির্দিষ্ট নিয়ন্ত্রণের উপর অনন্য সম্মতির বোঝা চাপিয়ে দেওয়া হয়। আপনার প্রতিষ্ঠানের নির্দিষ্ট কার্যকলাপ এবং ডেটা প্রক্রিয়াকরণ কার্যক্রমের ক্ষেত্রে কোন আইন প্রযোজ্য তা চিহ্নিত করা অপরিহার্য।
তথ্য লঙ্ঘনের পর দায়বদ্ধতা নির্ধারণ
নেদারল্যান্ডসে, ডেটা লঙ্ঘনের দায় ব্যক্তিগত তথ্য প্রক্রিয়াকরণে আপনার ভূমিকার উপর নির্ভর করে, সুরক্ষা ব্যবস্থা আপনি বাস্তবায়ন করেছেন কিনা এবং আপনি রিপোর্টিং প্রয়োজনীয়তাগুলি অনুসরণ করেছেন কিনা। ডাচ ডেটা সুরক্ষা কর্তৃপক্ষ এবং অন্যান্য তত্ত্বাবধানকারী সংস্থাগুলি এর উপর ভিত্তি করে দায়িত্ব নির্ধারণ করে আইনগত বাধ্যবাধকতা জিডিপিআর এবং জাতীয় সাইবার নিরাপত্তা আইনের অধীনে।
দায়িত্ব নির্ধারণ: নিয়ন্ত্রক, প্রসেসর এবং তৃতীয় পক্ষ
আপনার দায়িত্ব পরে ব্যক্তিগত তথ্য লঙ্ঘন আপনি একজন হিসেবে কাজ করেন কিনা তার উপর নির্ভর করে ডেটা কন্ট্রোলার অথবা প্রসেসর। ব্যক্তিগত তথ্য কীভাবে এবং কেন প্রক্রিয়াজাত করা হবে তা নিয়ন্ত্রকরা নির্ধারণ করেন, যার ফলে নিরাপত্তা সংক্রান্ত ঘটনার জন্য তারাই প্রাথমিকভাবে দায়ী হন।
প্রসেসররা নিয়ন্ত্রকদের পক্ষে ডেটা পরিচালনা করে এবং যদি তারা নির্দেশাবলী লঙ্ঘন করে বা পর্যাপ্ত সুরক্ষা ব্যবস্থা বাস্তবায়নে ব্যর্থ হয় তবে তাদের দায়বদ্ধতার মুখোমুখি হতে হয়।
ডিজিটাল পরিষেবা প্রদানকারীদের মতো তৃতীয় পক্ষের আলাদা দায়িত্ব থাকে। আপনি যদি বহিরাগত সরবরাহকারীদের ব্যবহার করেন, তাহলে তারা যখন আপনার পক্ষে ডেটা প্রক্রিয়াকরণ করে তখন তাদের কর্মকাণ্ডের জন্য আপনি দায়বদ্ধ থাকবেন।
আপনার চুক্তিতে নিরাপত্তা বাধ্যবাধকতা এবং ঘটনা পরিচালনার পদ্ধতি নির্দিষ্ট করা আবশ্যক।
যখন একাধিক পক্ষ জড়িত থাকে, তখন দায় ভাগাভাগি করা যেতে পারে। যদি আপনি এবং আপনার প্রসেসর উভয়ই প্রযুক্তিগত এবং সাংগঠনিক ব্যবস্থা বাস্তবায়নে ব্যর্থ হন, তাহলে আপনারা উভয়েই অটোরাইট পার্সুনসগেগেভেনস থেকে জরিমানা ভোগ করতে পারেন।
তত্ত্বাবধায়ক কর্তৃপক্ষ দায়িত্ব অর্পণের জন্য লঙ্ঘনে প্রতিটি পক্ষের ভূমিকা পরীক্ষা করে।
তত্ত্বাবধায়ক কর্তৃপক্ষ এবং নিয়ন্ত্রক ভূমিকা
অটোরাইটিট পার্সুনসগেগেভেনস ডাচ ডেটা সুরক্ষা কর্তৃপক্ষ হিসেবে কাজ করে যা জিডিপিআর সম্মতি কার্যকর করার জন্য দায়ী। ঘটনাটি সম্পর্কে অবগত হওয়ার ৭২ ঘন্টার মধ্যে আপনাকে অবশ্যই এই তত্ত্বাবধায়ক কর্তৃপক্ষের কাছে ব্যক্তিগত তথ্য লঙ্ঘনের প্রতিবেদন করতে হবে।
ঘটনা রিপোর্ট করার সময়সীমা পূরণ করতে ব্যর্থ হলে আপনার দায়বদ্ধতা বৃদ্ধি পায়।
জাতীয় সাইবার নিরাপত্তা কেন্দ্র (NCSC) বিস্তৃতভাবে পরিচালনা করে সাইবার নিরাপত্তার হুমকি অত্যাবশ্যকীয় পরিষেবার অপারেটরদের প্রভাবিত করছে। আপনি যদি গুরুত্বপূর্ণ অবকাঠামো বা ডিজিটাল পরিষেবা প্রদান করেন, তাহলে আপনাকে অবশ্যই NCSC-তে গুরুত্বপূর্ণ নিরাপত্তা ঘটনাগুলিও রিপোর্ট করতে হবে।
এই প্রতিবেদনগুলি সাইবার হুমকির বিরুদ্ধে জাতীয় প্রতিক্রিয়া সমন্বয় করতে সাহায্য করে।
নিরাপত্তা সংক্রান্ত ঘটনার পর উভয় কর্তৃপক্ষই তদন্ত পরিচালনা করে। অটোরাইটিট পারসুনসগেগেভেনস আপনার বার্ষিক বৈশ্বিক টার্নওভারের ৪%, যেটি বেশি, পর্যন্ত ২০ মিলিয়ন ইউরো পর্যন্ত জরিমানা জারি করতে পারে।
তারা লঙ্ঘনের প্রকৃতি, ক্ষতিগ্রস্ত ব্যক্তির সংখ্যা এবং আপনার প্রতিক্রিয়ার পরিমাপের মতো বিষয়গুলি বিবেচনা করে।
ENISA নির্দেশিকাগুলি ডাচ কর্তৃপক্ষ কীভাবে সাইবার নিরাপত্তার প্রয়োজনীয়তাগুলির সাথে আপনার সম্মতি মূল্যায়ন করে তা প্রভাবিত করে।
সাংগঠনিক এবং প্রযুক্তিগত ব্যবস্থা
আপনার প্রযুক্তিগত এবং সাংগঠনিক পদক্ষেপ বাস্তবায়ন সরাসরি দায় নির্ধারণকে প্রভাবিত করে। এই পদক্ষেপগুলির মধ্যে রয়েছে এনক্রিপশন, অ্যাক্সেস নিয়ন্ত্রণ, নিয়মিত নিরাপত্তা পরীক্ষা এবং কর্মীদের প্রশিক্ষণ।
আদালত এবং তত্ত্বাবধায়ক কর্তৃপক্ষ মূল্যায়ন করে যে আপনার নিরাপত্তা সংশ্লিষ্ট ঝুঁকির জন্য উপযুক্ত ছিল কিনা।
আপনার নিরাপত্তা ব্যবস্থাগুলি নথিভুক্ত করতে হবে এবং ব্যবসায়িক ধারাবাহিকতা পরিকল্পনা প্রদর্শন করতে হবে। যদি আপনি পর্যাপ্ত সতর্কতা প্রমাণ করতে না পারেন, তাহলে দায়বদ্ধতা উল্লেখযোগ্যভাবে বৃদ্ধি পায়।
নিয়মিত ঝুঁকি মূল্যায়ন আপনাকে লঙ্ঘন হওয়ার আগে দুর্বলতাগুলি সনাক্ত করতে সহায়তা করে।
ঘটনা পরিচালনার পদ্ধতি অত্যন্ত গুরুত্বপূর্ণ। ব্যক্তিগত তথ্য লঙ্ঘন সনাক্তকরণ, তদন্ত এবং প্রতিক্রিয়া জানাতে আপনার স্পষ্ট প্রোটোকল প্রয়োজন।
আপনার প্রতিক্রিয়ার সময় এবং নিরাপত্তা সংক্রান্ত ঘটনা নিয়ন্ত্রণে কার্যকারিতা শাস্তির সিদ্ধান্তকে প্রভাবিত করে।
Autoriteit Persoonsgegevens আশা করে যে আপনি আপনার নিরাপত্তা কাঠামোর প্রমাণ বজায় রাখবেন। যথাযথ ডকুমেন্টেশন ছাড়া, তদন্তের সময় যুক্তিসঙ্গত যত্ন প্রমাণ করা কঠিন হয়ে পড়ে।
সরবরাহ শৃঙ্খল এবং পরিষেবা প্রদানকারীদের প্রভাব
সরবরাহ শৃঙ্খল সুরক্ষা জটিল দায়বদ্ধতার সমস্যা তৈরি করে। যখন আপনার পরিষেবা প্রদানকারীরা আপনার ডেটা প্রভাবিত করে এমন লঙ্ঘনের সম্মুখীন হয়, তখনও আপনাকে পরিণতি ভোগ করতে হতে পারে।
সরবরাহকারীদের উপর আপনাকে অবশ্যই যথাযথ সতর্কতা অবলম্বন করতে হবে এবং তাদের নিরাপত্তা অনুশীলনগুলি ক্রমাগত পর্যবেক্ষণ করতে হবে।
অত্যাবশ্যকীয় পরিষেবা প্রদানকারীদের বিক্রেতা ব্যবস্থাপনার জন্য আরও কঠোর প্রয়োজনীয়তার সম্মুখীন হতে হয়। আপনার সরবরাহ শৃঙ্খলে ডিজিটাল পরিষেবা প্রদানকারীরা আপনার নিজস্ব বাধ্যবাধকতার সাথে সামঞ্জস্যপূর্ণ মান বজায় রাখছে তা নিশ্চিত করতে হবে।
চুক্তিভিত্তিক চুক্তিতে ঘটনা প্রতিবেদনের কর্তব্য এবং দায় বন্টন স্পষ্টভাবে সংজ্ঞায়িত করা উচিত।
যদি আপনার সরবরাহ শৃঙ্খল থেকে কোনও লঙ্ঘন ঘটে, তাহলে Autoriteit Persoonsgegevens পরীক্ষা করে যে আপনি পর্যাপ্ত বিক্রেতা মূল্যায়ন করেছেন কিনা। আপনার দায় নির্ভর করে সরবরাহকারীর নিরাপত্তা যাচাই করার জন্য আপনি যুক্তিসঙ্গত পদক্ষেপ নিয়েছেন কিনা তার উপর।
তৃতীয় পক্ষের প্রসেসর ব্যবহার করার সময়ও আপনি সম্পূর্ণরূপে দায়িত্ব অর্পণ করতে পারবেন না।
বহু-স্তরের সরবরাহ শৃঙ্খলে অতিরিক্ত সতর্কতা প্রয়োজন। একাধিক প্রতিষ্ঠানের ব্যক্তিগত তথ্যের ক্ষতি করে এমন ক্যাসকেডিং ব্যর্থতা থেকে রক্ষা করার জন্য সাব-প্রসেসর এবং তাদের সুরক্ষা ব্যবস্থা সম্পর্কে আপনার স্পষ্ট ধারণা থাকা প্রয়োজন।
ডেটা লঙ্ঘন বিজ্ঞপ্তির বাধ্যবাধকতা
নেদারল্যান্ডস জিডিপিআর এবং জাতীয় সাইবার নিরাপত্তা আইনের অধীনে একটি বহু-স্তরীয় বিজ্ঞপ্তি কাঠামো বাস্তবায়ন করে। নিয়ন্ত্রকদের অবশ্যই লঙ্ঘনের প্রতিবেদন করুন ঝুঁকি থাকলে ৭২ ঘন্টার মধ্যে ব্যক্তিগত তথ্য কর্তৃপক্ষের (PDA) কাছে তথ্য বিষয় অধিকার.
উচ্চ-ঝুঁকিপূর্ণ লঙ্ঘন ক্ষতিগ্রস্ত ব্যক্তিদের সরাসরি অবহিত করার প্রয়োজন।
সময়সীমা এবং পদ্ধতিগত প্রয়োজনীয়তা
ব্যক্তিগত তথ্য লঙ্ঘনের বিষয়ে অবগত হওয়ার ৭২ ঘন্টার মধ্যে আপনাকে অবশ্যই অযথা বিলম্ব না করে PDA-কে অবহিত করতে হবে। এই বাধ্যবাধকতা প্রযোজ্য হবে যদি না লঙ্ঘনের ফলে স্বাভাবিক ব্যক্তিদের অধিকার এবং স্বাধীনতার ঝুঁকি তৈরি হওয়ার সম্ভাবনা কম থাকে।
বিজ্ঞপ্তিতে সম্ভব হলে নির্দিষ্ট তথ্য অন্তর্ভুক্ত করতে হবে। আপনাকে সংশ্লিষ্ট তথ্য বিষয়ের বিভাগ এবং আনুমানিক সংখ্যা, প্রভাবিত ব্যক্তিগত তথ্য রেকর্ডের বিভাগ এবং আনুমানিক সংখ্যা এবং আপনার তথ্য সুরক্ষা কর্মকর্তা বা অন্য যোগাযোগকারীর নাম প্রদান করতে হবে।
লঙ্ঘনের সম্ভাব্য পরিণতি এবং এটি মোকাবেলার জন্য গৃহীত বা প্রস্তাবিত ব্যবস্থাগুলিও আপনাকে বর্ণনা করতে হবে।
যদি আপনি ৭২ ঘন্টার মধ্যে সমস্ত প্রয়োজনীয় তথ্য সরবরাহ করতে না পারেন, তাহলে আপনি পর্যায়ক্রমে তা জমা দিতে পারেন। আপনার প্রাথমিক বিজ্ঞপ্তিতে বিলম্বের কারণ ব্যাখ্যা করতে হবে।
কাকে এবং কখন অবহিত করতে হবে
ব্যক্তিগত তথ্য লঙ্ঘনের ফলে তাদের অধিকার এবং স্বাধীনতার ঝুঁকি বেশি হলে আপনাকে অবশ্যই ক্ষতিগ্রস্ত তথ্য বিষয়গুলিকে সরাসরি অবহিত করতে হবে। এই বিজ্ঞপ্তিটি অযথা বিলম্ব না করে এবং স্পষ্ট এবং সরল ভাষা ব্যবহার করে জানাতে হবে।
তিনটি নির্দিষ্ট পরিস্থিতিতে ডেটা বিষয়বস্তুকে সরাসরি বিজ্ঞপ্তি দেওয়ার প্রয়োজন নেই। আপনি যদি উপযুক্ত প্রযুক্তিগত এবং সাংগঠনিক সুরক্ষা ব্যবস্থা (যেমন এনক্রিপশন) বাস্তবায়ন করেন যা অননুমোদিত ব্যক্তিদের কাছে ডেটা বোধগম্য করে তোলে তবে আপনাকে অবহিত করার প্রয়োজন নেই।
ডেটা সাবজেক্টের অধিকারের উচ্চ ঝুঁকি আর বাস্তবায়িত হওয়ার সম্ভাবনা না থাকে কিনা তা নিশ্চিত করার জন্য আপনি পরবর্তী পদক্ষেপ গ্রহণ করেছেন কিনা, অথবা সরাসরি যোগাযোগের ক্ষেত্রে অসামঞ্জস্যপূর্ণ প্রচেষ্টা জড়িত কিনা তাও আপনাকে জানানোর প্রয়োজন নেই। এই ধরনের ক্ষেত্রে, পরিবর্তে জনসাধারণের সাথে যোগাযোগ বা অনুরূপ ব্যবস্থা গ্রহণ করা প্রয়োজন।
আর্থিক তত্ত্বাবধান আইনের অধীনে আর্থিক কোম্পানিগুলি ডেটা বিষয় বিজ্ঞপ্তির বাধ্যবাধকতা থেকে অব্যাহতিপ্রাপ্ত। তাদের এখনও PDA-তে রিপোর্ট করতে হবে।
প্রসেসরগুলির স্বতন্ত্র বাধ্যবাধকতা রয়েছে। ঝুঁকির মাত্রা নির্বিশেষে, কোনও ব্যক্তিগত তথ্য লঙ্ঘনের বিষয়ে সচেতন হওয়ার পরে আপনাকে অবশ্যই অযথা বিলম্ব না করে নিয়ন্ত্রককে অবহিত করতে হবে।
এটি GDPR-এর অধীনে একটি আইনগত প্রয়োজনীয়তা এবং আপনার প্রক্রিয়াকরণ চুক্তিতে এটি অন্তর্ভুক্ত করা উচিত।
বিভাগীয় এবং জাতীয় বিজ্ঞপ্তির প্রয়োজনীয়তা
জিডিপিআর বাধ্যবাধকতার বাইরেও, আপনার সেক্টরের উপর নির্ভর করে আপনাকে অতিরিক্ত রিপোর্টিং প্রয়োজনীয়তার সম্মুখীন হতে হতে পারে। WBNI (নেটওয়ার্ক এবং তথ্য সিস্টেম সুরক্ষা আইন) নির্দিষ্ট কিছু সত্তাকে সাইবার নিরাপত্তা কর্তৃপক্ষের কাছে নিরাপত্তা ঘটনা রিপোর্ট করতে বাধ্য করে, এমনকি যখন এই ঘটনাগুলি ব্যক্তিগত তথ্য লঙ্ঘনের হিসাবে যোগ্য নয়।
পাবলিক ইলেকট্রনিক যোগাযোগ নেটওয়ার্ক সরবরাহকারীদের অবশ্যই মানব পরিবেশ ও পরিবহন পরিদর্শক (ILT) এর কাছে রিপোর্ট করতে হবে। স্বাস্থ্যসেবা সংস্থাগুলি মেডিকেল ডিভাইসের নিরাপত্তা বা রোগীর তথ্যকে প্রভাবিত করে এমন ঘটনা সম্পর্কে স্বাস্থ্য ও যুব পরিচর্যা পরিদর্শককে অবহিত করার বাধ্যবাধকতা পোষণ করে।
আর্থিক পরিষেবা সংস্থাগুলিকে আর্থিক তত্ত্বাবধান আইনের অধীনে সেক্টর-নির্দিষ্ট প্রয়োজনীয়তাগুলি মেনে চলতে হবে।
গুরুত্বপূর্ণ অবকাঠামো প্রদানকারীরা WBNI-এর অধীনে বাধ্যবাধকতা বৃদ্ধি করেছে। আপনাকে অবশ্যই কম্পিউটার সিকিউরিটি ইনসিডেন্ট রেসপন্স টিম (CSIRT)-কে এমন গুরুত্বপূর্ণ ঘটনা রিপোর্ট করতে হবে যা প্রয়োজনীয় পরিষেবাগুলিকে উল্লেখযোগ্যভাবে ব্যাহত করতে পারে।
পাবলিক কোম্পানিগুলিকে এমন নিরাপত্তা ঘটনা সম্পর্কে অবহিত করতে হতে পারে যা বিনিয়োগকারীদের সিদ্ধান্তগুলিকে বাস্তবিকভাবে প্রভাবিত করতে পারে।
এই সেক্টরাল প্রয়োজনীয়তাগুলি প্রায়শই GDPR বাধ্যবাধকতাগুলিকে প্রতিস্থাপন করার পরিবর্তে পাশাপাশি কাজ করে। আপনার সংস্থার কার্যকলাপ এবং লঙ্ঘনের প্রকৃতির উপর নির্ভর করে আপনাকে একটি ঘটনার জন্য বিভিন্ন কর্তৃপক্ষকে একাধিক বিজ্ঞপ্তি দিতে হতে পারে।
অ-সম্মতির জন্য প্রয়োগ এবং নিষেধাজ্ঞা
ডাচ কর্তৃপক্ষের সাইবার নিরাপত্তা ব্যর্থতা তদন্ত করার এবং ব্যক্তিগত তথ্য সুরক্ষিত করতে বা নিরাপত্তার প্রয়োজনীয়তা পূরণ করতে ব্যর্থ প্রতিষ্ঠানগুলির উপর উল্লেখযোগ্য আর্থিক জরিমানা আরোপের স্পষ্ট ক্ষমতা রয়েছে।
প্রয়োগকারী কাঠামোতে একাধিক নিয়ন্ত্রক জড়িত থাকে যাদের নির্দিষ্ট তত্ত্বাবধানের দায়িত্ব, কাঠামোগত শাস্তির পরিকল্পনা এবং নিষেধাজ্ঞার সম্মুখীন প্রতিষ্ঠানগুলির জন্য সংজ্ঞায়িত আপিল পদ্ধতি রয়েছে।
তদন্ত এবং তদারকি ক্ষমতা
ডাচ ডেটা সুরক্ষা কর্তৃপক্ষ (Autoriteit Persoonsgegevens, বা AP) ডেটা লঙ্ঘন এবং GDPR লঙ্ঘনের তদন্তের প্রাথমিক দায়িত্ব পালন করে।
অভিযোগ, মিডিয়া রিপোর্ট, অথবা নিয়মিত নিরীক্ষার ভিত্তিতে এপি তদন্ত শুরু করতে পারে।
তদন্তের সময়, কর্তৃপক্ষ নথিপত্রের অনুরোধ করতে পারে, ঘটনাস্থলে পরিদর্শন পরিচালনা করতে পারে এবং কর্মীদের সাক্ষাৎকার নিতে পারে।
নতুন Cyberbeveiligingswet-এর অধীনে সাইবার নিরাপত্তা বাধ্যবাধকতার জন্য, সেক্টর-নির্দিষ্ট নিয়ন্ত্রকরা তত্ত্বাবধান পরিচালনা করে।
অথরিটি ফর কনজিউমারস অ্যান্ড মার্কেটস (এসিএম) ডিজিটাল অবকাঠামো এবং টেলিযোগাযোগ প্রদানকারীদের তত্ত্বাবধান করে।
ডাচ সেন্ট্রাল ব্যাংক (DNB) আর্থিক প্রতিষ্ঠানগুলির তত্ত্বাবধান করে।
অর্থনৈতিক বিষয় ও জলবায়ু মন্ত্রী, অবকাঠামো ও পানি ব্যবস্থাপনা মন্ত্রী এবং স্বাস্থ্যসেবা মন্ত্রী প্রত্যেকেই নিজ নিজ ক্ষেত্রের মধ্যে প্রয়োগকারী ক্ষমতা রাখেন।
এই নিয়ন্ত্রকরা আপনার সিস্টেমগুলি নিরীক্ষণ করতে পারে, ঘটনার প্রতিক্রিয়া পদ্ধতি পর্যালোচনা করতে পারে এবং আপনার ঝুঁকি ব্যবস্থাপনা আইনি মান পূরণ করে কিনা তা মূল্যায়ন করতে পারে।
লঙ্ঘন পাওয়া গেলে তারা আপনার প্রতিষ্ঠান থেকে প্রয়োগের খরচও আদায় করতে পারে।
ন্যাশনাল সাইবার সিকিউরিটি সেন্টার (এনসিএসসি) নিয়ন্ত্রকদের মধ্যে সমন্বয় সাধন করে কিন্তু সরাসরি জরিমানা আরোপ করে না।
প্রশাসনিক ও আর্থিক জরিমানা
আইনি কাঠামো এবং লঙ্ঘনের তীব্রতার উপর ভিত্তি করে আর্থিক জরিমানা পরিবর্তিত হয়।
জিডিপিআর প্রয়োগের অধীনে, এপি ২০ মিলিয়ন ইউরো পর্যন্ত জরিমানা বা আপনার বার্ষিক বিশ্বব্যাপী টার্নওভারের ৪%, যেটি বেশি, আরোপ করতে পারে।
কর্তৃপক্ষ লঙ্ঘনের প্রকৃতি, ক্ষতিগ্রস্ত ব্যক্তির সংখ্যা এবং তদন্তের সময় আপনার সহযোগিতার মতো বিষয়গুলি বিবেচনা করে।
সাইবারবেভিলিগিংসওয়েটের অধীনে, জরিমানা একটি স্তরযুক্ত কাঠামো অনুসরণ করে:
| সত্তা শ্রেণীবিভাগ | সর্বোচ্চ জরিমানা | Turnover বিকল্প |
|---|---|---|
| এসেনশিয়াল এন্টিটাইটেন (EE) | € 10 মিলিয়ন | ১.৪% বিশ্বব্যাপী টার্নওভার |
| বেলাংরিজকে এন্টিটাইটেন (বিই) | € 7 মিলিয়ন | ১.৪% বিশ্বব্যাপী টার্নওভার |
নিয়ন্ত্রকরা আপনাকে নির্দিষ্ট সময়সীমার মধ্যে নির্দিষ্ট সুরক্ষা ব্যবস্থা বাস্তবায়নের জন্য সংশোধনমূলক আদেশও জারি করতে পারেন।
বারবার ব্যর্থতার ফলে লঙ্ঘনের প্রকাশ্যে প্রকাশের মাধ্যমে নামকরণ এবং লজ্জার সৃষ্টি হতে পারে।
গুরুতর ক্ষেত্রে, অপরিহার্য সত্তা হিসেবে শ্রেণীবদ্ধ প্রতিষ্ঠানের পরিচালকদের বোর্ড পদ থেকে ব্যক্তিগতভাবে অযোগ্য ঘোষণা করা হতে পারে।
সরকারি খাতের প্রতিষ্ঠানগুলি আর্থিক জরিমানা থেকে অব্যাহতিপ্রাপ্ত কিন্তু সংশোধনমূলক প্রয়োগমূলক পদক্ষেপ এবং সম্ভাব্য সংসদীয় তদন্তের মুখোমুখি হয়।
আইনি আশ্রয় এবং আপিল
আপনার প্রয়োগকারী সিদ্ধান্তগুলিকে চ্যালেঞ্জ করার অধিকার আছে প্রশাসনিক আপিল.
জরিমানা নোটিশ পাওয়ার পর, আপনি ছয় সপ্তাহের মধ্যে ইস্যুকারী কর্তৃপক্ষের কাছে একটি আপত্তি (বেজওয়ার) জমা দিতে পারেন।
নিয়ন্ত্রককে তার সিদ্ধান্ত পুনর্বিবেচনা করতে হবে এবং একটি আনুষ্ঠানিক প্রতিক্রিয়া জানাতে হবে।
পুনর্বিবেচনার ফলাফলের সাথে যদি আপনি একমত না হন, তাহলে আপনি জেলা আদালতে (rechtbank) আপিল করতে পারেন।
আদালত পর্যালোচনা করে যে নিয়ন্ত্রক সঠিক পদ্ধতি অনুসরণ করেছেন কিনা এবং আইনটি সঠিকভাবে প্রয়োগ করেছেন কিনা।
আপনি তখন করতে পারেন আপিল আদালতের সিদ্ধান্ত কাউন্সিল অফ স্টেটের প্রশাসনিক এখতিয়ার ডিভিশনে (আফডেলিং বেস্টুউরস্রেচ্টসপ্রাক ভ্যান ডি রাদ ভ্যান স্টেট), যা সর্বোচ্চ প্রশাসনিক আদালত হিসাবে কাজ করে।
আপিল প্রক্রিয়া জুড়ে, আপনাকে নিয়ন্ত্রকদের দ্বারা নির্দেশিত যেকোনো সংশোধনমূলক ব্যবস্থা বাস্তবায়ন চালিয়ে যেতে হবে।
আপিলের ফলাফল না আসা পর্যন্ত আদালত আর্থিক জরিমানা স্থগিত রাখতে পারে, তবে এটি স্বয়ংক্রিয় নয়।
সাইবার নিরাপত্তা ব্যবস্থাপনায় মূল ভূমিকা এবং দায়িত্ব
তথ্য সুরক্ষা কর্মকর্তা নিয়োগ থেকে শুরু করে বোর্ড-স্তরের জবাবদিহিতা প্রতিষ্ঠা এবং কর্মীদের নিরাপত্তা প্রোটোকল সম্পর্কে প্রশিক্ষণ দেওয়া পর্যন্ত সাইবার নিরাপত্তার কাজগুলি কারা পরিচালনা করবে তা সংস্থাগুলিকে স্পষ্টভাবে সংজ্ঞায়িত করতে হবে।
তথ্য সুরক্ষা কর্মকর্তা এবং নিয়োগ
আপনার প্রতিষ্ঠান যদি বৃহৎ পরিসরে সংবেদনশীল ব্যক্তিগত তথ্য প্রক্রিয়াকরণ করে অথবা ব্যক্তিদের নিয়মিতভাবে পর্যবেক্ষণ করে, তাহলে আপনাকে অবশ্যই একজন ডেটা সুরক্ষা কর্মকর্তা (DPO) নিয়োগ করতে হবে।
ডেটা সুরক্ষা কর্তৃপক্ষ এবং ডেটা বিষয়গুলির জন্য ডিপিও আপনার প্রাথমিক যোগাযোগের বিন্দু হিসেবে কাজ করে।
আপনার ডিপিও-র ডেটা সুরক্ষা আইন এবং তথ্য সুরক্ষা অনুশীলনে নির্দিষ্ট যোগ্যতা প্রয়োজন।
তাদের অবশ্যই আপনার সর্বোচ্চ ব্যবস্থাপনা স্তরে সরাসরি রিপোর্ট করতে হবে এবং তাদের দায়িত্ব পালনের জন্য বরখাস্ত করা যাবে না।
এই ভূমিকার মধ্যে রয়েছে GDPR সম্মতি পর্যবেক্ষণ করা, ডেটা সুরক্ষা প্রভাব মূল্যায়ন পরিচালনা করা এবং এনক্রিপশন এবং ক্রিপ্টোগ্রাফির প্রয়োজনীয়তা সম্পর্কে পরামর্শ দেওয়া।
আপনার ডিপিও-র দায়িত্বগুলি স্পষ্টভাবে লিপিবদ্ধ করা উচিত।
এর মধ্যে রয়েছে আপনার ডিজিটাল অবকাঠামো নিরীক্ষণ এবং আপনার ঘটনা প্রতিক্রিয়া পরিকল্পনা পর্যালোচনা করার ক্ষমতা।
আপনি যদি একাধিক ইইউ দেশ জুড়ে কাজ করেন, তাহলে আপনি তাদের পেশাদার গুণাবলী এবং প্রাসঙ্গিক বিচারব্যবস্থার জ্ঞানের উপর ভিত্তি করে একটি একক ডিপিও মনোনীত করতে পারেন।
কর্পোরেট গভর্নেন্স এবং জবাবদিহিতা
সাইবার নিরাপত্তা ঝুঁকি ব্যবস্থাপনার চূড়ান্ত দায়িত্ব আপনার পরিচালনা পর্ষদের।
তাদের অবশ্যই নিরাপত্তা ব্যবস্থা অনুমোদন করতে হবে, পর্যাপ্ত সম্পদ বরাদ্দ করতে হবে এবং সাইবার স্থিতিস্থাপকতা প্রচেষ্টার যথাযথ তত্ত্বাবধান নিশ্চিত করতে হবে।
নেতৃত্বের জবাবদিহিতার মধ্যে রয়েছে:
- নিরাপত্তা নীতি অনুমোদন করা তথ্য সুরক্ষা কাঠামোর জন্য
- ঝুঁকি মূল্যায়ন তত্ত্বাবধান করা এবং কর্মক্ষম স্থিতিস্থাপকতা পরিকল্পনা
- নিরীক্ষা সম্মতি নিশ্চিত করা স্বাধীন পর্যালোচনার মাধ্যমে
- বাজেট বরাদ্দ সাইবার নিরাপত্তা ব্যবস্থাপনার জন্য এবং কর্মচারী প্রশিক্ষণ
নিরাপত্তা সংক্রান্ত সিদ্ধান্ত গ্রহণের জন্য আপনাকে স্পষ্ট কর্তৃত্বের রেখা স্থাপন করতে হবে।
নিরাপত্তা ব্যবস্থা কে অনুমোদন করে, কে বাস্তবায়ন তত্ত্বাবধান করে এবং কে নিরীক্ষা পরিচালনা করে তার নথি।
আপনার ব্যবস্থাপনাকে নিয়মিতভাবে সাইবার নিরাপত্তা কর্মক্ষমতা পর্যালোচনা করতে হবে এবং আপনার ডিজিটাল অবকাঠামোর জন্য ক্রমবর্ধমান হুমকির উপর ভিত্তি করে কৌশলগুলি সামঞ্জস্য করতে হবে।
অভ্যন্তরীণ নীতিমালা এবং কর্মচারী প্রশিক্ষণ
আপনার প্রতিষ্ঠান জুড়ে নিরাপত্তার ভূমিকা সংজ্ঞায়িত করে এমন নথিভুক্ত নীতিমালা তৈরি করতে হবে।
এই নীতিগুলিতে তথ্য সুরক্ষা, ঘটনার প্রতিক্রিয়া এবং সাইবার স্থিতিস্থাপকতা বজায় রাখার দায়িত্ব নির্দিষ্ট করা উচিত।
আপনার নিরাপত্তা নীতিমালায় অন্তর্ভুক্ত থাকতে হবে:
- অ্যাক্সেস নিয়ন্ত্রণ এবং প্রমাণীকরণের প্রয়োজনীয়তা
- ডেটা শ্রেণীবিভাগ এবং এনক্রিপশন মান
- ঘটনা রিপোর্ট করার পদ্ধতি
- নিয়মিত নিরাপত্তা সচেতনতা প্রশিক্ষণ
আপনার সকল কর্মীদের তথ্য সুরক্ষা অনুশীলন সম্পর্কে চলমান প্রশিক্ষণ প্রদান করা উচিত।
এটা অন্তর্ভুক্ত ফিশিং শনাক্ত করা প্রচেষ্টা, সংবেদনশীল তথ্য সঠিকভাবে পরিচালনা করা এবং আপনার ঘটনার প্রতিক্রিয়া পরিকল্পনা অনুসরণ করা।
প্রশিক্ষণ অবশ্যই নির্দিষ্ট ভূমিকার জন্য তৈরি করতে হবে, যেখানে কারিগরি কর্মীরা ক্রিপ্টোগ্রাফি এবং নিরাপত্তা নিয়ন্ত্রণের উপর উন্নত নির্দেশনা পাবেন।
নিয়মকানুন পরিবর্তন হলে বা নতুন ঝুঁকি দেখা দিলে আপনার নীতিগুলি নিয়মিত পর্যালোচনা করা উচিত এবং আপডেট করা উচিত।
সাইবার নিরাপত্তা অনুশীলনে নীতি বাস্তবায়ন এবং কর্মী উন্নয়ন উভয়ের জন্যই পর্যাপ্ত সম্পদ নিশ্চিত করতে হবে।
সাইবার নিরাপত্তা সংক্রান্ত ঘটনা এবং উদীয়মান হুমকির ধরণ
সাইবার নিরাপত্তার ঘটনাগুলির মধ্যে রয়েছে প্রতারণামূলক ইমেল থেকে শুরু করে বৃহৎ আকারের নেটওয়ার্ক ব্যাঘাত যা সমগ্র প্রতিষ্ঠানকে ঝুঁকির মুখে ফেলতে পারে।
এই হুমকিগুলি বোঝা আপনাকে দুর্বলতাগুলি সনাক্ত করতে এবং লঙ্ঘনের ক্ষেত্রে দায়িত্ব কোথায় তা নির্ধারণ করতে সহায়তা করে।
ফিশিং, ম্যালওয়্যার এবং র্যানসমওয়্যার
ফিশিং আপনার সম্মুখীন হওয়া সবচেয়ে সাধারণ সাইবার নিরাপত্তা হুমকির মধ্যে একটি।
আক্রমণকারীরা আপনার পাসওয়ার্ড, আর্থিক তথ্য, বা অন্যান্য সংবেদনশীল তথ্য চুরি করার জন্য বৈধ কোম্পানির ভান করে ইমেল বা বার্তা পাঠায়।
এই আক্রমণগুলি ৬০ শতাংশেরও বেশি সামাজিক প্রকৌশলগত ঘটনার জন্য দায়ী।
Malware সম্পর্কে আপনার কম্পিউটার সিস্টেম বা নেটওয়ার্কের ক্ষতি করে এমন ক্ষতিকারক সফ্টওয়্যারকে বোঝায়।
এর মধ্যে রয়েছে ভাইরাস, ট্রোজান এবং অন্যান্য ক্ষতিকারক কোড যা আপনার ডেটা অ্যাক্সেস করতে বা আপনার ক্রিয়াকলাপ ব্যাহত করার জন্য ডিজাইন করা হয়েছে।
ransomware হল একটি নির্দিষ্ট ধরণের ম্যালওয়্যার যা আপনার ফাইলগুলিতে অ্যাক্সেস ব্লক করে এবং পুনরুদ্ধারের জন্য অর্থ দাবি করে।
এমনকি যদি আপনি মুক্তিপণ প্রদান করেন, তবুও কোন গ্যারান্টি নেই যে আক্রমণকারীরা আপনার অ্যাক্সেস পুনরুদ্ধার করবে বা চুরি হওয়া ডেটা মুছে ফেলবে।
২০২০ থেকে ২০২১ সালের মধ্যে, সংস্থাগুলি বিশ্বব্যাপী প্রায় ২৪,০০০ সাইবার নিরাপত্তা ঘটনার মুখোমুখি হয়েছে, যার মধ্যে র্যানসমওয়্যার আর্থিক ক্ষতির ক্ষেত্রে গুরুত্বপূর্ণ ভূমিকা পালন করেছে।
পরিষেবা অস্বীকার (DoS) এবং বিতরণকৃত DoS (DDoS) আক্রমণ
ডস আক্রমণ আপনার সিস্টেমে ট্র্যাফিকের চাপ তৈরি করে যাতে বৈধ ব্যবহারকারীদের কাছে পরিষেবাগুলি অনুপলব্ধ হয়।
একটি একক উৎস আপনার নেটওয়ার্ককে অনুরোধে ভরে দেয় যতক্ষণ না এটি ক্র্যাশ করে বা কাজ করার জন্য খুব ধীর হয়ে যায়।
DDoS আক্রমন আপনার অবকাঠামোর বিরুদ্ধে সমন্বিত আক্রমণ চালানোর জন্য একাধিক আপোসপ্রাপ্ত সিস্টেম ব্যবহার করুন।
এই বিস্তৃত আক্রমণগুলি থামানো কঠিন কারণ এগুলি একই সাথে অনেকগুলি স্থান থেকে আসে।
DDoS আক্রমণ সরকারি ওয়েবসাইট থেকে শুরু করে বেসরকারি খাতের কার্যক্রম পর্যন্ত গুরুত্বপূর্ণ পরিষেবাগুলিকে ব্যাহত করতে পারে।
কোনও নিরাপত্তা ঘটনাকে বড় ধরনের লঙ্ঘনে পরিণত না করার জন্য, প্রথমবার সনাক্তকরণের পর থেকে সাধারণত আপনার কাছে ৬২ মিনিটেরও কম সময় থাকে।
এই সংকীর্ণ জানালা DoS বা DDoS আক্রমণের মুখোমুখি হওয়ার সময় দ্রুত প্রতিক্রিয়া অপরিহার্য করে তোলে।
জালিয়াতি এবং অননুমোদিত প্রবেশাধিকার
প্রতারণা সাইবার নিরাপত্তায় আপনার সিস্টেম বা ডেটাতে অননুমোদিত অ্যাক্সেস পেতে প্রতারণামূলক অনুশীলন জড়িত।
এর মধ্যে রয়েছে পরিচয় চুরি, অর্থপ্রদান জালিয়াতি এবং পরিচয়পত্রের আপস।
অননুমোদিত অ্যাক্সেস যখন কেউ আপনার নিরাপত্তা নীতি লঙ্ঘন করে অনুমতি ছাড়াই নেটওয়ার্ক, সিস্টেম বা ডেটা অ্যাক্সেস করে।
এটি এর মাধ্যমে ঘটতে পারে:
- চুরি লগইন শংসাপত্র
- শোষিত সফ্টওয়্যার দুর্বলতা
- নিরাপত্তা নিয়ন্ত্রণ বাইপাস করা হয়েছে
- বর্তমান বা প্রাক্তন কর্মচারীদের কাছ থেকে অভ্যন্তরীণ হুমকি
অভ্যন্তরীণ তথ্য চুরি প্রায়শই উপেক্ষা করা হয় তবে এটি বহিরাগত আক্রমণের মতোই ক্ষতিকারক হতে পারে।
২০২১ সালে, অভ্যন্তরীণ আক্রমণের গড় খরচ ১২.৫ মিলিয়ন পাউন্ডে পৌঁছেছে।
এমনকি কর্মীদের অনিচ্ছাকৃত তথ্য ফাঁসও কম্পিউটার অপব্যবহার আইন (১৯৯০) এর অধীনে নিরাপত্তা ঘটনা হিসেবে গণ্য হয়।
সেক্টর এবং সরবরাহ শৃঙ্খলের দুর্বলতা
গুরুত্বপূর্ণ অবকাঠামো খাতগুলি সাইবার অপরাধের ঝুঁকির সম্মুখীন, যার মধ্যে স্বাস্থ্যসেবা, জ্বালানি এবং আর্থিক পরিষেবাগুলি প্রধান লক্ষ্যবস্তু।
২০২০ থেকে ২০২১ সালের মধ্যে পেশাদার খাতটি প্রায় ৩,৬০০টি ঘটনার সম্মুখীন হয়েছে, যা এটিকে সবচেয়ে বেশি লক্ষ্যবস্তু শিল্পে পরিণত করেছে।
সাপ্লাই চেইন নিরাপত্তা আক্রমণকারীরা আপনাকে সরাসরি আক্রমণ করার পরিবর্তে আপনার অংশীদার এবং তৃতীয় পক্ষের বিক্রেতাদের লক্ষ্যবস্তু করে, তাই এটি ক্রমশ গুরুত্বপূর্ণ হয়ে উঠেছে।
এই তৃতীয় পক্ষের বিক্রেতাদের আক্রমণগুলি আপনার ক্লায়েন্টদের ডেটা অ্যাক্সেস করার জন্য আপনার অংশীদার সংস্থাগুলির দুর্বল সুরক্ষা ব্যবস্থাগুলিকে কাজে লাগায়।
সরবরাহ শৃঙ্খলের দুর্বলতা আক্রমণকারীদের একটি একক লঙ্ঘনের মাধ্যমে একাধিক প্রতিষ্ঠানের সাথে আপস করার সুযোগ দেয়।
যখন আপনার বিক্রেতার সিস্টেমগুলি আপনার সিস্টেমের সাথে সংযুক্ত হয়, তখন তাদের নিরাপত্তা দুর্বলতাগুলি আপনার নিরাপত্তা দুর্বলতা হয়ে ওঠে।
এই আন্তঃসংযুক্ত ঝুঁকির অর্থ হল আপনাকে কেবল আপনার নিজস্ব সাইবার নিরাপত্তা ব্যবস্থাই নয়, বরং আপনার সরবরাহ শৃঙ্খলের প্রতিটি সংস্থার ব্যবস্থাও মূল্যায়ন করতে হবে।
জাতি-রাষ্ট্রগুলি ক্রমবর্ধমানভাবে প্রতিদ্বন্দ্বী সাইবার স্পেসগুলি পরীক্ষা করে এবং অনুপ্রবেশ করে, প্রায়শই সরকারের পক্ষে কাজ করার সময় ব্যক্তিগত সত্তার ছদ্মবেশে কাজ করে।
সচরাচর জিজ্ঞাস্য
ডেটা লঙ্ঘনের পরে ডাচ কোম্পানিগুলিকে কঠোর প্রতিবেদনের প্রয়োজনীয়তা এবং সম্মতি মানদণ্ডগুলি নেভিগেট করতে হবে, যার দায় তাদের ভূমিকা এবং দায়িত্বের উপর নির্ভর করে একাধিক পক্ষের উপর প্রসারিত হবে।
এই বাধ্যবাধকতাগুলি বোঝা প্রতিষ্ঠানগুলিকে জাতীয় এবং ইউরোপীয় নিয়মকানুন মেনে চলার সময় নিজেদের এবং প্রভাবিত ব্যক্তিদের সুরক্ষা দিতে সহায়তা করে।
তথ্য লঙ্ঘনের পর ডাচ কোম্পানিগুলির আইনি বাধ্যবাধকতা কী কী?
আপনার প্রতিষ্ঠানকে ডেটা লঙ্ঘনের বিষয়ে অবগত হওয়ার ৭২ ঘন্টার মধ্যে ডাচ ডেটা সুরক্ষা কর্তৃপক্ষকে (Autoriteit Persoonsgegevens) অবহিত করতে হবে।
এই প্রয়োজনীয়তা GDPR-এর অধীনে প্রযোজ্য, যা নেদারল্যান্ডস জুড়ে ডেটা সুরক্ষা নিয়ন্ত্রণ করে।
আপনার লঙ্ঘনের বিজ্ঞপ্তিতে নির্দিষ্ট তথ্য প্রদান করতে হবে।
এর মধ্যে রয়েছে লঙ্ঘনের প্রকৃতি, ক্ষতিগ্রস্ত ব্যক্তির সংখ্যা, সম্ভাব্য পরিণতি এবং আপনি যে ব্যবস্থা গ্রহণ করেছেন বা নেওয়ার পরিকল্পনা করেছেন তা।
যদি আপনি ৭২ ঘন্টার মধ্যে সমস্ত বিবরণ প্রদান করতে না পারেন, তাহলে আপনাকে বিলম্বের কারণ ব্যাখ্যা করতে হবে এবং যত তাড়াতাড়ি সম্ভব অবশিষ্ট তথ্য জমা দিতে হবে।
যখন লঙ্ঘন ব্যক্তিদের অধিকার এবং স্বাধীনতার জন্য উচ্চ ঝুঁকি তৈরি করে, তখন আপনাকে অবশ্যই ক্ষতিগ্রস্ত ব্যক্তিদের সরাসরি অবহিত করতে হবে।
যুক্তিসঙ্গত কারণ ছাড়া আপনি এই বিজ্ঞপ্তি বিলম্বিত করতে পারবেন না।
ক্ষতিগ্রস্ত ব্যক্তিদের সাথে আপনার যোগাযোগ স্পষ্ট হওয়া উচিত এবং লঙ্ঘনের সম্ভাব্য পরিণতি এবং নিজেদের রক্ষা করার জন্য তারা কী পদক্ষেপ নিতে পারে তা ব্যাখ্যা করা উচিত।
আপনি কর্তৃপক্ষের কাছে রিপোর্ট করুন না কেন, আপনাকে অবশ্যই সমস্ত ডেটা লঙ্ঘনের বিস্তারিত ডকুমেন্টেশন বজায় রাখতে হবে।
এই ডকুমেন্টেশনে লঙ্ঘনের ঘটনা, এর প্রভাব এবং গৃহীত প্রতিকারমূলক ব্যবস্থা সম্পর্কিত তথ্য অন্তর্ভুক্ত থাকা উচিত।
ডাচ ডেটা সুরক্ষা কর্তৃপক্ষ পরিদর্শন বা তদন্তের সময় এই ডকুমেন্টেশনের জন্য অনুরোধ করতে পারে।
নেদারল্যান্ডসের আইনের অধীনে ডেটা লঙ্ঘনের দায় কীভাবে নির্ধারণ করা হয়?
নেদারল্যান্ডসে ডেটা লঙ্ঘনের দায় নির্ভর করে ডেটা কন্ট্রোলার বা ডেটা প্রসেসর হিসেবে আপনার ভূমিকার উপর।
ডেটা কন্ট্রোলাররা ব্যক্তিগত ডেটা প্রক্রিয়াকরণের উদ্দেশ্য এবং উপায় নির্ধারণ করে, যেখানে ডেটা প্রসেসররা কন্ট্রোলারদের পক্ষে ডেটা পরিচালনা করে।
আপনার আইনি দায়িত্ব এই শ্রেণীবিভাগের উপর ভিত্তি করে ভিন্ন।
একজন ডেটা কন্ট্রোলার হিসেবে, ডেটা সুরক্ষা বিধিমালার সাথে সম্মতি নিশ্চিত করার প্রাথমিক দায়িত্ব আপনার।
ব্যক্তিগত তথ্য সুরক্ষিত রাখার জন্য আপনাকে অবশ্যই যথাযথ প্রযুক্তিগত এবং সাংগঠনিক ব্যবস্থা বাস্তবায়ন করতে হবে।
আদালত মূল্যায়ন করে যে আপনি লঙ্ঘন রোধ করার জন্য যুক্তিসঙ্গত পদক্ষেপ নিয়েছেন কিনা এবং আপনার নিরাপত্তা অনুশীলনে আপনি অবহেলার সাথে কাজ করেছেন কিনা।
ডেটা প্রসেসররা যদি নিয়ন্ত্রকের নির্দেশাবলী অনুসরণ করতে ব্যর্থ হয় বা তাদের চুক্তিগত বাধ্যবাধকতা লঙ্ঘন করে তবে তাদেরও দায়বদ্ধতার সম্মুখীন হতে পারে।
তবে, প্রসেসরগুলির সাধারণত নিয়ন্ত্রকদের তুলনায় বেশি সীমিত দায় থাকে।
যদি আপনি নিয়ন্ত্রকের কাছ থেকে যথাযথ অনুমোদন ছাড়াই ডেটা প্রক্রিয়া করেন বা সম্মত সুরক্ষা ব্যবস্থা বাস্তবায়নে ব্যর্থ হন, তাহলে আপনাকে সরাসরি দায়ী করা হতে পারে।
ডাচ আদালত দায় নির্ধারণের সময় বেশ কয়েকটি বিষয় প্রয়োগ করে।
এর মধ্যে রয়েছে লঙ্ঘনের তীব্রতা, ক্ষতিগ্রস্থ তথ্যের সংবেদনশীলতা, লঙ্ঘনের আগে আপনার সুরক্ষা ব্যবস্থা এবং ঘটনাটি আবিষ্কার করার পরে আপনার প্রতিক্রিয়া।
আপনার প্রতিষ্ঠানের আকার এবং সম্পদ আদালত কোন যুক্তিসঙ্গত নিরাপত্তা ব্যবস্থা বিবেচনা করে তাও প্রভাবিত করে।
একাধিক পক্ষ ডেটা লঙ্ঘনে অবদান রাখলে যৌথ দায়বদ্ধতা দেখা দিতে পারে।
যদি আপনি অন্যান্য নিয়ন্ত্রক বা প্রসেসরের সাথে দায়িত্ব ভাগ করে নেন, তাহলে আদালত প্রতিটি পক্ষকে সম্পূর্ণ ক্ষতির জন্য দায়ী করতে পারে।
এরপর আপনি অন্যান্য দায়ী পক্ষের কাছ থেকে তাদের নিজ নিজ অবদানের ভিত্তিতে ক্ষতিপূরণ চাইতে পারেন।
নেদারল্যান্ডসে ডেটা সুরক্ষার ঘটনার জন্য কোন পক্ষগুলিকে দায়ী করা যেতে পারে?
ডেটা সুরক্ষা সংক্রান্ত ঘটনার জন্য ডেটা নিয়ন্ত্রকরা প্রাথমিকভাবে দায়বদ্ধ।
একজন নিয়ন্ত্রক হিসেবে, আপনি ব্যক্তিগত তথ্য কীভাবে প্রক্রিয়াজাত করা হবে সে সম্পর্কে সিদ্ধান্ত নেন এবং যথাযথ নিরাপত্তা ব্যবস্থা নিশ্চিত করতে হবে।
লঙ্ঘনের পর আপনার প্রতিষ্ঠান প্রশাসনিক জরিমানা, দেওয়ানি দায়বদ্ধতা এবং সুনামের ক্ষতির সম্মুখীন হতে পারে।
ডেটা প্রসেসররা যখন তাদের চুক্তিভিত্তিক এবং আইনি বাধ্যবাধকতা পূরণে ব্যর্থ হয় তখন তাদের জবাবদিহি করা যেতে পারে।
যদি আপনি কোন নিয়ন্ত্রকের পক্ষে তথ্য প্রক্রিয়াকরণ করেন, তাহলে আপনাকে অবশ্যই আপনার চুক্তিতে উল্লেখিত নিরাপত্তা ব্যবস্থা বাস্তবায়ন করতে হবে এবং নিয়ন্ত্রকের আইনানুগ নির্দেশাবলী মেনে চলতে হবে।
আপনি যদি আপনার কর্তৃত্ব লঙ্ঘন করেন বা পর্যাপ্ত নিরাপত্তা বজায় রাখতে ব্যর্থ হন তবে আপনার সরাসরি দায়বদ্ধতা থাকবে।
আপনার প্রতিষ্ঠানের পরিচালক এবং কর্মকর্তারা নির্দিষ্ট পরিস্থিতিতে ব্যক্তিগত দায়বদ্ধতার সম্মুখীন হতে পারেন।
নেদারল্যান্ডসে NIS2 নির্দেশিকা বাস্তবায়নের অধীনে, সাইবার নিরাপত্তা শাসনে ব্যর্থতার জন্য ব্যবস্থাপনাকে ব্যক্তিগতভাবে দায়ী করা যেতে পারে।
গুরুতর লঙ্ঘন ঘটলে পরিচালক হিসেবে দায়িত্ব পালন থেকে সম্ভাব্য অযোগ্যতা এর মধ্যে অন্তর্ভুক্ত।
নিরাপত্তা সংক্রান্ত ঘটনার জন্য তৃতীয় পক্ষের পরিষেবা প্রদানকারীরাও জবাবদিহি করতে পারে।
আপনি যদি ক্লাউড পরিষেবা, আইটি সহায়তা, বা অন্যান্য বহিরাগত সরবরাহকারীদের উপর নির্ভর করেন, তাহলে তাদের ব্যর্থতা লঙ্ঘনের ক্ষেত্রে দায়বদ্ধতা ভাগ করে নিতে পারে।
এই সরবরাহকারীদের সাথে আপনার চুক্তিতে নিরাপত্তা দায়িত্ব এবং দায়বদ্ধতার শর্তাবলী স্পষ্টভাবে সংজ্ঞায়িত করা উচিত।
ডাচ ডেটা সুরক্ষা কর্তৃপক্ষ প্রাথমিক প্রয়োগকারী সংস্থা হিসেবে কাজ করে।
যদিও কর্তৃপক্ষ লঙ্ঘনের জন্য সরাসরি দায়ী নয়, ঘটনাগুলি তদন্ত করে, সংশোধনমূলক আদেশ জারি করে এবং অ-সম্মতিকারী সংস্থাগুলির উপর প্রশাসনিক জরিমানা আরোপ করে।
ডাচ ডেটা সুরক্ষা বিধিমালা না মানার জন্য সংস্থাগুলি কী কী পরিণতির সম্মুখীন হয়?
আপনার প্রতিষ্ঠান ২০ মিলিয়ন ইউরো পর্যন্ত অথবা আপনার বিশ্বব্যাপী বার্ষিক টার্নওভারের ৪% পর্যন্ত প্রশাসনিক জরিমানা ভোগ করতে পারে, যে পরিমাণ বেশি হোক না কেন। ডাচ ডেটা সুরক্ষা কর্তৃপক্ষ লঙ্ঘনের প্রকৃতি, তীব্রতা, সময়কাল এবং তদন্তের সময় আপনার সহযোগিতার উপর ভিত্তি করে জরিমানার পরিমাণ নির্ধারণ করে।
আর্থিক জরিমানা ছাড়াও, কর্তৃপক্ষ আপনার কার্যক্রম ব্যাহত করে এমন সংশোধনমূলক ব্যবস্থা আরোপ করতে পারে। এই ব্যবস্থাগুলির মধ্যে রয়েছে ডেটা প্রক্রিয়াকরণ কার্যক্রমের উপর অস্থায়ী বিধিনিষেধ, নির্দিষ্ট লঙ্ঘন সংশোধনের আদেশ এবং বাধ্যতামূলক নিরীক্ষা।
আপনি সম্মতি প্রদর্শন না করা পর্যন্ত আপনার কিছু ব্যবসায়িক কার্যক্রম স্থগিত করার প্রয়োজন হতে পারে। সম্মতি না দেওয়ার ফলে আপনার প্রতিষ্ঠানের সুনাম উল্লেখযোগ্যভাবে ক্ষতিগ্রস্ত হওয়ার ঝুঁকি রয়েছে।
তথ্য লঙ্ঘন এবং নিয়ন্ত্রক জরিমানা জনসমক্ষে প্রকাশ করলে গ্রাহকদের আস্থা নষ্ট হতে পারে এবং ব্যবসায়িক সম্পর্ক ক্ষতিগ্রস্ত হতে পারে। ডাচ ডেটা সুরক্ষা কর্তৃপক্ষ প্রয়োগকারী সিদ্ধান্ত প্রকাশ করে, যা জনসাধারণ এবং মিডিয়ার কাছে অ্যাক্সেসযোগ্য থাকে।
ক্ষতিপূরণ দাবি করে ক্ষতিগ্রস্ত ব্যক্তিদের কাছ থেকে আপনার বিরুদ্ধে দেওয়ানি মামলা হতে পারে। ব্যক্তিরা তথ্য সুরক্ষা লঙ্ঘনের ফলে বস্তুগত এবং অ-বস্তুগত ক্ষতি দাবি করতে পারেন।
ডাচ আদালতগুলি সরাসরি আর্থিক ক্ষতি ছাড়াই ব্যক্তিগত তথ্যের উপর দুর্দশা এবং নিয়ন্ত্রণ হারানোর দাবিগুলিকে ক্রমবর্ধমানভাবে স্বীকৃতি দিচ্ছে। গুরুতর লঙ্ঘনের পরে আপনার ব্যবসায়িক সুযোগ সীমিত হতে পারে।
কিছু ক্ষেত্রে চুক্তি বজায় রাখার জন্য নিরাপত্তা সার্টিফিকেশন বা সম্মতি রেকর্ডের প্রয়োজন হয়, বিশেষ করে যখন সরকারী সংস্থা বা নিয়ন্ত্রিত শিল্পের সাথে লেনদেন করা হয়।
নেদারল্যান্ডসে তথ্য লঙ্ঘনের পর ক্ষতিগ্রস্ত ব্যক্তিরা কীভাবে প্রতিকার চাইতে পারেন?
যদি আপনার মনে হয় যে কোনও সংস্থা আপনার ডেটা সুরক্ষা অধিকার লঙ্ঘন করেছে, তাহলে আপনি ডাচ ডেটা সুরক্ষা কর্তৃপক্ষের কাছে অভিযোগ দায়ের করতে পারেন। কর্তৃপক্ষ অভিযোগগুলি তদন্ত করে এবং অ-সম্মতিকারী সংস্থাগুলির বিরুদ্ধে আইনানুগ ব্যবস্থা নিতে পারে।
এই প্রক্রিয়ার জন্য আপনার কোনও খরচ নেই এবং আইনি প্রতিনিধিত্বের প্রয়োজন নেই। আপনার দায়িত্বপ্রাপ্ত সংস্থার বিরুদ্ধে দেওয়ানি মামলা করার অধিকার রয়েছে।
ডাচ আইন আপনাকে ডেটা সুরক্ষা লঙ্ঘনের ফলে সৃষ্ট বস্তুগত এবং অ-বস্তুগত উভয় ক্ষতির জন্য ক্ষতিপূরণ দাবি করার অনুমতি দেয়। বস্তুগত ক্ষতির মধ্যে আর্থিক ক্ষতি অন্তর্ভুক্ত, যেখানে অ-বস্তুগত ক্ষতির মধ্যে রয়েছে যন্ত্রণা, উদ্বেগ এবং আপনার ব্যক্তিগত ডেটার উপর নিয়ন্ত্রণ হারানো।
আপনি যদি আর্থিক যোগ্যতার মানদণ্ড পূরণ করেন তবে আপনার দাবি পরিচালনা করার জন্য একজন আইনজীবী নিয়োগ করতে পারেন অথবা আইনি সহায়তা চাইতে পারেন। নেদারল্যান্ডসের অনেক আইন সংস্থা ডেটা সুরক্ষা মামলায় বিশেষজ্ঞ এবং আপনার দাবির শক্তি সম্পর্কে আপনাকে পরামর্শ দিতে পারে।
শ্রেণিগত পদক্ষেপ ব্যবস্থা ক্ষতিগ্রস্ত ব্যক্তিদের দলগুলিকে সম্মিলিতভাবে দাবি আদায়ের সুযোগ দেয়। আপনি আদালতে না গিয়ে সরাসরি সংস্থার কাছ থেকে ক্ষতিপূরণ চাইতে পারেন।
অনেক প্রতিষ্ঠান মামলা-মোকদ্দমার খরচ এবং নেতিবাচক প্রচারণা এড়াতে ব্যক্তিগতভাবে দাবি নিষ্পত্তি করতে পছন্দ করে। যদি সংস্থাটি স্পষ্টভাবে ডেটা সুরক্ষা বিধি লঙ্ঘন করে অথবা লঙ্ঘনের ফলে উল্লেখযোগ্য ক্ষতি হয়, তাহলে আপনার আলোচনার অবস্থান শক্তিশালী হয়।
যদি ডেটা প্রসেসর লঙ্ঘনের জন্য দায়ী থাকে, তাহলে আপনি তাদের বিরুদ্ধেও দাবি করতে পারেন। GDPR-এর অধীনে, কন্ট্রোলার এবং প্রসেসর উভয়কেই ক্ষতির জন্য দায়ী করা যেতে পারে।
যদি একাধিক পক্ষ লঙ্ঘনে অবদান রাখে, তাহলে আপনি যেকোনো দায়ী পক্ষের কাছ থেকে সম্পূর্ণ অর্থ দাবি করতে পারেন।
নেদারল্যান্ডসে কর্মরত সত্তাগুলির ডেটা লঙ্ঘনের ক্ষেত্রে GDPR কীভাবে দায়বদ্ধতা এবং দায়িত্বগুলিকে প্রভাবিত করে?
জিডিপিআর ব্যক্তিগত তথ্য সুরক্ষার বিষয়ে সংস্থাগুলির জন্য স্পষ্ট বাধ্যবাধকতা প্রতিষ্ঠা করে।
তথ্য সুরক্ষা নিশ্চিত করার জন্য প্রতিষ্ঠানগুলিকে যথাযথ প্রযুক্তিগত এবং সাংগঠনিক ব্যবস্থা বাস্তবায়ন করতে হবে।
তথ্য লঙ্ঘনের ঘটনা ঘটলে, প্রতিষ্ঠানগুলিকে ৭২ ঘন্টার মধ্যে সংশ্লিষ্ট তত্ত্বাবধায়ক কর্তৃপক্ষকে অবহিত করতে হবে।
যদি লঙ্ঘন ব্যক্তিদের অধিকার এবং স্বাধীনতার জন্য উচ্চ ঝুঁকি তৈরি করে, তাহলে ক্ষতিগ্রস্ত ব্যক্তিদেরও অবহিত করতে হবে।
এই প্রয়োজনীয়তাগুলি মেনে চলতে ব্যর্থ হলে উল্লেখযোগ্য জরিমানা এবং সংস্থার সুনাম ক্ষতিগ্রস্ত হতে পারে।
জিডিপিআরের অধীনে ডেটা কন্ট্রোলার এবং প্রসেসর উভয়েরই স্বতন্ত্র দায়িত্ব রয়েছে এবং চুক্তিগুলিকে অবশ্যই এই ভূমিকাগুলি স্পষ্টভাবে সংজ্ঞায়িত করতে হবে।
