None 25 באפריל 2018

מוכנים? תקנות הגנת הפרטיות (אבטחת מידע) נכנסות לתוקף

בזמן האחרון אנחנו רק שומעים על שימוש לרעה במידע אישי של משתמשים על ידי ארגונים שונים ובראשם פייסבוק.

השימוע בסנאט של מארק צוקרברג בהחלט העלה את המודעות לבעיות פרטיות ואבטחת מידע בקרב הציבור.

פרשות אלה קרו חודשים ספורים לפני כניסת תקנות הGDPR באירופה שנועדו למנוע שימוש לרעה במידע של משתמשים על ידי עסקים.

אירועים אלה אולי הפתיעו את הציבור אבל לא את הרגולטורים ,שמודעים לנושא כבר תקופה ארוכה.

תקנות אלה משפיעות בצורה מהותית על מודלים עסקיים של חברות שאוספות וצוברות מידע על משתמשים אירופאים גם אם החברות עצמן נמצאות מחוץ לאירופה. נתייחס לתקנות GDPR בצורה מפורטת במאמר הבא.

בזמן שכל הזרקורים מופנים לאירופה, הקהל הישראלי מפספס התפתחות דרמטית אצלנו בנושא.

בשמיני למאי 2018 , נכנסות בארץ לתוקף תקנות חדשות בנושא של הגנת פרטיות ואבטחת מאגרי מידע.

במאמר זה נסקור את התקנות האלה והשלכותיהם:

 

מטרת התקנות

לעלות בצורה משמעותית את רמת אבטחת המידע האישי בישראל.

 

מי יושפע?

התקנות חלות על כל מי שמבצע עיבוד ושמירה של מידע אישי בישראל, גופים פרטים וציבורים כאחד. בעולמינו הדיגיטלי זה אומר שהן חלות על כולנו! התקנות מסתכלות על כל גוף כזה כמנהל מאגר מידע. מרגע זה נשתמש במושג זה להסברים והבהרות.

 

סיווג המאגרים

התקנות הן מודולריות ומכילות חובות הולכות וגדלות בהתאם לגודל הארגון ,כמויות מידע מעובדות ורגישות המידע. נתייחס לארבעת הרמות שמוגדרות בתקנות (מהפחות מחמיר ליותר מחמיר). להלן סיכום של עיקרי החלוקה:

  1. מאגר מידע מנוהל על ידי יחיד- מדובר על עסקים קטנים (כולל עצמאים) שהמידע שלהם לא רגיש במיוחד והם משתמשים במידע לצורך תפקוד העסק ולא מוסרים אותו לצד שלישי

  2. מאגרי מידע ברמת אבטחה בסיסית ארגונים שמעבדים מידע אישי שאינו מוגדר כרגיש

  3. מאגרי מידע ברמת אבטחה בינונית- ארגונים שמעבדים מידע אישי או רפואי רגיש

  4. מאגרי מידע ברמת אבטחה גבוהה- מדובר על מאגרי מידע גדולים (מעל 100,000 אנשים) עם מורשי גישה רבים (מעל 100).

 

עיקרי התקנות:

הדברים שנדרשים במסגרת התקנות שונים בהתאם לסיווג המאגר, להלן מספר נקודות עיקריות:

  1. מסמך הגדרות המאגר- תיאור המידע שנשמר ותהליכי העיבוד.

  2. מינוי אחראי אבטחת מידע בארגון

  3. מיפוי סיכונים

  4. נוהל אבטחת מידע

  5. ניהול הרשאות גישה למאגר

  6. אבטחה פיזית והקשחה

  7. הדרכות לכוח אדם בנושא של אבטחת מידע

  8. תיעוד ודיווח על אירועי אבטחת מידע (התקפות,פריצות,זליגת מידע)

  9. ביקורות תקופתיות ועדכון נהלים

התקנות הן מאוד מקיפות (לא רלוונטיות לכל רמות האבטחה) ,זאת רק רשימה מצומצמת של נושאים עיקריים להמחשה. יישום התקנות דורש שילוב של הבנה משפטית,עולם תוכן ,פיתוח תוכנה ,אבטחת מידע ועוד. נגמרו הימים שאפשר היה לתת לכל אחד לתחזק ולפתח מערכות מידע. היום בעל המאגר אחראי על פי החוק על פעולות של קבלני משנה ועובדים שמטפלים במאגר מידע. זה מעלה באופן אוטומטי את רף האיכות שנדרש. כמו כן זה מקשה על עבודה מול גופים בחו"ל (פרילנסרים וחברות פיתוח) שלא מכירים את התקנות ולא מקיימים את תהליכי העבודה הנדרשים.

מהיום כל מי שעוסק בפיתוח/תחזוקת תוכנה יצטרך להתאים את התנהלותו לרוח התקנות,כלומר הליכי עבודה סדורים ומאורגנים,כלים אוטומטים שמאפשרים בקרה,ניהול יומני גישה וגיבויים.

הרגולטור מדגיש שעמידה בתקנות זה לא פעולה חד פעמית אלה תהליך מתמשך של עדכון והתאמות לשינוים שמתרחשים. בעלי מאגרי מידע נדרשים לבחון את השינויים בפעילות העסקית שלהם לוודא עמידה בתקנות.

 

לסיכום ניתן לראות שרגולטור ניגש בצורה מאוד מקיפה לנושא אבטחת מידע אישי בישראל. מוטלת חובה ואחריות על כל גורם שעוסק באיסוף,עיבוד ואגירת מידע להתייחס למידע אישי כלנכס מוחשי רגיש בעל ערך רב.

אנחנו באיניטק כבית תוכנה שעובד עם לקוחות מגוונים בשוק המקומי ועולמי הפכנו את נושא אבטחת מידע ופרטיות לערך מוביל. החל מבחירת טכנולוגיות ושפות תכנות עם רמת אבטחה גבוהה דרך פיתוח מאובטח ועמידה ברגולציות הנדרשות בחוק. מבחינותינו עמידה של לקוחות שלנו  בתקנות הללו זהו צעד חשוב ומהותי בערך מקצועי שאנחנו נותנים כבית תוכנה. אנחנו עוזרים ללקוחותינו למפות את מאגרי המידע שלהם, להגדיר את רמת אבטחה בה הם חייבים וליישם את התקנות באופן שוטף. אנחנו מציעים את הידע שלנו וכלים טכנולוגיים כדי לחסוך את זמן הלקוח ולאפשר לו להתעסק במרכז פעילות העסקית שלו.

אתם מוזמנים לקרוא מאמרים נוספים בנושא בבלוג שלנו.

נשמח לראות אותכם בין לקוחותינו!

 

נ.ב

מידע זה לא מהווה המלצה משפטית לגבי עמידה/חוסר עמידה בתקנות או צעדים נדרשים לצורך כך.

נדרש ניתוח ספציפי של כל מקרה לגופו כדי להמליץ על דרכי פעולה אפשריים.

 

ישי טנצר

מנכ"ל איניטק- בית תוכנה לפיתוח מוצריים דיגיטליים.

https://www.initech.co.il/he/data-protection/

contact@initech.co.il

 

#פינת הידע של איניטק #technology #hi tech #hitech #initech #software #security #data #GDPR #data protection #protection