איך להוציא מאגרים למיקור-חוץ מבלי להסתבך עם החוק?
הנחיות חדשות שפרסמה הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, מבטיחות לעשות סדר אחת ולתמיד בתחום הגנה על המידע שיוצא מהארגון לידי קבלן מיקור-חוץ ● להדפיס ולשמור
מיקור-החוץ בענף ה-ICT מהווה את אחת הדרכים המקובלות ביותר עבור ארגונים לבצע פרויקטים עתירי כוח אדם ומידע, מבלי לסטות מהליבה העסקית המרכזית שלהם. לפי חברת המחקר גרטנר (Gartner), שוק מיקור-החוץ יצמח השנה ב-6.9% והיקפו יעמוד על 313 מיליארד דולרים. על פי החברה, עד 2015 יגדל השוק בקצב של 4.6% בשנה.
אולם, נושא מיקור-החוץ עלה באחרונה לכותרות דווקא בהקשר שלילי. זאת, בעקבות חשיפת הדליפה החמורה ממאגרי המידע של רשות האוכלוסין במשרד הפנים על ידי עובד קבלן, שביצע עבודות מיקור-חוץ ברשות. הסיפור נחשף על ידי הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים, ועורר סערה ציבורית רבה.
השבוע פרסמה אותה רשות הנחיות חדשות לגבי השימוש בשירותי מיקור-חוץ לעיבוד מידע אישי. המטרה היא להבהיר לכל הגורמים בשוק את עמדתו של רשם המאגרים בדבר הפעולות הראויות לקיום חובותיהם של בעלי המאגר, מנהל המאגר והמחזיק בו, בכל הקשור לטיפול במידע שמוצא החוצה למיקור-חוץ ועלול לפגוע בפרטיות של אנשים.
ההנחיה הראשונה של הרשות היא לבצע הסדרה משפטית של הטיפול במידע באופן שיכסה את כל ההיבטים ולא ישאיר דבר בתחום האפור. לא בכל מקרה מותר להוציא מאגרי מידע החוצה – זו לא פעולה אוטומטית המובנת מאליה. כך, סעיף 3 לחוזר שהוציאה הרשות למשפט, טכנולוגיה ומידע, מציע פירוט של הצעדים שיסייעו לבחון האם הוצאת המאגר היא חוקית.
בהגדרת יחסי ספק-לקוח, מסבירה הרשות, יש לקבוע במדויק איזה מידע יוצא לאחריות הקבלן כחלק מאפיון השירות, ואיזה מידע נשאר בארגון. יש לכלול את הפרט הזה גם בתנאי המכרזים שמתפרסמים לצורך העניין. המכרז, על פי הרשות, צריך להגדיר במדויק את אופן הטיפול של הקבלן במידע – אם זה על די העתקה, מתן הרשאות גישה או איסוף וניתוח המידע בצורות שונות. בהנחיותיו אלו מעיר משרד המשפטים, כי היה מעדיף שארגונים לא יוציאו מאגרי מידע החוצה באופן פיסי, אלא יעבדו בשיטת ההרשאות – מהלך שמאפשר שליטה ובקרה מסוימת על הקבלן ודרך פעולתו.
כמו בכל פרויקט, נכתב בהנחיות, חשוב לבחור בצורה נכונה ומוקפדת את הקבלן שיבצע את העבודות. יש להגדיר לו בצורה שאינה משתמעת לשתי פנים מהי מטרת עבודתו, מה מותר ומה אסור. כמו כן, על הקבלן להוכיח שיש בידיו את כל האמצעים הדרושים לאבטחה נאותה של המידע. על אחריותו גם לוודא, כי כל עובדיו עברו הדרכות מתאימות בנושא. אם שיטת העבודה מחייבת את הקבלן לאסוף מידע ישירות מאנשים שפרטיהם רשומים במאגר, מזמין העבודה חייב להציב לו גבולות ולהזהיר אותו מפני חריגה באיסוף המידע, לא כל שכן בשימוש שלו.
כפי שניתן להבין, תחום מיקור-החוץ כולל אלמנט חזק מאוד של ניהול סיכונים. סעיף 3.1.4.2 בהנחיות משרד המשפטים קובע, ש-"במסגרת אפיון השירות, עוד בטרם ההתקשרות, על המזמין לבחון ולהגדיר את האיומים והסיכונים הנובעים מסוג המידע המועבר לקבלן ולקבוע את אמצעי אבטחת המידע". זהו נושא שלמרבה הצער לא הופנם עדיין על ידי כל מנהלי האבטחה ומנהלי מערכות המידע בארגונים.
הערה נוספת, שהיא אמנם מובנת מאליה אך לא תמיד מיושמת, היא שבמקרה וקבלן המשנה מחזיק בכמה מאגרים ממקורות שונים ונותן שירותים לחברות מתחרות, על כל מזין עבודה לוודא היטב שקיימת הפרדה מוחלטת – פיסית וטכנית – בין המאגרים וכי לא מתבצעת אף דליפה.
עצה אחרת, שנכונה לגבי כל חוזה התקשרות, היא לבצע בקרה, מעקב ו-וידוא נהלים – או בקיצור: להיות עם היד על הדופק. אפשר אפילו לעגן את זה בחוזה המשפטי – שיהיה ברור שלמזמין העבודה הזכות לערוך ביקורות באתר הקבלן בכל רגע וככול שיידרש. במקרים בהם יש רגישות גבוהה למידע, יש להסמיך את מנהל אבטחת המידע של מזמין העבודה לבצע ביקורות אצל הקבלן ללא שום מגבלה או אישורים מראש. במקרים מיוחדים ניתן אף לשכור שירותים מצד שלישי, שיבצע את הבדיקה בצורה מהימנה וקבועה.
השורה התחתונה: הנחיותיה של הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים יכנסו לתוקף במאי הקרוב, ועד אז מצפה הרשות מכל הגורמים המעורבים בעסקאות מיקור-חוץ להתיישר על פיהן. בכל מקרה ובכל מצב, מדגישים ברשות, על התהליכים הללו לתאום את חוק ההגנה על הפרטיות, שנחקק במטרה שמעולם לא היתה קריטית יותר: לשמור על המעט שעוד נותר מהפרטיות שלנו, הנחשפת יותר ויותר בעזרת החידושים והאמצעים הטכנולוגיים המתפתחים חדשות לבקרים.
הנחיות זה דבר חשוב ביותר רק צריך לאכוף את זה ובדבר הזה אנחנו חלשים מאד כאן בישראל
כל ההנחיות למעשה מקבעות את המצב הקיים - בו המידע מטייל לו... בפועל אין ממש פיקוח, וגם אם יש, הקנסות לא מרתיעים את החברות (שלא נדבר על גופי הממשלה).