"פערים מהותיים בהבטי הגנת הפרטיות בישראל"

נמצאו פערים, חלקם פערים מהותיים, בהבטי הגנת הפרטיות ואבטחת מידע בקרב ארגונים בישראל. זאת, למרות שסדרת בקרות ובדיקות שערכה הרשות להגנת הפרטיות בין השנים 2018-2020 הביאה לעלייה ניכרת ברמת העמידה של הגופים המפוקחים בתקנות הגנת הפרטיות.

מדו"ח שפרסמה הרשות להגנת הפרטיות עולה כי ברשויות המקומיות, בארגונים למימוש זכויות רפואיות ובמועדוני הלקוחות – נמצאה "רמת עמידה נמוכה-בינונית ביחס לניהול המידע האישי שבבעלות הגופים, ובהחזקתו". הרשות ציינה כי גופים אלה מהווים יותר מ-50% מהגופים המפוקחים.

עוד עולה כי ברוב המגזרים שנבחנו, נמצאו פערים בקריטריון של בקרה ארגונית. חלק מהפערים טמונים באי מינוי מנהלי מאגר מידע, או בהיעדר כתבי מינוי של מנהלי מאגר מידע. במגזרים הכוללים מידע רפואי, נמצא כי נהלי אבטחת המידע אינם מספקים, ולעיתים כלל לא קיימים. פערים מהותיים נמצאו גם בתחום תהליכי מתן הרשאות גישה לעובדים חדשים, או הענקת גישה למערכות המאגר.

עוד צוין כי ביקורת תקופתיות וסקרי סיכונים לא בוצעו באופן מלא, הן במגזר הרשויות המקומיות והן במגזרי הפלטפורמות הלימודיות לקטינים, מכונים רפואיים ומעבדות רפואיות, וחברות האחסון. "ליקוי זה בקרב חברות האחסון חמור במיוחד, שכן קיימת הסתמכות כמעט מלאה על הבקרות שמבצעת חברת האחסון, שמתוקף פעילותה מחזיקה ומעבדת מידע אישי עבור אחרים".

ברשויות המקומיות, בגופים המנהלים פלטפורמות לימודיות לקטינים, ובמכונים רפואיים ומעבדות רפואיות, "נמצאה רמת עמידה בינונית-נמוכה בקריטריון של ניהול מאגרי מידע". כמו כן, "נמצא פער משמעותי בין רמת עמידתם, הגבוהה יחסית של גופים גדולים ממגזרים אלו בהוראות חוק הגנת הפרטיות והתקנות מכוחו – לבין גופים קטנים, שרמת עמידתם בחוק ובתקנות נמוכה יחסית".

אצל ארגונים המסייעים במימוש זכויות רפואיות ובמגזר בריאות הנפש, נמצאו פערים בנושא מתן הודעה לבעל המידע, שנאסף או נעשה שימוש במאגר המידע שלא למטרה לשמה הוקם. עוד נמצא, כי חלק מהגופים אינם שומרים או מתעדים את אופן קבלת הסכמת נושאי המידע למסירת המידע. עוד נמצאו גופים שלא אפשרו לנושאי המידע לשנות את המידע המוחזק אודותיהם, כנדרש בחוק.

"לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע" 

עוד בהבט אבטחת מידע, עולה מהדו"ח כי "נמצאו ליקויים בניהול הרשאות הגישה למאגרים, ובקרב גופים רבים אף לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע". לפי הרשות, "נושא אבטחת המידע דורש טיפול באופן נרחב בקרב הגופים המפוקחים".

לפי הדו"ח, "כ-75% מהגופים המפוקחים לא עומדים באופן מלא בהנחיות הרשות בעניין עיבוד מידע אישי במיקור חוץ". מרבית הליקויים נמצאו בנושאים של היערכות להתקשרות עם ספק מיקור חוץ לשם מתן שירותי עיבוד מידע אישי, אופן עיבוד המידע האישי במיקור חוץ, ונקיטת פעולות מספקות כדי לוודא שספק מיקור החוץ נוקט באמצעים הנדרשים כדי להגן על מאגרי המידע. "גם במקרים בהם הגופים הטמיעו מנגנוני בקרה נאותים, עמדו בדרישות החוק ובדרישות אבטחת המידע, נמצא עדיין ליקוי באופן יישום הדרישות".

בקרב חברות האחסון, נכתב, "הליקוי מתבטא בכך שהגופים בהם נמצאה רמת עמידה בינונית או נמוכה, לא נקטו צעדים מספקים מבעוד מועד, על מנת להעריך את מידת הסיכון הנשקפת למידע, ולפגיעה בזכותם לפרטיות של נושאי המידע… חלק מהגופים אינם עומדים בתנאי ההתקשרות הנדרשים כלפי ספקי מיקור חוץ נוספים בצורה מספקת, אינם בוחנים את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ, ואינם מבצעים פעולות פיקוח כנדרש".

לדברי עו"ד רביד פטל, הממונה על פיקוח הרוחב ברשות להגנת הפרטיות: "כשמשבר הקורונה היה בשיאו, גופים רבים במגזר העסקי ניצלו את ההזדמנות, כדי לחזק את העסקים שלהם בהיבטים של עמידה בהוראות החוק. המגזרים השונים מבינים את החשיבות והערך בהגנה על פרטיות הלקוחות שלהם".