כולם מדברים לאחרונה על תיקון מס’ 13 לחוק הגנת הפרטיות. הרשת מלאה בוובינרים, מאמרים משפטיים והפחדות על קנסות ענק. אבל כשמקלפים את המילים הגבוהות ואת האיומים המשפטיים, נשארת שאלה אחת פשוטה שמעט מאוד מנהלים שואלים את עצמם: מי באמת הולך לשמור על המידע הזה בפועל?
התיקון הזה, שנכנס לחיינו כרפורמה הגדולה ביותר מאז שנות התשעים, נועד ליישר קו עם הסטנדרטים המחמירים ביותר בעולם. הוא משנה את כללי המשחק עבור כל עסק בישראל, מחברות ענק ועד עסקים קטנים. אבל מתוך הניסיון שלי בשטח, בניהול מערכות מידע ותשתיות עבור ארגונים, אני רואה פער עצום ואפילו מסוכן בין מה שההנהלה חושבת שהוא “ציות לחוק” לבין המציאות הטכנולוגית שאני והקולגות שלי מתמודדים איתה ביומיום.
במאמר הזה אני רוצה לעשות סדר. קודם כל נבין מה החוק הזה אומר ועל מי הוא חל, ואחר כך נדבר על האמת הכואבת: למה ניירת משפטית לא עוצרת האקרים, ואיך נראית הגנת פרטיות אמיתית מנקודת המבט של מנהל ה-IT.
מה זה בכלל תיקון 13 ומה השתנה?
עד לא מזמן, חוק הגנת הפרטיות הישראלי היה תקוע אי שם בעידן שבו האינטרנט עוד עשה רעשים של חיוג. התיקון החדש מעדכן את החוק למציאות של היום ומחמיר משמעותית את הדרישות.
השינוי הראשון והדרמטי ביותר הוא ההגדרה של מהו בכלל מידע אישי. פעם חשבנו שמידע אישי זה רק שם ותעודת זהות. היום, לפי התיקון, כל נתון שיכול לזהות אדם במאמץ סביר נחשב למידע אישי. זה כולל כתובות רשת, נתוני מיקום, מזהים דיגיטליים, וכמובן מידע רגיש כמו נתונים רפואיים, ביומטריים, ואפילו נתוני שכר והערכות עובדים.
השינוי השני נוגע לכסף, והרבה ממנו. הרשות להגנת הפרטיות קיבלה שיניים. סמכויות האכיפה הורחבו בצורה חסרת תקדים, והרשות יכולה כעת להטיל עיצומים כספיים אדירים שיכולים להגיע למיליוני שקלים על ארגונים שלא יעמדו בכללים. מעבר לכך, גם אזרחים פרטיים יוכלו לתבוע פיצויים ללא הוכחת נזק אם יתגלה שהמידע שלהם דלף או נוהל ברשלנות.
בנוסף, התיקון משנה את כל הגישה הביורוקרטית. במקום לרשום כל מאגר מידע קטן בפנקס ממשלתי, החוק דורש כעת אחריות אקטיבית ושקיפות. ארגונים וגם פרטיים נדרשים להסביר ללקוחות בדיוק למה המידע נאסף ולמי הוא עובר. גופים מסוימים, במיוחד כאלה שמחזיקים מידע רגיש או סוחרים במידע, יחויבו למנות גורם מקצועי שיהיה אחראי רשמית על הגנת הפרטיות בארגון.
על מי זה חל? התשובה הקצרה היא על כולם. כל חברה, משרד ממשלתי, קליניקה רפואית, או עסק שמחזיק רשימות תפוצה, פרטי לקוחות או מידע על עובדים.
הדעה האישית שלי: האשליה של “המסמך המשפטי”
עכשיו בואו נדבר על מה שקורה בפועל. מנכ”ל קורא על תיקון 13 ונלחץ. מה הדבר הראשון שהוא עושה? מרים טלפון למחלקה המשפטית או שוכר משרד עורכי דין. עורכי הדין כותבים מסמך מדיניות פרטיות מפואר בן עשרים עמודים, מעדכנים את תנאי השימוש באתר, מחתימים את העובדים על טופס סודיות, ומגישים חשבונית.
ההנהלה נושמת לרווחה, מסמנת וי על סעיף הרגולציה, וממשיכה הלאה.
כאן בדיוק מתחילה הבעיה. בתור מי שמנהל תשתיות סייבר ומערכות מידע, אני אומר לכם בצורה הכי ברורה: ניירת לא שומרת על נתונים. מסמך משפטי, מנוסח היטב ככל שיהיה, לא ימנע מתוקף לנצל חולשה בדפדפן כדי לחדור לרשת שלכם. הסכם סודיות לא ימנע מעובד מתוסכל להוריד את כל בסיס הנתונים של הלקוחות לתוך כונן נייד ביום שהוא מתפטר.
הגנת פרטיות היא קודם כל בעיה טכנולוגית ותשתיתית. אי אפשר לציית לחוק אם אין לכם שליטה אמיתית על מה שקורה בתוך השרתים והרשת שלכם. אני רואה ארגונים שמתהדרים במדיניות פרטיות מחמירה, אבל במקביל משתמשים במערכות ניהול זהויות מיושנות, נותנים הרשאות גורפות לכל עובד, ולא מפעילים אפילו מערכות בסיסיות לניטור איומים. כשמגיעה פריצה והמידע דולף, המסמך המשפטי לא יעזור לאף אחד, והקנסות יגיעו בכל זאת.
מה באמת צריך לעשות? הזווית של ניהול התשתיות
ציות לתיקון 13 מתחיל בחדר השרתים ובהגדרות הענן, לא במשרד עורכי הדין. מהניסיון שלי, בניית ארכיטקטורה שמגנה על פרטיות דורשת עבודת שטח קפדנית שאני מיישם בכל פרויקט ובכל ארגון שאני עובד איתו.
השלב הראשון הוא מיפוי אמיתי ואכזרי של המידע. אני לא יכול להגן על מה שאני לא רואה. אני יושב עם מנהלי המחלקות וממפה איפה המידע יושב: האם הוא בשרת המקומי, באפליקציות ענן שונות, או בתיבות מייל של עובדים. רוב הארגונים היום סובלים מפיזור טכנולוגי נוראי. יש עשרות מערכות שונות ומידע שזולג ביניהן. התפקיד שלי הוא לעשות סדר, לרכז את המערכות, ולוודא שאין מידע אישי שזרוק בקבצים לא מאובטחים.
השלב השני, שהוא אולי החשוב מכל בכל הקשור לפרטיות, הוא ניהול הרשאות וזהויות. המודל שאני דוחף אליו תמיד הוא מודל של אפס אמון. אף עובד לא צריך לקבל גישה למידע שהוא לא חייב לטובת התפקיד שלו. אם עובדת שיווק צריכה רשימת תפוצה, היא לא אמורה לקבל גישה גם לנתוני האשראי של הלקוחות. אני מטמיע מערכות שמנהלות כניסה אחודה ומוודא שכל גישה למידע רגיש מותנית באימות חזק ומנוטרת לחלוטין. ברגע שעובד עוזב, בלחיצת כפתור אחת הוא מנותק מכל המערכות במקביל. ככה מונעים זליגת מידע מתוך הבית.
השלב השלישי הוא הנראות והבקרה.
נניח שחלילה קרה אירוע ביטחוני ודלף מידע. לפי החוק החדש, אתם תצטרכו לתת הסברים לרשות. אם אין לכם מערכות שמנטרות פעילות חריגה ברשת, ואם אין לכם לוגים מדויקים שמראים מי ניגש לאיזה קובץ ובאיזו שעה, אתם בבעיה קשה. היכולת שלי להטמיע ולהגדיר נכון מערכות ניטור מתקדמות על תחנות הקצה ועל השרתים היא מה שמאפשר לארגון להגיב בזמן אמת ולהוכיח, גם מבחינה רגולטורית, שהוא פעל כשורה.
אני חי את זה גם בעסקים הפרטיים שלי. במתחם המשרדים שאני מנהל בחריש, “פינה לשבת”, יש לי אחריות עצומה על הפרטיות של השוכרים שלי. זה לא רק החוזים והמידע הפיננסי שלהם. יש במתחם מצלמות אבטחה ויש מערכות בקרת כניסה חכמות. המערכות האלו מתעדות כל כניסה ויציאה של אדם מהמשרד שלו. זה מידע אישי ורגיש לכל דבר.
הציות שלי לחוק לא מתבטא רק בחוזה השכירות. הוא מתבטא באיך שאני מקנפג את הרשת במתחם. וגם מתבטא בזה שהרשת של מצלמות האבטחה והמנעולים החכמים מופרדת לחלוטין מרשת הגלישה של הדיירים. הוא מתבטא בהצפנה של הנתונים ובמתן גישה אך ורק מתוך מכשירים מאובטחים. זו הפרקטיקה האמיתית של הגנת פרטיות.
השורה התחתונה
תיקון 13 הוא קריאת השכמה. עורכי דין הם הכרחיים כדי לנסח את המדיניות וכדי להבין את גבולות הגזרה של החוק, אבל הם לא יכולים להיות קו ההגנה שלכם. הגנת פרטיות היא קודם כל אתגר של טכנולוגיה, של תהליכים, ושל ניהול IT מקצועי.
אם אתם מנהלים חברה או עסק, אל תסתפקו בלהחתים את העובדים על נהלים חדשים. תשאלו את השאלות הקשות את מנהלי המחשוב שלכם: איפה המידע שלנו יושב? מי באמת יכול לגשת אליו עכשיו? מה קורה כשהעובד הכי ותיק שלנו עוזב מחר בבוקר? ואם חלילה ניכנס לאירוע סייבר מחר, האם יש לנו את הכלים הטכנולוגיים להראות שעשינו הכל כדי להגן על המידע?
אל תחכו לקנסות של מיליונים או למכתב התראה מהרשות להגנת הפרטיות. תבנו את התשתית שלכם נכון כבר עכשיו. תוודאו שמערכות ההגנה, ניהול הזהויות וסינון התוכן שלכם מותאמים לאיומים של היום. פרטיות אמיתית נבנית בתוך הקוד ובתוך השרתים, הרבה לפני שהיא מגיעה לנייר המשפטי. אם אתם צריכים עזרה בלהפוך את המסמכים המשפטיים שלכם להגדרות אבטחה קשיחות וברורות בתוך מערך המחשוב שלכם אל תחכו לקנסות
#תיקון13 #חוק_הגנת_הפרטיות #אבטחתמידע #סייבר #ניהול_IT #רגולציה #ממונה_הגנת_פרטיות #DPO #CyberSecurity #PrivacyLaw #ITManagement
כתיבת תגובה
יש להתחבר למערכת כדי לכתוב תגובה.