בחודש מאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות ואבטחת מידע, התקנות החדשות מחליפות את התקנות הקיימות משנת 1986, שהיו מיושנות ולא התאימו לעידן הדיגיטלי.
נושא אבטחת המידע עלה לכותרות בעולם בשנים האחרונות, עם חוקי ה־GDPR שהוסדרו על ידי הפרלמנט האירופי, תקנות שמגדירות את אופן השמירה על פרטיות המידע ואבטחתו ברשת, כמו נתוני מיקום, שמות משתמש, נתוני גלישה וכתובות IP. הכללים מגדירים סטנדרטים טכנולוגיים חדשים שדורשים הצפנה של מידע שנאסף. קיימת בחוק הגבלה של אפשרות מעקב, ודרישה של הסכמה אקטיבית מהגולשים לאיסוף מידע, לכן חברות גדולות כמו גוגל פייסבוק ואפל שלחו לנו הודעות על שינוי במדיניות שלהן בהתאם לתקנות וביקשו מאתנו הסכמה לאיסוף מידע. במידה ונשנה את הסכמתנו מעכשיו והלאה הם מחויבים למחוק את המידע אודותינו על פי החוק. כל הארגונים האירופאים מחויבים להראות נהלים מסודרים בכל הקשור להגנה על פרטיות ולמנות בעלי תפקיד בארגון שאחראים על הנושא.
התקנות האלו נועדו להגן על האזרחים מניצול המידע הפרטי שלהם לרעה, בעידן הביג דאטה והבינה המלאכותית. תרחישים כמו משיכה של מידע על עשרות מיליוני משתמשים, פילוח פסיכולוגי וניצול חולשות ופחדים לצורך תעמולה או שיווק הן כבר לא מדע בדיוני. פרשיית קיימברידג' אנליטיקה ופייסבוק נחשבות לדליפת המידע הגדולה בהיסטוריה.
אבל כל אלו מדברים לקהל האירופי. בישראל, על אף היותנו מעצמת הייטק, שומרים פחות בקנאות על הפרטיות. גם בכניסה לקניון כולנו רגילים לפתוח את התיק למאבטח ולא חושבים לרגע אם יש לנו משהו פרטי בתיק שלא נרצה לחשוף.
יחד עם זאת, על כל בעל עסק בישראל חלה חובה חוקית לבצע רישום של מאגרי מידע ברשות להגנת הפרטיות במשרד המשפטים. וכעת, מבקשים מאיתנו גם לשמור על המידע הזה.
על מי חלות התקנות? התקנות החדשות חלות על כל בעלי, מנהלי ומחזיקי מאגרי המידע מכל סוג, כאשר יש אבחנה בין ארבעה סוגי מאגרים, בהתאם לרמת האבטחה הנדרשת בהם. ביצוע רישום נכון ומלא ברשם מאגרי המידע מוביל ומרמז לרמת האבטחה הנדרשת מהארגון. בעת הרישום עולות שאלות לגבי סוג הארגון, מטרת שמירת המאגר, כמות המשתמשים במאגר, סוג המידע ששמור בו ועוד.
מה המשמעות? בניגוד לתקנות GDPR, בארץ עוד לא נוהגים לפקח על הנושא, או להטיל קנסות על מי שלא פועל לפי החוק. האחריות מוטלת על הציבור, כלומר אי שמירה על החוק יכולה לחשוף את מנהל המאגר לתביעות. העבודה הנדרשת מהסוכנים היא להכיר את מאגרי המידע שהם עובדים איתם, האופן בו הם בנויים, הסכנות שיכולות להתעורר ודרכי ההתמודדות, בין אם הפתרונות הם טכנולוגיים ובין אם הם ברמת קביעת נהלי עבודה חדשים.
אנחנו ערים לכך שמאז שחוקק חוק הספאם, לקוחות ממהרים לאיים בתביעות משפטיות, ואפילו צצו חברות שמעודדות את הלקוחות לתבוע. בעתיד הלא רחוק בית עסק שלא עומד בתקנות, לא יוכל לבטח את עצמו כנגד תביעות באחריות מקצועית או ביטוח סייבר. המדריך המלא לתקנות הגנת הפרטיות שנכתב על ידי הרשות להגנת הפרטיות מסביר ומפרט 20 תקנות בנושא. ארבע המפורטות לעיל הן החשובות ביותר.
לסיכום, חייבים להתכונן, לא ירד גשם כשנוח החל לבנות את התיבה. יש להיערך לעתיד לבוא ולהימנע מהתעסקות בתביעות מיותרות.
הכותב הינו מנהל מערכות מידע בלשכת סוכני ביטוח
