מכון NIST פרסם טיוטת תקינה לניהול סיכוני פרטיות לארגונים
עמי רוחקס דומבה
| 16/09/2019
ברשות הפרטיות כנראה מעלים חיוך בשבוע האחרון. לאחר שנים של התמודדות עם חקיקה ישראלית מיושנת, משרד משפטים שכמעט אינו מתפקד בתחום הפרטיות, וכנסת שלא מסוגלת לבחור ממשלות כדי להעביר את חוק הסייבר, יוכלו מעתה להתלות על תקנות אמריקאיות של NIST. בדומה למה שעושים במערך הסייבר עם תקנות של NIST או NERC בתחום תשתיות קריטיות למשל. תקינה אמריקאית תחייב בעקיפין חברות ישראליות ולו בגלל החובה של בתי משפט בישראל להתייחס לתקינה בינלאומית בתחום הסייבר.
טיוטאת התקנות החדשות בנושא פרטיות פורסמו בתחילת חודש זה תחת השם "NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT". מטרות התקינה הן. בניית אמון לקוחות על ידי תמיכה בקבלת החלטות אתיות בתכנון או פריסה של מוצר ושירותים למיטוב שימושים מועילים בנתונים תוך צמצום השלכות שליליות על פרטיותם של אנשים והחברה כולה; מילוי חובות תאימות שוטפות, וכן מוצרים ושירותים עם הגהה עתידית בכדי לעמוד בהתחייבויות אלה בסביבה טכנולוגית ומדיניות משתנה; והקלה על תקשורת אודות נוהגי פרטיות עם לקוחות, שמאים ורגולטורים.
התקינה שנועדה לאפשר לארגונים ורגולטורים להסדיר את ניהול הסיכונים הקשור לנושאי פרטיות אמורה לספק פתרון לשאלה כיצד ניתן להפיק יתרונות ממידע תוך ניהול סיכוני פרטיות של אנשים. בNIST מבינים שאין "כדור כסף" לנושא פרטיות, וכי כל ארגון צריך מסגרת ניהול סיכונים מתאימה לו.
התייחסות לטיוטא אפשרית עד ה24 לאוקטובר הקרוב.
ברשות הפרטיות כנראה מעלים חיוך בשבוע האחרון. לאחר שנים של התמודדות עם חקיקה ישראלית מיושנת, משרד משפטים שכמעט אינו מתפקד בתחום הפרטיות, וכנסת שלא מסוגלת לבחור ממשלות כדי להעביר את חוק הסייבר, יוכלו מעתה להתלות על תקנות אמריקאיות של NIST. בדומה למה שעושים במערך הסייבר עם תקנות של NIST או NERC בתחום תשתיות קריטיות למשל. תקינה אמריקאית תחייב בעקיפין חברות ישראליות ולו בגלל החובה של בתי משפט בישראל להתייחס לתקינה בינלאומית בתחום הסייבר.
טיוטאת התקנות החדשות בנושא פרטיות פורסמו בתחילת חודש זה תחת השם "NIST PRIVACY FRAMEWORK: A TOOL FOR IMPROVING PRIVACY THROUGH ENTERPRISE RISK MANAGEMENT". מטרות התקינה הן. בניית אמון לקוחות על ידי תמיכה בקבלת החלטות אתיות בתכנון או פריסה של מוצר ושירותים למיטוב שימושים מועילים בנתונים תוך צמצום השלכות שליליות על פרטיותם של אנשים והחברה כולה; מילוי חובות תאימות שוטפות, וכן מוצרים ושירותים עם הגהה עתידית בכדי לעמוד בהתחייבויות אלה בסביבה טכנולוגית ומדיניות משתנה; והקלה על תקשורת אודות נוהגי פרטיות עם לקוחות, שמאים ורגולטורים.
התקינה שנועדה לאפשר לארגונים ורגולטורים להסדיר את ניהול הסיכונים הקשור לנושאי פרטיות אמורה לספק פתרון לשאלה כיצד ניתן להפיק יתרונות ממידע תוך ניהול סיכוני פרטיות של אנשים. בNIST מבינים שאין "כדור כסף" לנושא פרטיות, וכי כל ארגון צריך מסגרת ניהול סיכונים מתאימה לו.
התייחסות לטיוטא אפשרית עד ה24 לאוקטובר הקרוב.