חזרתם מטיפול בוטוקס? ייתכן והפרטים האישיים שלכם בסכנת דליפה
70% מהגופים במגזר הכירורגיה פלסטית קיבלו הנחיות לתיקון ליקויים בתחום הפרטיות מהרשות להגנת הפרטיות במשרד המשפטים
עמי רוחקס דומבה
| 12/03/2024
אילוסטרציה | D. Schwarzburg, CC0, via Wikimedia Commons
מממצאי הדו"ח עולה, כי בהתייחס לאבטחת מידע, על הגופים להטמיע מנגנוני הרשאות במאגרי המידע המבוססים על הצורך לדעת בלבד, כלומר רק לבעל הרשאה המורשה לכך לפי רשימת הרשאות תקפות.
כמו כן, על הגופים לנקוט באמצעים למניעת חדירה למיקום הפיזי של השרתים והתשתיות המאפשרים גישה למאגרי המידע. במאגרים בעלי רמת אבטחה גבוהה , יש לבצע מבדקי חדירות אחת לשנה וחצי.
נוכח הליקויים שנמצאו בנוגע לשימוש בהתקנים ניידים, על כלל הגופים השייכים למגזר זה לבחון את הצורך בחיבור התקנים ניידים וככל שאין צורך, להגביל את השימוש בהם לרמה ההולמת את רמת אבטחת המידע, את רגישות המידע, הסיכונים המיוחדים למערכות או למידע הנובעים מחיבור ההתקן וכן את קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה.
במקרים בהם יוגדר כי קיים צורך בשימוש באמצעים נתיקים, יש להצפין את הנתונים באמצעות שיטות הצפנה מקובלות.
בהתייחס לבקרה ארגונית, על הגופים לוודא כי מונו מנהל מאגר מידע וממונה אבטחת מידע כנדרש בחוק, כי קיימים נהלי אבטחת מידע הכוללים התייחסות לאבטחה פיזית, הרשאות גישה, תיאור אמצעי ההגנה, הוראות למורשי גישה, ניהול סיכונים והתמודדות עם אירועי אבטחת מידע. כמו כן, יש לעדכן את נוהל אבטחת המידע אחת לשנה. גוף שחלה עליו רמת האבטחה הגבוהה חייב לוודא כי בוצעו מבדקי חדירות העומדים בדרישות התקנות.
בכל הנוגע לניהול מאגרי מידע ומיקור חוץ, על הגופים לקבל את הסכמת נושא המידע לאיסוף מידע ושמירתו במאגריהם, תוך מתן הודעה בעת איסופו בנוגע לסמכות החוקית למסור את המידע, או הסכמת נושא המידע למסירתו וכן ציון מטרת האיסוף, הגורמים אליהם יימסר ולאיזו מטרה.
עוד עולה, כי על הגופים לאפשר לנושאי המידע לעיין במידע וכן לתקנו או לשנותו ובעת שימוש בשירותי מיקור חוץ, להקפיד לעגן בהסכם עם ספק מיקור החוץ את חובותיו ואחריותו ולוודא כי הוא נוקט באמצעים הנדרשים כדי להגן על מאגר המידע.
עו"ד אפרת סוקולובר, הממונה על ההגנה המגזרית, הרשות להגנת הפרטיות: "פעילות מגזר הפלסטיקה והכירורגיה הקוסמטית טומנת בחובה, מטבע הדברים, סיכונים לא מעטים לפרטיות, אשר נובעים מניהול ואחזקת מידע רב, מזוהה ורגיש, וניהול קשר ישיר עם לקוחות הגופים באמצעות הגופים עצמם ובאמצעות שימוש במיקור חוץ.
״כל אלה דורשים הקפדה יתרה על קיום הוראות תקנות אבטחת מידע, פעילות בשקיפות מול הלקוח, ומילוי החובות החלות מכוח חוק הגנת הפרטיות והתקנות מכוחו. הליך פיקוח הרוחב במגזר הפלסטיקה והכירורגיה הקוסמטית העלה ממצאים מדאיגים המצביעים על ליקויים בנוגע לעמידה בהוראות החוק בתחום אבטחת מידע, בקרה ארגונית וממשל תאגידי, וניהול מאגרי מידע.
״בעקבות ממצאי הדו"ח, ערכה הרשות מעקב לתיקון ליקויים בגופים המשתייכים למגזר זה ודרשה מהם לנקוט בגישה מבוססת סיכון כשהטיפול הראשוני והדחוף ייעשה ביחס לליקויים מתחום אבטחת המידע ולאחר מכן ביתר הקריטריונים. במסגרת ביקורת המעקב שנעשתה בקרב 70% מהגופים במגזר זה שקיבלו הנחיות לתיקון ליקויים, מצאנו שיפור ותיקון רמת העמידה בחוק ובתקנות הגנת הפרטיות, כאשר למעלה משליש השלימו את תיקון הליקויים.
״אולם, שיפור זה אינו מספק לנוכח סוג המידע המוחזק בגופים אלה ורגישותו, והיינו מצפים לראות שיפור משמעותי יותר בתיקון הליקויים, במיוחד בתחום אבטחת המידע. הרשות תמשיך לבחון את תיקון הליקויים בשנים הקרובות".
70% מהגופים במגזר הכירורגיה פלסטית קיבלו הנחיות לתיקון ליקויים בתחום הפרטיות מהרשות להגנת הפרטיות במשרד המשפטים
אילוסטרציה | D. Schwarzburg, CC0, via Wikimedia Commons
מממצאי הדו"ח עולה, כי בהתייחס לאבטחת מידע, על הגופים להטמיע מנגנוני הרשאות במאגרי המידע המבוססים על הצורך לדעת בלבד, כלומר רק לבעל הרשאה המורשה לכך לפי רשימת הרשאות תקפות.
כמו כן, על הגופים לנקוט באמצעים למניעת חדירה למיקום הפיזי של השרתים והתשתיות המאפשרים גישה למאגרי המידע. במאגרים בעלי רמת אבטחה גבוהה , יש לבצע מבדקי חדירות אחת לשנה וחצי.
נוכח הליקויים שנמצאו בנוגע לשימוש בהתקנים ניידים, על כלל הגופים השייכים למגזר זה לבחון את הצורך בחיבור התקנים ניידים וככל שאין צורך, להגביל את השימוש בהם לרמה ההולמת את רמת אבטחת המידע, את רגישות המידע, הסיכונים המיוחדים למערכות או למידע הנובעים מחיבור ההתקן וכן את קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה.
במקרים בהם יוגדר כי קיים צורך בשימוש באמצעים נתיקים, יש להצפין את הנתונים באמצעות שיטות הצפנה מקובלות.
בהתייחס לבקרה ארגונית, על הגופים לוודא כי מונו מנהל מאגר מידע וממונה אבטחת מידע כנדרש בחוק, כי קיימים נהלי אבטחת מידע הכוללים התייחסות לאבטחה פיזית, הרשאות גישה, תיאור אמצעי ההגנה, הוראות למורשי גישה, ניהול סיכונים והתמודדות עם אירועי אבטחת מידע. כמו כן, יש לעדכן את נוהל אבטחת המידע אחת לשנה. גוף שחלה עליו רמת האבטחה הגבוהה חייב לוודא כי בוצעו מבדקי חדירות העומדים בדרישות התקנות.
בכל הנוגע לניהול מאגרי מידע ומיקור חוץ, על הגופים לקבל את הסכמת נושא המידע לאיסוף מידע ושמירתו במאגריהם, תוך מתן הודעה בעת איסופו בנוגע לסמכות החוקית למסור את המידע, או הסכמת נושא המידע למסירתו וכן ציון מטרת האיסוף, הגורמים אליהם יימסר ולאיזו מטרה.
עוד עולה, כי על הגופים לאפשר לנושאי המידע לעיין במידע וכן לתקנו או לשנותו ובעת שימוש בשירותי מיקור חוץ, להקפיד לעגן בהסכם עם ספק מיקור החוץ את חובותיו ואחריותו ולוודא כי הוא נוקט באמצעים הנדרשים כדי להגן על מאגר המידע.
עו"ד אפרת סוקולובר, הממונה על ההגנה המגזרית, הרשות להגנת הפרטיות: "פעילות מגזר הפלסטיקה והכירורגיה הקוסמטית טומנת בחובה, מטבע הדברים, סיכונים לא מעטים לפרטיות, אשר נובעים מניהול ואחזקת מידע רב, מזוהה ורגיש, וניהול קשר ישיר עם לקוחות הגופים באמצעות הגופים עצמם ובאמצעות שימוש במיקור חוץ.
״כל אלה דורשים הקפדה יתרה על קיום הוראות תקנות אבטחת מידע, פעילות בשקיפות מול הלקוח, ומילוי החובות החלות מכוח חוק הגנת הפרטיות והתקנות מכוחו. הליך פיקוח הרוחב במגזר הפלסטיקה והכירורגיה הקוסמטית העלה ממצאים מדאיגים המצביעים על ליקויים בנוגע לעמידה בהוראות החוק בתחום אבטחת מידע, בקרה ארגונית וממשל תאגידי, וניהול מאגרי מידע.
״בעקבות ממצאי הדו"ח, ערכה הרשות מעקב לתיקון ליקויים בגופים המשתייכים למגזר זה ודרשה מהם לנקוט בגישה מבוססת סיכון כשהטיפול הראשוני והדחוף ייעשה ביחס לליקויים מתחום אבטחת המידע ולאחר מכן ביתר הקריטריונים. במסגרת ביקורת המעקב שנעשתה בקרב 70% מהגופים במגזר זה שקיבלו הנחיות לתיקון ליקויים, מצאנו שיפור ותיקון רמת העמידה בחוק ובתקנות הגנת הפרטיות, כאשר למעלה משליש השלימו את תיקון הליקויים.
״אולם, שיפור זה אינו מספק לנוכח סוג המידע המוחזק בגופים אלה ורגישותו, והיינו מצפים לראות שיפור משמעותי יותר בתיקון הליקויים, במיוחד בתחום אבטחת המידע. הרשות תמשיך לבחון את תיקון הליקויים בשנים הקרובות".
