לאחר שבארצות הברית נחשף גודל המחדל בדליפת המידע של מיליוני העוקבים ברשת פייסבוק, שרת המשפטים פועלת חמנוע זליגת מידע דומה בישראל.
ביום שלישי הקרוב (מחר), ייכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע) של שרת המשפטים ויחולו על כל גוף במשק הישראלי שמנהל מידע אישי, ציבורי ופרטי כאחד. עם יישומן צפויה קפיצת מדרגה באופן בו מידע אישי מוחזק ונשמר. חידוש משמעותי בתקנות הוא חובת דיווח לרשות להגנת הפרטיות במקרה של אירוע אבטחת מידע חמור, ולפי דרישתה גם לנפגעים עצמם.
עם התפתחות הטכנולוגיה והפיכתם של שירותים רבים לדיגיטליים, הולכים וגדלים גם השימושים במאגרי מידע ממוחשבים בהם נשמר מידע אישי רב ורגיש על אנשים ולקוחות. בשנים האחרונות גוברים דיווחים על אירועי אבטחת מידע כתוצאה מכשלים באבטחת המידע וניהול הגישה אליו במסגרתם דלפו פרטים אישיים של אלפים וחלה פגיעה משמעותית בפרטיות.
תקנות הגנת הפרטיות (אבטחת מידע) שהתקינה שרת המשפטים איילת שקד, בהמלצת הרשות להגנת הפרטיות, נועדו לשים סוף לתופעה ולחייב אבטחה ראויה של המידע מכל גורם שמנהל מידע על אנשים – בין אם מדובר בלקוחות, עובדים, ספקים, ילדים, מטופלים ועוד, בהתאם לרמת הסיכון במקרה של דליפתו.
כדי להימנע מעודף רגולציה ולהכבדה מיותרת על העסקים בישראל, התקנות מבחינות בין ארבעה סוגים של מאגרי מידע: מאגר מידע המנוהל על ידי יחיד, מאגרים שחלה עליהם רמת האבטחה הבסיסית, מאגרים שחלה עליהם רמת האבטחה הבינונית ומאגרים שחלה עליהם רמת האבטחה הגבוהה.
רמת האבטחה נקבעת בהתאם לסקירת איומים שעל הארגון לבצע, בהתבסס על ארבעה פרמטרים:
1) זהות הארגון – גופים ציבורים וחברות שסוחרות במידע אישי, נדרשים לרמת אבטחה הגבוה ביותר, לעומת עוסק יחיד שנדרש לרמה בסיסית ביותר של אבטחה. על עצמאים או בעלי עסקים קטנים, לדוגמא על בעלים של חנות פרחים, סוכני ביטוח פרטיים או פסיכולוגים, יחולו דרישות שונות מחברות ביטוח, מועדוני לקוחות וכדומה.
2) גודל המאגר – ככל שכמות המידע במאגר גדולה יותר, כך הוא נחשב לרגיש יותר. במאגר עם מעל ל-100 אלף פריטים נדרשת רמת אבטחה גבוהה.
3) רגישות המידע – ככל שהמאגר מכיל סוגי מידע רגישים יותר, כך רמת האבטחה הנדרשת גבוהה יותר. מהו מידע רגיש? מידע רפואי או ביומטרי לדוגמה.
4) מספר מורשי הגישה – ככל מספר האנשים שרשאים להיחשף למידע שבמאגר גבוה יותר, כך נדרשת רמת אבטחה גבוהה יותר. מעל 100 מורשים – המאגר מצריך אבטחה ברמה הגבוה ביותר.
התקנות קובעות מנגנונים ודרישות שנועדו להפוך את אבטחת המידע לחלק משגרת ניהול הארגון. בין היתר, הן דורשות חובת דיווח על אירועי אבטחה חמורים לרשות להגנת הפרטיות ולפי דרישתה גם למי שזכותו לפרטיות נפגעה כתוצאה מהאירוע.
לצורך היערכות לתקנות הרשות להגנת הפרטיות מעמידה לרשות הציבור מידע ומדריכים, שאלות ותשובות אודות כלל סעיפי התקנות, הזמינים באתר היחידה.
לדברי שרת המשפטים, ח"כ איילת שקד: "התפתחות טכנולוגית לא סותרת אבטחת מידע. בתקנות החדשות אנחנו מאזנים בין שמירה קפדנית על פרטיותם של אזרחי ישראל לבין מניעת רגוחציה מיותרת על העסקים. מדינת ישראל מחויבת לעשות הכל למנוע דליפת מידע בדומה לזאת שהיתה למשתמשי פייסבוק בארצות הברית. הזכות לפרטיות היא זכות יסוד שחובה עלינו לבצר אותה".