חדשות
ממצאי 233 פיקוחי רוחב העלו ליקויים בניהול המידע האישי במרבית המגזרים שנבדקו
-
תאריך פרסום
20.08.2019
בימים אלה פתחה הרשות להגנת הפרטיות בהליך פיקוחי רוחב בעשרות רשויות מקומיות ברחבי הארץ.
הרשות להגנת הפרטיות במשרד המשפטים מפרסמת את ממצאי פעילות מערך אותה ביצעה לראשונה על עשרות גופים במגזרים השונים, אשר אותרו כבעלי סיכון גבוה לפרטיות. זאת, בין היתר, בשל רגישות והיקפי המידע, אתגרים טכנולוגיים, מידע אודות קטינים ועוד. מדובר במהלך חדשני שמטרתו לאתר כשלים ענפיים ולקבל תמונת מצב מגזרית בנוגע לעמידה בהוראות חוק הגנת הפרטיות, התשמ"א-1981 ("חוק הגנת הפרטיות") ותקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות הגנת הפרטיות (אבטחת מידע") במגזרים השונים במשק.
במסגרת הליך פיקוח הרוחב הראשון, ביצעה הרשות הליכי פיקוח לבדיקת מידת העמידה בהיבטי הגנת הפרטיות ואבטחת מידע בקרב המגזרים הבאים: 30 מרפאות לבריאות הנפש, 23 מכונים ומעבדות רפואיות, 54 חברות המנהלות מאגרי מידע של מועדוני לקוחות בהיקפים של למעלה ממאה אלף איש, 38 ספקי פלטפורמות אינטרנטיות לימודיות אשר אוספות מידע על קטינים ו- 36 חברות המספקות שירותי אחסון ועיבוד מאגרי מידע.
עם סיום הליך פיקוח הרוחב הראשון, החלה הרשות בשבועות האחרונים בהרחבה משמעותית של ההליך במגזרים נוספים ובהם חברות המעניקות שירותי סיוע במימוש זכויות רפואיות, חברות המעניקות שירותי סיעוד, בתי אבות והוסטלים, סוכנויות ביטוח ושירותי מוקדים טלפוניים.
בימים אלה, החלה הרשות בהליך פיקוח הרוחב גם בעשרות רשויות מקומיות ברחבי הארץ, בתאגידים וחברות עירוניות, אשר מחזיקים במידע אישי רב ורגיש אודות תושבי המדינה. זאת במטרה לבדוק את רמת אבטחת המידע, אופן האיסוף והשימוש במידע ואת רמת עמידתם בהוראות חוק הגנת הפרטיות.
בנוסף, הרשות ביצעה הליך פיקוח רוחב המתמקד בבדיקת רמת אבטחת המידע הנדרשת על פי תקנות הגנת הפרטיות (אבטחת מידע) בתחומים הבאים: 12 חברות טכנולוגיה המספקות שירותים טכנולוגיים בתחומי הבחירות, 15 מוסדות להשכלה גבוהה, מכוני הדרכה והשתלמות, 10 גופים במגזר העמותות ובמגזר האיגודים ו- 15 גופים במגזר המלונאות.
ממצאי הביקורות העלו, כי עיקרי הליקויים נוגעים לאופן בו מסתייעים גופים בשירותי מיקור חוץ לצורך אחסון או שמירת מידע על לקוחות, בהעברת מידע בין גופים ציבוריים ובקבלת הסכמת אנשים לשימוש במידע על אודותיהם. כמו כן, נמצאו ליקויים בתחומי אבטחת המידע וחולשות באופן ניהול מאגרי המידע.
במסגרת פיקוחי הרוחב אשר פותח לאחרונה ברשות, ואשר מבצע בחינת רוחב מגזריתלעשרות גופים במקביל, נשלחים לגופים שאלוני ביקורת באמצעות ממשק מקוון, שנועדו לבחון את עמידתם בהוראות החוק והתקנות על בסיס קריטריונים שונים. במסגרת זו נכללים, בין היתר: בקרה ארגונית וממשל תאגידי - הבוחן קיומה של תכנית שנתית בתחום אבטחת המידע והגנת הפרטיות ואת מינויים של גורמים בעלי אחריות בתחום; ניהול מאגרי מידע - הבוחן את אופן קבלת ההסכמה לשימוש במידע אישי, האם השימוש תואם למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר, ואיסוף של מידע ביומטרי; אבטחת מידע - בחינת עמידת הגופים בהוראות תקנות הגנת הפרטיות (אבטחת מידע) בהתייחס למנהלי ומחזיקי מידע אישי; העברת מידע בין גופים ציבוריים - בוחן את אופן העברת המידע האישי בין גופים ציבוריים בהתאם להוראות התקנות העוסקות בנושא, לרבות קיומן של וועדות הבוחנות את הצורך במידע, ואי העברת מידע עודף. שירותי מיקור חוץ - בחינת ההתקשרויות של בעלי מאגרי המידע עם גורמים שלישיים המחזיקים במידע והאופן בו הם מבטיחים הגנה על המידע.
רמות העמידה ביחס לקיום הוראות חוק הגנת הפרטיות ותקנות מכוחו נקבעות בהתאם לשקלול הציונים שקיבלו הגופים בהתבסס על בחינת הרשות את תשובותיהם לשאלוני הביקורת:
- עמידה של בין 80%-100% בקריטריונים, מוגדרת כרמת עמידה גבוהה;
- עמידה של בין 50%-80% מוגדרת כרמת עמידה בינונית/חלקית;
- עמידה של מתחת ל-50% מוגדרת כרמת עמידה נמוכה.
עורך הדין רביד פטל, הממונה על פיקוח הרוחב ברשות להגנת הפרטיות, ציין כי "מערך פיקוח הרוחב בו החלה הרשות לעשות שימוש, הינו כלי משמעותי להגברת העמידה בהוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע). הרחבת פעילותו של מערך פיקוח הרוחב והגברת האכיפה נועדו להביא לצמצום הפערים בין ההסדרים החקיקתיים הקיימים בתחום ההגנה על הפרטיות והמידע האישי לבין יישומם בפועל על ידי גופים שונים במשק הישראלי. כלי זה מצטרף לסל הכלים בו פועלת הרשות כדי להבטיח את הגברת המודעות לתחום הפרטיות והגנה על המידע האישי בקרב בעלי ומחזיקי מאגרי מידע אישי ולהפקת תמונת מצב מגזרית לשם הגברת עמידתם של גופים בהוראות החוק והתקנות ולחיזוק זכותו של הציבור לפרטיות."
גופים אשר מממצאי הליך פיקוח הרוחב עלה כי לא עמדו בהוראות החוק והתקנות, קיבלו הנחיות מפורטות לתיקון הליקויים. בכוונת הרשות לבצע מעקב אחר תיקון הליקויים ולערוך ביקורות חוזרות בהמשך השנה.
המסקנות מתוך תמונת המצב המגזרית כפי שיפורטו להלן, מתייחסות לאופן פילוח רמת העמידה של הגופים במגזרים השונים בקריטריונים שנקבעו, ומצביעות על החוזקות והחולשות של אותם מגזרים הדורשות התייחסות לצורך עמידה מיטבית בחוק ובתקנות.
* במגזר ספקי פלטפורמות אינטרנטיות לימודיות אשר מנהלות מידע על קטינים נמצא שמרבית הגופים מקפידים על אופן ניהול המידע השמור אצלם ואבטחתו. יחד עם זאת, שיעור נמוך יחסית מקרב הגופים, מקפיד כי גם צדדים שלישיים אליהם מועבר המידע לצורכי אחסון ועיבוד, ישמרו על רמה גבוהה של אבטחת מידע.
* במגזר המכונים הרפואיים ומרפאות בריאות הנפש עלה כי על אף רמת העמידה הגבוהה יחסית (65%) בהוראות חוק הגנת הפרטיות ובתקנות הגנת הפרטיות (אבטחת מידע) בקריטריון של ניהול מאגרי מידע, רמת העמידה בקריטריון של העברת מידע בין גופים ציבוריים הינה נמוכה (29%). בנוסף, ממצאי הביקורת העלו כי קיימים פערים משמעותיים ברמות עמידה בהוראות חוק הגנת הפרטיות בקרב מכונים רפואיים גדולים או כאלו המשויכים לבתי חולים וקופות חולים לעומת מכונים רפואיים קטנים. כך לדוגמה, נמצא כי מרבית המכונים הרפואיים הגדולים מקיימים מסגרות ממוסדות של ממשל תאגידי ואבטחת מידע, ורמת היענותם לתקנות הגנת הפרטיות (אבטחת מידע), הינה גבוהה. לעומתם במכונים רפואיים קטנים, המחזיקים מידע, רמת המודעות ומכאן גם העמידה בתקנות אבטחת מידע, נמוכה.
בהתייחס לגופים השייכים למגזר בריאות הנפש, רמת העמידה בקריטריון של העברת מידע בין גופים ציבוריים הינה גבוהה מאוד אך רמת העמידה בקריטריון של עיבוד מידע אישי במיקור חוץ, הינה נמוכה.
* במגזר מועדוני הלקוחות נמצאה רמת עמידה נמוכה בהוראות החוק בנוגע לעיבוד מידע אישי באמצעות מיקור חוץ וכן נמצא כי במגזר זה לא פועלים על פי הוראות החוק בכל הנוגע למינויים של מנהלי מאגרים. כמו כן, הגופים המשתייכים למגזר זה אינם מקפידים ליידע את ציבור הלקוחות על אודותיו נאסף המידע בדבר זכויותיו על פי חוק הגנת הפרטיות, כמו למשל, החובה להציג את מקור המידע, הזכות לעיין במידע והזכות להימחק ממאגר המידע.
* במגזר שירותי האחסון ועיבוד מאגרי המידע נמצא כי אין עמידה מספקת בהוראות החוק והתקנות של גופים אשר מתוקף פעילותם מחזיקים ומעבדים מידע עבור אחרים.