מאגרי מידע במיקור חוץ (בקיצור)
- האחריות נשארת אצלכם: העברת מידע לספק חיצוני אינה פוטרת את בעל המאגר מאחריות משפטית.
- חובת הסכם (DPA): חובה לעגן כל התקשרות במיקור חוץ בהסכם אבטחת מידע בכתב.
- פיקוח פעיל: עליכם לבצע בדיקות תקופתיות לווידוא רמת האבטחה אצל הספק.
- חובת דיווח: כל אירוע אבטחה אצל הספק מחייב דיווח מיידי לבעל המאגר ולרשות להגנת הפרטיות.
מהן החובות המשפטיות באבטחת מידע במיקור חוץ?
רוב הארגונים נשענים על שירותי ענן, אחסון חיצוני (SaaS) או שירותי IT מנוהלים, במיקור חוץ. חלק מהספקים של הארגון גדולים (Google, AWS, Monday וכו’) וחלקם קטנים (ספקים מקומיים, תוכנות ואפליקציות ייעודיות). זו הדרך המיטבית להקטנת עלויות ולהאצת שירותים. עם זאת, מבחינת הרשות להגנת הפרטיות, העברת המידע לידיים חיצוניות אינה פוטרת את בעל המאגר מאחריות. מתן גישה למידע המוחזק בארגון, מוסדר בתקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), תשע”ז-2017. תקנה 15 מסדירה את אופן ההתקשרות בין הארגון לבין כל גורם חיצוני (שאיננו אדם יחיד), אשר מספק לארגון שירות הכרוך במתן גישה למאגר המידע שלו.
החובות המשפטיות במיקור חוץ של מאגרי מידע בישראל הן מהמורכבות בתחום הרגולציה הטכנולוגית. הן נועדו להבטיח כי העברת המידע לידיים חיצוניות לא תסכן את פרטיות הנושאים שמידע עליהם נאגר.
8 החובות הקריטיות שכל ארגון חייב להכיר:
- ביצוע בדיקת נאותות. חובה על הארגון לבחון את רמת אבטחת המידע של הספק טרם ההתקשרות ובאופן תקופתי לאחריה. אין להסתפק בהצהרות, אלא לוודא קיום תקנים רלוונטיים (כגון ISO 27001) ובקרות טכנולוגיות בפועל.
-
עיגון ההתקשרות בהסכם משפטי מחייב. חובה לחתום על הסכם בכתב (Data Processing Agreement – DPA) המגדיר במפורש את מטרות השימוש במידע, סוגי הנתונים המועברים ואת התחייבות הספק לשמור על רמת אבטחה שאינה פחותה מהנדרש בחוק.
-
פיקוח ובקרה אקטיביים. בעל המאגר מחויב לקיים מנגנון פיקוח על פעולות המחזיק במידע. זהו אינו תהליך “שגר ושכוח”; האחריות המשפטית דורשת מהארגון לוודא כי קבלן המשנה פועל אך ורק לפי ההנחיות שניתנו לו.
-
ניהול אירועי אבטחה ודיווח. הארגון חייב לוודא קיום פרוטוקול דיווח מיידי מצד הספק במקרה של אירוע סייבר או דליפת מידע. האחריות על הדיווח לרשות להגנת הפרטיות ולנושאי המידע נותרת בראש ובראשונה על בעל המאגר.
-
אחריות ושיפוי. סעיף הקובע כי הספק ישפה את בעל המאגר על כל קנס מנהלי, הוצאה משפטית או פיצוי לנפגעים שינבעו מכשל אבטחה במערכותיו.
- שקיפות בשרשרת ספקי המשנה (Sub-processors): איסור על הספק להעביר את המידע שלכם לספק משנה אחר ללא אישורכם מראש ובכתב, תוך הבטחת רמת אבטחה זהה.
-
הסדרת העברת מידע אל מחוץ לגבולות המדינה. ככל שהמידע מאוחסן בשרתי ענן זרים (כגון AWS, Azure או Google), על הארגון לוודא עמידה בתקנות העברת מידע לחו”ל, המבטיחות כי המידע זוכה לרמת הגנה שאינה פחותה מזו הקבועה בדין הישראלי.
-
פרוטוקול סיום התקשרות: חובה על הספק למחוק או להחזיר את כל המידע עם סיום ההתקשרות, כולל אישור חתום על השמדת עותקי גיבוי.
מה הדרישות המקדמיות להסכם מיקור‑חוץ?
טרם החתימה עם ספק במיקור חוץ, התקנות מחייבות בעל מאגר לבצע מיפוי סיכונים ראשוני. היינו, בדיקה האם הסיכונים הכרוכים בהתקשרות עם הספק מאפשרים את ההתקשרות עמו. הליך זה מהווה את הבסיס להשקעות אבטחה ומשמש ככלי מרכזי בקבלת ההחלטות לקראת התקשרות עם ספקי מיקור‑חוץ. הליך המיפוי כולל:
- זיהוי קטגוריות המידע. דירוג לפי רגישות (בסיסי, בינוני, גבוה). טרם חתימה על הסכם עם ספק חיצוני, על גורמי המקצוע ועל בעל המאגר, לבחון את סיכוני אבטחת המידע הכרוכים בהתקשרות ולהבטיח כי סיכונים אלה מקבלים מענה.
- ניתוח נקודות תורפה. הערכת חשיפה לזליגת מידע, לזמינות נמוכה או לפגיעה בשלמות.
- הגדרת מנגנוני בקרה. התאמת אמצעי אבטחה בהתאם לרמת הסיכון.
טופס להערכת ספק חיצוני בתחום אבטחת מידע והגנת פרטיות
הרשות להגנת הפרטיות פרסמה מדריך ליישום תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע) בעת התקשרות עם גורם חיצוני (כאן). במדריך, מופיע טופס להערכת ספק, הכולל את הנקודות הבאות:
| מס’ | שאלה מקצועית |
|---|---|
| 1 | האם ברשות הספק החיצוני קובץ נהלים מעודכן בנושא אבטחת מידע? |
| 2 | האם הספק מחזיק בתקן אבטחת מידע תקף (כגון ISO/IEC 27001), נוסף לעמידה בתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017? |
| 3 | האם הספק מנהל תיעוד סדור של מערך השרתים והאפליקציות המשמשים את לקוחותיו? |
| 4 | האם קיימת ברשת של הספק חלוקה לפי ייעוד (Network Segmentation)? |
| 5 | האם הספק מקיים הדרכות שוטפות לעובדיו בנושאי אבטחת מידע והעלאת מודעות לשימוש בטוח במאגרי מידע? |
| 6 | האם הספק מפעיל מנגנוני תיעוד (Logging) עבור כלל הפלטפורמות, כולל מערכות הגנה ואפליקציות? |
| 7 | האם הלוגים ונתוני הבקרה נשמרים למשך תקופה של לפחות 24 חודשים? |
| 8 | האם לספק נוהל תגובה לאירועי סייבר, וכן תכנית התאוששות מאירועים כאלה (Disaster Recovery Plan)? |
| 9 | האם הספק שומר עותקי גיבוי לנתוני הלקוחות? אם כן, האם קיימת מדיניות גיבוי מסודרת והאם הגיבויים מוצפנים? |
| 10 | האם תחנות הקצה ומערכות ההפעלה מוגנות באמצעות פתרון EDR (Endpoint Detection and Response)? |
| 11 | האם הספק עושה שימוש באמצעי אימות מתקדמים, כגון אימות דו-שלבי (Two-Factor Authentication), לצורך גישה מרחוק למערכות? |
| 12 | האם הספק מפעיל פתרונות הגנה כגון WAF (Web Application Firewall)? |
| 13 | האם מתבצעות אצל הספק בדיקות תקופתיות על ידי גורם חיצוני בלתי תלוי, בתחום ניהול סיכוני סייבר ואבטחת מידע? |
| 14 | האם התרחשו בשלוש השנים האחרונות אירועי אבטחת מידע, לרבות פגיעה בשלמות המידע, שימוש בלתי מורשה או חריגות בהרשאות? האם התרחשו אירועי סייבר שפגעו בהמשכיות העסקית? אם כן – נא לפרט. |
| 15 | האם התרחש אירוע אבטחה חמור שדרש דיווח לרשות להגנת הפרטיות? אם כן – נא לפרט. |
| 16 | האם הספק מנהל יומן תיעוד מסודר לכלל אירועי האבטחה? |
| 17 | האם ננקטו נגד הספק הליכי פיקוח או אכיפה מצד הרשות להגנת הפרטיות במהלך חמש השנים האחרונות? אם כן – נא לפרט את מהותם ותוצאותיהם. |
| 18 | האם הוגשו נגד הספק תביעות אזרחיות בתחום פרטיות או אבטחת מידע? אם כן – נא לפרט. |
דרישות מקדמיות להסכם מיקור‑חוץ
על בעל המאגר לישם בדיקת נאותות מחמירה הכוללת:
- בחינת נהלי אבטחת מידע של הספק, כולל מדיניות גיבוי ושחזור.
- בדיקת כיסוי ביטוחי לאירועי סייבר.
- סקירת תיעוד תקלות קודמות ודוחות ביקורת (SOC, ISO/IEC 27001 וכו’).
- ווידוא עמידה בדרישות החוק והתקנות הנגזרות ממנו.
מה הרכיבים המרכזיים בהסכם עיבוד מידע (DPA)?
בהתקשרות עם כל ספק המבקש גישה למאגר מידע, יש צורך בהסכם עיבוד נתונים (Data Processing Agreement), השומר על עקרונות הפרטיות:
יש לנסח את הגדרת המידע שהספק החיצוני רשאי לעבד, ומטרות השימוש המותרות בו במסגרת ההתקשרות. בהסכם עיבוד הנתונים יפורטו בפירוט סוגי המערכות והמאגרים שאליהם יורשה הספק החיצוני לגשת, כמו גם סוגי העיבוד והפעולות המותרים לו לבצע, לרבות ציון מיקום ביצוען; תקופת ההתקשרות עם הספק תוגדר במדויק, תוך ציון הליך השבת המידע לידי בעל המאגר בסיום ההתקשרות והוראת השמדתו מרשות הספק החיצוני; יוצגו האמצעים והנהלים ליישום חובות אבטחת המידע המפורטות בתקנות הגנת הפרטיות; תוטל על הספק חובת החתמת כל בעלי ההרשאות אצלו על התחייבות לשמירת סודיות המידע ויישום מלא של אמצעי האבטחה בהתאם להגדרת המאגר; הספק יידרש לדווח לפחות אחת לשנה על אודות אופן ביצוע חובותיו על פי התקנות וההסכם, וכן להודיע לבעל המאגר באופן מיידי על כל אירוע אבטחת מידע.
לבסוף, בכל מקרה בו הוסמך הספק להשתמש בתת־מעבד, יכלול הסכם זה או כל הסכם משני עמו את כל הדרישות המפורטות בתקנה 15 לתקנות הגנת הפרטיות. את ההסכם יש ללוות בסנקציות ופיצוי, קרי – מנגנון שיפוי וביצוע צעדים מתקנים במקרים של הפרת התחייבויות.
פיקוח ובקרה שוטפת
- ביקורות אבטחה. בדיקות חדירה (Penetration Tests), סריקות פרצות וניהול ממצאים.
- בקרות חוזיות. עדכון הסכמים בהתאם לשינויים טכנולוגיים, לרבות בחינת תקופות תוקף ושינויים במנגנוני אבטחת המידע.
- דוחות סטטוס. קבלת דוחות אבטחה מסודרים מספקי מיקור‑החוץ, עם מעקב אחר עמידה באפקטיביות של ההגנות.
להרחבה בנושא DPA, קראו סקירה כאן.
דיווח אירוע אבטחת מידע
במקרה של חשד או גילוי אירוע אבטחה, על בעל המאגר להודיע לבעל המאגר (אם דיווח מגיע מהמחזיק); לרשות להגנת הפרטיות – תוך 72 שעות מרגע גילוי האירוע; ולנושאי המידע – בהתאם לחומרת האירוע ולסיכוני פגיעה בפרטיותם. דיווח זה חייב לכלול תיאור האירוע, הערכת השפעה ותכנית צעדים מתקנים.
אחריות הדיווח בשרשרת האספקה: כשהפריצה היא אצל הספק, האחריות היא שלכם
מרבית הארגונים והחברות בישראל אינם מנהלים את המידע שלהם על שרתים מקומיים. השימוש בשירותי ענן (Cloud), פלטפורמות SaaS ומיקור חוץ של עיבוד נתונים, מעביר את מרכז הכובד של איומי הסייבר מהארגון עצמו, אל שרשרת האספקה.
נבהיר כבר כעת: מבחינה משפטית, פירצת אבטחה לשרתים של ספק חיצוני המאחסן עבורכם מידע אישי (המשמש כמחזיק), נחשבת לאירוע אבטחה של בעל השליטה, לכל דבר ועניין.
חובת הדיווח במקרה של כשל אצל הספק
במקרה של אירוע אבטחה חמור אצל הספק, חובת הדיווח לרשות להגנת הפרטיות חלה על בעל המאגר. הבעיה המרכזית: ארגונים רבים מגלים על הפריצה אצל הספק באיחור של ימים או שבועות, מה שמעמיד אותם בהפרת “חובת הדיווח המיידי” וחשופים לסנקציות של תיקון 13.
עיבוד מידע במיקור חוץ ברשויות המקומיות
הרשויות המקומיות, נשענות בעבודתן על עשרות תוכנות מחשב: תוכנות לניהול השכר, תוכנות לניהול תיקי כח אדם, תוכנות לניהול תיקי הרווחה, תוכנות החתמת נוכחות, תוכנות CRM לניהול פניות במוקד העירוני, שירותי תשלום וסליקה, GIS, תכנון ובניה, תביעה עירונית, אנליטיקת וידאו של מצלמות אבטחה, תוכנות רישוי עסקים, וטרינריה, רציפות תפקודית בחירום, ועוד. גם האכסון של אותן התוכנות מתבסס על שרתים (שבמרבית המקרים מצויות בענן). אבל האחריות החוקית לאבטחת המידע איננה חיצונית – היא נשארת ברשות המקומית.
במילים אחרות: פעולות עיבוד המידע המבוצעות ברשויות המקומיות מחייבות, כמעט בכל המקרים, שימוש בתוכנה ובחומרה, השייכות לצד ג’. אלא שהניסיון מראה כי היקף הפיקוח שמפעילות הרשויות המקומיות, על פעולות הפעולות שמבוצע על ידי צד ג’, נמוך וכמעט ולא קיים: מעטות הרשויות המקומיות, הדורשות, מפקחות, בודקות ואוכפות את ההגנה ואת השימוש, במידע השייך להן. במקרה הטוב, מניסיוננו, דורשים מסמכי המכרז או הסכם ההתקשרות כי “אבטחת המידע תתבצע בהתאם לכל דין”. אלא שהאחריות והחובות המוטלות על בעל המאגר, על מנהל המאגר ועל מחזיק המאגר, ממשיכות לחול, כאילו ביצעו בעצמם (או לא ביצעו, במחדל) את הפעילות שביצע צד ג’.
מימוש האחריות ברשות המקומית בתחום אבטחת מידע
פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים. מבקר המדינה, והרשות להגנת המידע והפרטיות במשרד המשפטים (וכאן), התריעו, מספר פעמים, כי הרשויות המקומיות אינן ערוכות להתמודד עם איומי סייבר (להרחבה, מוזמנים לעיין במאמר “פרטיות ואבטחת מידע ברשויות המקומיות ותאגידים עירוניים“). לפיכך, כיצד על הרשות לממש את האחריות ?
ראשית, מומולץ לרשות המקומית, לתכנן את פעילות הבדיקה והביקורת, במסגרת תכניות העבודה השנתיות. שנית, מומלץ למפות את ההתקשרויות שמקיימת הרשות המקומית עם ספקים חיצוניים, הכרוכות בשימוש במאגרי מידע. יש לבחון את ההסכמים והחוזים, ובאופן ספציפי – את ההוראות בתחום אבטחת המידע והגנת הפרטיות. עוד מומלץ לעיין בדיווחי הספקים החיצוניים (ככל שהעבירו), בתצהירים לשמירת סודיות שהועברו לידי הרשות, ועוד. ככל שנמצאו פערים, מומלץ לדרוש את תיקונם. בכך, לכל הפחות, תחל הרשות המקומית לממש את חובתה בחוק.
ביטוח סייבר
ארגונים רבים פועלים תחת תחושת ביטחון, שבמקרה של אירוע סייבר, ביטוח הסייבר יטפל באירוע. אולם, במציאות הרגולטורית של 2026, זוהי מלכודת מסוכנת. חברת הביטוח היא גוף פיננסי שנועד לצמצם נזקים כלכליים; היא אינה הרגולטור, והיא אינה מחליפה את האחריות המשפטית שלכם.
-
מה הביטוח מכסה (בדרך כלל): עלויות שחזור נתונים, שכר טרחה של חברות פורנזיקה, הוצאות ניהול משברים, פיצוי לצד ג’ במקרה של תביעה.
-
מה הביטוח אינו מכסה (המלכודת): עיצומים כספיים וקנסות מנהליים המוטלים על ידי הרשות להגנת הפרטיות תחת תיקון 13. בחוק הישראלי (ובמדינות רבות בעולם), קנס פלילי או מנהלי לרוב אינו בר-ביטוח מטעמי תקנת הציבור.
“ציות אקטיבי” – הדרך היחידה למנוע את הקנס
מאחר שהקנסות המנהליים ב-2026 יכולים להגיע למיליוני שקלים, והם אינם מכוסים על ידי הפוליסה, המטרה של הליווי המשפטי בתחום הגנת הפרטיות איננה רק “לנהל את האירוע”, אלא למנוע את עצם הטלת הקנס. באמצעות אסטרטגיה של “ציות אקטיבי“, משרד וולר ושות’ מוכיח כי הארגון פעל באופן מקצועי, וללא רשלנות.
לסיכום: מיקור חוץ חכם מתחיל בניהול סיכונים
ניהול מאגרי מידע במיקור חוץ הוא כלי עסקי חיוני לצמיחה והתייעלות, אך הוא טומן בחובו חשיפה רגולטורית משמעותית. הרשות להגנת הפרטיות מחמירה כיום את האכיפה בנושא שרשרת האספקה, והציפייה מבעלי מאגרים היא לגלות מעורבות אקטיבית בפיקוח על הספקים שלהם. עמידה ב-5 החובות הקריטיות שסקרנו – מהסכם DPA מבוצר ועד לפיקוח שוטף – היא הדרך היחידה להבטיח שקט נפשי משפטי והמשכיות עסקית.
משרד עורכי דין וולר ושות’ מלווה רשויות, ארגונים, חברות, ספקי שירותים ומלכ”רים בחיפה, אזור הצפון ואזור המרכז, בהסדרת פעילות מאגרי המידע שלהם. אנו מספקים מעטפת הכוללת ניסוח הסכמי עיבוד נתונים, ליווי רישום מאגרים וייצוג מול הרשות להגנת הפרטיות, כדי שאתם תוכלו להתמקד בצמיחת העסק, בזמן שאנחנו שומרים על המידע שלכם.
