בעלי מאגרי מידע? אתם אחראים גם לפעולות שמתבצעות במיקור חוץ

בעלי מאגרי מידע בישראל נדרשים לפעול במסגרת חוק הגנת הפרטיות, התשמ”א‑1981, ותקנות הגנת הפרטיות (אבטחת מידע), תשע”ז‑2017, לקראת עידן של מיקור‑חוץ הולך וגדל בעיבוד מידע אישי. בעוד שארגונים רבים נוטים לראות במיקור‑חוץ אמצעי להקטנת עלויות ולהאצת שירותים, החוק קובע במפורש כי אחריות אבטחת המידע והגנת הפרטיות נותרת מוטלת על כתפי בעל המאגר, גם כאשר פעולות העיבוד מבוצעות על‑ידי גורם חיצוני. סקירה משפטית וטכנית מעמיקה של חובות בעלי מאגרי מידע בישראל בכל הנוגע למיקור‑חוץ, תוך פירוט החובות המקדמיות, החוזיות והבקרתיות המוטלות על בעלי מאגר המידע.

עיבוד מידע במיקור חוץ ברשויות המקומיות

הרשויות המקומיות, נשענות בעבודתן על עשרות תוכנות מחשב: תוכנות לניהול השכר, תוכנות לניהול תיקי כח אדם, תוכנות לניהול תיקי הרווחה, תוכנות החתמת נוכחות, תוכנות CRM לניהול פניות במוקד העירוני, שירותי תשלום וסליקה, GIS, תכנון ובניה, תביעה עירונית, אנליטיקת וידאו של מצלמות אבטחה, תוכנות רישוי עסקים, וטרינריה, רציפות תפקודית בחירום, ועוד. גם האכסון של אותן התוכנות מתבסס על שרתים (שבמרבית המקרים מצויות בענן). אבל האחריות החוקית לאבטחת המידע איננה חיצונית – היא נשארת ברשות המקומית.

במילים אחרות: פעולות עיבוד המידע המבוצעות ברשויות המקומיות מחייבות, כמעט בכל המקרים, שימוש בתוכנה ובחומרה, השייכות לצד ג’. אלא שהניסיון מראה כי היקף הפיקוח שמפעילות הרשויות המקומיות, על פעולות הפעולות שמבוצע על ידי צד ג’, נמוך וכמעט ולא קיים: מעטות הרשויות המקומיות, הדורשות, מפקחות, בודקות ואוכפות את ההגנה ואת השימוש, במידע השייך להן. במקרה הטוב, מניסיוננו, דורשים מסמכי המכרז או הסכם ההתקשרות כי “אבטחת המידע תתבצע בהתאם לכל דין”. אלא שהאחריות והחובות המוטלות על בעל המאגר, על מנהל המאגר ועל מחזיק המאגר, ממשיכות לחול, כאילו ביצעו בעצמם (או לא ביצעו, במחדל) את הפעילות שביצע צד ג’.

דרישות מקדמיות להסכם מיקור‑חוץ

מיקור חוץ, או שימוש בצד ג’ לעיבוד מידע, מוסדר בתקנות הגנת הפרטיות (אבטחת מידע). התקנות מטילות מספר חובות על בעלי מאגרי מידע, לצורך התקשרות עם גורם חיצוני לקבלת שירות, ככל שקבלת השירות כרוכה במתן גישה למאגר המידע. התקנות כוללות מספר פעולות שעל הרשות המקומית לנקוט, ובכלל זאת –

מיפוי סיכונים והערכת סיכונים

התקנות מחייבות בעל מאגר לבצע מיפוי סיכונים ראשוני. הליך זה מהווה את הבסיס להשקעות אבטחה ומשמש ככלי מרכזי בקבלת ההחלטות לקראת התקשרות עם ספקי מיקור‑חוץ. הליך המיפוי כולל:

1. זיהוי קטגוריות המידע. דירוג לפי רגישות (בסיסי, בינוני, גבוה). טרם חתימה על הסכם עם ספק חיצוני, על גורמי המקצוע ברשות המקומית ועל בעל המאגר, לבחון את סיכוני אבטחת המידע הכרוכים בהתקשרות ולהבטיח כי סיכונים אלה מקבלים מענה.
2. ניתוח נקודות תורפה – הערכת חשיפה לזליגת מידע, לזמינות נמוכה או לפגיעה בשלמות.
3. הגדרת מנגנוני בקרה – התאמת אמצעי אבטחה בהתאם לרמת הסיכון.

דרישות מקדמיות להסכם מיקור‑חוץ

לאחר מכן, על בעל המאגר לישם בדיקת נאותות (Due Diligence) מחמירה הכוללת:

• בחינת נהלי אבטחת מידע של הספק, כולל מדיניות גיבוי ושחזור.
• בדיקת כיסוי ביטוחי לאירועי סייבר.
• סקירת תיעוד תקלות קודמות ודוחות ביקורת (SOC, ISO/IEC 27001 וכו’).
• ווידוא עמידה בדרישות החוק והתקנות הנגזרות ממנו.

הסכם עיבוד נתונים (DPA) – רכיבים מרכזיים

בהתקשרות עם כל ספק החולף גישה למאגר מידע חייב להילקח הסכם עיבוד נתונים (Data Processing Agreement) השומר על עקרונות הפרטיות:

יש לנסח את הגדרת המידע שהספק החיצוני רשאי לעבד, ומטרות השימוש המותרות בו במסגרת ההתקשרות. בהסכם עיבוד הנתונים יפורטו בפירוט סוגי המערכות והמאגרים שאליהם יורשה הספק החיצוני לגשת, כמו גם סוגי העיבוד והפעולות המותרים לו לבצע, לרבות ציון מיקום ביצוען; תקופת ההתקשרות עם הספק תוגדר במדויק, תוך ציון הליך השבת המידע לידי בעל המאגר בסיום ההתקשרות והוראת השמדתו מרשות הספק החיצוני; יוצגו האמצעים והנהלים ליישום חובות אבטחת המידע המפורטות בתקנות הגנת הפרטיות; תוטל על הספק חובת החתמת כל בעלי ההרשאות אצלו על התחייבות לשמירת סודיות המידע ויישום מלא של אמצעי האבטחה בהתאם להגדרת המאגר; הספק יידרש לדווח לפחות אחת לשנה על אודות אופן ביצוע חובותיו על פי התקנות וההסכם, וכן להודיע לבעל המאגר באופן מיידי על כל אירוע אבטחת מידע; ולבסוף, בכל מקרה בו הוסמך הספק להשתמש בתת־מעבד, יכלול הסכם זה או כל הסכם משני עמו את כל הדרישות המפורטות בתקנה 15 לתקנות הגנת הפרטיות. את ההסכם יש ללוות בסנקציות ופיצוי, קרי מנגנון שיפוי וביצוע צעדים מתקנים במקרים של הפרת התחייבויות.

פיקוח ובקרה שוטפת

• ביקורות אבטחה. בדיקות חדירה (Penetration Tests), סריקות פרצות וניהול ממצאים.
• בקרות חוזיות. עדכון הסכמים בהתאם לשינויים טכנולוגיים, לרבות בחינת תקופות תוקף ושינויים במנגנוני אבטחת המידע.
• דוחות סטטוס. קבלת דוחות אבטחה מסודרים מספקי מיקור‑החוץ, עם מעקב אחר עמידה באפקטיביות של ההגנות.

דיווח אירוע אבטחת מידע

במקרה של חשד או גילוי אירוע אבטחה, על בעל המאגר להודיע לבעל המאגר (אם דיווח מגיע מהמחזיק); לרשות להגנת הפרטיות – תוך 72 שעות מרגע גילוי האירוע; ולנושאי המידע – בהתאם לחומרת האירוע ולסיכוני פגיעה בפרטיותם. דיווח זה חייב לכלול תיאור האירוע, הערכת השפעה ותכנית צעדים מתקנ

מימוש האחריות ברשות המקומית בתחום אבטחת מידע

פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים. מבקר המדינה, והרשות להגנת המידע והפרטיות במשרד המשפטים (וכאן), התריעו, מספר פעמים, כי הרשויות המקומיות אינן ערוכות להתמודד עם איומי סייבר (להרחבה, מוזמנים לעיין במאמר “פרטיות ואבטחת מידע ברשויות המקומיות ותאגידים עירוניים“). לפיכך, כיצד על הרשות לממש את האחריות ?

ראשית, מומולץ לרשות המקומית, לתכנן את פעילות הבדיקה והביקורת, במסגרת תכניות העבודה השנתיות. שנית, מומלץ למפות את ההתקשרויות שמקיימת הרשות המקומית עם ספקים חיצוניים, הכרוכות בשימוש במאגרי מידע. יש לבחון את ההסכמים והחוזים, ובאופן ספציפי – את ההוראות בתחום אבטחת המידע והגנת הפרטיות. עוד מומלץ לעיין בדיווחי הספקים החיצוניים (ככל שהעבירו), בתצהירים לשמירת סודיות שהועברו לידי הרשות, ועוד. ככל שנמצאו פערים, מומלץ לדרוש את תיקונם. בכך, לכל הפחות, תחל הרשות המקומית לממש את חובתה בחוק.

עורך דין רשויות מקומיות בתחום אבטחת מידע והגנת הפרטיות

לעורך דין רשויות מקומיות, המכיר את הוראות הדין, את מאגרי המידע שבידי הרשות ואת הכלים בהם משתמשת הרשות, יתרון בתחום הגנת הפרטיות. על עורך הדין לסקור את מאגרי המידע שמנהלת הרשות, להעריך את הסיכונים, להמליץ על אסטרטגיית פעולה, ולסייע לרשות המקומית בהטמעת נהלים. כל זאת, במטרה לעמוד בדרישות הדין בנושא אבטחת המידע והגנת הפרטיות.

משרד עורכי דין וולר ושות’ מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. זאת, בשילוב הערך המוסף – ניסיון ארוך שנים והתמחות בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר.