מאגרי מידע במיקור חוץ (בקיצור)
- האחריות נשארת אצלכם: העברת מידע לספק חיצוני אינה פוטרת את בעל המאגר מאחריות משפטית.
- חובת הסכם (DPA): חובה לעגן כל התקשרות במיקור חוץ בהסכם אבטחת מידע בכתב.
- פיקוח פעיל: עליכם לבצע בדיקות תקופתיות לווידוא רמת האבטחה אצל הספק.
- חובת דיווח: כל אירוע אבטחה אצל הספק מחייב דיווח מיידי לבעל המאגר ולרשות להגנת הפרטיות.
מהן החובות המשפטיות באבטחת מידע במיקור חוץ?
רוב הארגונים נשענים על שירותי ענן, אחסון חיצוני (SaaS) או שירותי IT מנוהלים, במיקור חוץ. חלק מהספקים של הארגון גדולים (Google, AWS, Monday וכו’) וחלקם קטנים (ספקים מקומיים, תוכנות ואפליקציות ייעודיות). זו הדרך המיטבית להקטנת עלויות ולהאצת שירותים. עם זאת, מבחינת הרשות להגנת הפרטיות, העברת המידע לידיים חיצוניות אינה פוטרת את בעל המאגר מאחריות. מתן גישה למידע המוחזק בארגון, מוסדר בתקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), תשע”ז-2017. תקנה 15 מסדירה את אופן ההתקשרות בין הארגון לבין כל גורם חיצוני (שאיננו אדם יחיד), אשר מספק לארגון שירות הכרוך במתן גישה למאגר המידע שלו.
החובות המשפטיות במיקור חוץ של מאגרי מידע בישראל הן מהמורכבות בתחום הרגולציה הטכנולוגית. הן נועדו להבטיח כי העברת המידע לידיים חיצוניות לא תסכן את פרטיות הנושאים שמידע עליהם נאגר.
5 החובות הקריטיות שכל ארגון חייב להכיר:
-
עיגון ההתקשרות בהסכם משפטי מחייב. חובה לחתום על הסכם בכתב (Data Processing Agreement – DPA) המגדיר במפורש את מטרות השימוש במידע, סוגי הנתונים המועברים ואת התחייבות הספק לשמור על רמת אבטחה שאינה פחותה מהנדרש בחוק.
-
ביצוע בדיקת נאותות. חובה על הארגון לבחון את רמת אבטחת המידע של הספק טרם ההתקשרות ובאופן תקופתי לאחריה. אין להסתפק בהצהרות, אלא לוודא קיום תקנים רלוונטיים (כגון ISO 27001) ובקרות טכנולוגיות בפועל.
-
פיקוח ובקרה אקטיביים. בעל המאגר מחויב לקיים מנגנון פיקוח על פעולות המחזיק במידע. זהו אינו תהליך “שגר ושכוח”; האחריות המשפטית דורשת מהארגון לוודא כי קבלן המשנה פועל אך ורק לפי ההנחיות שניתנו לו.
-
ניהול אירועי אבטחה ודיווח. הארגון חייב לוודא קיום פרוטוקול דיווח מיידי מצד הספק במקרה של אירוע סייבר או דליפת מידע. האחריות על הדיווח לרשות להגנת הפרטיות ולנושאי המידע נותרת בראש ובראשונה על בעל המאגר.
-
הסדרת העברת מידע אל מחוץ לגבולות המדינה. ככל שהמידע מאוחסן בשרתי ענן זרים (כגון AWS, Azure או Google), על הארגון לוודא עמידה בתקנות העברת מידע לחו”ל, המבטיחות כי המידע זוכה לרמת הגנה שאינה פחותה מזו הקבועה בדין הישראלי.
דרישות מקדמיות להסכם מיקור‑חוץ
מיקור חוץ, או שימוש בצד ג’ לעיבוד מידע, מוסדר בתקנות הגנת הפרטיות (אבטחת מידע). התקנות מטילות מספר חובות על בעלי מאגרי מידע, לצורך התקשרות עם גורם חיצוני לקבלת שירות, ככל שקבלת השירות כרוכה במתן גישה למאגר המידע. התקנות כוללות מספר פעולות שעל הרשות המקומית לנקוט, ובכלל זאת –
מיפוי סיכונים והערכת סיכונים
התקנות מחייבות בעל מאגר לבצע מיפוי סיכונים ראשוני, דהינו בדיקה, האם הסיכונים הכרוכים בהתקשרות עם הספק מאפשרים את ההתקשרות עמו. הליך זה מהווה את הבסיס להשקעות אבטחה ומשמש ככלי מרכזי בקבלת ההחלטות לקראת התקשרות עם ספקי מיקור‑חוץ. הליך המיפוי כולל:
- זיהוי קטגוריות המידע. דירוג לפי רגישות (בסיסי, בינוני, גבוה). טרם חתימה על הסכם עם ספק חיצוני, על גורמי המקצוע ברשות המקומית ועל בעל המאגר, לבחון את סיכוני אבטחת המידע הכרוכים בהתקשרות ולהבטיח כי סיכונים אלה מקבלים מענה.
- ניתוח נקודות תורפה. הערכת חשיפה לזליגת מידע, לזמינות נמוכה או לפגיעה בשלמות.
- הגדרת מנגנוני בקרה. התאמת אמצעי אבטחה בהתאם לרמת הסיכון.
טופס להערכת ספק חיצוני בתחום אבטחת מידע והגנת פרטיות
הרשות להגנת הפרטיות פרסמה מדריך ליישום תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע) בעת התקשרות עם גורם חיצוני (כאן). במדריך, מופיע טופס להערכת ספק, הכולל את הנקודות הבאות:
| מס’ | שאלה מקצועית |
|---|---|
| 1 | האם ברשות הספק החיצוני קובץ נהלים מעודכן בנושא אבטחת מידע? |
| 2 | האם הספק מחזיק בתקן אבטחת מידע תקף (כגון ISO/IEC 27001), נוסף לעמידה בתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017? |
| 3 | האם הספק מנהל תיעוד סדור של מערך השרתים והאפליקציות המשמשים את לקוחותיו? |
| 4 | האם קיימת ברשת של הספק חלוקה לפי ייעוד (Network Segmentation)? |
| 5 | האם הספק מקיים הדרכות שוטפות לעובדיו בנושאי אבטחת מידע והעלאת מודעות לשימוש בטוח במאגרי מידע? |
| 6 | האם הספק מפעיל מנגנוני תיעוד (Logging) עבור כלל הפלטפורמות, כולל מערכות הגנה ואפליקציות? |
| 7 | האם הלוגים ונתוני הבקרה נשמרים למשך תקופה של לפחות 24 חודשים? |
| 8 | האם לספק נוהל תגובה לאירועי סייבר, וכן תכנית התאוששות מאירועים כאלה (Disaster Recovery Plan)? |
| 9 | האם הספק שומר עותקי גיבוי לנתוני הלקוחות? אם כן, האם קיימת מדיניות גיבוי מסודרת והאם הגיבויים מוצפנים? |
| 10 | האם תחנות הקצה ומערכות ההפעלה מוגנות באמצעות פתרון EDR (Endpoint Detection and Response)? |
| 11 | האם הספק עושה שימוש באמצעי אימות מתקדמים, כגון אימות דו-שלבי (Two-Factor Authentication), לצורך גישה מרחוק למערכות? |
| 12 | האם הספק מפעיל פתרונות הגנה כגון WAF (Web Application Firewall)? |
| 13 | האם מתבצעות אצל הספק בדיקות תקופתיות על ידי גורם חיצוני בלתי תלוי, בתחום ניהול סיכוני סייבר ואבטחת מידע? |
| 14 | האם התרחשו בשלוש השנים האחרונות אירועי אבטחת מידע, לרבות פגיעה בשלמות המידע, שימוש בלתי מורשה או חריגות בהרשאות? האם התרחשו אירועי סייבר שפגעו בהמשכיות העסקית? אם כן – נא לפרט. |
| 15 | האם התרחש אירוע אבטחה חמור שדרש דיווח לרשות להגנת הפרטיות? אם כן – נא לפרט. |
| 16 | האם הספק מנהל יומן תיעוד מסודר לכלל אירועי האבטחה? |
| 17 | האם ננקטו נגד הספק הליכי פיקוח או אכיפה מצד הרשות להגנת הפרטיות במהלך חמש השנים האחרונות? אם כן – נא לפרט את מהותם ותוצאותיהם. |
| 18 | האם הוגשו נגד הספק תביעות אזרחיות בתחום פרטיות או אבטחת מידע? אם כן – נא לפרט. |
דרישות מקדמיות להסכם מיקור‑חוץ
על בעל המאגר לישם בדיקת נאותות מחמירה הכוללת:
- בחינת נהלי אבטחת מידע של הספק, כולל מדיניות גיבוי ושחזור.
- בדיקת כיסוי ביטוחי לאירועי סייבר.
- סקירת תיעוד תקלות קודמות ודוחות ביקורת (SOC, ISO/IEC 27001 וכו’).
- ווידוא עמידה בדרישות החוק והתקנות הנגזרות ממנו.
הסכם עיבוד מידע (DPA): רכיבים מרכזיים
בהתקשרות עם כל ספק המבקש גישה למאגר מידע, יש צורך בהסכם עיבוד נתונים (Data Processing Agreement), השומר על עקרונות הפרטיות:
יש לנסח את הגדרת המידע שהספק החיצוני רשאי לעבד, ומטרות השימוש המותרות בו במסגרת ההתקשרות. בהסכם עיבוד הנתונים יפורטו בפירוט סוגי המערכות והמאגרים שאליהם יורשה הספק החיצוני לגשת, כמו גם סוגי העיבוד והפעולות המותרים לו לבצע, לרבות ציון מיקום ביצוען; תקופת ההתקשרות עם הספק תוגדר במדויק, תוך ציון הליך השבת המידע לידי בעל המאגר בסיום ההתקשרות והוראת השמדתו מרשות הספק החיצוני; יוצגו האמצעים והנהלים ליישום חובות אבטחת המידע המפורטות בתקנות הגנת הפרטיות; תוטל על הספק חובת החתמת כל בעלי ההרשאות אצלו על התחייבות לשמירת סודיות המידע ויישום מלא של אמצעי האבטחה בהתאם להגדרת המאגר; הספק יידרש לדווח לפחות אחת לשנה על אודות אופן ביצוע חובותיו על פי התקנות וההסכם, וכן להודיע לבעל המאגר באופן מיידי על כל אירוע אבטחת מידע.
לבסוף, בכל מקרה בו הוסמך הספק להשתמש בתת־מעבד, יכלול הסכם זה או כל הסכם משני עמו את כל הדרישות המפורטות בתקנה 15 לתקנות הגנת הפרטיות. את ההסכם יש ללוות בסנקציות ופיצוי, קרי – מנגנון שיפוי וביצוע צעדים מתקנים במקרים של הפרת התחייבויות.
פיקוח ובקרה שוטפת
- ביקורות אבטחה. בדיקות חדירה (Penetration Tests), סריקות פרצות וניהול ממצאים.
- בקרות חוזיות. עדכון הסכמים בהתאם לשינויים טכנולוגיים, לרבות בחינת תקופות תוקף ושינויים במנגנוני אבטחת המידע.
- דוחות סטטוס. קבלת דוחות אבטחה מסודרים מספקי מיקור‑החוץ, עם מעקב אחר עמידה באפקטיביות של ההגנות.
להרחבה בנושא DPA, קראו סקירה כאן.
דיווח אירוע אבטחת מידע
במקרה של חשד או גילוי אירוע אבטחה, על בעל המאגר להודיע לבעל המאגר (אם דיווח מגיע מהמחזיק); לרשות להגנת הפרטיות – תוך 72 שעות מרגע גילוי האירוע; ולנושאי המידע – בהתאם לחומרת האירוע ולסיכוני פגיעה בפרטיותם. דיווח זה חייב לכלול תיאור האירוע, הערכת השפעה ותכנית צעדים מתקנ
עיבוד מידע במיקור חוץ ברשויות המקומיות
הרשויות המקומיות, נשענות בעבודתן על עשרות תוכנות מחשב: תוכנות לניהול השכר, תוכנות לניהול תיקי כח אדם, תוכנות לניהול תיקי הרווחה, תוכנות החתמת נוכחות, תוכנות CRM לניהול פניות במוקד העירוני, שירותי תשלום וסליקה, GIS, תכנון ובניה, תביעה עירונית, אנליטיקת וידאו של מצלמות אבטחה, תוכנות רישוי עסקים, וטרינריה, רציפות תפקודית בחירום, ועוד. גם האכסון של אותן התוכנות מתבסס על שרתים (שבמרבית המקרים מצויות בענן). אבל האחריות החוקית לאבטחת המידע איננה חיצונית – היא נשארת ברשות המקומית.
במילים אחרות: פעולות עיבוד המידע המבוצעות ברשויות המקומיות מחייבות, כמעט בכל המקרים, שימוש בתוכנה ובחומרה, השייכות לצד ג’. אלא שהניסיון מראה כי היקף הפיקוח שמפעילות הרשויות המקומיות, על פעולות הפעולות שמבוצע על ידי צד ג’, נמוך וכמעט ולא קיים: מעטות הרשויות המקומיות, הדורשות, מפקחות, בודקות ואוכפות את ההגנה ואת השימוש, במידע השייך להן. במקרה הטוב, מניסיוננו, דורשים מסמכי המכרז או הסכם ההתקשרות כי “אבטחת המידע תתבצע בהתאם לכל דין”. אלא שהאחריות והחובות המוטלות על בעל המאגר, על מנהל המאגר ועל מחזיק המאגר, ממשיכות לחול, כאילו ביצעו בעצמם (או לא ביצעו, במחדל) את הפעילות שביצע צד ג’.
מימוש האחריות ברשות המקומית בתחום אבטחת מידע
פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים. מבקר המדינה, והרשות להגנת המידע והפרטיות במשרד המשפטים (וכאן), התריעו, מספר פעמים, כי הרשויות המקומיות אינן ערוכות להתמודד עם איומי סייבר (להרחבה, מוזמנים לעיין במאמר “פרטיות ואבטחת מידע ברשויות המקומיות ותאגידים עירוניים“). לפיכך, כיצד על הרשות לממש את האחריות ?
ראשית, מומולץ לרשות המקומית, לתכנן את פעילות הבדיקה והביקורת, במסגרת תכניות העבודה השנתיות. שנית, מומלץ למפות את ההתקשרויות שמקיימת הרשות המקומית עם ספקים חיצוניים, הכרוכות בשימוש במאגרי מידע. יש לבחון את ההסכמים והחוזים, ובאופן ספציפי – את ההוראות בתחום אבטחת המידע והגנת הפרטיות. עוד מומלץ לעיין בדיווחי הספקים החיצוניים (ככל שהעבירו), בתצהירים לשמירת סודיות שהועברו לידי הרשות, ועוד. ככל שנמצאו פערים, מומלץ לדרוש את תיקונם. בכך, לכל הפחות, תחל הרשות המקומית לממש את חובתה בחוק.
לסיכום: מיקור חוץ חכם מתחיל בניהול סיכונים
ניהול מאגרי מידע במיקור חוץ הוא כלי עסקי חיוני לצמיחה והתייעלות, אך הוא טומן בחובו חשיפה רגולטורית משמעותית. הרשות להגנת הפרטיות מחמירה כיום את האכיפה בנושא שרשרת האספקה, והציפייה מבעלי מאגרים היא לגלות מעורבות אקטיבית בפיקוח על הספקים שלהם. עמידה ב-5 החובות הקריטיות שסקרנו – מהסכם DPA מבוצר ועד לפיקוח שוטף – היא הדרך היחידה להבטיח שקט נפשי משפטי והמשכיות עסקית.
משרד עורכי דין וולר ושות’ מלווה רשויות, ארגונים, חברות, ספקי שירותים ומלכ”רים בחיפה, אזור הצפון ואזור המרכז, בהסדרת פעילות מאגרי המידע שלהם. אנו מספקים מעטפת הכוללת ניסוח הסכמי עיבוד נתונים, ליווי רישום מאגרים וייצוג מול הרשות להגנת הפרטיות, כדי שאתם תוכלו להתמקד בצמיחת העסק, בזמן שאנחנו שומרים על המידע שלכם.
