אבטחת מידע – אחריות לפעולות במיקור חוץ
הרשויות המקומיות, נשענות בעבודתן על עשרות תוכנות מחשב: תוכנות לניהול השכר, תוכנות לניהול תיקי כח אדם, תוכנות לניהול תיקי הרווחה, תוכנות החתמת נוכחות, תוכנות CRM לניהול פניות במוקד העירוני, שירותי תשלום וסליקה, GIS, תכנון ובניה, תביעה עירונית, אנליטיקת וידאו של מצלמות אבטחה, תוכנות רישוי עסקים, וטרינריה, רציפות תפקודית בחירום, ועוד. גם האכסון של אותן התוכנות מתבסס על שרתים (שבמרבית המקרים מצויות בענן). אבל האחריות החוקית לאבטחת המידע איננה חיצונית – היא נשארת ברשות המקומית.
עיבוד מידע במיקור חוץ
במילים אחרות: פעולות עיבוד המידע המבוצעות ברשויות המקומיות מחייבות, כמעט בכל המקרים, שימוש בתוכנה ובחומרה, השייכות לצד ג’. אלא שהניסיון מראה כי היקף הפיקוח שמפעילות הרשויות המקומיות, על פעולות הפעולות שמבוצע על ידי צד ג’, נמוך וכמעט ולא קיים: מעטות הרשויות המקומיות, הדורשות, מפקחות, בודקות ואוכפות את ההגנה ואת השימוש, במידע השייך להן. במקרה הטוב, מניסיוננו, דורשים מסמכי המכרז או הסכם ההתקשרות כי “אבטחת המידע תתבצע בהתאם לכל דין”. אלא שהאחריות והחובות המוטלות על בעל המאגר, על מנהל המאגר ועל מחזיק המאגר, ממשיכות לחול, כאילו ביצעו בעצמם (או לא ביצעו, במחדל) את הפעילות שביצע צד ג’.
מיקור חוץ, או שימוש בצד ג’ לעיבוד מידע, מוסדר בתקנות הגנת הפרטיות (אבטחת מידע). התקנות מטילות מספר חובות על בעלי מאגרי מידע, לצורך התקשרות עם גורם חיצוני לקבלת שירות, ככל שקבלת השירות כרוכה במתן גישה למאגר המידע. התקנות כוללות מספר פעולות שעל הרשות המקומית לנקוט, ובכלל זאת –
- טרם ההתקשרות, על גורמי המקצוע ברשות המקומיצ ועל בעל המאגר, לבחון את סיכוני אבטחת המידע הכרוכים בהתקשרות ולהבטיח כי סיכונים אלה מקבלים מענה.
- ניסוח הגדרת המידע שהספק החיצוני רשאי לעבד, ומטרות השימוש המותרות בו במסגרת ההתקשרות.
- סוגי המערכות והמאגרים, אליהן הספק החיצוני יהיה רשאי לגשת.
- סוגי העיבוד וסוגי הפעולות שהספק החיצוני יהיה רשאי לעשות (וכן מיקום הביצוע של אותן הפעולות).
- תקופת ההתקשרות, אופן השבת המידע לידי הבעלים בסיום ההתקשרות, ודרישת השמדתו מרשות הספק החיצוני בסיום ההתקשרות.
- אופן יישום החובות בתחום אבטחת המידע שהמחזיק חייב בהן לפי התקנות.
- חובת הספק להחתמת בעלי ההרשאות אצלו על התחייבות לשמירת סודיות המידע ויישומם של אמצעי אבטחה, בהתאם להגדרת המאגר.
- דיווח הספק, אחת לשנה לפחות, על אודות אופן ביצוע חובותיו לפי התקנות והסכם ההתקשרות, וחובת ההודעה במקרה של אירוע אבטחה.
- במקרים בהם התיר בעל מאגר מידע לספק החיצוני לתת את השירות באמצעות גורם נוסף – חובתו של הספק החיצוני לכלול בהסכם עם הגורם הנוסף את כל הנושאים המפורטים בתקנה 15 לתקנות הגנת הפרטיות.
מימוש האחריות ברשות המקומית בתחום אבטחת מידע
פגיעה במערכות הממוחשבות ובמאגרי המידע של הרשויות המקומיות עלולה לגרום לנזקים כבדים. מבקר המדינה (כאן), והרשות להגנת המידע והפרטיות במשרד המשפטים (וכאן), התריעו, מספר פעמים, כי הרשויות המקומיות אינן ערוכות להתמודד עם איומי סייבר (להרחבה, מוזמנים לעיין במאמר “פרטיות ואבטחת מידע ברשויות המקומיות ותאגידים עירוניים“). לפיכך, כיצד על הרשות לממש את האחריות ?
ראשית, מומולץ לרשות המקומית, לתכנן את פעילות הבדיקה והביקורת, במגרת תכניות העבודה השנתיות. שנית, מומלץ למפות את ההתקשרויות שמקיימת הרשות המקומית עם ספקים חיצוניים, הכרוכות בשימוש במאגרי מידע. יש לבחון את ההסכמים והחוזים, ובאופן ספציפי – את ההוראות בתחום אבטחת המידע והגנת הפרטיות. עוד מומלץ לעיין בדיווחי הספקים החיצוניים (ככל שהעבירו), בתצהירים לשמירת סודיות שהועברו לידי הרשות, ועוד. ככל שנמצאו פערים, מומלץ לדרוש את תיקונם. בכך, לכל הפחות, תחל הרשות המקומית לממש את חובתה בחוק.
עורך דין רשויות מקומיות בתחום אבטחת מידע והגנת הפרטיות
לעורך דין רשויות מקומיות, המכיר את הוראות הדין, את מאגרי המידע שבידי הרשות ואת הכלים בהם משתמשת הרשות, יתרון בתחום הגנת הפרטיות. על עורך הדין לסקור את מאגרי המידע שמנהלת הרשות, להעריך את הסיכונים, להמליץ על אסטרטגיית פעולה, ולסייע לרשות המקומית בהטמעת נהלים. כל זאת, במטרה לעמוד בדרישות הדין בנושא אבטחת המידע והגנת הפרטיות.
משרד עורכי דין וולר ושות’ מעניק לרשויות מקומיות ולתאגידים עירוניים, ליווי וייעוץ משפטי בתחומי אבטחת מידע והגנת הפרטיות. זאת, בשילוב הערך המוסף – ניסיון ארוך שנים והתמחות בעבודת הרשויות המקומיות, הבנה וידע מקצועי רב-תחומי. עו”ד רועי וולר, המוביל את התחום, הנו ממונה הגנת הפרטיות (P.P.O), מנהל סיכונים מוסמך (C.R.O) וחבר האיגוד הישראלי לניהול סיכונים, מנכ”ל מועצה אזורית לשעבר, וקצין (מיל.) ביחידה 8200. לכל שאלה בתחום, צרו קשר.