להרשמה לניוזלטר
הרשות להגנת הפרטיות פרסמה לפני מספר ימים מדריך פעולה ליישום תקנה 15 לתקנות אבטחת מידע בעת התקשרות עם גורם חיצוני (להלן: "המדריך").
מטרת המדריך לפי הרשות היא מתן כלים פרקטיים ליישום הוראות תקנה 15 בעת התקשרות עם ספקי מיקור חוץ.
המדריך מציע מסמך עזר לביצוע בדיקה מקדמית של סיכוני אבטחת המידע שעולים במסגרת ההתקשרות הפונטציאלית עם הספק, מסמך עזר לפיקוח של המזמין (בעל המאגר) על פעולת הספק ופרק שמחדד את הדרך שבה יש לבטא את הדרישה לקיומם של סעיפים מסויימים בהסכם מיקור חוץ לפי תקנה 15(א)(2) לתקנות אבטחת מידע.
חשוב לציין שהמסמך מכיל שאלות שיהיה קושי לקבל עליהן תשובות מהספקים, כמו האם אירע אצל הספק אירוע אבטחה בשלוש השנים האחרונות, האם התנהל אצל הספק הליך פיקוח או אכיפה של הרשות בחמש השנים האחרונות והאם הוגשו נגד הספק תביעות אזרחיות בנושא פרטיות או אבטחת מידע.
בהקשר הזה, עניין נוסף שעולה מהמדריך הוא שלדעת הרשות בדיקת סיכונים מקדמית יכולה להיעשות באמצעות סקר סיכונים לפי תקנה 5(ג), שכידוע הוא הרבה פעמים יקר ומורכב. כמו כן, הרשות מציינת כי במקרה שבו ההתקשרות של המזמין היא עם ספק שיש לו ספקי משנה – אז מדובר בסיכון מוגבר. מכיוון שנכון להיום אחוז ניכר מהספקים (וודאי הגדולים והמוכרים) משתמש בספקי משנה, נדמה כי הרבה מן ההתקשרויות היום יומיות של ארגונים רבים יהיו בעלות סיכון גבוה לפי פרשנות זו, באופן שעשוי להשפיע על ניסוח ההסכם עם הספק.
כאן הרשות מציעה למזמין לשלוח לספק "שאלון בקרה תקופתי". ברור כי יש קושי ליישם את ההמלצה הזאת בוודאי ביחס לספקים בינלאומיים, וודאי גדולים, שפועלים לפי מתווה אחיד שמותאם לדין זר.
שאלון הבקרה השנתי מרחיב על השאלון המקדים, בכך שבבקרה התקופתית יש לשאול את הספק גם לגבי מכתבי תלונה או התראה לפני תביעה, וכן לדרוש ממנו דיווחים מידיים על העניינים שבשאלון (ולא רק בקשר לאירועים הנוגעים ללקוח!). אם בכלל צריך לדרוש דיווחים כאלה, מדוע רק לאחר השאלון התקופתי?
משכה את תשומת ליבנו התייחסותה של הרשות לתקנה בעניין ציון המידע שהגורם החיצוני רשאי לעבד ומטרות השימוש המותרות בו – "יש לנסח סעיף שיגדיר במפורש את סוג המידע שאליו רשאי הספק לגשת ואת מטרת השימוש לכל סוג של מידע".
עוד מעניין לראות שבקשר למחיקת מידע על ידי הספק בסיום ההתקשרות, הרשות מתייחסת באופן ספציפי למחיקת מידע מתיבות דוא"ל, תיקיות וגיבויים, מקומות שהרבה פעמים לא נלקחים בחשבון במסגרת הליכי מחיקה בסיום התקשרות.
בנוסף, החידוד של הרשות לגבי הפעולות המותרות לספק מגדיל לדעתנו את החשיבות בניסוח הגדרת השירותים בהסכם עם הספק.
נציין גם שהרשות מפנה במדריך להנחיית רשם מאגרי מידע בעניין מיקור חוץ, שחלקים נרחבים ממנה חופפים לתקנות אבטחת מידע. אפשר היה לקוות שההנחיה הישנה תוחלף או אף תבוטל, אך במקום זאת נראה שהרשות מתייחסת אליה כשרירה וקיימת, ולכן אנו ממליצים להמשיך ולפעול לפיה.
אנו עומדים לרשותכם בכל שאלה,
אייל שגיא, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה
מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.
