“במגזר פלסטיקה וכירורגיה קוסמטית, נמצאה רמת עמידה נמוכה בכל הקשור ב’אבטחת מידע’ אך רמת עמידה גבוהה בכל הקשור בניהול מאגרי מידע. בנוסף, נמצאו ליקויים שחוזרים על עצמם במספר רב של גופים בנושא שימוש במיקור חוץ, ובכל הקשור לבקרה ארגונית נמצאה רמת עמידה בינונית-נמוכה של הגופים בהוראות החוק…” – כך עולה היום (יום שלישי, ב’ באדר ב’ התשפ”ד) מחשיפת ‘דוח ממצאי פיקוח רוחב בקרב תחום הכירורגיה הפלסטית’ של הרשות להגנת הפרטיות (Privacy Protection Authority) שחשף ליקויים רבים ב-הגנת הפרטיות.
■ רוצים עוד עדכונים? הצטרפו אל ’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ ב’פייסבוק’ או ב’טוויטר’.
הממונה על ההגנה המגזרית, של הרשות להגנת הפרטיות עורכת דין אפרת סוקולובר, מסבירה; “פעילות מגזר הפלסטיקה והכירורגיה הקוסמטית טומנת בחובה, מטבע הדברים, סיכונים לא מעטים לפרטיות.
אלה נובעים מניהול ואחזקת מידע רב, מזוהה ורגיש, וניהול קשר ישיר עם לקוחות הגופים באמצעות הגופים עצמם ובאמצעות שימוש במיקור חוץ.
כל אלה דורשים הקפדה יתרה על קיום הוראות תקנות אבטחת מידע, פעילות בשקיפות מול הלקוח, ומילוי החובות החלות מכוח חוק הגנת הפרטיות והתקנות מכוחו.
הליך פיקוח הרוחב במגזר הפלסטיקה והכירורגיה הקוסמטית, העלה ממצאים מדאיגים המצביעים על ליקויים בנוגע לעמידה בהוראות החוק בתחום אבטחת מידע, בקרה ארגונית וממשל תאגידי, וניהול מאגרי מידע“.
עורכת דין סוקולובר, הוסיפה; “בעקבות ממצאי הדוח, ערכה הרשות מעקב לתיקון ליקויים בגופים המשתייכים למגזר זה ודרשה מהם לנקוט בגישה מבוססת סיכון כשהטיפול הראשוני והדחוף, ייעשה ביחס לליקויים מתחום אבטחת המידע ולאחר מכן ביתר הקריטריונים.
במסגרת ביקורת המעקב שנעשתה בקרב 70% מהגופים במגזר זה שקיבלו הנחיות לתיקון ליקויים, מצאנו שיפור ותיקון רמת העמידה בחוק ובתקנות הגנת הפרטיות, כאשר למעלה משליש השלימו את תיקון הליקויים.
אולם, שיפור זה אינו מספק לנוכח סוג המידע המוחזק בגופים אלה ורגישותו, והיינו מצפים לראות שיפור משמעותי יותר בתיקון הליקויים, במיוחד בתחום אבטחת המידע.
הרשות תמשיך לבחון את תיקון הליקויים בשנים הקרובות”. סיכמה הממונה על ההגנה המגזרית, מטעם הרשות להגנת הפרטיות עורכת דין סוקולובר.
█ בתחום אבטחת המידע, נמצאו ממצאים מעידים על ‘רמת עמידה נמוכה’ בכל הקשור ב-אבטחת מידע
הרשות להגנת הפרטיות במשרד המשפטים בראשות עורך דין גלעד סממה, ערכה פיקוח רוחב במגזר זה (פלסטיקה וכירורגיה קוסמטית) מתוך הידיעה, כי גופים אלה ‘מחזיקים מאגרי מידע‘ המכילים מידע רגיש רב ומנוהלים לרוב בידי גופים שאינם מאוגדים תחת המעטפת של חברה גדולה.
ברשוּת, מציינים, כי כתוצאה מכך, ברוב המקרים אין בגופים אלה בעלי תפקידים ייעודיים לטיפול בנושא; ‘הגנת הפרטיות‘ דבר אשר מקשה על ‘שמירת פרטיותם של לקוחותיהם‘.
מ’דוח ממצאי פיקוח רוחב בקרב תחום הכירורגיה הפלסטית‘ עולה, שהליך פיקוח הרוחב במגזר, העלה ממצאים מדאיגים, המעידים על ליקויים בעמידה בהוראות החוק בתחום אבטחת מידע, בקרה ארגונית, ממשל תאגידי, וניהול מאגרי מידע.
בתחום אבטחת המידע, נמצאו פערים רבים ומשמעותיים. הממצאים מעידים על ‘רמת עמידה נמוכה‘ בכל הקשור ב-אבטחת מידע, ויצוין מאידך, רמת עמידה גבוהה בכל הקשור בניהול מאגרי מידע.
מטעם אגף דוברות הסברה ותקשורת, משרד המשפטים, מסרה הגב’ שירה פלג לאתר ’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ כי כאן, נמצאו ליקויים שחוזרים על עצמם במספר רב של גופים בנושא שימוש ב-מיקור חוץ.
בכל הקשור ל’בקרה ארגונית‘ נמצאה רמת עמידה בינונית-נמוכה של הגופים בהוראות החוק. כל אלה מחייבים הקפדה יתרה על קיום הוראות תקנות אבטחת מידע, שקיפות מול הלקוח, ומילוי החובות החלות מכוח פרק הדיוור הישיר בחוק הגנת הפרטיות.
הגופים השייכים למגזר זה, מחזיקים מאגרי מידע המכילים מידע רגיש בהיקפים גדולים ומנוהלים ברובם על ידי עצמאיים או עוסקים שאינם מאוגדים תחת המעטפת של חברה גדולה.
בפעילות מגזר הפלסטיקה והכירורגיה הקוסמטית, קיימים סיכונים לא מעטים לפרטיות, אשר נובעים מניהול ואחזקת מידע רב, מזוהה ורגיש, וניהול קשר ישיר עם לקוחות באמצעות הגופים עצמם ובאמצעות שימוש במיקור חוץ.
כל אלה דורשים הקפדה יתרה על קיום הוראות תקנות אבטחת מידע, שקיפות מול הלקוח, ומילוי החובות החלות מכוח פרק הדיוור הישיר בחוק הגנת הפרטיות.
גופים המשתייכים למגזר זה מחזיקים מאגרי מידע המכילים מידע רגיש בהיקפים עצומים ומנוהלים לרוב בידי עצמאיים או עוסקים שאינם מאוגדים תחת המעטפת של חברה גדולה.
כתוצאה מכך, ברוב המקרים אין בגופים אלה בעלי תפקידים ייעודיים לטיפול בנושא הגנת הפרטיות, דבר אשר מקשה על שמירת הפרטיות של לקוחותיהם.
במגזר פלסטיקה וכירורגיה קוסמטית, נמצאה רמת עמידה נמוכה בכל הקשור באבטחת מידע, אך רמת עמידה גבוהה בכל הקשור בניהול מאגרי מידע.
בנוסף, נמצאו ליקויים שחוזרים על עצמם במספר רב של גופים בנושא שימוש במיקור חוץ, ובכל הקשור לבקרה ארגונית נמצאה רמת עמידה בינונית-נמוכה של הגופים בהוראות החוק.
נוכח הממצאים שעלו מהליך פיקוח הרוחב, קיבלו כלל הגופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם.
מממצאי הדין וחשבון (דו”ח) עולה, כי בהתייחס לקריטריון של אבטחת מידע, הראו 84% מהגופים רמת עמידה נמוכה. על הגופים להטמיע מנגנוני הרשאות במאגרי המידע של הארגון.
כמו כן, על הגופים לנקוט באמצעים למניעת חדירה למיקום הפיזי של השרתים והתשתיות ולבצע מבדקי חדירות אחת לשנה וחצי במאגרים בעלי רמת אבטחה גבוהה.
█ גוף שחלה עליו רמת האבטחה הגבוהה, חייב לוודא, כי בוצעו מבדקי חדירות העומדים בדרישות התקנות
בהתייחס לקריטריון של בקרה ארגונית, על הגופים לוודא, בין היתר, כי מונו מנהל מאגר מידע וממונה אבטחת מידע כנדרש בחוק, וכי קיימים נהלי אבטחת מידע.
כמו כן, גוף שחלה עליו רמת האבטחה הגבוהה, חייב לוודא, כי בוצעו מבדקי חדירות העומדים בדרישות התקנות.
בכל הנוגע לניהול מאגרי מידע ומיקור חוץ, על הגופים לקבל את הסכמת נושא המידע לאיסוף מידע ושמירתו במאגריהם, תוך מתן הודעה בעת איסוף המידע בנוגע לסמכות החוקית מכוחה חלה חובה למסור את המידע, ככל שיש, או הסכמת נושא המידע למסירתו וכן, ציון מטרת האיסוף, הגורמים אליהם יימסר ולאיזו מטרה.
בעקבות ממצאי הדו”ח, ערכה הרשות להגנת הפרטיות במשרד המשפטים, מעקב לתיקון ליקויים בגופים המשתייכים למגזר זה ודרשה מהם לנקוט בגישה מבוססת סיכון כשהטיפול הראשוני והדחוף, ייעשה ביחס לליקויים מתחום אבטחת המידע ולאחר מכן ביתר הקריטריונים.
◄ אל דוח מלא של ממצאי פיקוח הרוחב בקרב מגזר פלסטיקה וכירורגיה.