Search
  • Danny Abramovich

ה-GDPR שם מחיר כבד על נושא זליגת מידע רגיש

ארגונים כיום משלמים מחיר כבד עבור אירועי דלף מידע, ולא רק מבחינה כספית, אלא גם במונחים של נזק תדמיתי, חוסר שביעות רצון מצד הלקוחות, ולעתים השבתה של פעילות ארגונית מסוימת (בשל תהליך חקירה דיגיטלית ארוך ומייגע). אך כעת, בעקבות כניסתן של התקנות החדשות באיחוד האירופאי, של הגנת הפרטיות (ה-GDPR), עבור חברות שעושות עסקים עם תושבי האיחוד אירופי, הנשורת הפיננסית כתוצאה מאירועי דלף מידע עומדת להיות יקרה הרבה יותר. בגלל זה הכרחי עבור ארגונים שטרם החלו בהכנות לעמידה ב-GDPR, להתעורר ולהתחיל להפנים את דרישות החוק, ולא לשחק תופסת עם הרגולטור.


ה-GDPR...האם כדאי לשחק תופסת עם הרגולטור?


למי שעדיין לא מכיר, עם כניסתה של תקנה כללית להגנת הפרטיות (ה-GDPR), האיחוד האירופי חוקק שורה של תקנות חובה לעסקים שנכנסו לתוקף לפני חודש ימים (25 מאי 2018). ארגונים שיימצא באי-ציות לדרישות החוק, עלולים לעמוד בפני עונשים כבדים של עד 20 מיליון יורו או עד 4% מהמחזור השנתי של הארגון, הגבוה מביניהם.

במילים פשוטות, ה-GDPR נחקק על מנת לתת לאזרחים ולתושבים שליטה רבה יותר על הנתונים האישיים שלהם, ומכניסים כללים קפדניים לטיפול בנתונים ובמסגרתם קובעים "בקרי מידע" (Data Controller) שאוספים נתונים מתושבי האיחוד האירופי ו"מעבדי מידע" (Data Processors) שמעבדים את הנתונים בשם בקרי המידע, כמו למשל ספקיות הענן.

ה-GDPR אינו חל רק על עסקים באיחוד האירופי, הוא חל על הנתונים של כל אזרחי האיחוד האירופי, ללא קשר למקום שבו מאוחסן. אם לאזרח של האיחוד האירופי יש נתונים המאוחסנים עם חברה בתוך ארה"ב, אז ה-GDPR חל עליו.

תחת ה-GDPR, בקרי הנתונים חייבים לדווח על כל זליגת מידע לרשות הממונה (Supervising Authority) תוך 72 שעות מרגע זיהוי הפריצה. מאותו רגע, אנשים חייבים לקבל הודעה אם יש השפעה שלילית, ומעבד הנתונים חייב להודיע לבקרי הנתונים ללא עיכוב מופרז, לאחר שהוא מודע לאירוע שבו נפרצו ודלפו נתונים רגישים.

מה שכן, מעבדי הנתונים ובקרי הנתונים אינם חייבים להודיע לנושאי הנתונים אם נתונים אנונימיים נפרצו – כלומר, אם בקר הנתונים יישם הצפנה ואמצעים אחרים להגנה על הנתונים. עם זאת, ההוראה מגדירה באופן נרחב אירוע של זליגת מידע כ"אירוע המביא להרס, שינוי (בזדון או בשוגג), גילוי בלתי מורשה או גישה למידע אישי שנשלח, מאוחסן או מעובד בצורה אחרת".

ה-GDPR גם מספק לצרכנים ולאנשים (נושאי המידע) יותר כוח מבעבר. סעיף 17 של ה-GDPR מגדיר את "הזכות למחיקה", הידוע יותר בשם "הזכות להישכח". סעיף 17 מסמיך את נושאי המידע (האנשים) לבקש שבקר הנתונים ימחק את כל הנתונים האישיים שלהם ללא דיחוי וללא תמורה. זה אומר את כל הנתונים, כגון קבצים, רשומות, גיבוי עותקים בארכיון וכדומה.

ה-GDPR מפעיל לחץ כבד על ארגונים כדי ליישם אמצעי אבטחה חזקים יותר על מנת להגן על הרשתות והנתונים שלהם, ובמקרה של הפרה בוטה ואירוע של זליגת מידע, לדווח על כך במהירות. זה גם הופך את זה חובה משפטית להגדיר את מערכות האבטחה לשים את נושא הגנת הנתונים ופרטיות הצרכן במקום הראשון מבחינת סדרי העדיפות.

הכנות לעמידה בדרישות ה-GDPR


אז לאלו שעדיין לא התעוררו ומאחרים להכין את הארגון לעמידה בדרישות ה-GDPR, כיצד ניתן להבטיח שמערכות המחשוב של הארגון והנתונים הרגישים שמאוחסנים בהם הינם מאובטחים כראוי?

ובכן, כמו ברוב המקרים של המלצות אבטחת מידע, כדאי מאוד שתהיה תוכנית עבודה מוסדרת לכלל הפרויקט, עם משימות מפורטות, בעלי עניין והגדרת אחריות, ולהצטייד בגיבוי ומעורבות ההנהלה.

השלב הראשון יהיה להתחיל במיפוי זרימת המידע, מקצה לקצה, ולמפות מה אוספים, כיצד אוספים, איפה זה נשמר, ממשקים בין מערכות שונות, וכדומה.

לאחר מכן, חשוב לבצע תהליך של DPIA (ר"ת של Data Privacy Impact Assessment) שזה מעין סקר בנושא הגנת נתונים רגישים שבידי הארגון (הן כבקרי נתונים והן כמעבדי נתונים).

דרישה נוספת הינה כמובן לגבש תהליכי עבודה כפי שנדרש עפ"י התקנות, ולגבות כל תהליך כזה בנוהל כתוב (מתועד).

המלצה נוספת, הינה למנות בארגון DPO (ר"ת של Data Protection Officer) שיהיה אמון על נושא עמידה בדרישות התקנות, מי שיהווה בפועל נקודת קשר עבור הרשות להגנת הנתונים ונושאים הנתונים, ולהבטיח פעולות עיבוד שונות לשמור על הנתונים הרגישים ועל פעולות הציות לדרישות הרגולציה.

בנוסף, על הארגונים להיות פרואקטיביים ולהפגין בצורה שקופה דין וחשבון על כל פעולות העיבוד, לבחון כיצד נתונים זורמים מעבר לגבולות בתוך האיחוד האירופי ומחוץ לו, ולוודא שיש להם תהליכים סדורים ומערכות תומכות שיאפשרו להודיע ליחידים ולרשויות במקרה של אירועי דלף מידע, ולאפשר את הזכות להישכח אם אדם מבקש למחוק את הנתונים שלהם שנמצאים ברשותו של הארגון.

כמובן שחשוב ואף כדאי מאוד שלארגונים יהיו מערכות אבטחה מתאימות אשר ימנעו דליפת מידע מלכתחילה. לא נדרשת הודעה על אירועי זליגת מידע של נתונים אנונימיים, אך על החברות לבחון את פתרונות ההצפנה שלהם כדי להבטיח שהנתונים האישיים שלהם יישארו אנונימיים ומאובטחים היטב.

0 views