איור: פאנדר
הרשות להגנת הפרטיות
05/07/2023
במגזר זה ניתן שירות לעשרות אלפי לקוחות וכתוצאה מכך נשמר מידע אישי רגיש: מידע רפואי, צוואות, ירושות אודות לקוחות פוטנציאליים וכן לקוחות שחלו או נפטרו. רגישות המידע הקיים דורשת הקפדה מיוחדת על אבטחת המידע וכן שקיפות מלאה מול העמיתים או באי כוחם. הנתונים במאגרי המידע חשופים לגורמים רבים: גוף מנהל, גוף מתפעל, מוקדי שירות לקוחות, סוכנים וכד'.
ניהול המידע מחייב את הארגונים לעמוד בדרישות אבטחת המידע, כולל הסדרת נהלי עבודה בתחום אבטחת המידע והתמודדות עם אירועי אבטחת מידע, וכן מתן מידע בהתאם להוראות החוק והתקנות לנושא המידע לצורך שמירתו במאגר.
ממצאי הדו"ח:
ממצאי דו"ח הפיקוח העלו כי רמת העמידה בתקנות בתחום אבטחת המידע הייתה גבוהה מאוד ועמדה על 98%. נוסף על כך רמת העמידה בניהול מאגרי המידע הייתה גבוהה גם כן ועמדה על 94%. מהדו"ח עולה כי מידת הטמעת התקנות במגזר זה הינה באופן כללי משביעת רצון. ככל הנראה, הדבר נובע מכך שמגזר זה מאופיין בגופים מוסדיים אשר כפופים גם לרגולציה של רשות שוק ההון ביטוח וחסכון.
במסגרת הליך הפיקוח נמצאה חולשה מסוימת בתחום הבקרה הארגונית ובכללה, היעדר הוצאת כתב מינוי רשמי לממונה אבטחת מידע, אי עיגון כלל נהלי העבודה כנדרש, ותוכנית עבודה שנתית בנושא אבטחת מידע והגנת הפרטיות ברמה נמוכה. נמצא כי עובדים אינם עוברים הדרכות בתדירות הנדרשת, וכי לא בוצעו סקרי סיכונים או ביקורות בנושא אבטחת מידע/הגנת הפרטיות בתדירות הנדרשת.
בתחומי הבקרה הארגונית, רמת העמידה בתקנות הייתה בינונית ועמדה על 69%, עם 27% מהגופים במצב של עמידה חלקית ו-4% ברמת עמידה נמוכה. בתחום העברת המידע בין גופים ציבוריים, רמת העמידה בתקנות הייתה נמוכה מאוד ועמדה על 29% במצב של עמידה חלקית בלבד בתקנות, ו-71% במצב של עמידה חסרה. יתר על כן, בקרב רוב הגופים (79%) לא קיים נוהל אבטחת מידע בארגון או הנוהל הקיים אינו מכסה את מלוא הסעיפים המוגדרים בתקנות.
דו"ח ממצאי הליך פיקוח הרוחב בקרב מגזר קופות גמל וקרנות השתלמות
מפיקוח רוחב של הרשות להגנת הפרטיות בקרב 48 גופים במגזר קופות גמל וקרנות השתלמות בישראל עלה כי 79% מהגופים שנבדקו עמדו ברמה גבוהה יחסית בהוראות חוק הגנת הפרטיות והתקנות, 94% מהסוכנויות עמדו ברמה גבוהה בקריטריון של ניהול מאגרי מידע וכ-69% מהגופים עמדו ברמה גבוהה בקריטריון של בקרה ארגונית.
במגזר זה ניתן שירות לעשרות אלפי לקוחות וכתוצאה מכך נשמר מידע אישי רגיש: מידע רפואי, צוואות, ירושות אודות לקוחות פוטנציאליים וכן לקוחות שחלו או נפטרו. רגישות המידע הקיים דורשת הקפדה מיוחדת על אבטחת המידע וכן שקיפות מלאה מול העמיתים או באי כוחם. הנתונים במאגרי המידע חשופים לגורמים רבים: גוף מנהל, גוף מתפעל, מוקדי שירות לקוחות, סוכנים וכד'.
ניהול המידע מחייב את הארגונים לעמוד בדרישות אבטחת המידע, כולל הסדרת נהלי עבודה בתחום אבטחת המידע והתמודדות עם אירועי אבטחת מידע, וכן מתן מידע בהתאם להוראות החוק והתקנות לנושא המידע לצורך שמירתו במאגר.
ממצאי הדו"ח:
ממצאי דו"ח הפיקוח העלו כי רמת העמידה בתקנות בתחום אבטחת המידע הייתה גבוהה מאוד ועמדה על 98%. נוסף על כך רמת העמידה בניהול מאגרי המידע הייתה גבוהה גם כן ועמדה על 94%. מהדו"ח עולה כי מידת הטמעת התקנות במגזר זה הינה באופן כללי משביעת רצון. ככל הנראה, הדבר נובע מכך שמגזר זה מאופיין בגופים מוסדיים אשר כפופים גם לרגולציה של רשות שוק ההון ביטוח וחסכון.
במסגרת הליך הפיקוח נמצאה חולשה מסוימת בתחום הבקרה הארגונית ובכללה, היעדר הוצאת כתב מינוי רשמי לממונה אבטחת מידע, אי עיגון כלל נהלי העבודה כנדרש, ותוכנית עבודה שנתית בנושא אבטחת מידע והגנת הפרטיות ברמה נמוכה. נמצא כי עובדים אינם עוברים הדרכות בתדירות הנדרשת, וכי לא בוצעו סקרי סיכונים או ביקורות בנושא אבטחת מידע/הגנת הפרטיות בתדירות הנדרשת.
בתחומי הבקרה הארגונית, רמת העמידה בתקנות הייתה בינונית ועמדה על 69%, עם 27% מהגופים במצב של עמידה חלקית ו-4% ברמת עמידה נמוכה. בתחום העברת המידע בין גופים ציבוריים, רמת העמידה בתקנות הייתה נמוכה מאוד ועמדה על 29% במצב של עמידה חלקית בלבד בתקנות, ו-71% במצב של עמידה חסרה. יתר על כן, בקרב רוב הגופים (79%) לא קיים נוהל אבטחת מידע בארגון או הנוהל הקיים אינו מכסה את מלוא הסעיפים המוגדרים בתקנות.
דו"ח ממצאי הליך פיקוח הרוחב בקרב מגזר קופות גמל וקרנות השתלמות
