תקנות הגנת הפרטיות - GDPR

מהו תקנות הגנת הפרטיות

במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות בתחום אבטחת המידע.

התקנות חלות על כל המשק הישראלי ובפרט על ארגונים שבהגדרתם בעלי מאגר מידע ברמת אבטחה מסוימת, והם מבקשים להגן על המידע הרגיש המצוי במאגר.

הגנה על כלל נכסי המידע של הארגון הקשורים במידע פרטי/רפואי/עסקי/פיננסי/רגיש ואופן הציות לרגולציה והמוניטין שבנתה, ברמה הגבוהה ביותר אינה ראלית ואינה אפשרית אלא אם כן נדאג להתאימה למידת הרגישות והסיכון הנובעים בעבודה מול כל אחד ואחד מאותם גורמים. אובדן חלק מנכסי המידע על ידי ספק, שותף ו/או עובד מוטרד ופגיעה בנכסי מידע אחרים יכולים לפגוע בהתנהלות החברה בצורה אנושה.

נכסי המידע הקריטיים הינם הנכסים והתהליכים אשר במידה ויגנבו, ידלפו או יעשה בהם שימוש לא אחראי על ידי אותם גורמים, ייצרו נזקים משמעותיים לארגון. לכן, על הארגון למפות, להחליט ולשלוט על המידע המועבר לגורמי צד ג’ הנמצאים בעבודה שוטפת מולו ואשר יש לגביהם הוראות רגולטוריות ספציפיות שעל הארגון לקיימן ואילו בקרות הגנה יש ליישם בתהליך מולם על מנת לצמצם את הסיכון שבזליגת המידע.

במסגרת היותנו נותני שירות בתחום אבטחת מהידע מקצה לקצה נוכל ללוות אתכם בצורה מקצועית לעמידה בתקנות הגנת הפרטיות תוך ליווי למיפוי ורישום המאגרים והתנהלות מול הגופים המשפטיים. 

הפרויקט של תקנות הגנת הפרטיות יכלול התייחסות לנושאים הבאים:

כתיבה או עדכון נהלי אבטחת מידע במידה וקיימים בכפוף לדרישות בחוק.

קביעת רמת מאגר בהתאם למידע המאוכסן (מיפוי ורישום המאגר) : תקנות הגנת הפרטיות מפרטות מהי רמת האבטחה הנדרשת עבור כל מאגר מידע בהתאם להיקפו ולרגישות הנתונים שבו. 

תקנות מחלקות את רמת האבטחה הנדרשת ל 4 קטגוריות:

רמת אבטחה בסיסית –
הכוונה היא לכל מאגר שלא חלה עליו רמת האבטחה הבינונית או הגבוהה, ו/או מאגר מידע המנוהל בידי יחיד.

רמת אבטחה בינונית –
מאגר מידע שמספר מורשי הגישה אליו גדול מ10. מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדוגמת שירות דיוור ישיר, מאגר מידע בבעלות גוף ציבורי. מאגר מידע אשר אופי המידע המצוי בו רגיש ומכיל פרטים קריטיים כגון : מידע רפואי, מידע גנטי, מידע ביומטרי , מידע על נכסיו של האדם ועוד.

רמת אבטחה גבוהה –
מאגר מידע, לרבות מאגר של גוף ציבורי, שמטרתו לאסוף מידע לצורך מסירתו לאחר. מאגר מידע על 100,000 איש ומעלה מאגר מידע  המכיל מידע רגיש שמספר מורשי הגישה אליו עולה על 100

רמת אבטחה למאגר המנוהל ע"י יחיד –
מאגר מידע המנוהל ע"י יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד וכל היותר שני בעלי השראה נוספים רשאים לעשות בו שימוש.

  • בניית תיק מאגר מידע
  • בניית מסמך מינוי מנהל מאגר
  • קביעת מטריצת גישה למערכות אשר מחזיקות במאגר
  • כתיבת מדיניות פרטיות נדרשת לאתר הארגון
  • בנית מסלול זרימת מידע של המאגר

GDPR

General Data Protection Regulation  של האיחוד האירופי או בשמן המקוצר GDPR נכנסו לתוקף במאי 2018 ומסמנות עידן חדש של הגנת מידע רגיש בעולם הדיגיטלי של היום.

זו למעשה רגולציה מחייבת של האיחוד האירופי על ארגונים המאחסנים ו/או מנתחים מידע רגיש אשר ייאלצו להתמודד עם התחייבויות כבדות יותר, ולכן חיוני לפעול כעת בכפוף לתקנות מכיוון שאי ביצוע זה עלול למשוך קנסות משמעותיים.

בדומה לחוק הגנת הפרטיות אבטחת מידע שנכנס בישראל לתוקף החל מחודש מאי 2018 גם ה GDPR מתייחס למידע אישי , לגוף המנהל אותו ולמטרה העסקית של הגוף המנהל את המידע.

כדי שתוכלו להיערך בהתאם יש שלושה דברים שעליכם לדעת, אנחנו נעשה לכם קצת סדר בבלאגן:

  1. תקנות ה GDPR חלות על חברות ישראליות הפועלות בשוק האירופי ובמהלך השירותים שהן מספקות, הן מנהלות או עושות שימוש במידע אישי על תושבי האיחוד האירופי לדוגמה : אפליקציות ופלטפורמות למכירות ומסחר אלקטרוני, שירותי תוכנה כשירות (SAAS) לניהול/ עיבוד מידע של לקוחות קצה , שירותי ניתוח התנהגותי וצרכני, דיוור ותקשורת, מיון והשמה ועוד.
  2. התקנות כוללות דרישות חדשות שיש להיערך אליהן בהקדם.

  3. הפרה של החוק עלולה להיות כרוכה במתן קנסות כבדים.
    בדומה לחוק הגנת הפרטיות הישראלי , תקנות ה GDPR מחריגות ארגונים המחזיקים במידע אישי על אזרחי האיחוד במידה והוא לא לצרכים עסקיים , אם הוא נועד לצרכי חקירה וצרכים פליליים או לצרכי בטחון לאומי.
    חשוב לדעת כי תקן ISO27001 מהווה בסיס חיוני לעמידה בתקנות הגנת הפרטיות וה GDPR ומכסה חלק נרחב מרגולציית ה GDPR בתוספת מספר הרחבות לצורך עמידה בתקנות הגנת הפרטיות בישראל.

    בדומה לכל פרויקט המבוסס על דרישות רגולציה , נדרשת אבחנה ראשונית של המצב הקיים בארגון כדי להשלים ולעמוד על הפערים לעומת דרישות החוק. יש לבדוק קיום נהלים ומדיניות והתאמתן לדרישות התקן, הכנת ניירת משפטית, הסדר אופן הפעילות מול צד ג’ , מתן הדרכות לגורמים הרלוונטיים בארגון , מינוי אחראי מאגר , התייחסות יתרה בכל הנוגע למידע ארגוני המאוכסן בענן עוד.

    היועצים שלנו זמינים עהורכם ויתנו לכם את מלוא מידע הדרוש תוך ליווי מקצה לקצה עד לעמידה בתקנות.

    יועצי אבטחת המידע שלנו עם ניסיון ומוניטין של מעל כעשור עם בקיאות בדרישות החוק הישראלי והGDPR האירופי וינחו כל ארגון לגופו ובהתאמה מלאה לתחום הפעילות שלו.

מידע נוסף על תקנות הגנת הפרטיות אבטחת מידע

תקנות הגנת הפרטיות אבטחת מידע

הפרטיות והאחריות לפרטיות הם שני מונחים חשובים בעולם שבו מתנהלת מערכת יחסים קבועה בין הרצון של כולנו לעשות שימוש ברשת האינטרנט לבין הרצון לשמור על הפרטיות שלנו בכל דרך שהיא. לא מדובר על משימה פשוטה ויומיומית, מפני שיש אנשים רבים המחפשים את הדרכים באמצעותן ניתן לגנוב או לגזול מידע בדרכים לא דרכים, מתוך האינטרנט. בדיוק מסיבה זו, נוצרו תקנות הגנת הפרטיות אבטחת מידע ועוד מגוון רחב של יכולות טכנולוגיות מתקדמות, במערכת הסייבר העולמית. עמידה של חברות וארגונים בכל כללי תקנות הגנת הפרטיות, היא לא עניין של המלצה. ולכן מוטלת עליכם החובה לפנות לעזרה הצוות המקצועי של חברת אינפוגארד שיכול לעזור לכם עם כל בעיה.

 

החובה מוטלת עליכם ואתם צריכים למצוא פתרונות להגנת הפרטיות אבטחת מידע

ברגע שאתם אחראים על טיבו של מאגר המידע, אתם מתחייבים בפני הלקוחות לעשות שימוש הוגן וסביר בפרטים האישיים שלהם. ולכן, יש צורך לעשות את הכל על מנת לצמצם עד היסוד את הדליפה של מידע. בעזרת אנשי הצוות המקצועיים של חברת אינפוגארד, אפשר למצוא פתרונות טכנולוגיים מעולמות הסייבר, שישמרו על המוניטין של מאגר המידע שלכם.

השילוב בין תקנות הגנת הפרטיות אבטחת מידע והלקוחות שלכם – מה המשמעויות?

ברגע שאתם מתחילים לצבור מידע על הלקוחות שלכם, בוודאי ובוודאי כאשר אתם מקימים מערך או מאגר מידע וירטואלי, החוק הישראלי מחייב אתכם לקחת אחריות על כל המידע אותו אתם מנהלים ולשמור על הפרטיות של הלקוחות שלכם. בכל מה שנוגע לעמידה בחובות של תקנות הגנת הפרטיות אבטחת מידע והיכולות הטכנולוגיות שלכם, אתם צריכים להבטיח שלא מדובר במערכת אשר פוגעת בלקוחות שלכם. יש כל מיני הגדרות מקצועיות שמחייבות אתכם, בתור האחראים על המידע, ואתם חייבים לבחון אותן לעומק לפני שאתם מקימים את המאגר. 

בין שמדובר על היכולת להבטיח את המאגר ולמנוע זליגה של מידע, ובין שמדובר על יצירת הפרדה ונגישות למאגר אך ורק לאנשי המקצוע שנדרשים לראות את המידע. כל אלו המצעדים אותם אתם חייבים לבצע, ויפה שעה אחת קודם, בשביל לעמוד בדרישות של תקנות הגנת הפרטיות אבטחת מידע. החוק הישראלי הוא מאוד ברור בנושא, ויש מקום לבוא בטענות לבתי עסק שלא עומדים בדרישות של החוק. כך שאתם חייבים לפנות לעזרת מומחה סייבר מקצועיים, בשביל להימנע מתביעות עתידיות של לקוחות אשר נפגעו ממאגר המידע שלכם.

מידע שעשוי לעניין אותך

אבטחת מידע לעסקים

התקפות הסייבר – פריצות לרשת המחשוב הארגונית המגיעות מכיוון האינטרנט – הפכו נפוצות מאוד בשנים האחרונות ומכוונות היום לכל עסק

קרא עוד »

Modules

Modules & Integrations Remote Access Securely access your enterprise data from anywhere using any mobile device – without a VPN.

קרא עוד »

טוקניזציה

חברת InfoGuard מתמחה בליווי פרויקטי טוקניזציה עבור לקוחות הנדרשים לעמוד בדרישות אבטחת המידע של חברות האשראי ובתקן הרלוונטי. מדובר בדרישות

קרא עוד »

הסמכה לתקן iso

אנו מלווים גופים מגוונים במשק בהטמעת דרישות התקינה והרגולטור הספציפיות. זאת, בשורה ארוכה של נושאים תוך התאמה מלאה של הרגולציה

קרא עוד »

במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות בתחום אבטחת המידע.

התקנות חלות על כל המשק הישראלי ובפרט על ארגונים שבהגדרתם בעלי מאגר מידע ברמת אבטחה מסוימת, והם מבקשים להגן על המידע הרגיש המצוי במאגר.

הגנה על כלל נכסי המידע של הארגון הקשורים במידע פרטי/רפואי/עסקי/פיננסי/רגיש ואופן הציות לרגולציה והמוניטין שבנתה, ברמה הגבוהה ביותר אינה ראלית ואינה אפשרית אלא אם כן נדאג להתאימה למידת הרגישות והסיכון הנובעים בעבודה מול כל אחד ואחד מאותם גורמים. אובדן חלק מנכסי המידע על ידי ספק, שותף ו/או עובד מוטרד ופגיעה בנכסי מידע אחרים יכולים לפגוע בהתנהלות החברה בצורה אנושה.

נכסי המידע הקריטיים הינם הנכסים והתהליכים אשר במידה ויגנבו, ידלפו או יעשה בהם שימוש לא אחראי על ידי אותם גורמים, ייצרו נזקים משמעותיים לארגון. לכן, על הארגון למפות, להחליט ולשלוט על המידע המועבר לגורמי צד ג’ הנמצאים בעבודה שוטפת מולו ואשר יש לגביהם הוראות רגולטוריות ספציפיות שעל הארגון לקיימן ואילו בקרות הגנה יש ליישם בתהליך מולם על מנת לצמצם את הסיכון שבזליגת המידע.

במסגרת היותנו נותני שירות בתחום אבטחת מהידע מקצה לקצה נוכל ללוות אתכם בצורה מקצועית לעמידה בתקנות הגנת הפרטיות תוך ליווי למיפוי ורישום המאגרים והתנהלות מול הגופים המשפטיים. 

הפרויקט של תקנות הגנת הפרטיות יכלול התייחסות לנושאים הבאים:

·         כתיבה או עדכון נהלי אבטחת מידע במידה וקיימים בכפוף לדרישות בחוק.

·         קביעת רמת מאגר בהתאם למידע המאוכסן (מיפוי ורישום המאגר) :

תקנות הגנת הפרטיות מפרטות מהי רמת האבטחה הנדרשת עבור כל מאגר מידע בהתאם להיקפו ולרגישות הנתונים שבו. 

 

תקנות מחלקות את רמת האבטחה הנדרשת ל 4 קטגוריות:

1. רמת אבטחה בסיסית – הכוונה היא לכל מאגר שלא חלה עליו רמת האבטחה הבינונית או הגבוהה, ו/או מאגר מידע המנוהל בידי יחיד.

2. רמת אבטחה בינונית – מאגר מידע שמספר מורשי הגישה אליו גדול מ10.

מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחר כדוגמת שירות דיוור ישיר,

מאגר מידע בבעלות גוף ציבורי.

מאגר מידע אשר אופי המידע המצוי בו רגיש ומכיל פרטים קריטיים כגון : מידע רפואי, מידע גנטי, מידע ביומטרי , מידע על נכסיו של האדם ועוד.

3. רמת אבטחה גבוהה

מאגר מידע, לרבות מאגר של גוף ציבורי, שמטרתו לאסוף מידע

לצורך מסירתו לאחר.

מאגר מידע על 100,000 איש ומעלה

מאגר מידע  המכיל מידע רגיש שמספר מורשי הגישה אליו עולה על 100

4. רמת אבטחה למאגר המנוהל ע”י יחיד – מאגר מידע המנוהל ע”י יחיד או תאגיד בבעלות יחיד, ואשר רק היחיד וכל היותר שני בעלי השראה נוספים רשאים לעשות בו שימוש.

·         בניית תיק מאגר מידע

·         בניית מסמך מינוי מנהל מאגר

·         קביעת מטריצת גישה למערכות אשר מחזיקות במאגר

·         כתיבת מדיניות פרטיות נדרשת לאתר הארגון

·         בנית מסלול זרימת מידע של המאגר

 

GDPR

General Data Protection Regulation  של האיחוד האירופי או בשמן המקוצר GDPR נכנסו לתוקף במאי 2018 ומסמנות עידן חדש של הגנת מידע רגיש בעולם הדיגיטלי של היום.

זו למעשה רגולציה מחייבת של האיחוד האירופי על ארגונים המאחסנים ו/או מנתחים מידע רגיש אשר ייאלצו להתמודד עם התחייבויות כבדות יותר, ולכן חיוני לפעול כעת בכפוף לתקנות מכיוון שאי ביצוע זה עלול למשוך קנסות משמעותיים.

בדומה לחוק הגנת הפרטיות אבטחת מידע שנכנס בישראל לתוקף החל מחודש מאי 2018 גם ה GDPR מתייחס למידע אישי , לגוף המנהל אותו ולמטרה העסקית של הגוף המנהל את המידע.

כדי שתוכלו להיערך בהתאם יש שלושה דברים שעליכם לדעת, אנחנו נעשה לכם קצת סדר בבלאגן:

1. תקנות ה GDPR חלות על חברות ישראליות הפועלות בשוק האירופי ובמהלך השירותים שהן מספקות, הן מנהלות או עושות שימוש במידע אישי על תושבי האיחוד האירופי לדוגמה : אפליקציות ופלטפורמות למכירות ומסחר אלקטרוני, שירותי תוכנה כשירות (SAAS)  לניהול/ עיבוד מידע של לקוחות קצה , שירותי ניתוח התנהגותי וצרכני, דיוור ותקשורת, מיון והשמה ועוד.

2. התקנות כוללות דרישות חדשות שיש להיערך אליהן בהקדם.

3. הפרה של החוק עלולה להיות כרוכה במתן קנסות כבדים.

בדומה לחוק הגנת הפרטיות הישראלי , תקנות ה GDPR מחריגות ארגונים המחזיקים במידע אישי על אזרחי האיחוד במידה והוא לא לצרכים עסקיים , אם הוא נועד לצרכי חקירה וצרכים פליליים או לצרכי בטחון לאומי.

חשוב לדעת כי תקן ISO27001 מהווה בסיס חיוני לעמידה בתקנות הגנת הפרטיות וה GDPR ומכסה חלק נרחב מרגולציית ה GDPR בתוספת מספר הרחבות לצורך עמידה בתקנות הגנת הפרטיות בישראל.

בדומה לכל פרויקט המבוסס על דרישות רגולציה , נדרשת אבחנה ראשונית של המצב הקיים בארגון כדי להשלים ולעמוד על הפערים לעומת דרישות החוק. יש לבדוק קיום נהלים ומדיניות והתאמתן לדרישות התקן, הכנת ניירת משפטית, הסדר אופן הפעילות מול צד ג’ , מתן הדרכות לגורמים הרלוונטיים בארגון , מינוי אחראי מאגר , התייחסות יתרה בכל הנוגע למידע ארגוני המאוכסן בענן עוד.

היועצים שלנו זמינים עהורכם ויתנו לכם את מלוא מידע הדרוש תוך ליווי מקצה לקצה עד לעמידה בתקנות.

יועצי אבטחת המידע שלנו עם ניסיון ומוניטין של מעל כעשור עם בקיאות בדרישות החוק הישראלי והGDPR האירופי וינחו כל ארגון לגופו ובהתאמה מלאה לתחום הפעילות שלו.

 

 

 

Call Now