ועדת החוקה, חוק ומשפט אישרה אתמול את תקנות הגנת הפרטיות (אבטחת מידע)-התשע"ז-2017. בכך הסתיים הליך חקיקה שהחל ברשות למשפט, טכנולוגיה ומידע בשנת 2010, במסגרתו פורסמו מספר טיוטות לתגובות הציבור. התקנות כוללות רפורמה מרחיקת-לכת בהשוואה לתקנות המיושנות משנת 1986. בין השאר, לראשונה בישראל, נקבעה חובה חוקית לדווח לרשם מאגרי המידע על אירועי אבטחה במאגרי מידע, ואף - אם הורה כך הרשם - חובה לדווח על אירועי אבטחה לנושאי המידע שפרטיהם כלולים במאגר. חובה מעין זו קיימת זה מכבר במדינות רבות בארצות-הברית ובמגזר התקשורת באירופה והובילה לגל של תובענות ייצוגיות נגד בעלי מאגרי מידע שנפרצו.
התקנות קובעות חובות נרחבות ביחס לאבטחה הפיסית והלוגית של מאגרי מידע וכן ביחס לסדרי ניהול וכללי העבודה במאגרי מידע של חברות וארגונים מהמגזר הפרטי והציבורי. הן יחולו על כל הבעלים, המנהלים והמחזיקים של מאגרי מידע בישראל באופן הדרגתי לפי גודל המאגר, מספר המורשים אליו וסוגי המידע בו. כלומר, ככל שהמאגר הוא בעל רמת אבטחה גבוהה יותר לפי התקנות - כך יחולו חובות מוגברות יותר על אופן ניהול המאגר.
התקנות החדשות מחייבות היערכות פנים-אירגונית מקיפה בתחומים רבים, בעלי מאגרי מידע יידרשו כעת למלא אחר חובות רבות, ביניהן:
- מיפוי המידע ששמור במאגר, המערכות הקשורות אליו, פעולות העיבוד שמבוצעות בו והסיכונים אליהם המאגר חשוף;
- קביעת נהלי אבטחה מפורטים בדבר הרשאות גישה, אמצעי האבטחה, ניהול סיכונים, והתמודדות עם אירועי אבטחת מידע;
- הטמעת אמצעי אבטחת מידע נאותים להגנה מפני חדירה בלתי מורשית ומפני תוכנות זדוניות, בכלל זה יש להפריד בין רשת;
- ביצוע סקרי סיכונים ומבדקי חדירות תקופתיים;
- תיעוד אירועים שיש בהם חשש לפגיעה במידע או חריגה מהרשאות הגישה במאגר;
- דיווח על אירועי אבטחת מידע בהם נעשה שימוש במאגר בלא הרשאה או שנפגעה שלמות המידע במאגר;
- מינוי ממונה על אבטחת מידע.
התקנות ייכנסו לתוקף תוך שנה מיום פרסומן.