חובת דיווח על פריצות למאגרי מידע - גם בקנדה

צו שפרסם הממשל הפדרלי בקנדה לפני מספר ימים קובע כי חובת דיווח קנדית על פריצות למאגרי מידע תכנס לתוקפה בנובמבר השנה. במקרים של פריצה למאגר מידע, בעל המאגר יידרש לאמוד את הסיכונים והנזקים שנשקפים מהאירוע בהתחשב, בין היתר, ברגישות המידע והסיכוי שינוצל לרעה. במקרים בהם נשקף סיכון משמעותי לנושאי המידע - כגון נזק גופני, פגיעה בשמם הטוב, בפרנסתם או במצבם הכלכלי או גניבת זהותם - נדרש בעל המאגר לדווח לנושאי המידע, לנציבות הפרטיות בקנדה ולכל ארגון אחר המסוגל לצמצם את הנזק הצפוי לנושא המידע.

לקראת נובמבר צפויות להכנס לתוקף תקנות חדשות המפרטות את מהות חובת הדיווח. לפי טיוטה של התקנות שפורסמה, ארגונים יידרשו להחזיק תיעוד פנימי של אירועי אבטחת מידע שהתרחשו אצלם. הטיוטה מלמדת עוד כי הדיווח לנושאי המידע במקרה של פריצה יהיה חייב לכלול פרטים על אודות הפריצה, נסיבותיה, השלכותיה על נושא המידע, מאמצי הריפוי וההתמודדות של הארגון, המלצות לנושא המידע כיצד לצמצם את הנזק הצפוי לו, פרטים ליצירת קשר עם הארגון ומידע על זכותו של נושא המידע להתלונן בפני נציבות הפרטיות בקנדה. מקור: IT World Canada (מאת הווארד סולומון).