קנדה: הנחיות חדשות על חובת הדיווח על אירועי אבטחת מידע

רגולטור הפרטיות בקנדה פרסם הנחיות חדשות המבהירות את טיבה והיקפה של חובת הדיווח הקנדית על תקריות אבטחת מידע שנכנסה לתוקף ב-1 בנובמבר.

בהתאם להנחיות החדשות, חובת הדיווח חלה על כל ארגון שמידע אישי נמצא תחת שליטתו, אף שהמונח "שליטה" אינו מוגדר בחקיקה הקנדית או בתקנותיה ובמקרים מסוימים יישום שלו עלול לעורר אי-וודאות לגבי הארגון החייב בדיווח. חובת הדיווח חלה רק במקרים בהם האירוע מקים בסבירות סיכון ממשי לנזק משמעותי (Real Risk of Significant Harm) לנושאי המידע. הארגון שחייב בדיווח נדרש לבחון ולנתח בעצמו האם האירוע עולה כדי סיכון ממשי לנזק משמעותי. הניתוח צריך להביא בחשבון לפחות שני אמות-מידה: רגישות המידע והסיכוי לשימוש לרעה בו.

ההנחיה מסבירה עוד כי יש למסור דיווח גם לנושאי המידע העלולים להפגע מהאירוע. על הדיווח להיעשות במישרין אליהם, אולם אם דיווח ישיר אינו ישים, יש לעשותו בעקיפין באמצעות פרסומים במדיה. בנוסף, אם הארגון סבור שגורמים אחרים - ממשלתיים או פרטיים - יכולים לסייע לצמצם את הנזק, עליו להודיע להם על כך.

לצד חובת הדיווח, ארגונים נדרשים לתעד בתיעוד פנים-ארגוני כל תקרית אבטחת מידע שאירעה אצלם, גם אם התקרית לא מעוררת סיכון ממשי לנזק משמעותי. התיעוד נדרש לכלול לכל הפחות מידע על מועד התקרית, תיאור כללי של התקרית ונסיבותיה, סוג המידע האישי המעורב, ניתוח שאלת הסיכון הממשי לנזק משמעותי ואינדיקציה האם נמסר דיווח לרגולטור על אודות התקרית. את התיעוד יש לשמור למשך שנתיים לפחות. מקור: הנחיות רגולטור הפרטיות בקנדה.