Add to Calendar
top of page

אבטחת מידע לעמותות

מה משותף לילדים על הרצף, להרצאות בהתנדבות ולהצלת בעלי חיים? כולם מאוגדים בעמותות או אלכ"רים שפועלים למטרה חברתית משותפת או כדי לקדם אג'נדה או פעילות מסויימת. על פי ההגדרה היבשה עמותה היא סוג של תאגיד המורכב מקבוצה של בני-אדם או תאגידים אחרים החוברים יחד למען מטרה מסוימת, ונרשמו בפנקס העמותות על ידי רשם העמותות שבמשרד המשפטים שמפקח על פעילותן.

בישראל רשומות מעל ל-40 אלף עמותות בנושאים שונים ומגוונים שעליהן חלות תקנות וחוקים רבים וביניהן תקנות הגנת הפרטיות. עמותות מטבען אוספות מידע רב ומנהלות מאגרי מידע שיכול להיחשב רגיש כמו מצב בריאותי, סטטוס זוגי, מצב כלכלי ועוד ולצד זה, עמותות עובדות עם גופים רבים, ביניהם תורמים ונציגים של גיוס כספים וחשופות לזליגת המידע, במידה והוא לא מאובטח היטב.אבטחת מידע לעמותות


העידן הדיגיטלי מציב אתגרים חדשים לעמותות רבות לנוכח תקנות הגנת הפרטיות ומעלה שאלות רבות על אופן רישום המידע, הגדרת רמת הסודיות שלו, מי אחראי על מידע זה, למי מידע זה נגיש וכיצד לשמור עליו. חוק הגנת הפרטיות קובע שורה של חובות ומגבלות החלות על בעל מאגר מידע במטרה להגן על פרטיותם של האנשים שמידע אודותיהם קיים בו. כך, מחויב בעל המאגר לעשות שימוש במידע רק למטרה שלשמה הוא נמסר, לאבטח את המידע כראוי ועוד. כמו כן, תחת תנאים מסויימים, על העמותה לרשום את המידע שבידיהם כמאגר מידע דרך הרשות להגנת הפרטיות. כיום, החזקת מאגרי מידע כרוכים בהתאמות משפטיות והפרה של חוקי הגנת הפרטיות יכולים לגרום להפרת התקנות, דבר שעלול לגרום להטלת סנקציה מצד הרשות להגנת הפרטיות, לרבות ביטול אישור ניהול המאגר (רישומו בפנקס המאגרים) ופרסום ההפרה לציבור. כמו כן, עלולה ההפרה להיות בסיס לתביעות אזרחיות, ייצוגיות ואחרות.

ומה קורה כאשר יש 5 מאגרי מידע ומעלה?

כלשון החוק, "מחזיק שברשותו חמישה מאגרי מידע לפחות, החייבים ברישום לפי סעיף 8, ימסור לרשם, מדי שנה , רשימה של מאגרי המידע שברשותו, בציון שמות בעלי המאגרים, תצהיר על כך שלגבי כל אחד מן המאגרים נקבעו הזכאים בגישה למאגר בהסכם בינו לבין הבעלים, ושמו של הממונה על האבטחה כאמור בסעיף 17ב." כמו כן, מחזיק בחמישה מאגרי מידע חייבים ברישום לפי סעיף 8.


הפרות חוקי הגנת הפרטיות ע"י עמותות

עמותת טף לאימוץ בינארצי מידע אישי רגיש דלף משרת מחשב של עמותת טף - בין השאר מידע אישי רב ורגיש אשר כלל תצלומים, מסמכים ומידע אישי לרבות מידע פיננסי ובריאותי של משפחות מאמצות, ילדים מאומצים ואף עובדי העמותה. עם גילוי דליפת המידע פנתה הרשות להגנת הפרטיות לנציגי העמותה בדרישה לטיפול דחוף ומיידי לסגירתה .הרשות להגנת הפרטיות ביצעה בדיקות מקיפות לגבי הנסיבות שהביאו לאירוע ומהממצאים עלה כי כי בעמותה קיימים ליקויי אבטחת מידע רבים וחמורים וכי מודעותה לסוגיית אבטחת המידע נמוכה מאוד. חומרת הממצאים קיבלה משנה תוקף נוכח רגישות התחום בו פועלת העמותה, ורגישות המידע אותו מחזיקה. לאחר הליך משפטי נקבע כי בעמותה קיימים ליקויי אבטחת מידע רבים וחמורים וכי מודעותה לסוגיית אבטחת המידע נמוכה מאוד. חומרת הממצאים קיבלה משנה תוקף נוכח רגישות התחום בו פועלת העמותה, ורגישות המידע אותו מחזיקה. עקב מקרה זה החליטה הרשות להתלות את רישום המאגר עד לתיקון הליקויים.

עמותת "עמינדב"

בעמותת "עמינדב", אגודה תורנית להתנדבות, אירע אירוע אבטחת מידע, במסגרתו דלף לרשת מידע רפואי על מועמדות ובנות שרות לאומי. בין פרטי המידע שנחשפו ניתן היה למצוא צילומי תעודות זהות, שמות משתמשים וסיסמאות, שם ההורים, כתובות, טלפון, מספר חשבון בנק, תמונות, ותעודות רפואיות. ממצאי הפיקוח העלו כי במועד האירוע מידע שאוחסן ע"י העמותה בשירות הענן של Amazon Web Services – AWS היה זמין לגישה מרשת האינטרנט ללא צורך בהזדהות, לפרק זמן של לפחות חודש וחצי ועד למועד בו נודע לעמותה על האירוע.

חשוב לציין כי העמותה לא דיווחה על אירוע האבטחה גם כשאר ידעה עליו, בניגוד לחוק הגנת הפרטיות.

לאחר שפורסמו ממצאי האירוע קבעה הרשות להגנת הפרטיות, כי העמותה הפרה את הוראות סעיף 17 לחוק הגנת הפרטיות, הכולל דרישות לאבטחת המידע במאגרי מידע וכן את הוראות תקנות הגנת הפרטיות. בנוסף לכך הרשות נתנה לעמותה הנחיות לתיקון ליקויים, אשר העבירה בהמשך תכנית עבודה לתיקון ליקויים ולשדרוג מערך האבטחה שלה. להפרות נוספות ולעיצומים כנסו למאמר זה.

האם באירגון שלכם מודעים לתקנות הגנת הפרטיות? הנה כמה שאלות שכדאי לשאול:

  • האם בחנתם את רגישות המידע שבידכם?

  • איפה אגור מידע אודות חניכים עם צרכים מיוחדים?

  • כיצד מופץ מידע אודות רגישויות למזון?

  • האם הערכות של מדריכים/עובדים נשמרות במקום מאובטח?

  • האם אתם יודעים כיצד המידע מאובטח?

  • למי יש גישה למידע?

  • האם קיים מידור באירגון שלכם?

  • האם הוגדרו נהלים כיצד לשלוח מידע בתוך ומחוץ לעמותה?

אם אתם לא בטוחים או התשובה שנתתם לא מספקת - זה הזמן לבדוק מה אפשר לעשות! מוזמנים לפגישה עימנו ולבדיקה ראשונית חינם, בה ביחד נגלה היכן יש להדק את ההגנה והיכן האירגון פועל כנדרש.

Comments


bottom of page