Add to Calendar
top of page

תקנות הגנת הפרטיות

כמה מילים על החובות שיש לנו מכוח תקנות הגנת הפרטיות. דיברתי מקודם על מינוי ממונה אבטחת מידע: יש לי חובה בעצם לכתוב מסמך הגדרות מאגר. יש פורמט של רשות הגנת הפרטיות אבל בעצם מעבר לכתיבת המסמך עצמו והחובה שלעמוד זה תהליך שעוזר לנו לעשות סדר בעצם במה הוא אותו מאגר ותכף נדבר על הדילמות ואז אתם תבינו למה חשוב לעבור את התהליך הזה של לבוא בעצם ולראות את כל המערכות שיש לי. מחייבים אותנו גם במסמך מבנה המאגר שבעצם זה שני מסמכים שחיים האחד ליד השני שבאים בעצם וממפים לי את כל הקומפוננטים שיש לי ביחס לאותו מאגר. תהליך זרימת המידע: מאיפה נאסף המידע לאיפה הוא יוצא החוצה, אם הוא ייצא לגורמים אחרים, הוא יוצא לחו"ל או מועבר למטרות כאלה ואחרות, ובעיקר מהי המטרה שלשמה אני בעצם אוגר את המידע ובעצם לפי זה גם אני מגדיר מהו אותו מאגר. מעבר לזה אחת החובות המרכזיות היא הטמעת נוהל אבטחה. זאת אומרת, כל ארגון חייב שיהיה לו נוהל שיעסוק בחובות של העובדים בנושא של אבטחה פיזית וסביבתית, בנושא של הרשאות, בנושא של גיבויים וכל מה שנדרש. אז רשמתי כמה אתגרים וזה אולי הדילמות שגם שלחנו לכם בכל ההזמנות.


אז דיברתי על הנושא של מיפוי המאגר: מה הוא המאגר ומהן גבולות הגזרה שלו וקביעת מטרת המאגר. ואולי אני אדבר על 2 הדילמות. יש קלאש מסויים בין העולם הזה של מידענות לדרישות של החוק, כי אם אתם זוכרים שדיברתי קודם שאפשר לעשות שימוש במידע שרשום במאגר רק למטרה שלשמה הוא נרשם, אז ברגע שיש לי שני מאגרים באותו אירגון אני לא יכול לעשות שימוש בכל המידע שלא למטרה שלשמה נרשם כל מידע כזה והרבה פעמים יוצר לנו בעיות. לדוגמה אם יש לי רשות מקומית שיש להם מאגר אחד שנוגע לרישום תלמידים דרשני שנוגע למקרה רווחה באותה רשות אז אם אני רוצה לדעת מי המקרה רווחה כדי לתת סיבסוד או סיוע לתלמיד כזה או אחר אסור לי בעצם לעשות הצלבה בין נתוני המאגרים ולכן התהליך הזה של המיפוי הוא מאוד מאוד חשוב שנראה לאיזה צרכים אני צריך את המידע שיש בכל אחד מהמקרים ובהתאם לזה אני גם יכול לקבוע את המטרה של המאגר.



תקנות הגנת הפרטיות


המחוקק לא בא וקבע לנו כללים מאוד ברורים של איך אני מסווג ומחלק את המידע שיש לי בארגון בין מאגרים שונים ואני יכול לתת לכם דוגמה מסוימת: למשל תנועת נוער, היה לה מאגר של חניכים ומאגר של בוגרים. עכשיו נדבר תיכף על חובה שלנו לבער מידע עודף. בעצם כל חניך בשלב כזה או אחר של החיים שלו הופך לבוגר. ברגע שאיחדנו את שני המאגרים וקראנו למאגר "מאגר חניכים ובוגרים" בעצם פתרתי לעצמי המון בעיות כי: א', אני יכול לפנות לכולם. ב', אני לא חייב לבער מידע אודות חניכים ברגע שהם עזבו את הפעילות באותה תנועה כי בעצם מבחינתי כולם ממשיכים להיות בוגרים וזה דוגמה לאיך אני קובע מה הוא המאגר ומה המטרות שלו ובעצם בתכנון מוקדם מראש או לאחר מכן בתהליכי שיפוץ יוצר ארכיטקטורה מסוימת שתקל לי את החיים לאחר מכן גם בפעילות היומיומית אבל בעיקר ביכולת שלי לעבד מידע או לקבל מידע לצורך שיווק.


עוד דוגמא לחשיבות של זה למשל זה מאגרי לידים. ללא מעט מהאירגונים יש מאגר לידים שיכול להיות משותף לכמה חברות. ניקח קבוצת תקשורת, אז יש קבוצה אחת שמתעסקת בסלולרי, קבוצה שניה שמתעסקת באינטרנט לבתים. כיום עם המועדונים שהם מופרדים לחלוטין אין להם יכולת בעצם לראות שיש לנו לקוח שהוא פעיל בתחום הסלולר ולהציע לו חבילה לבית של אינטרנט ביתי. כדי שאני אוכל לעשות את זה אני צריך לבנות מראש את המאגרים בצורה כזאת שתאפשר לי העברת מידע בין המאגרים הללו, כי אחרת אני חוטא גם בכך שלא קיבלתי הסכמה של הלקוח לעשות שימוש בפרטים שלו למטרה אחרת וגם בעצם פעלתי במאגר מסוים שלא למטרה שלשמה הוא הוקם.


אז אלה בעצם הדילמות שמחייבות אותנו בהליך היערכות מראש כשאנחנו באים לאירגון וממפים אותו של איך אנחנו קובעים מהו אותו מאגר ומה הם גבולות הגזרה שלו, הרבה פעמים יותר קל לי להרחיב ככל שניתן את הגבולות אבל אז בעצם אני יכול ליפול למצב שיצאתי לעצמי מאגר שהוא ברמה גבוהה סתם ואני מטיל עליי חובות אחרים. יש פה הרבה משחק חשוב מאוד לשים לב אליו כשניגשים לתהליך כזה שמטמיעים מערכות שהן מערכות חוצות אירגון של מאיפה הם לוקחות את הדאטה והאם אני בסדר מבחינת ההגדרות של המאגרים מצד אחד ואם אני יכול לשנות אולי את ההגדרות של המאגרים כך שיתאימו לי באמת לפעילות העיסקית.


מעבר לזה, הדילמה של לסרוק או לא לסרוק. הצגתי לכם בהתחלה שההגדרה של מידע הוא רק מידע שהוא דיגיטלי, אלקטרוני. וכאן אני הגעתי לארגון אקדמי מסוים ואני שואל אותם איך אתם שומרים את המידע לבקשות של סטודנטים לקבל מלגות והם אומרים לי "הכל היה בקלסרים אבל עכשיו אנחנו בתהליך שלם של לסרוק את כל החומר הזה" ואמרתי להם עצרו עצרו עצרו רגע כי ברגע שאתם סורקים את זה, אם עד עכשיו לא היה לכם כמעט שום מידע רגיש במאגרים אלא רק אולי מידע על ציונים או מידע על אם הסטודנט שילם או לא שילם, ברגע שאתם סורקים את המידע הזה אתם מעלים בצורה מאוד דרמטיות את רמת הרגישות של המידע כי פתאום יש את כל ההצהרות של אותו סטודנט שמבקש מילגה: את המצב הכלכלי הבעייתי שלו, מצב כלכלי אולי של ההורים, מצב רפואי כזה או אחר שמצדיק את קבלת המלגה ועוד כאלה ואחרים ובעצם ברגע שהפכתי מידע פיזי למידע דיגיטלי, הכנסתי אותו למאגר ובמידה מסוימת יצרתי לי בעיה. אז גם כאן הדילמה הזאת: מצד אחד זה מאוד נוח לי שהמידע הזה יהיה דיגיטלי. נוכל לאחזר אותו בצורה קלה ופשוטה, הוא יעזור לאחר מכן, אני מניח, גם למידענים לעשות ניתוחים כאלה ואחרים. מצד שני, יכול ליצור לנו בעיות ולכן לא כל סריקה ואירכוב אופטי בהכרח תורם לנו לעבודה. הדילמה האחרונה היא דילמה אחת המורכבות שיש ולא מעט ארגונים היום מנסים להתמודד איתה. קראתי לזה ביעור חמץ: החוק מחייב אותנו - הוא אומר רשמתם מאגר, קבעתם מה מטרת המאגר ואם למשל רשמתי מאגר לקוחות וקבעתי שמטרת המאגר היא שמירת קשר וניהול הלקוחות, אז ברגע שבן אדם הפסיק להיות לקוח שלי אני לא חייב את המידע אודותיו. בסיטואציות מסויימות אולי אני אדרש למידע הזה שבע שנים כדי לשמור לעצמי את האופציה להתגונן במקרה של תביעה, אבל בגדול בחלוף ההתיישנות המידע הזה לא נדרש לי.


עכשיו, זה מאוד קשה לבוא ולהגדיר איזה מידה לא נחוץ לי והרבה יותר קשה לבוא ולשלוף בפינצטה את כל המידע שיש לי אודות יישות מסויימת שאני לא נדרש למידע אודותיה. ומה הכוונה? אם דיברתי קודם על עובד חברה או לקוח, המידע אודותיו נמצא בלא מעט מקומות. הוא נמצא במערכת הCRM המרכזית של הארגון כלקוח, אבל איש מכירות שהוריד את הפרטים של הלקוח הזה באקסל כדי לקדם מוצר כזה או אחר ולעשות פילוחים כאלה ואחרים, אז גם המידע אודות הלקוח נמצא שם, המידע אודות הלקוח יכול להיות בהתכתבויות שנשמרות בכלל בתיקיה אחרת. זאת אומרת, לבוא ולהיות בטוח שמחקתי את כל המידע אודות בן אדם - לא פשוט, וזה אחרי שעברתי כבר את המשוכה שקבעתי מהו המידע שלא נדרש לי בכלל. אז גם כאן, ככל שאנחנו מתכננים יותר טוב את הדאטה שלנו בארגון, איך היא נשמרת ובאיזה באיזה מקומות היא נשמרת, יהיה לי הרבה יותר קל לבוא אחרי זה ולהגדיר מה לא נדרש לי ואיך לבצע את הביעור של אותו מידע. שוב, גם כאן יש דילמה כי המידענים תמיד ירצו הרבה יותר מידע כדי לנתח גם לגבי ישויות שכבר לא רלוונטיות לי היום לפעילות העסקית.



תקנות הגנת הפרטיות


כמה מילים על מה שקרה בתקופת הקורונה: כמובן שהיה גידול בתחום השירותים המקוונים. יותר ויותר אירגונים איפשרו לנו לבצע פעולות מגוונות החל ממשרדי ממשלה וכלה בהתחלה באירגונים עיסקיים, הרבה יותר עבודה מהבית שמחייבת גישה מרחוק למאגרי מידע וגידול במסחר מקוון שגם מביא לי המון דאטה שעוברת ברשת והמון אגירה של מידע - כל אלה הביאו מצד אחד לעליה במודעות לתקנות הגנת הפרטיות והתקנות האירופאיות אבל יצרו גם לא מעט סיכונים, כי כל זה לווה בעצם בגידול ממש אדיר בתחום של הפשיעה המקוונת. אני מניח שכולכם שומעים יותר ויותר על מתקפות, רואים יותר ויותר מתקפות, רואים יותר ויותר אירועי כופר, רואים יותר ויותר ניסיונות להונאות. לא מעט מכם מקבלים כל מיני אסמסים, וואטסאפים ומיילים עם כל מיני הצעות מפתות שנועדו בעצם לגרום למסור פרטים אישיים. אז בעצם אנחנו נמצאים במצב שהרבה יותר מסוכן ממה שהיה בעבר. אז דיברתי על מתקפות סייבר: הבאנו כמה נתונים שהם מלפני מספר שבועות אבל אם אנחנו מדברים על עליה באירועי סייבר הוקמו בשלושה שבועות 20,000 דומיינים חדשים מתוכם 3400, זאת אומרת אנחנו מדברים פה על אחוז לא מבוטל של אתרים של חשודים כזדוניים.

Comments


bottom of page