אין כיום (כמעט) חברה שלא מעבירה מידע אישי לספקי שירות חיצוניים.
אם אתם כאן – רוב הסיכויים שהחברה שלכם היא כזאת.
בין אם מדובר בניהול אתר אינטרנט, קמפיין פרסומי או הפקת אירוע לעובדי החברה, בכל התקשרות שמערבת גישה של ספק שירות חיצוני למידע אישי, עליכם להסדיר בהסכם עם ספק השירות את דרישות אבטחת המידע בהן הוא חייב.
למה זה צריך לעניין אתכם?
בין היתר – כי זה נדרש על-פי תקנות הגנת הפרטיות (אבטחת מידע) וכי הרשות להגנת הפרטיות בודקת אם חברות מילאו אחר הדרישה הזו.
זה בדיוק מה שהרשות עשתה במסגרת הליך פיקוח שהיא קיימה לאחרונה במד"א, על רקע טענות לפרצות אבטחה באתר האינטרנט ובאפליקציה של מד"א, שהביאו לפי הטענה לחשיפת מידע רגיש על מטופלים ומתנדבים.
לפי פרסום הרשות, פרצות האבטחה נגעו למערכות שפותחו ותוחזקו עבור מד"א על-ידי ספק חיצוני. ממצאי הפיקוח העלו שמד"א לא הגדיר את דרישות אבטחת המידע בהן חייב ספק חיצוני לעמוד ולא נקט אמצעי בקרה ופיקוח על עמידתו של הספק בהוראות תקנות הגנת הפרטיות (אבטחת מידע) ובהוראות ההסכם עמו. בהתאם לממצאי הפיקוח, קבעה הרשות, כי מד"א הפר את חוק הגנת הפרטיות ואת תקנות הגנת הפרטיות (אבטחת מידע).
אז מה עושים?
בעיקר:
1. לפני ההתקשרות עם ספק השירות – בוחנים את סיכוני אבטחת המידע הכרוכים בהתקשרות.
2. קובעים בהסכם עם הספק את דרישות אבטחת המידע שהספק מחויב בהן, בהתאם לסיכוני אבטחת המידע הכרוכים בהתקשרות, ואת המאפיינים של עיבוד המידע על-ידי הספק.
3. נוקטים אמצעי בקרה ופיקוח על עמידת הספק בהוראות ההסכם ובתקנות הגנת הפרטיות (אבטחת מידע).
חוזקה של שרשרת כחוזק החוליה החלשה שלה. חשוב שההסכמים שלכם יביאו זאת לידי ביטוי.
* עדכון זה נועד לספק מידע כללי ותמציתי בלבד. הוא אינו מהווה ניתוח מלא או שלם של הסוגיות הנדונות, אינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין להסתמך עליו.
להרשמה לעדכונים נוספים בתחום: לחץ כאן
