בישראל של 2025, קשה למצוא עסק שלא מחזיק מאגר מידע: רשימת לקוחות, פרטי ספקים, קורות חיים של מועמדים או אפילו מצלמות אבטחה עם תיעוד עובדים ומבקרים. המידע הזה הוא הנכס הרגיש ביותר של העסק – ובמקביל גם נקודת התורפה המסוכנת ביותר.
כאן נכנס לתמונה תיקון 13 לחוק הגנת הפרטיות, אחד העדכונים הרגולטוריים החשובים ביותר בשנים האחרונות.
חוק הגנת הפרטיות נחקק עוד ב־1981 – תקופה שבה "מאגר מידע" היה אוסף תיקיות במשרד,
לא שרתי ענן בינלאומיים. העולם השתנה:
– המידע הדיגיטלי גדל פי מאות.
– התקפות סייבר הפכו לכלי יומיומי של פושעים ואף מדינות.
– לקוחות דורשים יותר שקיפות וביטחון.
המחוקק נדרש לעדכן את הכללים כך שיתאימו למציאות החדשה – וכך נולד תיקון 13.
התיקון מציב מסגרת ברורה לניהול ואבטחת מידע אישי. עיקרי השינויים:
1. חובת דיווח על אירועי אבטחת מידע.
כל דליפה, פריצה או חשיפת מידע מחייבת דיווח מיידי לרשות להגנת הפרטיות, ולעיתים גם לנושאי המידע עצמם.
2. מדרג מאגרים לפי רגישות.
החובות לא אחידות – מאגר מידע של עסק קטן שכולל רק פרטי התקשרות שונה ממאגר רפואי או פיננסי. ככל שהמאגר רגיש או גדול יותר, כך הדרישות כבדות יותר.
3. סנקציות וקנסות.
החוק נותן לרשות סמכויות להטיל קנסות משמעותיים ואף מגבלות פעילות על עסקים שלא יעמדו בדרישות.
4. שקיפות מול הלקוחות.
על כל עסק לפרט לנושאי המידע – איזה מידע נאסף, לאילו מטרות, כמה זמן יישמר והאם יועבר לגורמים נוספים.
5. מינוי ממונה אבטחת מידע.
במאגרים מסוימים (בעיקר גדולים או רגישים) חובה למנות Data Protection Officer – תפקיד שמפקח באופן שוטף על הציות לחוק.
1. אחריות חדשה למנהלים – המנכ"ל ובעלי התפקידים הבכירים אינם יכולים עוד "להתעלם" מאבטחת מידע.
2. השקעות בתשתיות – פיירוולים, הצפנה, ניהול זהויות וגיבויים מאובטחים הופכים מנחמדות ל־Must.
3. נהלים והכשרות עובדים – גם דליפה שנגרמת בשל טעות אנוש של עובד היא אחריות העסק.
4. סיכון תדמיתי – מעבר לקנס, דליפה עלולה לגרום לפגיעה באמון הציבור ובמותג.
עסק קטן לשירותי ייעוץ החזיק מאגר פשוט עם שמות, טלפונים וכתובות מייל של לקוחות. אחד העובדים שלח קובץ אקסל עם פרטים אלה למייל פרטי ללא הצפנה. הקובץ דלף.
בעבר, זה היה עובר "מתחת לרדאר". היום – לפי תיקון 13 – מדובר באירוע שחייב דיווח, וללא נוהל מסודר העסק חשוף לקנסות ותביעות.
למפות את כל מקורות המידע בעסק.
להחיל בקרות גישה ולבחון שימוש ב־MFA.
להצפין ולגבות את המידע הקריטי.
לקבוע נוהל תגובה לאירוע ולבצע סימולציות.
לבחון שירות מנוהל שיכסה את כל תחום ה־IT והאבטחה.
ב ־ icomm אנחנו מלווים עסקים קטנים ובינוניים בדיוק בשלב הזה – בין ההבנה שהחוק השתנה לבין היכולת ליישם בפועל.
השירותים שלנו כוללים:
הקמת מערכות IT מאובטחות – בענן או מקומית.
ניהול ובקרה שוטפת של אבטחת מידע.
גיבויים והמשכיות עסקית.
ליווי בביקורות רגולטוריות.
השורה התחתונה: תיקון 13 אינו "עוד רגולציה מעיקה" – הוא כלי שמגן על העסק שלכם מפני פגיעה כלכלית ותדמיתית. עם ליווי נכון, הוא אפילו יכול להפוך ליתרון תחרותי.
