כמעט כל עסק בישראל כולל החזקה במאגר מידע כלשהו. לחלק מהעסקים מאגרי מידע דלים הכוללים מיעוט פרטים כגון שמות של לקוחות וכתובתם, וחלק אחר אוחז במידע אישי ורגיש
הדרוש לשם מתן השירות אותו הוא מספק.
לשם הגנה על פרטיהם של לקוחות כלל בתי העסק, תוקנו תקנות אבטחה מחייבות אשר נועדו להנחות את בעלי העסקים כיצד עליהם לנהוג במאגרי המידע שברשותם.
תקנות אבטחה – המקור החוקי
חוק הגנת הפרטיות הוא חוק מקיף אשר מגדיר את הגבול בין המרחב הפרטי של אדם הראוי להגנה לבין המרחב הציבורי. חלק מהגדרות החוק נוגעות להגדרות מושגים כגון מרחב פרטי, פגיעה בפרטיות, חדירה לפרטיות וכיוצא באלו.
לצד זאת, מספק החוק התייחסות נורמטיבית למקרים בהם אדם מוסר מידע פרטי אודותיו לגורם ספציפי לבית עסק לשם קבלת שירות, בכל הקשור לחובות אותו בית עסק בהגנה על פרטי מידע אלו. החוק מגדיר מאגר מידע כמאגר ממוחשב אשר כולל פרטי מידע אודות בני אדם, אשר חורג מנתונים אודות שמם, מענם ודרכי התקשרות עמם שאין בו בכדי לפגוע בפרטיותם.
מאגר מידע ברמת אבטחה בסיסית
תקנות האבטחה אשר נגזרות מהוראות חוק הגנת הפרטיות בדבר שמירה על פרטי בני אדם המנוהלים במאגר המידע של העסק, קובעות 3 רמות אבטחה של מאגרים מידע. מאגר ברמת אבטחה בסיסית הוא מאגר שאינו מכיל פרטי מידע רגיש כגון מידע כלכלי, מידע ביומטרי ומידע רפואי.
עם זאת, חלה על בעל מאגר ברמה זו לנהל את המאגר תוך שמירה על פרטי הלקוחות השמורים במערכותיו, לנהל בצורה בטוחה את אופני הגישה למידע ולהתיר את הגישה לגורמים מורשים בלבד. ניתן לעשות זאת בין היתר על ידי קבלת שירותי ענן לעסקים. ההוראות החלות על בעל מאגר זה מנויות בתקנה 21(3) לתקנות אבטחת מידע.
מאגר אבטחה ברמת אבטחה בינונית
הדרגה שמעל רמת האבטחה הבסיסית, היא רמת אבטחה בינונית. רמה זו מצריכה הפעלת אמצעי מיגון קפדניים יותר מאלו של הרמה הבסיסית בכל הקשור לאבטחה סביבתית ופיזית של מאגרי המידע, אופני הזיהוי והאימות של מי שמורשה לעיין במידע ותיעוד עצם העיון במידע על ידי אותם מורשים.
מאגר זה מתייחס לבתי עסק האוספים פרטי מידע לצורך העברתם לגורם אחר, או שהם מכילים מידע רגיש אודות בני אדם הבאים עמם במגע, כגון מידע רפואי, מידע אודות נכסים או מידע על צנעת חייהם האישיים. ההוראות החלות על מאגר זה מפורטות בתקנה 21(2) לתקנות אבטחת מידע.
מאגר אבטחה ברמת אבטחה גבוהה
ההבדל בין רמת אבטחה בינונית לרמת אבטחה גבוהה נגזר מכמות האנשים שבעניינם נאסף המידע או כמות המורשים בעלי הגישה למידע. רמת אבטחה גבוהה נדרשת מבתי עסק המנהלים מידע על יותר מ- 100,000 איש או המאפשרים גישה למעל 100 עובדים המורשים בעיון. התקנות החלות על עסק המחזיק במאגר מסוג זה, מופיעות בתקנה 21(1) לתקנות אבטחת מידע.
שמירה על תקנות האבטחה – הבסיס לניהול חוקי ובטוח של העסק
ניהול העסק מחייב היכרות עם חוק הגנת הפרטיות והוראות תקנות אבטחת מידע הנגזרות מהחוק. אי עמידה בהוראות החוק עשויה להעמיד את בעל העסק בפני תביעות ונקיטת צעדים מנהליים מטעם המדינה. מסיבה זו, רצוי להתקשר עם גורם מקצועי בתחום אבטחת המידע אשר בקיא בתקנות ובאופן יישומן.
