מידע חשוף: גם המרפאות לא שומרות מספיק את המידע שלכם

בעלי מאגרי מידע לא ביצעו כיאות או לא ביצעו כלל ביקורות אבטחת מידע או מבדקי חדירות • גופים המחזיקים במידע אישי חשוב חשופים לעובדים ממיקור חוץ, רופאים המקבלים מטופלים מקופות שונות או עובדים שהדרכת האבטחה לא רועננה דיה • דו”ח הפיקוח על מאחסני המידה, שוב מעלה ליקויים

רופא | צילום אילוסטרציה: goodluz, שאטרסטוק

קבעתם תור אצל רופא המקבל במרפאה חיצונית המספקת שירותי רפואה לקופת החולים שלכם. שאלתם את עצמכם פעם האם המידע הרפואי שלכם נמצא בסכנה? האם הוא מוגן דיו גם כאשר חברות אחרות משתמשות במאגר המידע של קופות החולים, כגון חברות המספקות שירותי טלפוניה והזמנת תורים?

שוב אתם חשופים: דו”ח נוסף של הרשות להגנת הפרטיות שמציג את ממצאי בדיקת הרוחב שנערכה הפעם בקרב מגזר החברות המספקות שירותי אחסון ועיבוד מאגרי מידע, (בעבר בוצעה בדיקה במועדוני לקוחות) העלה ליקויים רוחביים מדאיגים. את הדו”ח כתבה הרשות להגנת הפרטיות במשרד המשפטים ולאור הממצאים, מפרסמת הרשות הבהרות והנחיות לכלל הגופים הפועלים במגזר זה באשר לצעדים שעליהם לנקוט בכדי לוודא עמידתם המיטבית בהוראות החוק והתקנות.

לציבור יש את הזכות המלאה לפרטיות, והוא מצפה מחברות המחזיקות במידע אודותיו כמו קופות החולים הגדולות, בתי חולים, שירותי רווחה ועוד לשמור על המידע חזק חזק לבל ידלוף החוצה. אין פגיעה גדולה יותר ממידע אישי שדולף החוצה, והדבר מתקבל באופן קשה עוד יותר במגזר החרדי.

ברשות להגנת הפרטיות מבהירים שהיקפי המידע, ומספרם הרב של האנשים עליהם מוחזק המידע דורשים הקפדה מיוחדת על עמידה בהוראות החוק והתקנות. הרשות מקיימת פיקוח רוחב בקרב גופים וחברות אלה, זאת במסגרת סדרת דו”חות לבדיקת האופן בו גופים ממגזרים שונים במשק מקיימים את הוראות החוק ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע להגנה על מידע אישי ואבטחתו.

עיבוד מידע מסוכן

דו”ח הבדיקה העלה כי במרבית הגופים שנבדקו אכן נמצאה רמת עמידה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, מאידך, כן נמצאו ליקויים בקיום הוראות תקנות הגנת הפרטיות (אבטחת מידע), בחלקם אף חריגות משמעותיות שאולי אף ניתן להגדירן כחמורות. הליקויים הבולטים שנמצאו כללו ליקויים בבי

צוע סקר סיכונים ומבחני חדירה לתוך המאגרים בקרב חברות שהן בגדר בעלות מאגר מידע ברמת אבטחה גבוהה וכן ליקויים בכל הנוגע לחובות החלות על החברות כמי שמספקות שירותי מיקור חוץ.

הליקוי המרכזי שנמצא בבדיקה מתייחס לעיבוד מידע אישי במיקור חוץ. מהדו”ח עולה ממצא מדאיג ביותר, 71% מהגופים שנבדקו עמדו רק באופן חלקי או לא עמדו כלל בהוראות החוק, ב-53% מהם רמת העמידה הוגדרה כבינונית בלבד, בסוף הבדיקה המעמיקה, וב-18% מהגופים נמצאה רמת עמידה נמוכה.

870/135 ליינר ארטקל

במסגרת הבדיקה הופתעו החוקרים לגלות, כי ישנם בעלי מאגרי מידע שחלה עליהם אמנם רמת אבטחה גבוהה, אולם אלה לא פעלו כנדרש. הם נדרשו לבצע ביקורות אבטחת מידע או מבדקי חדירות, אולם הדברים לא בוצעו כהלכה או חמור יותר: לא בוצעו כלל. גופים אחרים המחזיקים במידע אישי חשוב, לא ניהלו תיעוד עבור הדרכות ריענון לעובדים בעלי גישה למאגרי המידע או למערכותיהם.

עו”ד רביד פטל, הממונה על מערך פיקוחי הרוחב ברשות להגנת הפרטיות: “החזקה של מידע אישי רב אודות כל אחד מאיתנו על ידי חברות המספקות שירותי אחסון ועיבוד מאגרי מידע, טומן בחובו פוטנציאל לפגיעה בפרטיות ומחייב הקפדה יתירה מצד החברות על קיום הוראות חוק הגנת הפרטיות ותקנות אבטחת מידע ופעילות בשקיפות אל מול הלקוחות”.

מומלץ עבורך

כתיבת תגובה