|
בדיקות רוחב ראשונות [צילום: מרינה הצ'ינסון, AP]
|
|
|
|
|
במגזר שירותי האחסון ועיבוד מאגרי המידע אין עמידה מספקת בהוראות החוק והתקנות החלות על גופים המחזיקים ומעבדים מידע עבור אחרים. כך מצאה הרשות להגנת הפרטיות במשרד המשפטים, בבדיקות הרוחב הראשונות שערכה לעמידה בכללים אלו.
הבדיקות נערכו ב-30 מרפאות לבריאות הנפש, 23 מכונים ומעבדות רפואיות, 54 חברות המנהלות מאגרי מידע של מועדוני לקוחות בהיקפים של למעלה מ-100,000 איש, 38 ספקי פלטפורמות אינטרנטיות לימודיות האוספות מידע על קטינים ו-36 חברות המספקות שירותי אחסון ועיבוד מאגרי מידע. הרשות ביצעה הליך פיקוח רוחב המתמקד בבדיקת רמת אבטחת המידע הנדרשת על-פי תקנות הגנת הפרטיות בתחומים הבאים: 12 חברות טכנולוגיה המספקות שירותים טכנולוגיים בתחומי הבחירות, 15 מוסדות להשכלה גבוהה, מכוני הדרכה והשתלמות, עשרה גופים במגזר העמותות ובמגזר האיגודים ו-15 גופים במגזר המלונאות.
הרשות מסרה (יום ד', 25.9.19), כי כעת היא בודקת חברות המעניקות סיוע במימוש זכויות רפואיות, חברות לשירותי סיעוד, בתי אבות והוסטלים, סוכנויות ביטוח ושירותי מוקדים טלפוניים. במקביל, החלה בדיקה בעשרות רשויות מקומיות ותאגידים עירוניים, ברשותם מידע אישי רב על תושבי אותם יישובים.
הביקורות העלו, כי רוב הליקויים נוגעים לאופן בו מסתייעים גופים בשירותי מיקור חוץ לצורך אחסון או שמירת מידע על לקוחות, בהעברת מידע בין גופים ציבוריים ובקבלת הסכמת אנשים לשימוש במידע על אודותיהם. כמו-כן, נמצאו ליקויים בתחומי אבטחת המידע וחולשות באופן ניהול מאגרי המידע. גופים שלא עמדו בהוראות החוק והתקנות, קיבלו הנחיות מפורטות לתיקון הליקויים והם יעברו ביקורות חוזרות בהמשך השנה.
במגזר ספקי פלטפורמות אינטרנטיות לימודיות נמצא, שמרבית הגופים מקפידים על אופן ניהול המידע השמור אצלם ואבטחתו. עם זאת, שיעור נמוך יחסית מקרב הגופים מקפידים, כי גם צדדים שלישיים אליהם מועבר המידע לצורכי אחסון ועיבוד, ישמרו על רמה גבוהה של אבטחת מידע.
במגזר המכונים הרפואיים ומרפאות בריאות הנפש עלה, כי על-אף רמת העמידה הגבוהה יחסית (65%) בהוראות חוק הגנת הפרטיות ובתקנות אבטחת המידע בקריטריון של ניהול מאגרי מידע, רמת העמידה בקריטריון של העברת מידע בין גופים ציבוריים היא נמוכה (29%).
בנוסף, קיימים פערים משמעותיים ברמות עמידה בהוראות חוק הגנת הפרטיות בקרב מכונים רפואיים גדולים או כאלו המשויכים לבתי חולים וקופות חולים, לעומת מכונים רפואיים קטנים. רוב המכונים הרפואיים הגדולים מקיימים מסגרות ממוסדות של ממשל תאגידי ואבטחת מידע, ורמת היענותם לתקנות אבטחת מידע היא גבוהה. לעומתם במכונים רפואיים קטנים המחזיקים מידע, רמת המודעות נמוכה וכך גם העמידה בתקנות אבטחת מידע.
בהתייחס לגופים השייכים למגזר בריאות הנפש, רמת העמידה בקריטריון של העברת מידע בין גופים ציבוריים היא גבוהה מאוד, בעוד רמת העמידה בקריטריון של עיבוד מידע אישי במיקור חוץ היא נמוכה.
במגזר מועדוני הלקוחות נמצאה רמת עמידה נמוכה בהוראות החוק בנוגע לעיבוד מידע אישי באמצעות מיקור חוץ, וכן נמצא, כי במגזר זה לא פועלים על-פי הוראות החוק בנוגע למינויים של מנהלי מאגרים. כמו-כן, הגופים במגזר זה אינם מקפידים ליידע את ציבור הלקוחות אודותיו נאסף המידע בדבר זכויותיו על-פי חוק הגנת הפרטיות, כמו למשל החובה להציג את מקור המידע, הזכות לעיין במידע והזכות להימחק מהמאגר.