בחודש מאי הקרוב ייכנס לתוקף חוק ה- GDPR החדש. החוק אמור לחזק את רמת הפרטיות של כלל אזרחי הקהילה האירופית. החוק החדש מחייב את בעלי העסקים להתכונן, אך מה הם סעיפי החוק המרכזיים ואיך נערכים לקראתו מבלי לפגוע בפעילות מצד אחד ומבלי לקבל קנסות מאידך?
העובדה שעולם הרשתות החברתיות עוקב אחרינו, צובר מידע ומנתח אותו הינה אחת הסיבות המרכזיות לחקיקה החדשה, אשר הינה הרחבה משמעותית את החקיקה הקודמת. המידע האישי הינו מצרך לכל דבר והינו מאד מבוקש, חברות רבות משתמשות בו לצרכים מסחריים. החל ממחקרי התנהגות צרכנים עד להתאמות שיווקיות אישיות.
אז מי צריך בעצם להתכונן?
על פי לשון החוק כל עסק או ארגון מהמגזר הציבורי המחזיק מידע אישי או פרטי תשלום של אזרחי האיחוד האירופי. יידרש להיות מסוגל להגיע אל המידע האישי של הלקוח כדי לתקנו או למחוק אותו. מה שיקנה ללקוחות את “הזכות להישכח”, וכל בקשה של לקוח למחוק את הנתונים המוחזקים עליו חייבת להיענות בחיוב.
זהו רק מרכיב אחד בחוק, אבל זהו מרכיב משמעותי, משום שכדי לציית לחוק אנו נדרשים לפתח תהליכי עבודה אשר יאפשרו חציית באופן פשוט לבקשות מהסוג הזה, ועבור חברות רבות משמעות הדבר היא שינוי במערכות המידע שלהם. מנגד חברה שלא תציית לחוק או לא תעמוד בדרישות החוק עלולה להיקנס בסכומים של עד 20 מיליון אירו.
עובדות אלה מחייבות התאמת מדיניות האבטחה בהקדם. ישנם מגוון רחב של פתרונות אפשריים והדבר מצריך בדיקה ובחינה. ארגונים אשר עובדים כבר עכשיו בכפוף לתקן ISO 27001 כבר עומדים בחלק מהדרישות שנקבעו בחוק ה-GDPR.
מרכיבי החוק המרכזיים
– נדידת נתונים: העברת מידע באינטרנט.
– הסכמת המשתמש: חייבים לקבל אישור מקדים של המשתמשים לשימוש במידע שלהם.
– הרס המידע: מחיקת המידע הינה סיכון משמעותי, במערכות מידע רבות אנו שומרים באדיקות על שלמות המידע וקיימת הבעיה של התמודדות עם מידע בניירת.– סקירת קטגוריות מיוחדות: יש נתונים רבים נוספים כגון נתוני עובדים ומשאבי אנוש, מידע על בני משפחה, מידע רפואי, אשר גם עליו חל החוק.
– יישוב סכסוכים: על פי סעיף 65 לחוק יישוב סכסוכים בכל הקשור ליישום החוק הינם באמצעות מועצת המנהלים.
– שימוש בעוגיות: מכיוון שבקבציי הקוקיז יש מידע אשר מאפשר זיהוי חד-חד-ערכי של המשתמשים חוקי ההסכמה לשימוש הקיימים היום באיחוד האירופי אינם מספקים ולכן ה-GDPR ולכן כללי ההסכמה חלים גם עליהם.
אז מה עושים כדי לעמוד בתנאים?
כולנו יודעים ומכירים כיצד לאבטח את הנתונים במערכות המידע שלנו וגם בארכיונים הפיזיים וזה תמיד טוב ונכון אבל במקרה המדובר זה לא מספיק וחובה לתת את הדעת לנקודות הבאות:
1. מיפוי המידע
ראשית עלינו להבין איזה מידע נמצא ברשות הארגון, ולמפות את זרימת מידע כך נוכל לזהות היכן עלול ואפשרי להתבצע שימוש לא תקין במידע.
2. ניתוח סוג המידע
במפות זרימת המידע נכלול את המידע שייאסף ואת האופן שבו הוא נשמר בארגון, למשל באמצעות טופס מקוון, הזנת מידע באופן ישיר או באמצעות הטלפון. יש לנתח את המידע על פי רמת הסיכון כדי שנוכל לנקוט באמצעים הנדרשים כדי להגן עליו. היכולת לזהות את סוג המידע המאוחסן היא חיונית לצורך ביצוע הערכת הסיכונים.
3. ניתוח הבקרות המיושמות
בשלב זה נבחן את בקרות הסיכון המיושמות כיום מנקודת מבט משפטית, ארגונית, פיזית וטכנית, כדי לשלוט בכל סיכון אפשרי שנזהה עוד לפני עיבוד המידע.
4. זיהוי ההיקף – מעבד או בקר
אבן בוחן אשר קובעת עד כמה החברה מחויבת לחוק ה-GDPR תלויה בעובדה האם החברה נחשבת “כמעבדת מידע ” או “בקרית מידע”. מי שמעבד מידע מטפל בנתונים עבור בקר המידע, ולכן המחויבויות שלו נמוכה יותר. אך למרות זאת אם הוא מאחסן מידע על השרתים שלו עדיין יש לו אחריות עליהם.
5. סקירת מדיניות הפרטיות
מי שמוגדר כבקר מידע חייב להיות הרבה יותר מדויק במדיניות הפרטיות שלו. על פי החוק חברות שהן בקריות מידע חייבות להיות מסוגלות לספק מידע מדויק באשר לאופן שבו הן משתמשות בנתוני הלקוחות. המידע חייב להיות תמציתי, קל להבנה ונגיש מאוד, כתוב בשפה פשוטה, ומסופק ללא עלות.
6. סקירת מדיניות של צדדים שלישיים
כאשר לחברה יש קשרים עם גורמי צד שלישי מדיניות הפרטיות של כל צד שלישי חייבת להיבדק כדי לוודא שהיא כפופה לחוק ה-GDPR ועומדת בו כדי למנוע שימוש בלתי מורשה בנתוני הלקוח.
7. סקירת הפרטיות ב-SDLC
החוק משפיע גם על מחזור החיים של פיתוח התוכנה ועל תהליכים של כל חברת IT,
קיימות משמעויות טכניות ופונקציונליות לחוק ה-GDPR, והן דורשות תכנון רב כבר בשלבים הראשונים של מחזור החיים של מערכות המידע וככל שניתן עליהם את הדעת מוקדם יותר הפתרונות יהיו יותר פשוטים ופחות יקרים.
מבוסס על מאמרו של תום רוזן מחברת GRSee.