84% מהגופים שעוסקים בכירורגיה קוסמטית כשלו באבטחת מידע

הרשות להגנת הפרטיות במשרד המשפטים מפרסמת דו"ח על מצב הפרטיות במגזר הפלסטיקה והכירורגיה הקוסמטית בישראל. והנתונים שעולים מהדוח מדאיגים למדי.

בפעילות מגזר הפלסטיקה והכירורגיה הקוסמטית קיימים סיכונים לא מעטים לפרטיות, שנובעים מניהול ואחזקת מידע רב, מזוהה ורגיש, וניהול קשר ישיר עם לקוחות באמצעות הגופים עצמם ובאמצעות שימוש במיקור חוץ. כל אלה דורשים הקפדה יתרה על קיום הוראות תקנות אבטחת מידע, שקיפות מול הלקוח, ומילוי החובות החלות מכוח פרק הדיוור הישיר בחוק הגנת הפרטיות.

גופים שמשתייכים למגזר זה מחזיקים מאגרי מידע המכילים מידע רגיש בהיקפים עצומים ומנוהלים לרוב בידי עצמאיים או עוסקים שאינם מאוגדים תחת מעטפת של חברה גדולה. כתוצאה מכך, ברוב המקרים אין בגופים האלה בעלי תפקידים ייעודיים לטיפול בנושא הגנת הפרטיות, דבר שמקשה על שמירת הפרטיות של לקוחותיהם.

מבדיקה שערכה הרשות עולה כי במגזר הפלסטיקה והכירורגיה הקוסמטית נמצאה רמת עמידה נמוכה בכל הקשור באבטחת מידע, אך רמת עמידה גבוהה בכל הקשור בניהול מאגרי מידע. בנוסף, נמצאו ליקויים שחוזרים על עצמם במספר רב של גופים בנושא שימוש במיקור חוץ. בכל הקשור לבקרה ארגונית נמצאה רמת עמידה בינונית-נמוכה של הגופים בהוראות החוק.

נוכח הממצאים שעלו מהליך פיקוח הרוחב, קיבלו כלל הגופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם. מממצאי הדו"ח עולה, כי בהתייחס לקריטריון של אבטחת מידע, 84% מהגופים הראו רמת עמידה נמוכה. על הגופים להטמיע מנגנוני הרשאות במאגרי המידע של הארגון. כמו כן, על הגופים לנקוט באמצעים למניעת חדירה למיקום הפיזי של השרתים והתשתיות ולבצע מבדקי חדירות אחת לשנה וחצי במאגרים בעלי רמת אבטחה גבוהה.

בהתייחס לקריטריון של בקרה ארגונית, על הגופים לוודא, בין היתר, כי מונו מנהל מאגר מידע וממונה אבטחת מידע כנדרש בחוק, וכי קיימים נהלי אבטחת מידע. כמו כן, גוף שחלה עליו רמת האבטחה הגבוהה חייב לוודא כי בוצעו מבדקי חדירות העומדים בדרישות התקנות.

בכל הנוגע לניהול מאגרי מידע ומיקור חוץ, על הגופים לקבל את הסכמת נושא המידע לאיסוף מידע ושמירתו במאגריהם, תוך מתן הודעה בעת איסוף המידע בנוגע לסמכות החוקית מכוחה חלה חובה למסור את המידע, ככל שיש, או הסכמת נושא המידע למסירתו וכן ציון מטרת האיסוף, הגורמים אליהם יימסר ולאיזו מטרה.

בעקבות ממצאי הדו"ח, ערכה הרשות מעקב לתיקון ליקויים בגופים המשתייכים למגזר זה ודרשה מהם לנקוט בגישה מבוססת סיכון כשהטיפול הראשוני והדחוף ייעשה ביחס לליקויים מתחום אבטחת המידע ולאחר מכן ביתר הקריטריונים.

בהודעת הרשות נכתב: "במסגרת ביקורת המעקב שנעשתה בקרב 70% מהגופים במגזר זה שקיבלו הנחיות לתיקון ליקויים, נמצא שיפור ותיקון רמת העמידה בחוק ובתקנות הגנת הפרטיות, כאשר למעלה משליש השלימו את תיקון הליקויים, ואולם שיפור זה אינו מספק לנוכח סוג המידע המוחזק בגופים אלה ורגישותו, והיינו מצפים לראות שיפור משמעותי יותר בתיקון הליקויים, במיוחד בתחום אבטחת המידע. הרשות תמשיך לבחון את תיקון הליקויים בשנים הקרובות".