שאלות ותשובות בנושא חובת דיווח על אירוע אבטחה
נסקור מי מחויב בדיווח, מה נחשב לדיווח "מיידי", ומהם הקריטריונים להחלטת הרשם האם להודיע לנפגעים במקרה של אירוע אבטחה.
חובת הדיווח על אירועי אבטחת מידע היא נדבך מרכזי בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. מטרת חובת הדיווח היא להבטיח טיפול מהיר ויעיל באירועי אבטחה חמורים, תוך שמירה על שקיפות מול הרשויות והגנה על פרטיותם של נושאי המידע. עמוד זה מספק מענה לשאלות מרכזיות העולות בנושא זה, כדי לעזור לארגונים להבין את חובותיהם ולהיערך למקרים של אירועי אבטחה.
מי מחויב בדיווח?
התקנות קובעות כי בעל המאגר או המחזיק בו חייבים לדווח לרשם מאגרי המידע במקרה של אירוע אבטחה חמור. האחריות חלה הן על גופים ציבוריים והן על גופים פרטיים המחזיקים במאגרי מידע החייבים ברישום. בנוסף, במקרים מסוימים חובת הדיווח עשויה לכלול גם את המחזיק במאגר, בהתאם להסכם בין הצדדים.
מה נחשב לדיווח "מיידי"?
הדרישה לדיווח מיידי מתייחסת למסירת המידע לרשם סמוך ככל האפשר למועד גילוי האירוע, ובאופן שלא ייצור עיכוב מיותר. הדיווח הראשוני צריך לכלול את כל המידע הזמין באותה עת, כולל אופי האירוע, היקף הנפגעים וסוג המידע שנפגע. במקרה הצורך, ניתן להוסיף פרטים נוספים בשלב מאוחר יותר.
מהם הקריטריונים להחלטת הרשם להודיע לנפגעים?
הרשם שוקל מגוון קריטריונים לפני קבלת החלטה אם להורות לבעל המאגר להודיע לנפגעים. בין השיקולים: חומרת האירוע, הסיכוי לפגיעה בפרטיותם של נושאי המידע, וההשפעה האפשרית של האירוע על המידע האישי. לדוגמה, אם מדובר בפריצה למאגר הכולל שמות משתמש וסיסמאות, הרשם עשוי להורות להודיע לנפגעים, כדי שיוכלו לנקוט פעולות למזעור הנזק, כמו שינוי סיסמאות.
עמוד זה מספק תשובות מפורטות על חובת הדיווח ועל תהליך קבלת ההחלטות במקרה של אירוע אבטחה. הוא כולל הנחיות וכלים מעשיים שיסייעו לארגונים לעמוד בדרישות החוק ולנהל אירועי אבטחת מידע באופן אחראי ומקצועי. בין אם אתם מנהלים מאגרי מידע קטנים או גדולים, מידע זה הוא חיוני כדי להגן על פרטיות המידע ולמנוע השלכות חמורות בעקבות אירועי אבטחה.
