מהפכת GDPR - כל מה שצריך לדעת - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

מהפכת הפרטיות באירופה מסבכת אלפי חברות בישראל

במאי ייכנסו לתוקף באיחוד האירופי תקנות שנועדו להגן על הגולשים ברשת ■ חברה עם לקוחות אירופיים שתיכשל בהגנה על המידע שלהם, תיקנס בעד 4% מהמחזור השנתי או 20 מיליון יורו ■ יזמים ישראלים רבים טרם נערכו לשינוי ■ מהי מהפכת ה-GDPR וכיצד נערכים לה?

25תגובות
מארק צוקרברג (מימין) ואנגלה מרקל
Philippe Wojazer, Pool / AP

פרשת קיימברידג' אנליטיקה לא יכלה להתפוצץ בתזמון מתאים יותר - שלושה חודשים לפני כניסתן של תקנות אבטחת המידע האירופיות ה–GDPR. הפרשה הדגימה כיצד פייסבוק ועשרות אלפי חברות נוספות בעולם אוספות מידע אישי על לקוחותיהן ועושות בו שימוש, ללא פיקוח והגבלה. התקנות החדשות מבקשות להחזיר את השליטה על המידע למשתמשים.

בעוד חודש ייהפכו התקנות למציאות, וכל ארגון או עסק שאוסף ומעבד מידע של אזרח או תושב האיחוד האירופי וייכשל בהגנה עליו - צפוי לספוג קנס חסר תקדים: עד 4% מהמחזור השנתי הגלובלי שלו או 20 מיליון יורו - הגבוה מבין השניים. לכל הארגונים והחברות היו שנתיים שלמות להתכונן ליום הדין, אבל נראה כי מרביתם לא נערכו לכך.

>> לדבר על כל מה שחם בהיי-טק: הצטרפו לאקוסיסטם

עיקרי תקנות הפרטיות

ה–GDPR הן אוסף תקנות והוראות המסדירות את השמירה על המידע האישי של אזרחי האיחוד האירופי, המוחזק בידי חברות מסחריות. הן ייכנסו לתוקף ב–25 במאי 2018, ורבים כבר מכנים את היום הזה "תחילתו של עידן פרטיות חדש". אלה תקנות מחמירות ומהפכניות, המגדירות מחדש מהו מידע אישי וכיצד הוא ייאסף. ב–8 במאי נכנסות בישראל תקנות הגנת פרטיות, השואבות חלק מהרעיונות מה–GDPR.

בשנים האחרונות התבסס המודל העסקי של חברות מסחריות רבות - ובעיקר של חברות אינטרנט - על איסוף מידע על גולשים לצורך בניית פרופיל משתמש, כדי לאפשר התאמת פרסומות ממוקדות, ובכך למקסם רווחים. המשתמשים נאלצים לספק לחברות מידע, כדי לקבל מהן שירותים, והמידע נהפך לגביע הקדוש של מרבית החברות - הוא למעשה "התשלום" בעבור השירות, שכן בדרך כלל המשתמשים אינם משלמים כסף על השירותים.

מפני שרוב החברות האלה ממוקמות מחוץ לגבולות האיחוד האירופי, הן אינן מחויבות לחוק המקומי, ופועלות בחופשיות בלי לתת את הדין במקרים שבהם איסוף המידע פוגע בפרטיות המשתמשים או כשדולף לגופים עוינים. חוקי הגנת הפרטיות מסביב לעולם, ובישראל בפרט, נכשלים בהתמודדות עם הטכנולוגיה ששועטת קדימה.

האיחוד האירופי החליט להרים את הכפפה - ולבלום את איסוף המידע האגרסיבי. התקנות מגדירות סטנדרטים מחמירים של איסוף ושמירת המידע, ובהן הצפנת מידע, הגבלת מעקב אחרי דפוסי גלישה של משתמשים (כמו השתלת קובצי קוקיז המשמשים לפילוח קהלים והתאמת פרסומות על סמך המידע שנאסף), דרישת הסכמה מפורשת לכל איסוף מידע ועמידה על הזכות להישכח (כלומר, לצאת מהשירות למחוק את כל המידע).

מרכז הגנת סייבר בדרום קוריאה
Yun Dong-jin/אי־פי

בנוסף, נקבע כי לכל משתמש תהיה זכות לגשת למידע שנאסף עליו ולדרוש לתקן אותו, וכי קטינים מתחת לגיל 16 יצטרכו לקבל הסכמה מהוריהם כדי להשתמש בשירותים שונים. כמו כן, חברות שירצו להפיץ מידע פרסומי (ספאם) יצטרכו לקבל את הסכמתו המפורשת של המשתמש לכך.

עוד נקבע כי במקרה של מתקפת סייבר, החברה תחויב לדווח על הפריצה לרגולטור בתוך 72 שעות, ולהודיע למשתמשים כי המידע שלהם דלף למקורות עוינים. החברות גם מחויבות למנות בעלי תפקידים הממונים על נושא אבטחת המידע שהצטבר בארגונם.

התקנות יחולו על כל חברה (גם על חברות ישראליות) שאוספת כל סוג של מידע על אזרחים או תושבים באיחוד האירופי - מהתנהגות ותנועת המשתמש ועד מידע פיננסי, בריאותי ועוד. הן יחולו אף על חברות שמעסיקות עובד המתגורר באיחוד האירופי, שבמערכותיהן נמצאים פרטיו האישיים והן נדרשות להגן גם עליהם.

אלה חדשות טובות למשתמשים, אבל פחות לחברות הישראליות שייאלצו לעמוד בתקנות הנוקשות. ענקיות האינטרנט פייסבוק, גוגל, טוויטר, אמזון ואחרות מעדכנות בימים האחרונים את תנאי השימוש ומדיניות הפרטיות שלהן בהתאם לתקנות. הקנס שיקבל מי שלא יעמוד בתנאי התקנות לא יהיה על הפרה כללית - אלא על כל משתמש שהחברה לא שמרה על המידע האישי שלו כראוי. לפיכך, הקנסות עשויים להצטבר למאות מיליוני יורו בחברות שלהן משתמשים רבים.

איך לשמור על המידע של המשתמשים

בעוד ענקיות הטכנולוגיה יכולות להתמודד טוב יותר עם עלות ההתאמות הנדרשות או עם הקנסות - חברות קטנות עלולות לסבול הרבה יותר עקב עלויות גבוהות של פיתוח המוצר מחדש או הקנסות גבוהים, שיגרמו להפסדים קשים. לפיכך, עולה ביקורת שהחוק עשוי לפגוע בתחרותיות. עם זאת, יש איך להיערך, וחברות שעשו כן - ירוויחו מכך.

איך תקנות אבטחת המידע האירופיות החדשות ישפיעו על ישראל?

התקנות האירופיות החדשות לא ישפיעו על כל העסקים בישראל, אלא על חברות וארגונים בעלי פעילות דיגיטלי.

יורם ליכטנשטיין, עו"ד מומחה להגנת פרטיות לפי הדין האירופי, מסביר כי יש שלושה תנאים לתחולת התקנות. התנאי הראשון הוא כל עסק שיש לו מוסד באירופה, כשמוסד אינו חייב להיות משרד בפועל - די באיש מכירות או בפעילות שיווקית באחת ממדינות האיחוד האירופי, בחברה בת קשורה וכדומה. התנאי השני הוא הצעת מוצרים או שירותים ללקוחות אירופאים. התנאי השלישי מכוון לכל חברות ההיי־טק המפתחות מוצרים מבוססי דאטה: "כל מי שמבצע ניטור או מעקב אחרי התנהלות של אנשים הנמצאים באירופה", נכתב בתקנות.

האם החברות בישראל מוכנות לכניסת התקנות לתוקף?

בישראל נראה שיש מודעות וגם חשש גדול מכניסת התקנות. עם זאת, בפועל, חברות לא התחילו לבצע את ההתאמות הנדרשות. אי־היערכות כזאת עלולה לפגוע בחברות הישראליות גם מול הרגולטורים באירופה וגם מבחינה עסקית - מול שותפים או משקיעים אירופאים.

ד"ר דותן ברוך, ראש מחלקת אינטרנט במשרד עורכי הדין ברנע, המלווה ומייעץ בין היתר לחברות בנושאי פרטיות, טוען כי "מהשטח עולה שמרבית החברות לא ביצעו אפילו בחינה ראשונית אם החוק חל עליהן, וגם אלה שעשו לא ערוכות. לאלה שהתקנות חלות עליהן, יש לא מעט עבודה לבצע. אין לדעת מה יקרה ב–25 במאי. אני משער שלפחות ברמה המינהלית, הרשויות ינסו למצוא כמה חברות שלא עומדות בתקנות ויקנסו אותן כדי שישמשו דוגמה. בהתחלה ילכו נגד החברות הגדולות ונגד עסקים שיש עליהם תלונות. אמנם יש תקרה לענישה על אי־עמידה בתקנות, אבל הקנסות יכולים להכביד גם על החברות הגדולות".

ברוך מוסיף: "עסקים ישראליים חייבים להראות שהם עושים התאמה לתקנות, אפילו מינימלית. זה חיוני לא רק כדי לרצות את הרשויות, אלא גם בשביל השותפים או הלקוחות האירופאים. אנחנו רואים שיותר ויותר אירופאים בודקים אם ישראלים עומדים בתקנות או מתעלמים, ואף מאיימים לנתק קשרים. זה יכול לפגוע יותר מסנקציות מינהליות. לרוב החברות בישראל יש נוכחות באירופה. לא יתעסקו עם חברות מבוססות מידע אישי שלא עומדות בתקנות. חברה שרוצה להנפיק, להימכר לחברה אירופית או לגייס השקעה - תגביר את סיכוייה ואת שווייה אם היא תעמוד ב–GDPR".

כיצד כדאי להיערך לתקנות בטווח הקצר?

יש כמה דברים שארגון יכול לעשות בטווח הקצר כדי להיערך לכניסת תקנות ה-GDPR. ראשית, כדאי להכיר את התקנות, להבין את הדרישות ואם הארגון בכלל אמור לעמוד בהן, ולקבל ליווי משפטי. שנית, יש לבחון מחדש את המידע - ולמנות צוות חוצה ארגון שתפקידו לבחון את הצדדים העסקיים והטכנולוגיים של הארגון. על הצוות לבדוק למשל אם צריך לפתח מחדש חלק מהשירותים ללקוח או להפסיק לאסוף מידע מסוים. בנוסף, יש למנות קצין הגנת מידע (DPO), שיהיה מוקד ידע גם בצד המשפטי וגם בצד הטכנולוגי.

כמו כן, חשוב לדעת היכן ממוקם ונשמר המידע בארגון - ולבצע מיפוי שלו, שיתאים לארגון הספציפי, ויש לבצע סקירה ובדיקה של נוהלי הפרטיות בארגון. כך, למשל, צריך לוודא כי הנהלים בתחום הגנת המידע מתוקשרים אופן ברור, שקופים ואפשר לגשת אליהם בקלות. אחת הדרישות היא לאפשר ללקוח להימחק ממאגרי הארגון או לשנות ולעדכן את המידע שלו. כדי שזה יתאפשר, המידע צריך להיות שמור באופן נגיש.

מעבר לכך, יש לבצע ניהול הסכמות, כלומר סקירה של האופן שבו הארגון אוסף מידע על לקוחות. הרגולטור מחדד את הדרישה להבהיר למשתמש איזה מידע אוספים עליו ואיזה שימוש נעשה בו. בחלק מהמקרים הדרישה היא שהלקוח יאשר בפירוט את המידע שנאסף עליו. זה כבר לא אבטחת מידע בהיבט המחשוב, אלא מחויבות אישית של הדירקטוריון, המנכ"ל ואפילו סמנכ"ל השיווק של החברה.

ליכטנשטיין אומר כי "ההמלצה הראשונית לכל עסק ישראלי הסבור שקיים סיכון שהתקנות יחולו עליו היא לגשת לעורך דין המומחה בתחום ולבצע מיפוי מידע וסקירת פערים. ייתכן שלאחר הסקירה הזאת המסקנה תהיה שאין צורך לחשוש והכל בסדר".

לדברי ברוך, "לכל לקוח יש את הרגישות שלו. ההיערכות חייבת להיות מובלת על ידי מחלקה משפטית עם מעורבות של המחלקה הטכנולוגית. בסופו של דבר, זה מהלך משפטי - החברה חייבת לעמוד בחקיקה. צריך לפנות למישהו עם ניסיון ורקע בתחום. לקרוא את החוק זה לא מספיק, הוא ארון ולא תמיד ברור, ויש הרבה פרשנות שצריך להבין".

ינאי מילשטיין, מנהל תחום אינפורמטיקה בקבוצת אמן, סבור כי "האסטרטגיה של חברות כיום צריכה לכלול את העמידה בתנאי GDPR. הן צריכות לחשוש לא רק מהחוק, אלא גם מהלקוחות. בלי לקוחות - אין ארגון. המחלקה המשפטית ומחלקת ה-IT צריכות להחליט על האסטרטגיה של החברה בתחום, בהתבסס על הרגולציה. השלב השני הוא זיהוי הפערים בין אסטרטגיה לחוק וסגירתם".

מדוע המלה פרטיות כמעט אינה מוזכרת בתקנות?

תקנות ה–GDPR הגיעו בתקופה שבה מתקיים דיון ער מסביב לעולם על מצב הפרטיות של משתמשי כל הפלטפורמות הדיגיטליות הקיימות - מאפליקציות שונות ועד רשתות חברתיות. אף שהתקנות כוללות 173 סעיפי הקדמה ו-99 סעיפים בחוק עצמו - המלה פרטיות מופיעה שם פעמיים בלבד, רק בהערת שוליים. דיויד קלארק, מומחה לניהול סיכונים ויועץ ל–GDPR בחברת DBFS, מסביר כי "השימוש במלה פרטיות היא ספין בשביל להתמודד עם הגנת המידע. יש דליפות מידע כל הזמן, ומשתמש הקצה לא יודע מה קורה עם הדאטה שלו".

לדברי קלארק, יש כדאיות עסקית להטמיע את התקנות בעסקים כמה שיותר מהר, שכן חברה שתעמוד בחוק תגרום ללקוחות לסמוך עליה יותר. "יש תועלת גדולה לעסקים שיטמיעו מהר את התקנות במערכות המידע שלהם וזה ישתלם להם לטווח הרחוק. חשוב להבין כי בסיס נתונים שמנוהל טוב - מביא יותר ערך לעסקים. ניהול נכון הופך את הדאטה לאיכותית יותר.

"צריך להבין מה אוספים - למידע יש משך חיים. מידע שנאסף לפני עשר שנים אולי חסר ערך כיום - ולכן אין טעם לשמור אותו. אנחנו מבינים כיום שבין 20% ל–25% מהמידע שנאסף חסר ערך ולא רלוונטי בשביל לספק ללקוח חוויית משתמש טובה. זה כמו שחברה המוכרת כלי רכב לא תמכור מכונית מלפני עשר שנים. אתה מציע ללקוח את המוצר הכי חדש".

Jeff Chiu/אי־פי

יש פתרונות טכנולוגיים להטמעה

ה–GDPR אמנם מחייבות התעסקות של המחלקה המשפטית - אבל הוראות החוק מצריכות שינויים טכנולוגיים מרחיקי לכת במערכות המידע. כיום יש חברות רבות המסייעות לארגונים שצריכים לעמוד בתקנות, ומציעות להן כלים לניהול המערכות וגם המידע שיושב על אותן מערכות, לצד סיוע באבטחת המידע.

תומר צוקר, ראש תחום אבטחת מידע ב-IBM ישראל, מסביר כי יש שלושה סוגי התנהגויות של ארגונים בשלב הנוכחי: כאלה ששמעו על ה–GDPR וקיבלו החלטה לא לעשות כלום ולחכות ל-26 במאי; ארגונים שמכירים ויודעים שעליהם חלה חובת הערכות, אך מבולבלים; וכאלה שהתחילו כבר להיערך. "אלה שלא התחילו כנראה כבר שבעים מרגולציה, ופשוט מחכים לראות מה יקרה ביום שאחרי. זה חוק מסורבל ולא לכל ארגון יש מחלקה משפטית שיכולה ללוות הטמעה שלו. רוב הארגונים הבינו כי הם חייבים להתחיל במקום מסוים, וכי עליהם לצמצם את הפער מול הרגולציה".

לדברי צוקר, IBM התחילה להיערך לתקנות כבר ב–2012 - עם פרסום הצעת החוק - ולפתח לא רק כלים להטמעת התקנות, אלא גם להטמעת המתודולוגיה הדרושה שתאפשר לארגון לממש את תנאי התקנות.

הוא מסביר כי בחברה יודעים לתת פתרון, הכולל ייעוץ מתודולוגי, אבטחת מידע, שמירה על פרטיות והתאימות ל–GDPR. קיימות חברות נוספות בתחום, שפיתחו כלים שיסייעו לעסקים להתמודד טכנולוגית עם התקנות החדשות.

לדבריו, "יש אפשרות לסייע בצד הטכנולוגי, באמצעות כלי אבטחת מידע ואנליטיקה של החברה וגם באמצעות אנשים שילוו את החברה. בחלק מהכלים הוטמע החוק, והוא ממש מלווה את הארגון צעד אחר צעד".

האיחוד האירופי לא הגדיר בדיוק מהו המידע הרגיש, ואת ההערכה הזאת צריך לעשות כל ארגון בעצמו. עם זאת, אין ספק שהמידע של לקוחות צריך להיות מנוהל כך שמקרה כמו שאירע בקיימברידג' אנליטיקה לא יחזור על עצמו, כמו גם פרשות חמורות אחרות, שבהן מידע רגיש דלף ופגע בלקוחות החברה.

"יש כלים המאפשרים לעקוב אחרי ההרשאות ויודעים לזהות אנומליות בהתנהגות של העובדים, מנהלים, אנשי מערכות מידע ולנטר התנהלות בכל מי שנוגע במידע רגיש", מסביר צוקר. כך אפשר למשל למנוע מקרה כמו פרשת דליפת מרשם האוכלוסין - אחת מפרשות דליפת המידע החמורות שהתרחשו בישראל לפני כעשור, שבה מידע של 9 מיליון ישראלים נמכר ברשת וכיום נמצא ברשותם של רבים שאי־אפשר לאתר.

לדברי צוקר, "כלים נוספים משמשים להגנה על בסיס הנתונים, הצפנת המידע, התנהלות מול מתקפת סייבר. פיתחנו גם פרוטוקול תגובה - יש פה אוטומציה, דברים המגדירים מראש עם הארגון כדי שהתגובה תהיה מדויקת. כלים המסייעים לזהות את מידע אישי רגיש - גם כפי שנמצאים במערכת ה-CRM וגם בתכתובות מיילים, בלוגים ו-PDF. השקנו לפני כמה חודשים מערכת שמצפינה את כל המידע כברירת מחדל וכמעט כל הארגונים ביקשו לעבור למערכת זו. כולם רוצים להצפין את המידע וזה פוטר אותם. זה תנאי מינימלי לחוויית המשתמש".

מילשטיין אומר: "יש לנו מוצר המורכב משישה פתרונות מחוברים ונפרדים המאפשרים לממש את כל הפערים שהוגדרו". לדבריו, "המערכת יודעת לזהות אוטומטית את כל הנכסים הדיגיטליים של הארגון - למפות אותם, את הקשרים בין הנתונים ואת זרימת המידע. כשיודעים אילו נכסים ונתונים יש לך - אפשר למנף אותם לצורכי הארגון. בשכבה הטכנית אנחנו מזהים אוטומטית את כל הנתונים והזרימה ומאכלסים את המערכת של ניהול הנכסים.

המרכז לביטחון סייבר באוהיו
אי־פי

"למשל, אחד הפתרונות מאפשר לגלות איפה יושבים הנכסים הדיגיטליים בכל הארגון - זה השלב הראשון. אחר כך מחליטים על מדיניות אבטחה של כל נכס בנפרד וניהול שלו. הרכיבים של הפתרונות מאפשרים גילוי ומיסוך המידע. החוק קובע את הזכות להישכח - ולכן אחד הכלים מאפשר למחוק או למסך את הנתונים. כלי נוסף הוא לניהול הרשאות: כל לקוח צריך לאשר את תנאי השימוש - ולכן יש לשלוח אליו דיוור ישיר. צריך לנהל את המערכת הזאת", מסביר מילשטיין.



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#