צריך לחשוב על הפרטיות כבר מהרגע הראשון

בצד אחד של האוקיינוס, באמריקה, התפוצצה באחרונה פרשת קיימברידג' אנליטיקס — שבה התגלה כי פייסבוק לא שמרה היטב על פרטיות המשתמשים שלה, ולא נהגה בשקיפות, שכן נעשה שימוש לרעה במידע עליהם. העניין פגע קשות בחברה, והמנכ"ל, מארק צוקרברג, אף נחקר בסנאט האמריקאי. במקביל, בצד השני של האוקיינוס, באירופה, צפויות להיכנס לתוקף תקנות אבטחה ופרטיות חמורות מאי פעם, תחת ראשי התיבות GDPR.

ואילו אצלנו, באסיה, התגלו באחרונה שורה של חולשות ופרצות חמורות באתרים ושירותים ישראליים: אפליקציית גני הילדים רמיני, השירות הפיננסי iFreeLance וכעת גם באתר של שירות בתי הסוהר (השב"ס). בכל המקרים, השירותים נבנו באופן חובבני ומידע רגיש זלג לרשת. כך, למשל, התברר כי אתר השב"ס נבנה על ידי חברה חיצונית, ברמה שקל לגשת למידע רגיש בו. החברה הזאת אחראית על עוד שורה של אתרי אינטרנט של חברות, חלקן ציבוריות, והמידע עליהם ייחשף אחרי שהפרצות ייסגרו.

תקנות GDPR הן מקיפות — והן מחייבות כל חברה, אפליקציה, שירות רשת וכדומה, המחזיקים מידע על אזרחים אירופאים או משרת אזרחים אירופאים — אף אם מדובר באזרח אחד בלבד. הן קובעות, למשל, שלקוח חייב לאשר את המידע שאוגרים עליו. הן קבועות גם שאם לקוח מתקשר ורוצה לקבל כל ביט של מידע שחברה מחזיקה עליו — היא חייבת לאשר זאת. מעבר לכך, אם הוא רוצה למחוק את כל המידע — החברה חייבת לעשות זאת. במקרה של פרצת סייבר — החברה חייבת להודיע על המקרה. ה–GDPR קובעת אחריות מנהלים ומשיתה קנסות חמורים על חברות שיפרו אותן. יש לכם 20 מיליון יורו לבזבז?

מה אפשר ללמוד מכל זה? מה שאמא ואבא לימדו אותנו עוד כשהיינו קטנים: סוף מעשה במחשבה תחילה. עוד בשלב בניית השירות, מועדון הלקוחות, בסיס המידע, מה שזה לא יהיה — תחשבו על זה. קוראים לעיקרון הזה: Privacy by design. תבנו את השירות כך שיהיה חסין ככל האפשר ממתקפות. תעשו בקרות סייבר באמצעות חברות חיצוניות: סקרי קוד, מבחני חדירות. תחזיקו בשרתים מידע מועט ככל האפשר על לקוחות ומשתמשים — רק מה שחיוני. תקטלגו את המידע באופן נוח, ועל פי רגישות, ותהיו ערוכים למחוק פרטים בלחיצת כפתור. אנחנו בעידן המידע — הגיע הזמן לשמור עליו.