בחודש מאי של שנת 2018 נכנסו לתוקף תקנות שעיקרן היה פירוט אודות חובותיו של כל מי שמנהל או מחזיק במאגר מידע וזאת למטרת אבטחת מידע. חובות אלו הותאמו לסוג מאגר המידע, סוג המידע שהופיע בו, כמות האנשים במאגר, סוג הגוף שהחזיק את המידע (גוף ציבורי, חברה או אדם יחיד) וכמות האנשים בעלי ההרשאה לאותו מאגר מידע. הצורך בתקנות אלו של הגנת הפרטיות נוצר בעקבות חוסר האמון של הלקוחות באופן בו נשמר המידע לגביהם במערכות המחשוב של החברה.
סוגים שונים של מאגרי מידע
חשוב שתהיו מודעים לכך שדאטה בייס אשר מנוהל על ידי יחיד הוא בעל החובה הפחותה ביותר. מאגרים שאינם מנוהלים על ידי תאגיד יחיד או אדם יחיד הם מאגרים שחלה עליהם רמת אבטחה בסיסית. מאגר של מידע אליו מורשים להיכנס עשרה אנשים ומטרתו היא איסוף של מידע בכדי לתת אותו לאחר או שמדובר על מאגר מידע בעל תוכן רפואי, פלילי הרשעתי או כזה המוגדר כרגיש או מאגר שבבעלותו של גוף ציבורי מחייב רמת אבטחה בינונית. מאגר מידע אליו יכולים להיכנס מאה בעלי הרשאה מחייב רמת אבטחה גבוהה.
מיישמים את התקנות – הלכה למעשה
חשוב לזכור שאותן תקנות הגנת הפרטיות תמיד יחולו בהתאם לרמת האבטחה הנדרשת, כאשר לכל רמת אבטחה יש תקנות אשר משויכות לה. התקנות המשותפות לכל רמות האבטחה הן:
תקן מס. 2– חובה שיהיה מסמך בו יהיו הגדרת של מאגר המידע – במאגר צריך להיות תיאור של מה המטרה של המאגר, מה הפעולות אותן עושים במאגר, סוגי המידע במאגר, האם המידע במאגר מועבר לחו”ל, האם יש ואם כן מהם הסיכונים של פגיעה במאגר זה וכיצד האנשים שאחראים על המאגר מתכננים לפעול באם תהיה פריצה למאגר. כמו כן יש לציין את שמם המלא של אותם העובדים שאמונים על המאגר, אותו אדם שמחזיק במאגר וממונה הבטיחות של המאגר.
תקן מס. 6 – בהתאם לתקנה זאת יש להתחייב לשמירה פיזית על כל הקשור אל המאגר, כלומר על התשתיות והחומרה שמשרתות את המאגר. באם מדובר על מאגר מידע שעליו חלה רמת אבטחה בינונית עד גבוהה חובה לתעד את כל היציאות והכניסות של העובדים ששוהים או שהו באתרים בהם יש מערכות הקשורות אל מאגרי מידע אלו ואחרים וכמובן שיש לתעד כל מי שהכניס ציוד או הוציא ציוד (התקנה של מצלמות ועוד.
תקנים נוספים אשר נחשבים כחובה לכל סוגי רמות האבטחה של מאגרי המידע הם 9, 11,12,13,14 ו- 20.
אי עמידה באותן תקנות הגנת הפרטיות יכול להוביל להגשת כתבי אישום, הטלת קנסות ופעמים אף עונשי מאסר.