כתבתי כאן בעבר על המגמה להרחבת מיקור חוץ של שירותים, שאינם בליבת העסקים של החברה המוציאה את הפרויקט/שירותים למיקור חוץ אצל חברה אחרת.
מיקור חוץ יכול לכלול גם שירותי אחסון ועיבוד מידע אישי, שאז חלים על ההתקשרות החוקים המתייחסים להגנת הפרטיות וחברות אלה נחשבות כ"מחזיקות" המידע לפי חוק הגנת הפרטיות. ידוע לכל, ששירותים כאמור עשויים, מעצם טיבם, להביא לפגיעה בפרטיותם של אנשים. רק אתמול (1.12.20) דווח על פריצה למאגרי מידע של חברת ביטוח גדולה וגניבת מידע אישי של מבוטחים (חלקם אישיות בכירות ברשות השופטת ובמגזר הציבורי) ועובדים בהיקף רחב למטרות כופר.
לאחרונה, פנתה הרשות להגנת הפרטיות בבקשה למילוי שאלוני ביקורת לשלושים ושישה גופים המספקים שירותי אחסון ועיבוד מידע ונבחנו ארבעה קריטריונים עיקריים בתחום הגנת הפרטיות ובהם בקרה ארגונית וממשל תאגידי, ניהול מאגרי מידע, אבטחת מידע ושימוש בשירותי מיקור חוץ.
במרבית הגופים הנ"ל שנבדקו נמצאה רמת עמידה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע ואולם נמצאו ליקויים בקיום הוראות תקנות הגנת הפרטיות (אבטחת מידע), בחלקן אף חריגות משמעותיות כגון בתחומים של ביצוע מבחני חדירה (penetration testing) בחברות שהן בעלות מידע ברמת אבטחה גבוהה ובביצוע סקר סיכונים.
עוד עלה מהממצאים, בהתייחס לעיבוד מידע אישי במיקור חוץ, 71% מהגופים עמדו באופן חלקי/לא עמדו כללבהוראות החוק!! ב-53% מהם רמת העמידה הייתה בינונית וב- 18% מהגופים נמצאה רמת עמידה נמוכה.
לכן, חשוב טרם הוצאת שירותים בכלל ושירותי אחסון ומידע אישי בפרט חשוב לערוך בדיקות מקיפות אודות הוראות החוק החלות על ההתקשרות ולוודא עמידה של חברת מיקור החוץ בהן טרם עריכת החוזה ולקבל התחייבות לקבל מידע שוטף מחברת מיקור החוץ אודות הפעולות המבוצעות על ידה באופן שוטף כדי לעמוד בהוראות החוק וכמובן, לדרוש דיווח מיידי על כל חשש להפרתן גם כאשר לא זלג מידע שהועבר לחברה.
מוזמנים לפנות אליי בכל שאלה ועניין.
ליצירת קשר באמצעות הוואצאפ