פרטיות ואבטחת מידע בעמותות

צילום:Photo by Stephen Harlan on Unsplash

עמותות רבות האחראיות לאספקת שירותים בתחומים הרגישים ביותר בחיינו: שירותים רפואיים, שירותי דת, שירותי רווחה, שירותי חינוך, שירותי קהילה ותרבות, שירותי ספורט מחזיקות בידיהן ומנהלות מידע אישי, רגיש ורב. כך למשל: עמותה שמסייעת לנוער בסיכון, מחזיקה ומנהלת מידע סוציו-אקונומי אודות הנערים והנערות; עמותה שמספקת שירותים רפואיים, מחזיקה מידע אודות מצבם הרפואי של קהל הנעזרים בשירותיה; עמותה שמלווה להט"בים, מחזיקה מאגרי מידע עם פרטים מזהים, בעלי רגישות גבוהה.

אפילו עמותות שמעניקות שירותים 'ניטראליים', כמו שירותי חינוך או חוגים, מחזיקות מידע אישי רב של הנהנים מהשירותים השונים. עמותה שמחלקת מלגות תאסוף בדרך כלל מידע סוציו-אקונומי, רקע משפחתי, נתוני שכר, ועוד פרטי מידע אישיים ורגישים. בנוסף, פעמים רבות מדובר במידע אישי אודות קטינים וקטינות.

אבטחת המידע ואירועי סייבר

אירועי הסייבר ואבטחת המידע מתרחשים מדי יום ומדי שעה. לפי דיווח של מערך הסייבר הישראלי, בשנת 2022 דווחו כ-9,000 אירועי אבטחת מידע. יש לזכור שאירועים רבים כלל אינם מדווחים.

השאלה אם אירוע אבטחת מידע יתרחש בארגון, היא כבר לא שאלה של "אם", אלא שאלה של מתי.
לכן, כל עמותה צריכה לשאול את עצמה האם היא ערוכה לאירוע כזה?

1. האם קיימים נהלי אבטחת מידע בעמותה?
2. האם מוטמעים אמצעים טכנולוגיים ונהלי התאוששות שיאפשרו המשכיות ורצף?
3. האם המידע מגובה?
4. האם העמותה יישמה את הרגולציה שחלה עליה בתחום אבטחת המידע?

צילום מסך מתוך מפת אירועי הסייבר של צ'ק פוינט:

חשוב לציין בהקשר זה, כי תקיפות סייבר לא מכוונות רק כלפי ארגונים גדולים, בנקים או גופים בטחוניים.
אפילו להפך. מפת יעדי התקיפה מראה כי ניסיונות תקיפה רבים נעשים כנגד ארגונים אזרחיים ואף כנגד מוסדות חינוך. גם עסקים קטנים ובינוניים על הכוונת.
מעבר לכך, אירועי אבטחת מידע מתרחשים לא רק כתוצאה מתקיפות של האקרים אלא מסיבות אחרות:

1. התרשלות של עובדים (למשל בהגנה על סיסמאות)
2. אירועי אבטחה כתוצאה מאבדן או גניבה של ציוד.
3. עובדים שמבקשים לנקום או לגרום נזק לארגון.
4. אירועי פישינג (דיוג)
5. חשיפה דרך ספקים ו/או נותני שירותים.

המודעות לנושא פרטיות ואבטחת המידע עודנה נמוכה. בעוד שבמקומות רבים בעולם, המחוקקים הציבו רף דרישה גבוה מעסקים וארגונים, בישראל אמנם קיימת חקיקה, אך הסנקציות שבצידה אינן גבוהות. (מצב זה צפוי להשתנות בקרוב, לאחר שהכנסת תאשר את תיקון חוק 14 לחוק הגנת הפרטיות, שמקנה סמכויות פיקוח ואכיפה נרחבות על הרשות להגנת הפרטיות).

יחד עם זאת, הסיכונים שהעמותות חשופים אליהם משמעותיים, ועשויים בהחלט לפגוע בהתנהלות הסדירה של העמותה.
סיכוני פרטיות ואבטחת מידע לעמותות.

מהם הסיכונים אשר עומדים בפניה של עמותה, בעקבות אירוע אבטחת מידע?

1. חשיפה לתביעות נזיקיות בגין התרשלות בהגנה על הפרטיות

כאמור, החוק והתקנות בישראל מחייבות עמותות לעמוד בדרישות הרגולטיביות, וביניהן:

• רישום מאגרי המידע בעמותה.
  לפי חוק הגנת הפרטיות, "מאגר מידע" הוא אוסף נתונים שמוחזק באמצעים דיגיטליים. כך למשל מידע כמו: שם, מספר תעודת זהות וכתובת דואר אלקטרוני, השמור בקבצי excel , מערכות CRM, מידע ששמור בענן או במערכות אחרות, נחשב מאגר מידע. ובלבד שהמידע כולל פרטים מזהים אודות אנשים, כפי שהחוק דורש.
• עריכת נהלי אבטחת מידע
• עריכת הגדרות מאגר
• הטמעת מערכות טכנולוגיות לאבטחת מידע
  ככל שהעמותה אינה עומדת בהוראות הדין היא חשופה לתביעות אזרחיות ולנזקים כספיים.

2. פגיעה במוניטין של העמותה

לצד הסיכונים הכלכליים, מונח על הכף שמה הטוב של העמותה.
בתור גופים חברתיים, שנסמכים בין היתר על תמיכות ופילנתרופיה. אירועי אבטחת מידע עלולים לגרום לפגיעה אנושה במוניטין של העמותה.
אירועי אבטחת מידע, פגיעה במוניטין או תביעות אזרחיות עלולים לחבל במאמצי גיוס המשאבים, שעמותות תלויות בהם לעצם קיומן.

3. פגיעה בהמשך פעילות חברתית ועסקית

אירוע אבטחת מידע עשוי להשבית פעילות של עמותה למשך זמן רב.
אבדן מידע, פגיעה בשרתי אחסון, נעילה של חשבונות – כל אלו ועוד משבשים את הפעילות השוטפת ויכולים לגרום נזק משמעותי.

4. חשיפה לאכיפה מצד רשות הגנת הפרטיות

רשות הגנת הפרטיות היא הגוף הרגולטורי אשר אחראי על אכיפת הוראות החוק והתקנות. בנוסף, לרשות יש סמכות לבצע פיקוחי רוחב, וכן להטיל סנקציות על עמותות שלא מנהלות את המידע שברשותן כדין.

5. חשיפה לתביעות פליליות

אי-עמידה בהוראות החוק מהווה במקרים מסוימים עבירה פלילית.

6. חשיפה אישית של נושאי משרה בתאגיד

במקרים מסוימים, בהם העמותה מעבדת מידע אישי, וקיימת סבירות כי פעילות העמותה תיצור סיכון לפגיעה בפרטיות, נושאי משרד (וועד מנהל) עשויים לשאת באחריות אישית.

בהקשר זה חשוב לציין:
יישום הוראות החוק וכן מינוי אחראי פרטיות ואבטחת מידע ארגוני (DPO)– מובילים למודעות גבוהה יותר בקרב העובדים, לחידוד נהלים, להטמעת כלים טכנולוגיים וכתוצאה מכך- לרמת אבטחה גבוהה יותר של המידע בארגון.
לכן – עמותות שיעשו זאת, ישפרו בפועל את אבטחת המידע בארגון ויצמצמו סיכונים!

פרטיות ואבטחת המידע – הדין בישראל

חוק הגנת הפרטיות והתקנות מכוחו, קובעים כללים והוראות בכל הנוגע לשמירה על פרטיות ואבטחת מידע. הוראות אלו חלות על כלל המשק, כולל המגזר השלישי.

מה קובע החוק?

בין היתר על עמותות חלה חובה חוקית:

• לערוך נהלים ומסמכי אבטחת מידע – תקנות הגנת הפרטיות (אבטחת מידע) דורשות מבעלי מאגרי מידע לערוך מסמכים שמגדירים ומאפיינים את המאגרים. בין היתר מפרטים במסמכים אלו את נהלי אבטחת המידע הארגוניים, מטרות השימוש במאגר, פרטים על העברת מידע לצדדים שלישיים, פעולות העיבוד שנעשות במידע, ועוד. חוק הגנת הפרטיות קובע באילו תנאים יש לרשום מאגר מידע, למשל: כאשר יש מעל 10,000 נשואי מידע, אם יש במאגר מידע רגיש (למשל מידע רפואי, כלכלי אודות אנשים) – יעוץ משפטי בנושא יכלול אפיון וסיווג המאגר, לרבות החובות שחלות על בעל המאגר.
• להטמיע תהליכים ארגוניים שמטרתם הגנה על פרטיות
• הליך גריעה של עובדים, שכולל ווידוא שההרשאות שבידיהם נגרעות, שכל המידע שנשמר ברשותם חוזר למעסיק.
• ניהול הרשאות גישה למאגרי המידע, כאשר הגישה למאגר תיעשה על בסיס "הצורך לדעת". הארגון מוודא שהגישה לכל המחשבים נעשית רק לאחר הזדהות בסיסמאות מורכבות, אשר מוחלפות מעת לעת וכיו'.
• הקפדה על מחיקת מידע שאינו נחוץ או רלוונטי לפעילות
  עריכת הדרכות – היות והגורם האנושי גורם לא פעם לחולשות אבטחת מידע, בעל המאגר מקיים מעת לעת הדרכות שמטרתן העלאת מודעות וריענון נהלים.
• להקפיד על חוזים עם ספקים וצדדי ג'
• להטמיע אמצעים טכנולוגיים לצורך אבטחת מידע – כמו למשל התקנה של אנטי-וירוס עדכני על כל המחשבים ובמידת הצורך גם מערכות (DR מערכות אשר מתריעות מפני התנהגויות חשודות במערכות), הגנה על הרשת הארגונית, התקנת FIREWALL. ווידוא על כך שמתקיימים גיבויים על כלל המידע, ועוד.

כמובן, ככל שהעמותה מחזיקה מידע רגיש יותר, כך החשיפה שלה גדלה ומוטב שתקפיד על אבטחת מידע נאותה.

עצות להגנה על פרטיות ואבטחת המידע בעמותות

בכמה צעדים פשוטים, העמותה שלכם יכולה לצמצם באופן משמעותי סיכוני אבטחת מידע:

צמצמו את המידע שאתם אוספים, למינימום הנדרש

עודף מידע = סיכון מיותר. אספו את המידע הדרוש באופן הכרחי לפעילות שלכם. אינכם זקוקים לרקע כלכלי?
אל תאספו את פרטי המידע האלו. תאריך הלידה אינו מהותי? וותרו על הנתון הזה.
כך, במקרה של אירוע אבטחת מידע המידע שיזלוג יהיה מצומצם יותר.

מחקו מעת לעת מידע לא הכרחי

לכמה זמן אתם צריכים את המידע ברשותכם? האם ניתן למחוק אותו לאחר שנה? או לאחר שסיימתם פעילות מסוימת?
הכניסו לתכנית העבודה השנתית בחינה של נחיצות המידע שברשותכם. אם כבר לא נחוץ – מחקו אותו וכך תפחיתו סיכונים.

ניהול מושכל של המידע

האם קיים בעמותה נוהל הרשאות גישה?
האם מרעננים סיסמאות אחת לתקופה?
האם יש נהלים בשלבי קליטת או גריעת עובדים?

אבטחת מידע 

• התקנת אנטי וירוס מעודכן
• הגנה על הרשת בעמותה
• עריכת נהלים לגישה מרחוק למערכות תקשורת של העמותה
• הקפדה על סיסמאות (חזקות!) והזדהות דו-שלבית
• הגנה על שרתים
• הדרכות בנוגע לפישינג, ניסיונות תקיפה וכד'.
• הקפדה על שימוש בהתקנים ניידים (למשל דיסק או קי)
• גיבויים, גיבויים!

לסיכום

באמצעות תהליך עבודה נכון, אשר כולל סדרת פעולות משפטיות וטכנולוגיות כאחד, ניתן להביא את העמותה שאת או אתה מנהלים למצב של ציות להוראות החוק והתקנות, ובמקביל להגנה טובה הרבה יותר מפני אירועי אבטחת מידע.

בסיום התהליך, המידע שמוחזק בעמותה יהיה מוגן ומאובטח יותר הן על ידי אמצעים טכנולוגיים והן על ידי כך שהעובדים יהיו מודעים יותר ובעמותה יוטמעו נהלים מסודרים.

אני מאמין בכך שתהליך היישום נועד לסייע ולתרום לעמותה, ובשום אופן לא להפריע לפעילותה ולמימוש מטרותיה.
בנוסף, חשוב להתאים את השירותים והאמצעים הטכנולוגיים לסוג העמותה, אופי פעילותה ולהיקפה. כיום קיימות בשוק מערכות שונות, במנעד רחב של עלויות, ויש להתאים אותן לעמותה.

עורך דין מומחה לתחום דיני הגנת הפרטיות ואבטחת המידע, שהוא גם DPO בהכשרתו, יוכל ללוות את העמותה בתהליך העבודה.

עו"ד מוטי כהן מלווה מוסדות וארגוני תרבות בתחום הגנת הפרטיות ואבטחת מידע. זאת בנוסף לניסיון ניהולי רב שנים בתחום ותוך היכרות מעמיקה של צרכי המוסדות.

>>האמור לעיל אינו מהווה ייעוץ משפטי, ואין להסתמך עליו ככזה. המאמר נועד למטרות סקירה והעשרה.