ייעוץ לעמידה בתקנות הגנת הפרטיות, CCPA, GDPR

מעוניינים בחוות דעת לגבי אופן הטיפול שלכם בנושא רגולציית הגנה על פרטיות - תקנות הגנת הפרטיות / GDPR?

מאגרי מידע הכוללים מידע אישי נמצאים ברשות מספר רב של נותני שירותים ומפתחי יישומים. מידע אישי, כשמו כן הוא – זהו מידע שאמור להיות מוגן מפני גורמים שעלולים לעשות מניפולציות שונות ומשונות על המידע במידה ותהיה להם גישה אליו.
כדי להגן על המידע נקבעו תקנות הקובעות כיצד לשמור על המידע. ארגונים שברשותם מידע אישי נדרשים לעמוד בתקנות אלה.

תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 קובעות את סוגי מאגרי מידע הנדרשים להגנה לפי הכללים המפורטים בתקנות. התקנות מגדירות את הצעדים שעל בעל מאגר המידע לנקוט לשם הגנה על המאגר ומניעת הפרת הפרטיות של נשואי המידע. חברות שמתחזקות מאגרי מידע חייבות להגדיר את שכבות ההגנה הנדרשות על המאגרים, להגדיר מסמכי מדיניות אבטחת מידע, להכין תרחישים ולזהות סיכוני אבטחת מידע, וזאת תוך תכנון מראש של דרכי פעולה למול האיומים הקיימים על המאגרים.

במקביל, נכנס לתוקף בחודש מאי 2018  חוק אירופאי להגנת המידע General Data Protection Regulation – GDPR. החוק קובע כללים לשמירת ואבטחת מאגרי מידע הכוללים מידע על אזרחים המתגוררים במדינות השייכות לאיחוד האירופאי.
ובאופן דומה, תקנות CCPA הגנה על הפרטיות במדינת קליפורניה, ארה"ב.

מבולבלים? האם הנושא קשור אליכם? מבינים מה צריך לעשות כדי להיערך לנושא? חוששים לטעות?

מעוניינים לדעת מה נדרש לעשות כדי לעמוד בדרישות להגנה על פרטיות המידע של הלקוחות שלכם מפני גורמים שעשויים לעשות בהם שימוש לתועלתם?

כדי לסייע לחברות להתמודד עם הנושא ולמצוא פתרון מדויק לחברות ועסקים, הקמנו צוות מולטי-דיסציפלינארי הכולל מומחי אבטחת הפרטיות, אבטחת מידע וסייבר.

תהליך הייעוץ כולל מספר שלבים:

שלב אבחון ומיפוי

מטרת האבחון היא לבחון את מידת החשיפה של הארגון לדרישות הגנת המידע ולתת מידע ראשוני לגבי אופן ההתמודדות עם הנושא.
כולל, בין היתר, את הנושאים הבאים:

  • בחינה של מידת רלוונטיות הנושא לארגון.
  • סיווג המידע – אילו פרטים נשמרים? מי בעל מאגר המידע? האם המאגר מתייחס לאנשים שנמצאים באירופה?
  • איסוף - האם המידע נאסף כדין?
  • שמירה - האם המידע נשמר כדין?
  • עיבוד – האם נבנים פרופילים של משתמשים? האם נעשה מעקב אחר הלקוחות באמצעי ניתור דיגיטליים? האם נעשה ניתוח של סוגי המשתמשים לשם קבלת החלטות?
  • העברה –האם המידע עובר (ביודעין או שלא) לארגונים שעושים בו שימוש לתועלתם?
  • אבטחה – האם ננקטים אמצעי אבטחת מידע נאותים?
  • שקיפות – האם הארגון בתקשורת שקופה עם לקוחותיו בנושא הגנה על פרטיות? האם הלקוחות מודעים ומסכימים למדיניות אבטחת המידע של הארגון?
  • היבט משפטי – האם חלות על הארגון דרישות GDPR?

שלב ההתמודדות עם פערי אבטחת מידע שזוהו בסקר

בהתאם לתוצאות האבחון נגבש יחד אתכם את אופן הפתרון.
כולל את הנושאים הבאים:

  • "גידור" האחריות – במידת האפשר - חיפוש פתרונות שיצמצמו את הצורך בשמירה על פרטיות.
  • בדיקת מערך אבטחת המידע והפרטיות בחברה והתאמתו לדרישות הרגולטוריות. מתן מענה לדרישות אבטחה פיזיות ודיגיטליות.
  • חיפוש פרצות אבטחת מידע; הכנת מנגנונים לדיווח על פרצות אבטחת מידע כנדרש בחוק.
  • הכנת תכנית פעולה והסכמה משותפת על הדרך.
  • ביצוע תכנית הפעולה.

חברתנו מסייעת לארגונים להיערך ולהתכונן לעמידה בחוקים ותקנות הקשורים להגנה על הפרטיות, כולל:

א. ייעוץ וליווי לסגירת הפערים של אבטחת הפרטיות

ייעוץ וליווי לסגירת הפערים למול הדרישה של הלקוחות שלנו לגבי העמידה בדרישות: תקנות אבטחת הפרטיות של הרשות להגנה על הפרטיות ו/או GDPR ו/או דרישה של גוף אחר.

ב. ביצוע סקרי סיכונים טכנולוגיים בדגש על נושא הגנת הפרטיות.

הסקר נותן מענה לדרישות GDPR ותקנות הגנת הפרטיות לזיהוי איומים וסיכונים וקביעת דרכי פעולה להתמודדות עם הסיכונים שזוהו בסקר.

ג. ביצוע מבדקי חדירה (Penetration Test)

חברות שמחזיקות מאגרי מידע בסיווג גבוה / בינוני מחויבות לבצע מבדק חדירה בתדירות של פעם בשנה וחצי.

ד. ליווי החברה לקראת הסמכה לתקן אבטחת מידע 27001 ISO.

בהתאם למסמך הבהרה שנשלח ע"י משרד המשפטים / הרשות להגנה על הפרטיות (ראו הנחיית רשם מאגרי מידע מס 03-2018), ארגון שמוסמך לתקן אבטחת מידע 27001 ISO עומד ברוב סעיפי התקנות להגנת הפרטיות  הישראליים. בנוסף, עמידה בתקן נותנת מענה הולם גם כחלק מעמידה בדרישות ה- GDPR.

 

 

רוצים שנעשה זאת עבורכם?

התקשרו לאורנה: 053-7739018 או מלאו את הפרטים שלכם: