OK יועצים לניהול

עולם רגולציית המזון בישראל עובר שינוי משמעותי. "רפורמת המזון", ובמרכזה אימוץ חקיקה אירופית מתקדמת, נועדה להבטיח את בטיחות המזון המשווק בישראל ולהתאימה לסטנדרטים בינלאומיים. חלק מרכזי ברפורמה נוגע להסדרת נושא המזהמים במזון – כימיים, מיקרוביולוגיים ושאריות חומרי הדברה. שינויים אלו מטילים אחריות גדולה יותר על כתפיכם, יצרני המזון, ומחייבים היערכות מחודשת והבנה מעמיקה של הדרישות.

מאמר זה נועד להאיר את עיניכם לגבי עיקרי התקנות החדשות שאומצו בתחום המזהמים, להסביר את האחריות המוטלת עליכם, ולהדגיש את החשיבות של היערכות נכונה ועמידה בדרישות המחמירות.

מהם מזהמים במזון ומהיכן הם מגיעים?

מזהמים במזון הם חומרים או אורגניזמים שאינם מוספים למזון בכוונה ועלולים להוות סיכון לבריאות הצרכנים. הם יכולים להגיע למזון ממקורות שונים ובשלבים שונים של שרשרת הייצור:

1. מזהמים כימיים: חומרים כמו מתכות כבדות (עופרת, קדמיום), מיקוטוקסינים (רעלני עובש כמו אפלטוקסין), דיוקסינים, PAHs (נוצרים בבעירה לא שלמה), שאריות מחומרי ניקוי, חומרי אריזה, או תוצרי לוואי של תהליכי עיבוד (כמו 3-MCPD בשמנים).
   חלקם נוצרים עקב זיהום סביבתי, תנאי גידול או אחסון לקויים, ותהליכי עיבוד מסוימים.
2. מזהמים מיקרוביולוגיים: חיידקים פתוגניים (כמו סלמונלה, ליסטריה מונוציטוגנס, coli), וירוסים, עובשים, שמרים ורעלנים שהם מייצרים. זיהום כזה יכול להתרחש דרך חומרי גלם, מגע עם משטחים מזוהמים, עובדים, מים, או תנאי היגיינה לקויים בתהליך הייצור.
3. שאריות חומרי הדברה: שאריות מחומרים המשמשים בחקלאות להגנה על הצומח מפני מזיקים ומחלות. החשיפה העיקרית היא דרך צריכת פירות, ירקות ודגנים.

הרגולציה החדשה: אימוץ תקנות אירופיות

כחלק מרפורמת המזון, ישראל אימצה מספר תקנות של האיחוד האירופי העוסקות במזהמים. התקנות המרכזיות הרלוונטיות הן:

1. תקנה EC 1881/2006 קובעת רמות מרביות מותרות (MLs – Maximum Levels) למזהמים כימיים מסוימים בקטגוריות מזון שונות (למשל, אפלטוקסינים באגוזים, קדמיום בשוקולד, ניטרטים בירקות עלים). התקנה מתייחסת הן לחומרי גלם והן למוצר הסופי.
2. תקנה EC 2073/2005 קובעת קריטריונים מיקרוביולוגיים למזונות שונים. היא מגדירה שני סוגי קריטריונים:
   • קריטריוני בטיחות מזון: חלים על מוצרים המשווקים לאורך כל חיי המדף שלהם (למשל, רמות ליסטריה במזון מוכן לאכילה).
   • קריטריוני היגיינה בתהליך: משמשים לבקרת תהליך הייצור ואינם חלים על המוצר הסופי בשוק (למשל, רמות coli בבשר טחון).
3. תקנה EC 396/2005 קובעת רמות שאריות מרביות (MRLs – Maximum Residue Levels) למאות חומרי הדברה במוצרי מזון ומספוא.

חשוב לזכור: התקנות האירופיות שאומצו גוברות על תקנים ותקנות ישראליים קודמים בנושאים שהן מסדירות (מזהמים ספציפיים ורמות מרביות). יחד עם זאת, חקיקת המזון הישראלית הכללית, כולל האיסור על שיווק מזון מזיק, עדיין חלה.

מה נדרש מכם, יצרני המזון?

האחריות להבטחת בטיחות המזון ועמידתו בתקנות החדשות מוטלת עליכם. הדבר דורש גישה פרואקטיבית וניהול סיכונים שיטתי:

1. מערכת ניהול בטיחות מזון : יישום ותחזוקה של מערכת ניהול בטיחות מזון, מבוססת ניתוח סיכונים היא קריטית לזיהוי, הערכה ובקרה של סיכונים הקשורים למזהמים בכל שלבי הייצור. המערכת צריכה לכלול ניתוח סיכונים ספציפי למזהמים הרלוונטיים למוצרים ולתהליכים שלכם.
2. בקרת ספקים וחומרי גלם: ודאו שחומרי הגלם שאתם רוכשים עומדים בדרישות הרגולציה לגבי מזהמים. דרשו מספקים הצהרות, תעודות אנליזה (CoA), ובצעו בדיקות קבלה לפי הצורך.
3. בקרת תהליך הייצור: זהו נקודות בקרה קריטיות (CCPs) בתהליך שבהן ניתן למנוע או להפחית זיהום (למשל, טמפרטורת בישול, תהליכי ניקוי וחיטוי, מניעת זיהום צולב). נטרו פרמטרים רלוונטיים והקפידו על נהלי עבודה והיגיינה נאותים.
4. דיגום ובדיקות: התקנות החדשות מחייבות ביצוע בדיקות מעבדה לחומרי גלם, סביבת הייצור (במקרים מסוימים) ולמוצרים סופיים, בהתאם לקריטריונים הרלוונטיים למוצר. תוכנית הדיגום צריכה להתבסס על הערכת סיכונים, ותדירותה עשויה להשתנות בהתאם להיסטוריית התוצאות. יש להשתמש במעבדות מוכרות ומוסמכות.
5. חישובים למזון מעובד/מורכב: עבור מזון שעבר עיבוד (כמו ייבוש) או מורכב ממספר רכיבים, יש לחשב את הרמה המרבית המותרת של המזהם במוצר הסופי בהתחשב בפקטורי עיבוד או ביחס המרכיבים.
6. מחקרי חיי מדף (מיקרוביולוגיה): עבור קריטריונים מיקרוביולוגיים של בטיחות מזון, עליכם לוודא שהמוצר עומד בדרישות לאורך כל חיי המדף המוצהרים, לעיתים באמצעות מחקרים ייעודיים.
7. ניטור סביבתי (מיקרוביולוגיה): במפעלים המייצרים מזון בסיכון מסוים (למשל, מזון מוכן לאכילה בסיכון לליסטריה), נדרש ניטור סביבתי של אזורי הייצור והציוד.
8. פעולות מתקנות: כאשר מתקבלות תוצאות חריגות בבדיקות, חובה לחקור את הסיבה, ליישם פעולות מתקנות למניעת הישנות (כגון שינוי בתהליך, שיפור נהלי היגיינה), ובמקרים של חריגה בקריטריון בטיחות מזון או MRL, לבצע החזרה יזומה (Recall) של המוצר מהשוק וליידע את שירות המזון.
9. תיעוד וניתוח מגמות: יש לתעד את כל הפעולות הקשורות לבקרת מזהמים ולנתח את תוצאות הבדיקות לאורך זמן כדי לזהות מגמות ולפעול באופן פרואקטיבי למניעת חריגות.

האתגר: מורכבות רגולטורית ויישומית

המעבר לרגולציה האירופית מציב אתגרים רבים בפני יצרני המזון:

• הבנת הדרישות: התקנות מפורטות ומורכבות, ודורשות הבנה מעמיקה של ההגדרות, הקריטריונים, שיטות הבדיקה והפרשנות הנכונה.
• יישום הלכה למעשה: התאמת תהליכי הייצור, מערכות בקרת האיכות, תוכניות הדיגום והתיעוד לדרישות החדשות דורשת ידע, משאבים וזמן.
• עלויות: שדרוג תהליכים, הגברת תדירות הבדיקות ויישום פעולות מתקנות כרוכים בעלויות נוספות.

אנחנו כאן כדי לעזור לכם לנווט במים הסוערים

אנו מבינים את האתגרים העומדים בפניכם. ליועצינו, המתמחים בייעוץ רגולטורי וניהול איכות ובטיחות בתעשיית המזון, יש את הידע, הניסיון והכלים לסייע לכם:

• לפרש ולהבין את דרישות התקנות החדשות הרלוונטיות ספציפית למוצרים ולתהליכים שלכם.
• לפתח ולהטמיע תוכניות בטיחות מזון ונהלי בקרת איכות העומדים בדרישות המחמירות.
• לבנות תוכניות דיגום אפקטיביות ומבוססות סיכון.
• לסייע בבחירת מעבדות ופירוש תוצאות בדיקה.
• ללוות אתכם בביצוע פעולות מתקנות ובהתנהלות מול הרשויות במקרה של חריגות.
• להישאר מעודכנים בהתפתחויות רגולטוריות והנחיות חדשות.

אל תישארו לבד מול המורכבות הרגולטורית. צרו קשר עוד היום לקבלת ייעוץ מקצועי וליווי אישי, שיבטיחו שהעסק שלכם לא רק עומד בדרישות החוק, אלא גם מייצר מזון בטוח ואיכותי יותר.

מאמר זה מספק מידע כללי בלבד ואינו מהווה תחליף לייעוץ משפטי או רגולטורי מקצועי. הנוסח המחייב של התקנות הוא הנוסח הרשמי כפי שאומץ בחוק.

בשנים האחרונות אנו עדים לעלייה דרמטית באימוץ טכנולוגיות ענן ופתרונות מרחב שיתופי, כגון:.Microsoft 365, Google Workspace, AWS, Azure   פתרונות אלו מביאים עמם יתרונות משמעותיים: זמינות גבוהה, חסכון בתחזוקה, עדכונים שוטפים ואבטחת מידע מתקדמת. אך חשוב להבין – העבודה בענן אינה פוטרת את הארגון מהצורך בביצוע סקר סיכונים ו-מבדק חדירה (Penetration Test)  כחלק בלתי נפרד מהעמידה בתקן ISO 27001 לניהול מערכת אבטחת מידע.

מדוע חשוב לבצע סקר סיכונים ומבדק חדירה גם בסביבת ענן?

חלוקת אחריות בין הספק ללקוח

שירותי הענן פועלים לפי מודל "אחריות משותפת": ספק הענן אחראי על התשתית, אך הארגון אחראי על ניהול ההרשאות, התצורה, הגישה לנתונים והגנה על מידע רגיש. טעויות בהגדרות, כגון: גישה פתוחה לקבצים רגישים או העדר אימות רב-שלבי, עלולות להוביל לדליפות מידע חמורות גם כשהתשתית מאובטחת לעילא.

איומים פנימיים וטעויות אנוש

לא כל הסיכונים באים מצידם של תוקפים מבחוץ. ישנם סיכונים שמקורם במשתמשים פנימיים, בין אם בכוונה ובין אם בטעות. גם בענן, עובדים עלולים לשתף מידע בטעות, למחוק קבצים קריטיים, או לבחור סיסמאות חלשות. סקר סיכונים מאפשר לזהות תהליכים רגישים ולטפל בהם באופן מונע.

שילוב מערכות פנימיות וחיצוניות

רוב הארגונים מחברים את סביבת הענן למערכות פנים-ארגוניות או למערכות צד שלישי (CRM, ERP). ממשקים ללקוחות. מבדק חדירה יזהה חוליות חלשות בממשקים אלה, שלעיתים מהווים את פתח הכניסה להאקרים.

עמידה בדרישות התקן והרגולציה

תקן ISO 27001 מחייב ביצוע סקר סיכונים תקופתי ובחינת האפקטיביות של הבקרות. אם לא תבוצע בחינה כזו בפועל – לא ניתן לטעון לעמידה מלאה בתקן. מבדק חדירה מהווה ראיה לבחינה אקטיבית של יכולת ההתגוננות.

אבטחת המידע לא תמיד מושלמת

ספקי הענן מציעים אבטחה ברמה גבוהה, אך ייתכן ויתפספסו היבטים קריטיים, כמו קונפיגורציות לא נכונות או טעויות בהגדרות הגישה. מבדק חדירה מאפשר לבחון האם ישנם פרצות שניתן לנצל על ידי תוקפים.

תקנות ורגולציות

ארגונים רבים חייבים לעמוד בתקנות אבטחת מידע מחמירות, כמו GDPR או HIPAA שהן לא תמיד מובטחות באופן מלא על ידי ספקי הענן. סקר סיכונים מבטיח שהארגון עומד בתקנים הרלוונטיים ושאין בעיות פוטנציאליות בתחום האבטחה שיכולות להוביל לקנסות.

ניהול סיכונים בסביבה דינמית

האיומים בתחום אבטחת המידע משתנים באופן תדיר. כלים חדשים, פרצות חדשות, שיטות התקפה מתקדמות – כל אלה מצריכים עדכון קבוע של ניתוח הסיכונים. האקרים לא מבחינים אם המידע נשמר בשרת מקומי או ב-Azure – הם מחפשים את נקודת הכשל הקרובה ביותר. לכן מומלץ לחזור על תהליך סקר הסיכונים ומבדק חדירה אחת ל18-24 חודשים, כדי להתמודד עם השינויים בסביבה הפנימית והחיצונית.

האם יש מקרים שבהם לא חובה לבצע סקר סיכונים ומבדק חדירה?

למרות החשיבות הרבה של סקרי סיכונים ומבדקי חדירה, ישנם מצבים שבהם ייתכן שאין צורך לבצעם באופן תדיר, למשל:

הגנה ברמה גבוהה ממספר ספקי ענן

אם הארגון עובד עם ספק ענן שמספק גם סקרים פנימיים ומבדקי חדירה באופן קבוע (כמו חברות ענן עם תעודות ISO 27001 ו- SOC 2) וכולל אמצעי אבטחה מתקדמים ודרישות רגולציה מחמירות, ייתכן ולא יהיה צורך בסקר נוסף כל שנה.

סביבה חסינה ומבודדת

אם הארגון עובד בסביבה מבודדת מאוד, עם מעט גישות רגישות ואבטחה פנימית גבוהה, ייתכן שהסיכון נמוך מאוד, והצורך בבדיקות יפחת.

הסיכונים זוהו באמצעים חלופיים

למשל, ניתוח קוד סטטי, בחינה מתועדת של תצורת אבטחה.

רוצים לוודא שגם מערך הענן שלכם מוגן באמת?

בין אם אתם עובדים בענן, במרחב שיתופי או בסביבה מקומית, ניהול הסיכונים והגנת המידע נשארים באחריותכם. מבדק חדירה מקצועי וסקר סיכונים מותאם יאפשרו לכם לחשוף פערים בזמן, לחזק את ההגנות ולשמור על אמון הלקוחות, השותפים והרגולטורים.

מקווה שעוררתי בכם עניין (או פאניקה 😊 ). מוזמנים ליצור קשר.
אורנה קמין, Orna@ok-consulting.co.il, 0537739018

נתחיל בספוילר – מיסוד תהליכים הוא לא כמו מתכון לעוגת שוקולד; טקטיקת "העתק-הדבק" עובדת מצויין במתכונים אך היא מתכון בטוח לאכזבה במיסוד תהליכים בארגונים.

ההבדל בין מיסוד תהליכי עבודה יעילים וזריזים לבין הכנת עוגת שוקולד בחושה הוא גדול ומהותי. מניחה שלא חידשתי לכם. ובכל זאת – אני בוחרת להסביר למה אי אפשר "לאפות" תהליכים בארגון כמו שמכינים עוגה לפי מתכון.

מתכון לעוגה: תוצאה צפויה מראש

כשאנחנו מכינים עוגת שוקולד, יש לנו רשימת מרכיבים, הוראות הכנה ברורות, וסיכוי גבוה מאוד שנגיע לתוצאה אכילה  ואפילו טעימה, גם אם איננו קונדוקטורים מקצועיים.
המרכיבים מדודים, הפעולות סדורות, ואם נבצע לפי ההנחיות – נקבל עוגה. אולי עם שינויים קלים בטעם או בפריכות, אבל הבסיס יהיה זהה.

תהליך בארגון: מרחב מורכב ודינמי

במיסוד תהליך ארגוני – הסיפור שונה בתכלית. כאן אין מתכון אחד. אין שלב ראשון ברור וידוע מראש. כל תהליך חייב להתחיל בזיהוי עומק של המטרה, ההקשר,  בעלי העניין והתרבות הארגונית.

מה מטרת התהליך? שיפור איכות? האצת זמני תגובה? חיסכון בתקציב? הגברת תחושת שייכות? כל מטרה תוביל לבניית תהליך שונה.

מי הלקוחות של התהליך? פנימיים? חיצוניים? לעיתים יש מטרות מנוגדות או ציפיות מתחרות בין הלקוחות השונים של התהליך.

מהם המשאבים?  מי מוביל את התהליך? האם יש לו סמכות, כישורים, או הבנה מספקת?

באיזה תחום אנו פועלים?  תהליך בתחום האיכות לא ייראה כמו תהליך בתחום אבטחת המידע או ייצור.

לכן, גם אם קיימים עקרונות זהים – "שלבים", "מדדים", "שיפור מתמיד" – הדרך ליישום שונה בכל פעם. זה מה שמבדיל בין תהליך מותאם לבין מתכון שחוזר על עצמו.

טיפ מספר 1: תפסיקו להעתיק תהליכים

מנהלים רבים מנסים למחזר תהליכים שהכירו ממקומות עבודה קודמים. לפעמים כי זה "נוח", או דורש פחות השקעה, לפעמים כי זה עבד בעבר. אבל תהליך שלא נבנה מתוך ההקשר הארגוני הספציפי דומה לאפיית עוגה עם אלתורים. התוצאה יכולה להיראות דומה, אך תרגיש לא מותאמת.

מוביל שינוי שמכין תהליך לארגון – לומד לעומק את הארגון, את המטרה של התהליך ומתאים אותו בצורה מושכלת לצרכים ולתרבות הארגונית.

טיפ מספר 2: תהליך הוא לא פרויקט – הוא מערכת חיה

ההבדל המהותי ביותר בין עוגה לתהליך הוא שעוגה היא פרויקט שמסתיים לאחר שהעוגה יוצאת מהתנור, ואילו תהליך שמוטמע בארגון רק מתחיל עם בנייתו. התהליך חי, משתנה, מתפתח. תהליך טוב הוא כזה שיש לו מנגנון למידה. הוא מגיב לשינויים בשוק, בטכנולוגיה, בצוות ובסביבה. אין בו "סיום" אמיתי – יש בו שיפור מתמיד.

טיפ מספר 3: שאלו שאלות במקום להניח הנחות

מובילי תהליכי שינוי הארגוים לא מניחים שהפתרון קיים מראש. הם בודקים, מתייעצים, ומבינים את ההקשרים הייחודיים. הם שואלים:

• מה באמת כואב לצוות?
• מה רוצים לשפר, ומה ייחשב הצלחה?
• מי יושפע מהשינוי ואיך נרתום אותו?

 לסיכום

בניית תהליך תפור לארגון מתחיל בזיהוי צרכים מדויק, הבנת ההקשר הארגוני ותכנון מותאם ולא בפתרונות מדף.

אם תהליך ארגוני היה יכול להצליח בשיטת "העתק-הדבק" היינו מורידים מתכונים לשינוי ארגוני מהאינטרנט כמו שאנו מחפשים מתכון לעוגה.
בנייה חכמה של תהליך מסתמכת על מודלים לשינוי עם עקרונות מנחים, ולא מתכון זהה לכולם. בניית תהליך היא השקעה שמחזירה את עצמה לאורך זמן: בתוצאות, בשקט הניהולי, וביכולת להתמודד עם אתגרי השעה.

באוגוסט 2024 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות – אחד השינויים הדרמטיים ביותר שנראו בישראל בתחום זה.

הרגולציה החדשה מחייבת ארגונים לבצע התאמות מעמיקות בניהול המידע – ומי שלא נערך, עלול לשלם ביוקר: בקנסות, באובדן לקוחות, ואפילו בפגיעה אישית במנהלים.

מה מחייב החוק החדש?

תיקון 13 לחוק כולל מספר חובות חדשות על ארגונים:

• מינוי ממונה על הגנת הפרטיות (DPO) –  ארגונים המחזיקים במאגרי מידע רגישים או בהיקף נרחב מחויבים למנות ממונה על הגנת הפרטיות בעל הכשרה מתאימה.
• הרחבת חובת היידוע –  בעת איסוף מידע אישי, יש ליידע את הנושאים במידע על זהות בעל המאגר, מטרות העיבוד וזכויותיהם. ​
• פיצויים ללא הוכחת נזק –  נפגעים מהפרת החוק יכולים לתבוע פיצויים של עד 10,000 ש"ח ללא צורך בהוכחת נזק.
• חובת דיווח על אירועי אבטחה חמורים: במקרה של אירוע אבטחה חמור, על הארגון לדווח לרשות להגנת הפרטיות תוך 24 שעות. ​

זו לא המלצה – זו חובה משפטית. 

לא נערכים? הסיכונים שמחכים לארגון שלך ..

ארגונים שלא יעמדו בדרישות התקנות החדשות עלולים להתמודד עם מספר סיכונים. הסכנות הנובעות מאי-עמידה בתקנות הגנת הפרטיות החדשות בישראל הן משמעותיות, והן משלבות היבטים משפטיים, כלכליים, תפעוליים ותדמיתיים.

סיכונים משפטיים ורגולטוריים

ארגונים שיש להם גישה למידע אישי, חשופים לסיכונים המשפטיים והרגולטורים שלהלן:

• קנסות מנהליים
  רשות הגנת הפרטיות מוסמכת להטיל קנסות של עשרות ואף מאות אלפי שקלים בגין כל הפרה של החוק או התקנות. הקנסות אינם דורשים הליך פלילי – מדובר באכיפה מנהלית.
• אחריות פלילית אישית
  מנהלים בארגון, קציני פרטיות, ומנהלי מערכות מידע עלולים לשאת באחריות פלילית אישית בגין רשלנות או מחדל. לדוגמה, אי-דיווח על אירוע אבטחה חמור בזמן.
• תביעות אזרחיות – גם ללא הוכחת נזק
  לפי התיקון החדש, אדם שזכויותיו הופרו רשאי להגיש תביעה ולקבל פיצוי של עד 10,000 ש"ח ללא הוכחת נזק. המשמעות: גל תביעות ייצוגיות פוטנציאלי נגד ארגונים שלא מיישמים את החוק.

סיכונים כלכליים

ארגונים המחזיקים במאגרי מידע רגישים או בהיקף נרחב, חשופים לסיכונים כלכליים שלהלן:

• הפסדים ישירים ועקיפים
  עלויות חקירה פנימית, שירותי ייעוץ משפטי, הודעה ללקוחות שנפגעו, ועלויות התאוששות עלולות להגיע לעשרות ואף מאות אלפי ש"ח – גם ללא קנס.
• אובדן עסקאות והזדמנויות
  לקוחות, ובעיקר ארגונים עסקיים גדולים או גופים ציבוריים, בוחרים ספקים שמוכיחים עמידה בדרישות פרטיות. חוסר מוכנות פוגע בסיכוי לזכות במכרזים או להיכנס לשותפויות.

סיכונים תפעוליים

ארגונים המחזיקים במאגרי מידע רגישים או בהיקף נרחב חשופים לסיכונים תפעוליים שלהלן:

• השבתת מערכות עקב אירוע אבטחה
  מתקפות סייבר שמנצלות חולשות בניהול מידע עלולות להשבית תהליכים עסקיים קריטיים, במיוחד אם אין תכנון תגובה נכון.
• אובדן מידע רגיש
  אובדן מידע על עובדים, לקוחות או שותפים עסקיים ללא נוהל גיבוי נכון או בקרות פרטיות – יוצר השלכות חמורות תפעוליות.

פגיעה באמון ובמוניטין

ארגונים המחזיקים במאגרי מידע רגישים או בהיקף נרחב חשופים לפגיעה באמון ובמוניטין.

• פגיעה באמון הציבור
  חשיפה בתקשורת על דליפת מידע או הפרת פרטיות פוגעת באופן מיידי באמינות הארגון בעיני לקוחות, שותפים ומשקיעים.
• פגיעה במותג לטווח ארוך:
  תיקון מיידי של הכשל לא מבטיח שיקום מהיר – לעיתים נדרש זמן רב עד שהלקוחות "שוכחים", ובמקרים רבים הם פשוט עוברים למתחרים.

המלצות לפעולה – איך תערכו נכון ותשמרו על הארגון שלכם?

הפעולות הבאות הן הכרחיות כדי להבטיח הגנה על פרטיות המידע

1. מיפוי מאגרי המידע –  כדי  להבין מה יש, איפה, ולמה
   זהו וסווגו את המידע הנמצא ברשות הארגון, כולל הערכת רגישותו.​
2. עדכון נהלים ומדיניות – כדי להתאים את הנהלים הקיימים או החסרים לדרישות החדשות
   הגדירו נהלים ברורים לניהול ואבטחת המידע, כולל מדיניות פרטיות מעודכנת.
3. הדרכת עובדים –  החולייה החלשה – עובדים שלא מודעים לחשיבות של שמירה על אבטחת המידע והפרטיות.
   העלו את המודעות בקרב העובדים לחשיבות הגנת הפרטיות ואבטחת המידע.​
4. ביצוע סקרי סיכונים ומבדקי חדירות –  כדי לזהות פגיעויות במערכת אבטחת המידע ולתקן אותם
   זהו נקודות תורפה במערכות הארגון והטמיעו בקרות מתאימות
5. מינוי ממונה על הגנת הפרטיות – DPO  עם ניסיון כדי לתחזק באופן שוטף את מערכת הגנת הפרטיות.
   במידת הצורך, מנו DPO שיפקח על יישום התקנות בארגון.​

ומה הלאה? האם הארגון שלך באמת מוכן לביקורת אבטחת הפרטיות שעלולה להגיע בקרוב?

היערכות מוקדמת ויישום ההנחיות החדשות מאפשרות לארגון לא רק לעמוד בדרישות החוק ולהימנע מהסיכונים שתוארו לעיל, אלא גם לחזק את אמון הלקוחות והשותפים העסקיים.​

דברו איתנו!
מוזמנים לפנות אלי באופן אישי –
אורנה קמין, מנכ"ל ובעלים OK  יועצים לניהול
📞 0537739018,
📧 orna@ok-consulting.co.il

לכבוד פורים –
מהם הגורמים ההפוכים שיגרמו לאי הצלחה במיקור חוץ לניהול איכות וכיצד נעשה "ונהפוך הוא", ונהפוך את ההפוך לטוב.

מיקור חוץ לניהול איכות יכול להוות פתרון מצוין עבור ארגונים המעוניינים לשפר תהליכים ולהתמקד בליבת עסקיהם. עם זאת, ישנם מספר גורמים אשר עלולים להוביל לכישלון של מהלך כזה.

המאמר להלן מפרט את הסיבות המרכזיות לכישלון במיקור חוץ לניהול איכות וכיצד ניתן להפוך כל אחת מהן להצלחה:

בחירה לא נכונה של הספק

מדוע הדבר גורם לכישלון?  ספק שאינו בעל ניסיון או הבנה בתחום הארגוני עלול לספק שירותים באיכות נמוכה שאינם עומדים בצרכים. לעיתים גורם זה יכול לקרות כאשר פונים לחברת ייעוץ שמעסיקה יועצים שכירים והיא מתפתה לצוות יועץ למשימה שלא מתאימה לו רק כדי שלא יהיה מובטל בזמן שמשכורתו משולמת בכל מקרה. 

ונהפוך הוא – כיצד להפוך את הגורם להצלחה? יש לבצע תהליך סינון קפדני, לבדוק המלצות, ניסיון קודם, ולהבטיח שהספק מבין את תעשיית הלקוח ואת הדרישות הרגולטוריות. כאשר פונים לחברת ייעוץ, מומלץ לבדוק את היועץ המיועד באותו תהליך סינון ולא רק להסתפק בהתקשרות עם חברות ייעוץ ידועות בשוק.

חוסר הגדרה ברורה של הציפיות והדרישות

מדוע הדבר גורם לכישלון? כאשר אין הגדרה מדויקת של היקף השירותים, היעדים והציפיות מהמיקור חוץ, עלולות להיווצר אי הבנות ותסכול.

ונהפוך הוא – כיצד להפוך את הגורם להצלחה? יש להגדיר מראש את התוצאות הרצויות, ולפי הרלוונטיות גם מדדי ביצוע, תכולת עבודה מדויקת ולוודא שכל הצדדים מבינים את תחומי האחריות.

חוסר שליטה ובקרה על הספק

מדוע הדבר גורם לכישלון? כאשר הארגון אינו מבצע מעקב שוטף אחר ביצועי הספק, איכות השירות עלולה להיפגע.

ונהפוך הוא – כיצד להפוך את הגורם להצלחה? לקיים פגישות תקופתיות, להשתמש בדוחות ומדדים ברורים, ולוודא שקיים מנגנון לשיפור מתמיד.

אי-שיתוף פעולה מצד העובדים הפנימיים

מדוע הדבר גורם לכישלון? עובדים בארגון עשויים לראות בספק גורם זר, מה שעלול להוביל לחוסר שיתוף פעולה וחסימת מידע חיוני. גורם נוסף הוא יועץ שמתבלבל לגבי מיקומו בארגון והוא עובר את הגבול שלו ומתערבב בפוליטיקה הארגונית.

ונהפוך הוא – כיצד להפוך את הגורם להצלחה? יש לשלב את הספק בתהליכים הפנימיים, להסביר לעובדים את הערך המוסף של המיקור חוץ, להגדיר באופן ברור את האחריות והסמכות של היועץ/מנהל איכות במיקור חוץ וליצור תרבות של שיתוף פעולה. כמו כן, על היועץ, מנהל האיכות במיקור חוץ לשמור על גבולות הגזרה שלו ולהתמקד בעבודה המקצועית בלבד.

חשיבה לטווח קצר / אי בניית מערכת יחסים לטווח ארוך

מדוע הדבר גורם לכישלון? החיים הם לא פיקניק. קורים דברים לא מתוכננים. ספק שאינו גמיש לשינויים או מנסה למקסם את הרווחים שלו לטווח קצר, יתקל בחוסר שיתוף פעולה, אי אמון בו ורצון להחליפו בשעת כושר.

ונהפוך הוא – כיצד להפוך את הגורם להצלחה? לשים את טובת הלקוח במקום ראשון. גם אם בטווח הקצר הספק קצת נפגע, בטווח הארוך זה תמיד משתלם. לחשוב במונחים של "ערך לקוח", כלומר, איזה ערך מצטבר יתקבל מהלקוח ולא רק מהפרויקט הנוכחי.

עלויות נסתרות והתייקרות השירות

מדוע הדבר גורם לכישלון? ללא הגדרה ברורה של עלויות, הארגון עלול למצוא את עצמו עם הוצאות בלתי צפויות.

ונהפוך הוא – כיצד להפוך את הגורם להצלחה? לבדוק מראש את כל ההיבטים הכלכליים, להכניס סעיפי שקיפות לחוזה ולוודא שאין עלויות נסתרות.

תלות גבוהה מדי בספק

מדוע הדבר גורם לכישלון? כאשר הארגון תלוי לחלוטין בספק חיצוני, הוא עלול לאבד שליטה על ניהול האיכות.

ונהפוך הוא – כיצד להפוך את הגורם להצלחה? לדאוג לחפיפה שוטפת של הידע הארגוני שנצבר אצל הספק / מנהל איכות במיקור חוץ.

סיכום

מיקור חוץ לניהול איכות יכול להיות כלי אסטרטגי חשוב אם מיושם בצורה נכונה. על ידי הגדרה ברורה של ציפיות, בחירה קפדנית של ספקים, פיקוח הדוק, שיתוף פעולה ארגוני וגמישות תפעולית  ניתן להפוך את האתגרים להצלחות ולמנף את האיכות הארגונית.

פרויקט מיקור חוץ יכול להיכשל רק מקיום גורם אי הצלחה אחד, אך כדי להצליח כדאי להרבות בכל גורמי ההצלחה "ההפוכים" שתוארו במאמר זה.

גורמי ההצלחה או אי ההצלחה שתוארו לעיל נכונים לכל מיקור חוץ באשר הוא – ניהול אבטחת מידע במיקור חוץ CISO או ניהול אבטחת הפרטיות במיקור חוץ וכדומה.

הזמנה

מעוניינים להתייעץ עימי בנושאים שתוארו לעיל?

מזמינה אתכם לדבר איתי ישירות. אורנה קמין. 0537739018, orna@ok-consulting.co.il

כשנכנס אדר מרבים בשמחה. לפי המסורת בפורים מדברים על פוטנציאל להיפוך. מה שהפוך יש לו פוטנציאל להתהפך.

איך הדבר קשור אלינו?

כל ארגון באשר הוא שואף לגדילה ולהתפתחות, ולהפוך את מה שהפוך. אחד ההרגלים ששרתו אותנו בנאמנות הרבה שנים הוא ההרגל לדהור קדימה, לעשות יותר, לעשות הכול במשאבים פנימיים, עם כוונה כמובן גם לעשות יותר טוב. עד שאנו מגיעים לנקודה שכבר יש לנו עובדים טובים, לקוחות נאמנים ולמרות זאת יש נקודות קריסה או לפחות תקלות משמעותיות כתוצאה מעבודה לא מדויקת.

איך נהפוך את ההפוך? איך הופכים עבודה לא מדויקת שכבר לא נכונה לנו לעבודה שיטתית מדויקת שיותר מתאימה לנו?

כדי להתהפך נדרשת מוכנות לשינוי. אם נמשיך להתעקש להמשיך לעבוד בדיוק כמו שעבדנו עד היום לא יקרה ההיפוך לטוב. כולנו מכירים את אמרתו של אלברט איינשטיין שהגדיר כאי שפיות את הרצון לתוצאות שונות בלי מוכנות לשנות את הפעולות שלנו ("אי שפיות היא לעשות אותו דבר שוב ושוב ולצפות לתוצאות שונות – אלברט איינשטיין")

אחת הדרכים להפוך את ההפוך היא מיקור חוץ. לעיתים, הרצון שלנו לעשות את כל המשימות במשאבים פנימיים הופך לעומס שמייצר חוסר דיוק, ולעיתים אפילו שחיקה של העובדים. מיקור חוץ מאפשר לנו לשבור את הדפוס הקיים, להכניס מקצוענות מבחוץ ולייצר עבודה יותר מדויקת ויותר אפקטיבית.

מיקור חוץ כהיפוך לחשיבה המסורתית

רוב הארגונים נוהגים להאמין שכדי לשמור על איכות גבוהה, עליהם לשלוט בכל שלב ושלב בתהליך. אך בימינו נדרשת מומחיות עמוקה בתחומים מגוונים. ההיפוך המתבקש הוא להבין שהוצאת חלק מהפעילויות ליועצים חיצוניים דווקא יכולה להוביל לשיפור איכותי. יועצים חיצוניים שמתמחים בתחומם מביאים חדשנות, ניסיון ומקצועיות שלא תמיד קיימים בתוך הארגון.
למשל: במקום להתמודד עם משאבים פנימיים עם כל תהליכי הבקרה והאיכות, ארגונים יכולים להיעזר בגורמים חיצוניים המתמחים בכך. פתרון זה לא רק משפר את רמת הדיוק והאמינות של התהליכים, אלא גם מאפשר לעובדי החברה להתמקד בתחומי הליבה שלהם ולמקסם את יעילותם.

כיצד מבצעים את ההיפוך נכון?

כדי להבטיח שמיקור החוץ אכן יהפוך את הבלתי מדויק למדויק, ישנם כמה שלבים קריטיים:

1. בחירת התחומים המתאימים למיקור חוץ

התחומים האידאליים למיקור חוץ הם:

• תחומים בהם אין לחברה משאבים ו/או מומחיות לבצע באמצעים פנימיים.
• תחומים בהם הארגון חווה תקלות, חוסר דיוק או עומס יתר;
• תחומים בהם ביצועי התהליך אינם אופטימאליים.

2. הגדרה ברורה של המטרה אותה רוצים להשיג.

קבעו מראש מהם הקריטריונים שעל פיהם תימדד ההצלחה של מיקור החוץ. היכן תרצו להיות בסיום תהליך הייעוץ או מיקור חוץ? לאחר שמוגדרת המטרה, גשו לתהליך הבחירה של היועץ / ספק.

3. בחירת שותף אסטרטגי / יועץ מתאים

לא כל ספק / יועץ מתאים לכל ארגון. חשוב לבחור יועצים שמתמחים בתחום הרלוונטי ושיש להם הבנה עמוקה של הצרכים הייחודיים של החברה.

4.  מעקב ושיפור מתמיד

נראה ברור מאליו שצריך לעשות מעקב ובקרה אחר ביצועי היועץ או הספק. למרות זאת, לא תמיד הדבר מתממש. גם לאחר שהוצאנו פעילות מסוימת החוצה, אין זה אומר שאפשר לשחרר שליטה לחלוטין. יש לוודא שהאיכות נשמרת ושהתהליך מותאם לצרכי המשתנים של הארגון.

סיכום – פורים כמקור השראה לשינוי ארגוני

חג הפורים נותן לנו השראה להפוך את הדברים ההפוכים לטובים.

כתבתי על מיקור חוץ כתהליך הפוך לחשיבה המסורתית שרוצה לעשות הכול במשאבים פנימיים גם במחיר אי עמידה בהתחייבויות איכות, לו"ז, ואפילו תקציב.

כמובן שאפשר להתהפך גם באמצעים פנימיים. לפעמים זה קשה יותר בגלל תפיסות מציאות שמשתרשות עקב נקודות עיוורון.

מזמינה אתכם לשאול השנה בחג פורים, איך ניתן להפוך גם את הארגון שלכם למדויק, יעיל ומתקדם יותר?
אם תשובתכם תהיה: באמצעות פתיחות לשינויים, חשיבה חדשנית ונכונות לשתף פעולה עם מומחים מבחוץ, אנחנו פה!
מוזמנים לפנות אלי אישית: אורנה קמין, 053773901, orna@ok-consulting.co.il

.