מדוע מאי 2018 יהיה קודר – שלא לומר מעונן?
התשובה היא בגלל רגולציית הפרטיות האירופית, ה-GDPR ● הרגולציה תשפיע באופן משמעותי על ספקיות שירותי הענן
חודש מאי מסמל אמנם את בוא האביב, אבל בהתקרב מאי 2018, עת תיכנס רגולציית הפרטיות האירופית, ה-GDPR – לתוקף, צפויה עננות גבוהה ביותר.
אחת ההשפעות המשמעותיות של הרגולציה הינה על ספקיות שירותי הענן, המספקות שירות של עיבוד נתונים אישיים עבור ארגונים המאחסנים אצלן מידע שבבעלותם.
בהגדרת "בעלי המידע", נמנים ארגונים במגוון תחומים, כגון בנקים, נותני שירותי אשראי, חנויות, ספקיות שרותי בריאות, ארגוני צדקה, וכל עסק אחר שאוסף נתונים מאנשים פרטיים. בהגדרת "מעבדי המידע" נמצאות חברות המספקות שירותי ענן.
החל מחודש מאי הקרוב, כאשר תיכנס לתוקפה רגולציית ה-GDPR, האחריות לקיום הרגולציה בנוגע לניהול נתוני המשתמשים, תחול הן על בעלי המידע והן על מעבדי המידע.
מעבדי המידע, ספקיות שירותי הענן, עלולות למצוא עצמן אחראיות לקיומה של רגולציית הפרטיות לגבי נתונים שלא נאספו על ידן, ושהן אינן בעלות האינטרס בשימוש בו. לכן, על ספקיות שירותי הענן לתת את הדעת, ויפה שעה אחת קודם, ולקבוע מהי הדרך הטובה ביותר לוודא שהנתונים שהלקוחות שלהן מציבים בשרתים שלהן – מוגנים כהלכה, בהתאם לדרישות ה-GDPR.
למחוק מידע באופן מלא
בשלב הראשון, החברות המספקות שירותי ענן, נדרשות לדעת בכל רגע נתון מהם היישומים הנמצאים בשימוש, היכן נשמרים נתוני המשתמשים והאם התקבלה הסכמתם של המשתמשים לעיבוד המבוקש. הסיבה לכך היא כי אם השמירה מתבצעת בשרתים באירופה, אזי תאימות לרגולציה הינה חיונית וישנו צורך ביישום השלבים הבאים.
בשלב הבא, ספקיות שירות הענן אינן מעבדות באופן פעיל נתונים אישיים על פי הוראת לקוחותיהן. הלקוחות משתמשים בשירותי ענן ישירות בעצמם, לדוגמה, העלאה בשירות עצמי, עריכה ומחיקה של נתונים אישיים המעובדים באמצעות שירות הענן. לכן, יש לדאוג להסכמי עיבוד נתונים מעודכנים עם החברות המפתחות יישומים ומשתמשות בשירותי הענן.
הסכמים אלו צריכים לכלול פירוט של היכולת לעמוד בדרישות הפרטיות של GDPR – למשל, איזה מידע נשמר, מהו משך הזמן שאותו מידע נשמר, המטרה שלשמה הוא נשמר, ועוד. בנוסף, יש לאפשר לספקית שירות הענן למחוק מידע באופן מלא, אם הדבר יידרש על ידיי משתמש היישום; הן תידרשנה שלא לאפשר איסוף של נתוני מידע, יותר ממה שנדרש לשימוש היישום שפותח, ואל להן לאפשר לאפליקציה לשתף את אותו מידע עם צד שלישי.
מתן שירותי שכבות הגנה בהתאם לרמת רגישות המידע
ושלב אחרון: מעבר להסכמים המשפטיים, יש להבטיח כי ספקיות שירותי הענן מיישמות בקרות טכנולוגיות ומנהליות, אשר מאפשרות הגנה על הנתונים השמורים אצלן ועל תהליך העיבוד שלהם. עניין זה עשוי להיראות בעייתי מעט בהתחלה. הסיבה לכך נעוצה בעובדה כי בעל המידע, אשר מבקש לשומרו בענן, מודע מראש לאופי מטרות העיבוד של המידע, אותו הוא אוסף. לכן, בעל המידע יכול לאבטח את הנתונים, למשל על ידי הצפנתם מראש, טרם שמירתם בענן.
אבל ספקיות שירותי הענן אינן יכולות להתאים אמצעי אבטחה פרטניים עבור כל אחת מהחברות אשר משתמשות בשירותיהן. הספקיות הללו יכולות לאפשר שירותי אבטחה גנריים לכלל הלקוחות. כדי לשמור על עצמן מפני חשיפה לתביעות, בשל אי תאימות לרגולציית ה-GDPR, עליהן לתחקר כל לקוח שעומד להשתמש בשירותיהן, לגבי תהליך העיבוד המיועד של המידע שהוא מחזיק בידו – ומהם הסיכונים העיקריים הקיימים בקשר למידע זה. לאחר מכן עליהן להתאים את רמת האבטחה בהתאם לממצאים. לדוגמה, שימוש בפתרונות טכנולוגיים המאפשרים מניעת אובדן נתונים ומידע, או כלים המאפשרים לאכוף מדיניות בדבר זרימת נתונים בין מדינות, או ארגונים שונים.
התאמות שכאלה יהיו כרוכות בעלויות עבור ספקיות שירותי הענן. על מנת לכסות עלויות אלה, יש לשקול הצעה למתן שירותי שכבות הגנה בהתאם לרמת רגישות המידע. כך, שירותים עבור נתונים רגישים יהיו מאובטחים ברמות אבטחה גבוהות יותר, ובהתאם, יהיו כרוכים בעלויות נוספות עבור החברות המשתמשות בהם.
יש לזכור כי שליטה וניהול הנתונים אינם בהכרח מענה לתאימות לרגולציית הפרטיות. המדיניות ואמצעי הפיקוח של ספקיות שירותי הענן בנוגע לאחסון נכון, עיבוד, גישה ושיתוף של מידע אישי – היא שתקבע את האופן שבו הארגון יוכל למלא אחר דרישות הרגולציה, ולקבל את בוא האביב עם חיוך, במאי 2018.
אתי ברגר, דוקטורנטית, מומחית לתחום הסייבר והפרטיות בהיבט המשפטי והטכנולוגי; עו"ד לאה מילר פורשטט, ממשרד עורכות הדין SGFD, מומחיות בתחום המשפט המסחרי, תאגידים והיי-טק.
תגובות
(0)