האם סוכנויות ביטוח בישראל עומדות בדרישות הרשות להגנת הפרטיות?
28 סוכנויות ביטוח בישראל עברו באחרונה פיקוח רוחב של הרשות, וזו סיכמה את ממצאיה וקבעה כי רמת העמידה של הנבדקות בהוראות חוק הגנת הפרטיות "עומדת ברף הבינוני-גבוה" ● מה בכל זאת דרש ודורש תיקון?
הרשות להגנת הפרטיות ערכה באחרונה פיקוח רוחב בקרב 28 סוכנויות ביטוח בישראל ומצאה כי מרביתן עומדות ברף הבינוני-גבוה של הוראות חוק הגנת הפרטיות ובתקנות מכוחו. 26 מתוך 28 סוכנויות הביטוח שנבדקו קיבלו הנחיות לתיקון ליקויים ועל חלקן אף ביצעה הרשות הליך פיקוח מעקב ווידאה כי הליקויים תוקנו כנדרש.
לדברי הרשות, כשני שליש מהסוכנויות (75%) עמדו ברמה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, 92% מהסוכנויות עמדו ברמה גבוהה בקריטריון של ניהול מאגרי מידע וכ-71% מהסוכנויות עמדו ברמה גבוהה בקריטריון של בקרה ארגונית. יחד עם זאת, רק 32% מהסוכנויות המשתמשות בשירותי מיקור חוץ לעיבוד מידע עמדו ברמה גבוהה בהוראות התקנות, המתייחסות לחובות החלות על החברות במקרים של עיבוד מידע אישי באמצעות מיקור חוץ.
סוכנויות הביטוח בישראל – אחד מיעדי פיקוח הרוחב המשמעותיים של הרשות
לאחרונה סיימה הרשות חקירה פלילית, שחשפה רשת סחר בנתונים אישיים של מבוטחים בשלוש מחברות הביטוח הגדולות בישראל, ממנה עלה כי סוכנות ביטוח הפעילה במהלך שנתיים עובדי מכירות בחברות הביטוח, שהופעלו על בסיס קבוע תמורת תשלום. בסיומה של החקירה הועבר התיק למחלקת הסייבר בפרקליטות המדינה לשם עיון והחלטה בדבר הגשת כתבי אישום
מגזר סוכנויות הביטוח בישראל נקבע כאחד מיעדי פיקוח הרוחב המשמעותיים של הרשות להגנת הפרטיות, וזאת בשל מאפייניו הייחודיים בהיבטי פרטיות, שבאים לידי ביטוי בשימוש נרחב של כלל הציבור בשירותי סוכנויות הביטוח, באיסוף מידע בהיקפים נרחבים ושמירתו לתקופה ממושכת ובהחזקת מידע רגיש, כגון מצב נפשי ומצב בריאותי של הלקוחות.
בנוסף, המעבר הטכנולוגי המואץ לרכישת שירותי ביטוח במרחב הדיגיטלי, מעלה סיכונים נוספים לפריצה למאגרי מידע וגניבת נתונים, כדוגמת פרשת שירביט, אשר המחישה את חשיבות העמידה בחוק הגנת הפרטיות ובתקנות מכוחו, במיוחד בקרב סוכנויות ביטוח המספקות שירותי ביטוח לחברות וגורמים ביטחוניים.
חוותה מתקפת סייבר חמורה. שירביט
במסגרת פיקוח הרוחב, בחנה הרשות להגנת הפרטיות את עמידת סוכנויות הביטוח בקריטריונים הבאים: בקרה ארגונית, ניהול מאגרי מידע, אבטחת מידע ועיבוד מידע אישי במיקור חוץ.
ממצאי דו"ח הפיקוח העלו כי נמצאו ליקויים בתחום אבטחת המידע וכי על מנת לשפר את רמת העמידה של הסוכנויות, עליהן לוודא, בין היתר, כי תיעוד של כל אירועי אבטחת המידע יישמר וכן לגבש נוהל עבודה סדור, בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), לרבות קיום דיון מעת לעת באירועי אבטחה.
כמו כן, על סוכנויות הביטוח לבחון את הצורך בחיבור התקנים ניידים למערכותיהן, וככל שלא קיים צורך, או שהוא מינימלי, להגביל את השימוש בהם למתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, רגישות המידע והסיכונים למערכות המאגר או למידע, הנובעים מחיבור ההתקן הנייד למערכת, לרבות קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה.
הסוכניות לא מבינות מה השימושים שמותר לעשות במידע על הלקוחות
בהתייחס לקריטריון של ניהול מאגרי מידע, עולה מממצאי הדו"ח, כי ישנה אי בהירות בקרב סוכנויות הביטוח בנוגע לשימושים שמותר להן לעשות במידע שהן אוספות על הלקוחות, כאשר הן משמשות כמחזיקות עבור חברות הביטוח.
עמדת הרשות היא כי בעסקת ביטוח טיפוסית, כגון ביטוח חיים, בריאות, נכסים וכיוצא בזאת, חברת הביטוח היא בעלת מאגר המידע וסוכנות הביטוח משמשת כמחזיקה, ומשכך אסור לה להשתמש במידע על הלקוחות למטרותיה, ככל שהן חורגות מהמטרות שביחס אליהן ניתנה הסכמת הלקוח לחברות הביטוח.
המשמעות היא שההסכמה הניתנת על ידי המבוטח לחברת הביטוח למטרות המוצהרות, אינה מהווה הסכמה לשימושים נוספים על יד סוכנות הביטוח, גם אם המטרה דומה, כשאין בכך כדי לשלול את האפשרות של סוכנות הביטוח להקים מאגרי מידע בבעלותה.
יצוין, כי במקרה שבו מבקשת סוכנות הביטוח לעשות במידע שימושים נוספים על אלה שלשמם אספה את המידע עבור חברת הביטוח, באופן שיהפוך את הסוכנות לבעלת מאגר מידע נפרד, עליה לקבל את הסכמתו הנפרדת של הלקוח להצטרף למאגר הלקוחות של סוכנות הביטוח. במסגרת בקשת ההסכמה הנפרדת על סוכנות הביטוח עליה לציין האם חלה על הלקוח חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו, וכן לציין את המטרה או המטרות אשר לשמן מבוקש המידע, למי יימסר המידע ומטרות המסירה.
ממצאי הדו"ח על סוכנויות הביטוח צילום: הרשות להגנת הפרטיות
עיבוד מידע פרטי במיקור חוץ
מממצאי הדו"ח המתייחסים לקריטריון של עיבוד מידע אישי במיקור חוץ עולה כי במגזר סוכנויות הביטוח נמצאה רמת עמידה בינונית בהוראות חוק הגנת הפרטיות. כמו כן עולה מהממצאים כי סוכנויות רבות כלל אינן מודעות לכך שהשימוש שהן עושות בתוכנות ניהול אינטרנטיות מהווה למעשה העברת מידע למיקור חוץ.
כפי שעולה מהדו"ח, על הגופים המסתייעים בגורם חיצוני לצורך עיבוד מידע לבחון, עוד בטרם ההתקשרות, את סיכוני אבטחת המידע הכרוכים בהתקשרות.
בנוסף, על בעל המאגר לוודא עריכת הסכם מול כל גורם חיצוני המחזיק במאגר, בו יקבעו במפורש, בין היתר, חובתו של הגורם החיצוני לדווח, אחת לשנה לפחות, לבעל המאגר אודות אופן ביצוע חובותיו לפי התקנות וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה.
הרשות הבהירה כי גם כאשר הסוכנות משמשת כמחזיקה במאגר עבור חברת ביטוח, יש לוודא עריכת הסכם מול כל גורם חיצוני נוסף שמחזיק במאגר. עוד דורשות התקנות מן הגופים לנקוט באמצעי בקרה ופיקוח נאותים על עמידת הגורם החיצוני בהוראות ההסכם והתקנות.
לאור הממצאים, שעלו מהליך פיקוח הרוחב, קיבלו 26 גופים מתוך 28 הגופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם. לנוכח הכשלים שהתגלו בהליך פיקוח הרוחב, המפורטים בממצאי הדו"ח, נשלחו הנחיות לכלל הגופים הפועלים במגזר, באשר לצעדים שעליהם לנקוט כדי לעמוד בדרישות החוק והתקנות.
כתבה חשובה. אכן צריך להבין איך לנהל מידע ולשמור עליו. חברת Cyberteam360 גאה להיות החברה המלווה לנושא בין היתר של מספר חברות ביטוח מובילות בארץ. לעזור להם לשמור על פרטיות הלקוחות ואבטחת המידע.