"יש להיערך היערכות כפולה: אל מול ה-GDPR – והתקנות הישראליות"

"בישראל ישנה סתירה: מצד אחד, אנו חיים בחברה הרגילה למצב בו המידע אודותינו חשוף. נולדנו עם נכונות לחשוף מידע מול הרשויות, בשם ביטחון המדינה. אין דרישה טבעית לפרטיות. מצד שני, אנו חיים בחברה השרויה באווירה ביטחונית, ויש ארגונים רבים אשר מוגנים מעל הממוצע. ככלל, המודעות של ארגונים בישראל להגנת הפרטיות – לא גבוהה", כך אמר אופיר זילביגר, שותף, מנהל מרכז הגנת הסייבר, BDO.

זילביגר דיבר ברב שיח טלוויזיוני בנושא הגנת הפרטיות. הפאנל התקיים לפני ימים אחדים באולפני Askimo בתל אביב, והנחה אותו יהודה קונפורטס, העורך הראשי של אנשים ומחשבים. דוברים נוספים היו ד"ר בנצי אופיר, דירקטור בניסקו טכנולוגיות, ועו"ד לימור שמרלינג-מגזניק, מנהלת מחלקת קשרי ציבור וממשל ברשות להגנת הפרטיות, משרד המשפטים.

לדברי זילביגר, "תקנות הגנת הפרטיות של האיחוד האירופי, GDPR, רלוונטיות עבור ארגונים בשוק הישראלי: יש חברות רבות המחזיקות מידע פרטי של אזרחים אירופאים, יש חברות המייצאות טכנולוגיות לשם. בניגוד לתקנות הגנת הפרטיות הישראליות, ה-GDPR אינן מציגות דרישות אבטחת מידע פרטניות".

על פי זילביגר, "הגישה האירופית הרגולטורית לבעיה היא שונה: החוק האירופי מתייחס לצורך להגן על המידע – אבל לא יורד לרזולוציות מה צריך לעשות. המסר העולה מהתקנות הוא שיש צורך לטפל ולהגן על המידע האישי של אזרחי אירופה".

לדברי זילביגר, "הסוגיה של ההגנה על הפרטיות שונה מניהול סיכון של פריצה, תקיפה – או אובדן נתונים. יש ליצור מצב בו ההגנה על הפרטיות תהא סיכון ספציפי מתוך כלל סיכוני החברה". הוא ציין כי "אנו ממליצים לכל ארגון להיערך היערכות כפולה: אל מול תקנות הגנת הפרטיות האירופיות, ואל מול אלו הישראליות – וליישם תכנית העונה על שתי הדרישות".

זילביגר סיים באומרו כי "נושא הגנת הפרטיות הפך לחשוב פעמיים – בהיערכות, ולאחר מכן – ברמה הפרקטית".

אתי ברגר, יועצת משפטית וטכנולוגית להגנת הפרטיות, TripleP

אתי ברגר, יועצת משפטית וטכנולוגית להגנת הפרטיות, TripleP, אמרה כי "אנו הולכים לקראת מהפכה, אנו על סף המפץ הגדול של הגנת הפרטיות. הנהלות צריכות להירתם לנושא ולהיערך אליו".

לדברי ברגר, "התהליך הזה הוא ארוך, והוא דורש הירתמות של כלל גורמי הארגון – מהמחלקה המשפטית, אשר מובילה את הנושא, ועד לגוף אבטחת המידע המיישם אותו".

לדבריה, "אחת הבעיות היא שחוקי הגנת הפרטיות נכתבו בשפה משפטית, עם מושגים שלא הכל מבינים מה עומד מאחוריהם". לכן, ציינה ברגר, "נדרש שיתוף פעולה בין כלל הגורמים, על מנת ליצור מכנה משותף בין שתי השפות – המשפטית והאבטחתית".

"זהו תהליך לא קל", סיכמה ברגר. "יש למפות את התהליכים העסקיים, לבדוק את ההסכמים מול משתמשי הקצה, מול ספקי מיקור-חוץ, יש לבחון מול מי עובדים. נדרש לבדוק איך להכין נהלים, איך לדווח על אירוע לרשויות בארץ או באירופה – ולהיות מוכנים. ארגונים שיעשו זאת, וישכילו להתכונן לעמידה בתקנות – רק ירוויחו מכך: הם יהיו מאובטחים יותר, שקופים יותר והדבר יסב ללקוחות ולמשתמשים תחושה רבה יותר של אמינות וביטחון. בסך הכל זה רק יעשה טוב לחברות".