BETA

25.05.2018

12:50

 נכנסו לתוקפן תקנות ה- GDPR
נכנסו לתוקפן תקנות ה- GDPR
, Fotolia

נכנסו לתוקפן תקנות ה-GDPR: אז על מה כל הרעש? מדריך מיוחד

מורה נבוכים: רעמסס גלאגו, אסטרטג בכיר ואוונג׳ליסט בענקית האבטחה האמריקאית סימנטק עושה סדר בכל מה שקשור לחוקי הגנת הפרטיות האירופאים. טור מיוחד לעשר אונליין

היום, ה- 25 למאי, נכנסו לתוקפם חוקי הגנת הפרטיות האירופאים ה- GDPR (General Data Protection Regulation). חוקים אלו עתידים לטפח את תרבות הגנת המידע על אזרחים אירופאים וישפיעו הלכה למעשה על מדינות רבות אחרות בעולם. חוקי הגנת הפרטיות האירופאים, יסייעו לפיתוחה של תרבות הגנת מידע בעולם ואת זה כחברה אנחנו חייבים לחגוג ולהוקיר. אמנם, ההסכמה על תכולת החוק לקחה לאירופה שלוש שנים וחצי, אבל עכשיו, כשהוא כאן ונכנס לתוקף, זוהי הזדמנות אמיתית, לכל חברה וארגון, לשנות את התפיסה כלפי המידע הפרטי שלנו. ה- 25 במאי מהווה נקודת מפנה בעמדה של חברות וארגונים כלפי נושא השמירה על הפרטיות לא רק כעמדה הצהרתית, אלא כשינוי עמוק יותר שיתבטא בהתנהלות שלהן הלכה למעשה לרבות באיסוף, עיבוד, שימור והגנה ושליטה על הנתונים האישיים שלנו.

 

ה- GDPR מאחד 28 מדינות שונות באירופה תחת חוק ייחודי אחד. חשוב להבין שזו אינה דירקטיבה אירופית שיכולה להתפרש אחרת ע״י כל מדינה חברה, אלא יישום החוק יהיה בכל מדינה ומדינה בדיוק כפי שנוצר. משמעות הדבר היא שחברות ישקיעו בממדים שונים (טכנולוגיים וארגוניים) על מנת להבטיח כי נתונים רגישים שנאספו בהסכמה מפורשת, הרלוונטיים לצורכים בשבילם נאספו, עומדים בדרישות החוק. עבור חברות רבות, זה משנה את חוקי המשחק, מכיוון שהפרטיות לא תחשב כזכות יתר (כפריווילגיה) אלא כזכות.

 

Ramsés Gallego, אסטרטג ואוונג׳ליסט, סימנטק
 

רעמסס גלאגו, אסטרטג ואוונג׳ליסט, סימנטק( יח"צ)

 

למרות שה- GDPR הוא חוק אירופי, יש לו "שאיפות" בינלאומיות, שכן הוא הוא נוצר כדי להגן על האירופים ועל הנתונים שלהם, לא משנה היכן הם גרים או עובדים. זה מעניין מכיוון שהאיחוד האירופי יוכל, באופן פוטנציאלי, לקנוס חברות שאינן אירופאיות כל עוד הם מעבדים דאטה של אזרחי אירופה. בכתיבת שורות אלו אני רואה כמה "מתחים גיאופוליטיים" לעניין זה, אבל אנחנו נצטרך לראות כיצד זה מתפתח..

 

נקודה נוספת להבנת המצב היא שה- GDPR אינו תקנה ביטחונית אלא תקנת פרטיות. כלומר, אנחנו יכולים לקבל אבטחה ללא פרטיות, אבל אנחנו לא יכולים להיות פרטיות ללא אבטחה. בחוק ה- GDPR יש התייחסות מפורשת לטכנולוגיה (למשל לצורך בהצפנה) והתייחסויות מרומזות לתחומים טכנולוגיים רבים אחרים (ניהול זהויות, בקרת גישה, שירותי ניטור, שמירה על אנונימיות של נתונים, cyber-risk training, וכו׳). כלומר, ע״פ חוקי ה- GDPR יש ציפייה כי חברות ישתמשו בטכנולוגיה כדי להגן על מידע אישי מזהה ( PII- Personal Identifiable Information).

 

  נכנסו לתוקפן תקנות ה- GDPR
 

נכנסו לתוקפן תקנות ה- GDPR( fotolia)

 

היבט קריטי נוסף של ה- GDPR הוא שהחברות צריכות לעמוד בדרישות החוק בכל רגע נתון: ״ demonstrate ongoing compliance״. כלומר, החברות חייבות להיות תמיד בתהליך בקרת ניטור של המידע שלהם בכל מצב הוא הוא נמצא. לשם כך, חשוב להבין היכן הנתונים מאוחסנים, מתי ולהיכן הם עוברים וכיצד ואצל מי הם נמצא בשימוש. הרגולטור גם ציין היבט מעניין מאוד לעניין ניהול הנתונים והוא הצורך לדווח (הן לרשויות והן לפרטים שהושפעו מכך) כאשר התרחשה פריצה. מיותר לציין כי מדובר בסיוט עבור חברות, במונחים של התהליכים והמשאבים הנדרשים לתפעול המקרה, כאשר דליפת נתונים משפיעה על מיליוני אזרחים, חולים או לקוחות. אבל, למרבה הפלא, בחוק נכתב במפורש שיש להודיע ​​על הפרה "תוך 72 שעות מרגע שיש לחברה ידיעה על הנושא", דבר שמוביל לשאלה מה קורה אם החברה לא ידעה על ההפרה? במצב זה לא תהיה חובה לתקשר דבר. עם זאת, מצב זה עשוי להוביל לשאלות מעניינות אחרות סביב סוגיות של רשלנות ונקיטת האמצעים המקדמיים הנדרשים לשליטה במידע שבחזקת אותן החברות.

 

 

רוב החברות ברחבי העולם לרבות ישראל, לא יגיעו מוכנות או במצב טוב, כאשר ה- GDPR ייכנס לתוקף

 

ה- 25 במאי הוא אינו קו הסיום לנקיטת כל האמצעים להגן על הפרטיות, אלא רק נקודת ההתחלה. למעשה, סקרים של סימנטק מראים כי רוב החברות ברחבי העולם לרבות ישראל, לא יגיעו מוכנות או במצב טוב, כאשר ה- GDPR ייכנס לתוקף. אבל זוהי טרגדיה קטנה לעומת הקביעה שהחוק יכנס לתוקף ב- 25 למאי ויוכל להיאכף מאותו יום ואילך, בין אם הארגונים מוכנים לכך או לא.

 

עם זאת, בעיני רבים אנחנו נמצאים בתקופה מצויינת מכיוון שזו הזדמנות נפלאה עבור חברות "להמציא את עצמן מחדש" בכל הנוגע לשמירה על הפרטיות. חוקי ה- GDPR מזמינים, איכשהו, את החברות ״להתחיל בטוב״, להתחיל מחדש ולתכנן כמה תהליכים כמעט מאפס. זו הזדמנות להגדיר בקרות, מדיניות, סטנדרטים, הנחיות כדי להבין את מחזור החיים של המידע.

 

בעידן הנוכחי כאשר חברות מנהלות את עניינן בכמה וכמה סביבות ענן שונות, זו אינה משימה קטנה כלל. הסיבה לכך נעוצה בעובדה שלא תמיד כל המידע מנוהל או מפוקח באמת ע״י החברה (כלומר בידיעת ה- IT של החברה, מחלקת הסיכונים, מחלקת הציות או אפילו הרכש). קחו למשל מקרה שבו קבוצת עובדים במחלקה מסויימת בארגון לקחה יוזמה אישית לניהול נתונים ועבודה משותפת ופתחה לעצמה קבוצה בענן ציבורי של אחת מהחברות המוכרות, הזמינות לציבור הרחב והחינמיות. מבחינת אותה קבוצה, הם פשוט ייעלו את העבודה שלהם, מבחינת הארגון הם מציבים אותו ואת המידע שהוא אחראי עליו בסכנה גדולה. מצב זה בו הטכנולוגיה נרכשה ללא מעורבות של אנשי מקצוע בעלי ידע על סיכוני הסייבר והסיכונים לפרטיות המידע הכרוכים בצעד זה, נקרא בשפה המקצועית Shadow IT. ה- GDPR נועד למנוע מצבים אלה ולחנך את כולם בחברה לקחת אחריות על סיכונים מסוג זה ואחרים.

 

ממצבים רגישים אלו ניתן להימנע באמצעות שימוש בטכנולוגיה נכונה ביחד עם השינויים האירגוניים הנדרשים. למשל ניתן להצפין מידע רגיש של מסמך. תהליך זה נותן לנו טבעת נוספת של אבטחה (באמצעות ביצוע הליך אימות- authentication נוסף) אבל גם מטביע שכבת אבטחה ממש בתוך המסמך עצמו, כך שלא חשוב לאן המסמך מגיע, ניתן לבטל את הגישה אליו. בעיני, זו התנהלות שמאמצת אליה גישות לניהול מידע שמכילות מנגנונים של שליטה, נראות והגנה על מידע. זוהי מטרת על של רגולציית GDPR.

 

יישום תקנות ה- GDPR אינה משימה קלה, אבל היא אינה משימה בלתי אפשרית. גם המאמר הזה, הוא חלק מגישת החינוך לפרטיות שהשוק צריך לאמץ. כחברה, אנחנו צריכים להבין שזו ההזדמנות שלנו לעשות דברים אחרת ולאגם את המשאבים את הכי חשובים שלנו בחברה: אנשים ודאטה, משתמשים ומידע, על מנת לאפשר לפרטיות להיות זכות אמיתית ומכובדת.

 

הכותב