מאת: נתי אברהמי, מנכ"ל טלדור
עד היום שמענו על ממשלות וחברות ענק שאוספות עלינו מידע, אך אין אנו יודעים מהו המידע ואין לנו שליטה מתי, באיזה אופן ולמי המידע הזה ייחשף. אבל מה קורה עם המידע שאנחנו כן יודעים שנשמר, המידע שאנחנו חושפים בעצמנו, לבנקים, לחברות הביטוח ולממשלה? איך אנו יכולים לדעת האם המידע הזה נשמר בצורה בטוחה? ככל שהטכנולוגיה מתקדמת והמידע מתחיל להציף את הרשתות, כך גם גובר הצורך בהגנה בסיסית עלינו ועל המידע הפרטי שלנו. בשנים האחרונות יצאו לא מעט רגולציות ותקנים אשר אמורים להגן על המידע הזה ולגרום לארגונים לתפקד ובצורה מאובטחת.
אחת הרגולציות המדוברות ביותר השנה הינה GDPR. מדובר בארבע אותיות אקראיות המרכיבות את המושג General Data Protection Regulation – תקנות ההגנה על הנתונים של אזרחי האיחוד האירופי, אשר עתידה להיכנס לתוקף בשבועות הקרובים (26 במאי 2018), כשנתיים לאחר שאושרו.
לרבים, בוודאי לאזרחים מן השורה, אותיות אלו לא אומרות דבר. ומה לישראלים ולתקנות הגנת פרטיות של אירופה? מסתבר שהרבה, ואזרחים, במיוחד בעלי עסקים המבצעים סחר בינלאומי, קטנים כגדולים, חייבים להכיר אותן. אך האם זה המצב? בפרקטיקה, ארגונים וחברות גדולות כבר עוסקות זמן מה בנושא, מנסות להבין כיצד ניתן יהיה ליישם את החוק בצורה הטובה ביותר מבלי לפגוע בתשתיות הארגון וכמובן בכספיו. מצד שני, לדאבוננו, ארגונים קטנים ובינוניים פחות מוכנים. בעוד שהם אלה אשר יאלצו לעשות שינויים מורכבים יותר על מנת לשמור על המידע (במידה ועד היום לא עבדו על פי מתודולוגיות אבטחה מוגדרות, כגון רגולציות ותקנים). אותם עסקים, אם לא יבינו את הנושא ויערכו כיאות, צפויים לסנקציות כלכליות מחמירות מצד האיחוד האירופאי, העלולות לפגוע כלכלית בארגון. האבסורד הוא שבכל העולם מבוצעות כבר זמן מה, סקירות מקיפות על היערכות המשקים השונים לקראת השינוי, ובישראל? דממת אלחוט. אף אחד לא טורח לעדכן את כלל קהלי היעד הרלוונטיים לנושא, למשל אותם עסקים קטנים ובינוניים, קהל לא מבוטל של חברות מהמשק הישראלי.
על רקע מצב עניינים זה, צריך לומר שחיפוש אחר מידע נגיש בנושא מעלה תוצאות רבות של גופים פרטיים המציעים את מרכולתם, אך ללא התערבות של גופיים מדיניים אשר מציעים עזרה לעמידה בתקינה. הזמן להיערך הולך ומתקצר. סקירת המחקרים המקצועיים המובילים שהתפרסמו ברחבי העולם ב-2016 וב-2017 מציגה תמונה מורכבת באשר למוכנותם של ארגונים וחברות לתקנות החדשות. נכון לסוף 2016 97% נעדרים תכנית להכנה עבור ה-GDPR, כאשר דו"ח מיוחד שהכינה חברת ניהול הענן NETSKOPE מעלה ש-86% מהנשאלים מודאגים כי כישלון לציית ל-GDPR יוביל לנזק משמעותי לפעילות העסקית. ניסיון למצוא מידע מהימן על היערכות המשק הישראלי עלה בתוהו.
אין על כך וויכוח – על כל המשק הישראלי להיות מוכן. הגם שמטרת התקנות החדשות חשובה; חיזוק והגנה על הזכות לפרטיות של אזרחי אירופה בכל הנוגע לנתונים. מדובר בתקנות, להן נדרשת הכנה והתאמה טכנולוגית ומשפטית. התקנות יחולו על ארגונים שהוקמו באיחוד האירופי המעבדים נתונים אישיים, ללא קשר לשאלה אם עיבוד הנתונים מתרחש באיחוד האירופי או לאו. בנוסף, יחולו על ארגונים שאינם קיימים באיחוד האירופי, החל ממאי. בשורה התחתונה – חברות ישראליות התואמות את הגדרת הרגולציה יהיו חייבות לעמוד בתקינה על מנת שיוכלו להמשיך ולשרת אזרחים אירופאים.
על חברות שלא יעמדו בתקינה החדשה יוטלו עונשים כבדים לאחר כניסת התקנות לתוקף. מדובר ברעידת אדמה, לא פחות. יחד עם זאת, מטרת התקינה הינה אכיפה חזקה יותר של כללי הגנת הפרטיות, כלומר הגנה על הנתונים האישיים של האזרחים, משהו שחשוב לכולנו, כי כולנו בסופו של דבר אזרחים.
כך או כך, עדיין לא מאוחר מדי. משרדי הממשלה בפרק הזמן הקצר שנותר, חייבים לצאת בקמפיין המיידע את כלל המשק בתקנות החדשות. לצדו של הקמפיין ההסברתי, נדרש חדר מצב ומוקד מידע בו עסקים וחברות יוכלו לקבל מידע והכוונה כיצד להיערך לקראת כניסת התקנות ולאחריהם. מצד בעלי עסקים וחברות, להם פעילות דיגיטלית, רצוי לקבל חוות דעת משפטית מעורכי דין המתמחים בנושא ולערב בהליך את אנשי המחשוב והטכנולוגיה. עוד לא מאוחר מדי.
הכתבה פורסמה במגזין "תוצרת הארץ" של "הארץ", לרגל 70 שנה למדינה. עמוד 34.