הרשות להגנת הפרטיות פרסמה לאחרונה (14.09.2023) "מדריך פעולה להתקשרות עם ספקי מיקור חוץ", בהתאם לתקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.

פרסום המדריך מהווה מעין תגובה של הרשות למגמה הגוברת בה מסתייעים ארגונים רבים, הן במגזר הפרטי והן במגזר הציבורי, בנותני שירותים חיצוניים דרך ספקי מיקור חוץ אשר מקבלים גישה שוטפת למאגרי המידע של אותם ארגונים.

הרשות מדגישה כיצד משפיעה המגמה באופן משמעותי על התחומים השונים, לרבות תחום המשפט והטכנולוגיה, וזאת בעיקר נוכח הסיכונים הנובעים מעצם הנגשת המידע בארגון לגורם חיצוני, גורם זר. על כן, הרשות פרסמה מדריך פרקטי זה, אשר נועד לסייע לארגונים ליישם את הוראות תקנה 15.

כאמור, תקנה 15 קובעת, בין היתר, כי על בעל מאגר מידע אשר מתקשר עם נותני שירות חיצוניים, קרי, גורמים חיצוניים המהווים ספקי מיקור חוץ, לבחון את סיכוני אבטחת המידע הכרוכים במסגרת ההתקשרות, וזאת בטרם תחילת ההתקשרות. במסגרת זו, על בעל המאגר לכרות הסכם התקשרות עם ספק מיקור חוץ. מטרת ההסכם הינה להסדיר את חובות הפסק בכל הנוגע לתחומי הפרטיות ואבטחת המידע.

לצורך כך מתייחס המדריך בפירוט לתוכן ההסכם שבין בעל המאגר לבין ספק מיקור החוץ, וכן כולל שני נספים שנועדו לצורך שימוש בעל המאגר. נספח אחד מכיל שאלון עזר לבדיקת היבטי אבטחת המידע של הספק, והנספח השני מכיל שאלון מוצע לאופן ביצוע הבקרה התקופתית אצל הגורם החיצוני.

שתפו את הפוסט:

Facebook
Twitter
LinkedIn

הרשות להגנת הפרטיות חושפת: ליקויים חמורים בקרב מגזר בתי החולים

הרשות להגנת הפרטיות פרסמה לאחרונה (15.9.24) דוח פיקוח רוחב שערכה ב-28 בתי חולים בישראל, הכוללים גם מרכזים לטיפול יום ובתי חולים פרטיים. בשנים האחרונות, חלה ...

אתגרי אבטחת מידע במעבר מאגרי מידע לענן: הרשות להגנת הפרטיות מנחה        

מעבר מאגרי המידע לענן. מסמך חדש שפרסמה לאחרונה (05.09.2024) הרשות להגנת הפרטיות סוקר את האתגרים המרכזיים בתהליך זה ומציע דרכים להתמודדות עימם. בעידן הדיגיטלי המתפתח, ...

הפרטיות בחרום. הרשות מתווה דרכי פעולה

על מה יש להקפיד בשעת חרום בתחום הפרטיות?  הרשות להגנת הפרטיות מפרסמת מדריך, במסגרתו מוצעים כללים מרכזיים להגנה על פרטיות בעת חירום באופן המבקש ליצור ...

אחריות דירקטוריון להגנת הסייבר: הרשות להגנת הפרטיות מנחה

הרשות להגנת הפרטיות פרסמה לאחרונה (12.09.2024) הנחייה (מס' 1/2024) המגדירה את תפקיד הדירקטוריון בפיקוח ובאחריות על אירועי סייבר וכחלק מכך פיקוח על אופן השימוש במידע ...
דילוג לתוכן