"מקרים שבהם יתגלו ממצאים חמורים באופן הטיפול באירועי אבטחת מידע ולא ידווחו לרשות, עלולים להוביל לסנקציה האוסרת את המשך השימוש במידע ובכך לגרום לפגיעה משמעותית בפעילות העסקית של הגוף המפר", כך הודיע (28.1.19) עו"ד עלי קלדרון, הממונה על האכיפה המנהלית ברשות להגנת הפרטיות, במסגרת הגברת האכיפה של תקנות אבטחת המידע, ולכבוד יום ההגנה על הפרטיות העולמי, שצוין באותו מועד.
תקנות הגנת הפרטיות (אבטחת המידע) שנכנסו לתוקף במאי 2018, קובעות כי על כל בעל מאגר מידע חלה חובה לאבטח את מאגרו לפי הסטנדרט שנקבע בתקנות, וזאת לפי רמת האבטחה הנדרשת בהתאם לגודל המאגר ואופי המידע המצוי בו (נמוכה, בינונית וגבוהה). כמו כן, במקרה של גילוי אירוע אבטחה חמור על-ידי בעל מאגר המידע, התקנות קובעות כי עליו להודיע לרשות מידית, כאשר הרשות קבעה כי מדובר בהודעה שתינתן תוך 72 שעות. בהודעה, על בעל המאגר גם לדווח על הצעדים שנקט. הרשות קבעה כי על התקנות תחול תקופת הטמעה ראשונית עד דצמבר 2018 במטרה לאפשר לגופים ולחברות במשק להיערך באופן מיטבי לקראת כניסתן.
כעת, עם סיום תקופת ההטמעה הראשונית, נכנסת לתוקף תקופת ביניים שבה תוגבר האכיפה במקרים של הפרת תקנות אלה. במסגרת הגברת האכיפה, הרשות מדגישה כי תפרסם הפרות של חוק הגנת הפרטיות ותקנותיו בכל מקרה שבו יימצא כי התקנות הופרו, למעט במקרים קלים. כאשר תמצא הרשות ממצאים חמורים בהתנהלות הגופים בכל הנוגע לאופן הטיפול באירועי אבטחת מידע, לרבות מקרי הימנעות מדיווח והסתרה, הרשות תפעל במלוא החומרה כנגד הגורם המפר ואף תשקול את ביטול רישומו של מאגר המידע באופן האוסר על השימוש במידע.
החל ממועד כניסתן לתוקף של התקנות במאי 2018, נערכו 86 הליכי אכיפה בעקבות אירועי אבטחת מידע חמורים מצד הרשות (כאשר רק 45 מתוכן דווחו לרשות). מנתונים שפרסמה הרשות, עולה כי הסיבות השכיחות ביותר לקיומו של אירוע אבטחה חמור הן תקיפות סייבר (כ-35%), טעויות אנוש (15%) ושימוש לרעה (7%). מרבית אירועי האבטחה החמורים התרחשו בחברות מערכות מידע (31%), למשל חברות היי-טק, חברות ביטוח ופיננסים (15%) וגופים ציבוריים (11%). עוד עולה כי בכ-35% מהאירועים מדובר במאגרי מידע הכוללים מידע אישי אודות למעלה מ-100,000 אנשים, וסוגי המידע שדלפו הם מידע אישי (79%), למשל פרטי לקוחות, מידע פיננסי (10%) ומידע רפואי (6%), למשל מצב רפואי ותוצאות בדיקות.
