הרשות להגנת הפרטיות פרסמה לאחרונה (14.09.2023) "מדריך פעולה להתקשרות עם ספקי מיקור חוץ", בהתאם לתקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.
פרסום המדריך מהווה מעין תגובה של הרשות למגמה הגוברת בה מסתייעים ארגונים רבים, הן במגזר הפרטי והן במגזר הציבורי, בנותני שירותים חיצוניים דרך ספקי מיקור חוץ אשר מקבלים גישה שוטפת למאגרי המידע של אותם ארגונים.
הרשות מדגישה כיצד משפיעה המגמה באופן משמעותי על התחומים השונים, לרבות תחום המשפט והטכנולוגיה, וזאת בעיקר נוכח הסיכונים הנובעים מעצם הנגשת המידע בארגון לגורם חיצוני, גורם זר. על כן, הרשות פרסמה מדריך פרקטי זה, אשר נועד לסייע לארגונים ליישם את הוראות תקנה 15.
כאמור, תקנה 15 קובעת, בין היתר, כי על בעל מאגר מידע אשר מתקשר עם נותני שירות חיצוניים, קרי, גורמים חיצוניים המהווים ספקי מיקור חוץ, לבחון את סיכוני אבטחת המידע הכרוכים במסגרת ההתקשרות, וזאת בטרם תחילת ההתקשרות. במסגרת זו, על בעל המאגר לכרות הסכם התקשרות עם ספק מיקור חוץ. מטרת ההסכם הינה להסדיר את חובות הפסק בכל הנוגע לתחומי הפרטיות ואבטחת המידע.
לצורך כך מתייחס המדריך בפירוט לתוכן ההסכם שבין בעל המאגר לבין ספק מיקור החוץ, וכן כולל שני נספים שנועדו לצורך שימוש בעל המאגר. נספח אחד מכיל שאלון עזר לבדיקת היבטי אבטחת המידע של הספק, והנספח השני מכיל שאלון מוצע לאופן ביצוע הבקרה התקופתית אצל הגורם החיצוני.
