בשורה משמחת לבנקים: תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), העוסקת באבטחת מידע במסגרת שירותי מיקור חוץ, לא תחול על הבנקים. זאת עקב הוראות מקבילות שפרסם המפקח על הבנקים, לגבי הסדרת שירותי מיקור חוץ. כך עלה לאחרונה (30.12.2018) ממסמך של הרשות להגנת הפרטיות המופנה אל הפיקוח על הבנקים, המשיב לפניות הרבות שביקשו להביא בחשבון את הוראות המפקח על הבנקים בנושא מיקור חוץ.
במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות החלות על כלל המשק הישראלי, שמטרתן להגן על הנתונים השמורים במאגרי המידע. תקנה 15 לתקנות אלה מגדירה הוראות אבטחה החלות על גופים המספקים שירותי מיקור חוץ (Outsourcing) אשר מקבלים גישה למאגרי המידע במסגרת פעילותם. על-פי תקנה זו, בהסכם עם נותן השירות יש לקבוע, בין היתר, מהו המידע שעליו הוא אמון, אילו הרשאות גישה יינתנו לו ומהו משך ההתקשרות, זאת בכדי להגן ככל האפשר מפני חשיפת תוכנו של מאגר המידע.
בנק ישראל, המשמש כגוף המפקח על הבנקים, פרסם בשנה האחרונה מסמך בשם "הוראות ניהול בנקאי תקין" (נב"ת), העוסק באבטחת המידע השמור במאגרי המידע שברשות הבנקים, ובפרט נוגע בהסדרת מיקור חוץ (בדומה לתקנה 15) בבנקים השונים בישראל.
ההמלצה של המחלקה המשפטית של הרשות כלולה במכתב המופנה לרחל יעקב, ראש יחידת הסייבר בפיקוח על הבנקים. ההמלצה לרשם מאגרי המידע הינה להפעיל את הסמכות שניתנה לו במסגרת תקנה 20(ב) לתקנות אבטחת המידע, המאפשרת לרשם להחריג את הוראות התקנות או חלקם ביחס לגופים המפוקחים על-ידי גורם רגלוטורי אחר.
