תקנות אבטחת המידע החדשות נכנסו לאחרונה לתוקף (8 למאי 2018), תקנות הגנת הפרטיות (אבטחת מידע) 2017. התקנות קובעות סטנדרטים חדשים, מעודכנים ומקיפים בעניין אבטחת מידע אישי המצוי במאגרי מידע.
בין שלל החובות המצויות בתקנות, נקבעה חובת דיווח מידית לרשם מאגרי המידע בקרות אירוע אבטחה חמור. לקראת כניסתן של התקנות, פרסמה הרשות להגנת הפרטיות את מדיניותה ביחס לדיווח של אירוע אבטחה חמור במידע אישי. מדיניות זו מטרתה להטמיע את חובת הדיווח אצל כלל הגופים, וחשוב מכך, לשפוך אור באשר למקרים המחייבים דיווח מידי ממועד גילויו של האירוע.
בין האירועים השונים אשר הרשות מציינת ככאלה המחייבים חובת דיווח מידית ניתן למצוא, בין היתר, זיהוי של פריצה (חיצונית או פנימית) לרשת הארגון, במסגרתה קיים חשש סביר ו/או ודאות כי הפורץ ניגש למאגר מידע של הארגון, זיהוי בפועל של זליגת מידע אישי (בכל היקף) ממאגר מידע של הארגון אל מחוצה לו, זיהוי שיבוש/מחיקה של מידע אישי במאגרי הארגון – ללא הסבר מניח את הדעת או כתוצאה מחדירה למערכות הארגון שזוהתה בדיעבד, העברה של מידע אישי ממאגרי המידע של הארגון על ידי עובד החברה אל מחוצה לה, ללא אישור/הרשאה וגניבה/אבדן של ציוד מחשוב, מדיה נתיקה או אמצעי פיזי לגיבוי המכילים מידע אישי מתוך מאגר המידע של הארגון.
לעומת זאת, מקרים כגון – צפייה/מחיקה/שינוי מידע אישי במאגרי הארגון על ידי עובד או ספק חיצוני בניגוד להרשאה, בשוגג ובאופן חד פעמי, זיהוי ניסיון גישה של עובד פנימי או ספק חיצוני למאגר מידע ללא הצלחה (Failed login) בשוגג ובאופן חד פעמי, ניסיונות סריקה/פריצה לתוך רשת הארגון אשר נחסמו על ידי מערכות הארגון (כגון Firewall), ואירועים נוספים כדוגמת אלו, לא יאכפו על ידי הרשות אם לא ידווחו.
בכל אופן, ככלל, הרשות להגנת הפרטיות הודיעה כי מדיניות האכיפה תיושם באופן הדרגתי מיום כניסת התקנות לתוקפן (8.5.18) בתקופת ההטמעה הראשונית (עד 31 בדצמבר 2018) ובתקופת הביניים (עד 30 ביוני 2019), כאשר אכיפה מלאה של התקנות, תחל רק ב-1 ביולי 2019.
