הפרלמנט האירופי אישר (13.03.2024) את תקנות הבינה המלאכותית (AI ACT). המדובר בחקיקה הראשונה מסוגה בעולם ובאה להסדיר את הפיתוח ההפעלה והשימוש במערכות בינה מלאכותית בתחומי האיחוד. זאת לאור בהתפתחות הדרמטית של תחום הבינה המלאכותית וההבנה כי היא עלולה להשפיע לרעה על זכויות אדם.

החקיקה, שמנסה לאזן בין חדשנות והגנה על הפרט, עברה היום בפרלמנט האירופי ומטילה שורה של חובות   (שקיפות, דוקומנטציה, אמינות ודיוק מידע, אבטחת מידע וכו..) על חברות המפתחות, מפיצות ומשתמשות במערכות כאלו בהתאם לרמת הסיכון הנובע מאותה מערכת, למשל בתחום הרפואה. החוק גם אוסר על שורה של מערכות בינה מלאכותית לאור הסכנה על זכויות אדם.

חקיקה זו תשפיע על המשך התפתחות התחום וקובעת סנקציות כספיות גבוהות מאוד לחברות שיפרו את הרגולציה. החקיקה, שעוד צריכה לעבור 2 שלבים פורמליים ולאחר מכן תכנס לתוקף באופן הדרגתי, עלולה להשפיע גם על חברות ישראליות המפתחות והמפיצות מערכות AI באירופה מכיוון, שבדומה ל-GDPR (תקנות הגנת המידע האירופאיות), גם לחקיקה זו יש תחולה אקס טריטוריאלית על חברות שמחוץ לאיחוד האירופי.

הפוסט באירופה עובדים. ה-AI ACT אושר. הופיע ראשון בדן חי ברשת

בעידן הדיגיטלי המתפתח, התנהלות אחראית ומושכלת סביב שימוש והעברה של מידע רפואי מאתגרת את קופות החולים ואת החברות שמחזיקות במידע מסוג זה. במסמך המדיניות החדש "הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעים דיגיטליים" שפורסם על ידי רשות להגנת הפרטיות, מבהירה הרשות לגורמי רפואה שהעברת מידע רגיש ממאגרי מידע של ארגון על -ידי עובד הארגון אל מחוצה לו, ללא אישור או הרשאה מטעם הארגון, עשויה בנסיבות מסוימות להיחשב אירוע אבטחה חמור. 

ההמלצות החדשות של הרשות להגנת הפרטיות מתייחסות לאופן בו מתנהלים גורמי הרפואה בישראל ובעולם בהעברת מידע רפואי בין גורמי הבריאות באמצעות פלטפורמות דיגיטליות זמינות, נוחות ולעיתים אנונימיות כגון: Telegram, Whatsapp, gmail. שכן, כל הודעה, קובץ או תמונה שמועברת באמצעות אפליקציות האמורות כרוכות בסיכון רב ומהווה פוטנציה לחשיפת מידע רפואי ולחדירה לפרטיות המטופלים . כחלק מהמטרה להגן על פרטיות האזרחים ולשמור על אבטחת מידע הרפואי, הרשות מחייבת את גורמי הרפואה להפחית את השימוש בתוכנות שאינן מיועדות להעברת המידע הרגיש ולהימנע משמירתו במכשירים האישיים שלהם.

בין היתר, הרשות התייחסה גם למקרים בהם השימוש באפליקציות האמורות הוא בלתי נמנע. שכן, במצב דברים זה, הרשות המליצה להשמיט כל פרט אישי או זיהוי ישיר ולהעביר רק את המידע המינימלי הדרוש לצורך הדיווח או העברת המידע. עוד עולה מהמלצותיה, שיש להימנע משמירת מידע רפואי בשירותי גיבוי ענן פרטיים ולהשתמש באמצעי אבטחה למכשירים ותוכנות בהם מתבצעת העברת המידע.

למרות שהמסמך מוגדר כ"מסמך המלצות" בלבד, מבהירה הרשות כי לאור רגישותו של המידע הרפואי, לא תהסס להפעיל את הסמכויות העומדות לה על -פי דין במקרים של הפרה של הוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו, בין השאר כעולה ממסמך ההמלצות.

הפוסט הרשות להגנת הפרטיות: " מעתה אין להעביר מידע רפואי בTelegram , Whatsapp או Gmail". הופיע ראשון בדן חי ברשת

בפסק דין שניתן ב12 בדצמבר בבית הדין האזורי לעבודה נקבע תקדים חדש ומעתה במצבים מסוימים, הצבת מצלמות במקום העבודה עלולה לעלות לכדי הרעת תנאים מוחשית המקימה עילה להתפטר כדין מפוטר.

במקרה דנן, השבר בין הצדדים החל בשעה שפקידה בחברה שהייתה כפופה לתובעת, שלחה מייל לנתבע על כך שאחד מהעובדים בחברה מטריד אותה מינית. לאחר דין ודברים עם המתלוננת והנילון, הוא החליט להציב מצלמות במרחבים הציבוריים של המשרד. כעבור זמן מה, הותקנו 9 מצלמות בנקודות שונות במשרד.

באותה העת, ומיד עם הגעת הטכנאים להתקין את המצלמות, שלחה התובעת מייל לנתבע ובו נכתב: "מבחינתי זה הרעת תנאים, אני לא מעוניינת שמישהו יצלם אותי 24 שעות. זה חדירה לפרטיות". בנוסף, ניסתה התובעת לשכנע את הנתבע להסיר את המצלמות אך הוא לא הסכים והסביר לה את הרקע להצבתן. לאחר הצבתן, החלה התובעת להימנע מלבצע את עבודתה, ולשבש את הפעילות התקינה של החברה. לבסוף, נעדרה הנתבעת לחמישה ימים ממקום העבודה בטענה שהייתה חולה ועם חזרתה הודיעה שהיא מתפטרת.

כידוע, הזכות לפרטיות הוכרה בפסיקה כזכות יסוד וכחלק ממערך זכויות המגן במשפט העבודה. מתמונות שהגישו הנתבעים, נראה בבירור שהמצלמות שהוצבו בקרבת התובעת מציגות תמונה רחבה של סביבת העבודה שלה. המצלמה האחורית מתעדת את גבה של התובעת, את סביבת עבודתה, את המסמכים שלפניה, את חפציה ואת צג המחשב עליו היא עובדת. המצלמה הקדמית מתעדת את פניה וחלק מפלג גופה העליון. אמנם, המצלמות לא הוצבו בחדר עבודה פרטי של התובעת, אך ניכר הן שהוצבו בסמוך אליה ובסביבת העבודה שלה: מעל דלפק העבודה שלה, מאחוריו ומלפניו.

לפיכך, סבר בית הדין האזורי לעבודה והכריע שצילום מעין זה עולה כדי פגיעה בפרטיותה של התובעת כאמור בסעיף 2(3) לחוק הגנת הפרטיות,– "צילום אדם כשהוא ברשות יחיד". "גם מתחם, חדר או עמדת עבודה בהם שוהה העובדה לשם ביצוע עבודתו, ואשר איננו פתוח לכניסה חופשית של הציבור – מהווה רשות היחיד בה רשאי העובד לצפות למרחב פרטי שיהיה חופשי ממעקב קבוע".

בעניין הנדון, עמדת הרשות קובעת שעל המעסיק לגבש מדיניות ברורה ומפורטת בדבר אופן והיקף השימוש במצלמות מעקב ומטרותיהן, שתיקבע ככל הניתן לאחר היוועצות עם העובדים או עם נציגיהם ותוצג באופן קבוע לידיעתם ולמדיניות המעקב של המעסיק. יתרה מזאת, צוין כי הצבת מצלמות במקום העבודה הוכרה על ידי הרשות להגנת הפרטיות כמעשה היוצר "שינוי מהותי ומשמעותי באופן בו מפקח הארגון על עבודת המועסקים אצלו".

הפוסט הצבת מצלמות במקום העבודה כעילה מספקת לפיטורים כדין מפוטר הופיע ראשון בדן חי ברשת

השבת השחורה של ה-7 לאוקטובר 2023 והמלחמה שבאה כתוצאה ממנה, בהן רבים מצאו את מותם, העלתה על סדר היום את שאלת מעמדם של הנכסים הדיגיטליים של אלו שכבר לא איתנו. תא הדוא"ל, ההתכתבויות בוואטסאפ, הרשת החברתית, כל אלה נכסים שהמשפחות של אלו שמצאנו את מותם, היו שמחות לקבל לידם. האם כך היה רוצה גם הנפטר?

רצון המשפחה מעלה את השאלה, האם אותה משפחה, שבדרך כלל היא גם היורשת של המנוח על-פי דין, היא אכן זו שזכאית לקבל לידה את הסיסמה לג'ימייל, לטלפון הנייד או לרשת החברתית? האם דיני הירושה הרגילים חלים גם כאן? או שאולי כלל אחר קיים או כזה שיש להנחיל, לפיו אין הלימה בין היורשים על-פי דין לבין מי שמקבל לידיו, אם בכלל, את הסיסמאות לכל אותם נכסים דיגיטליים של המת?

אם לפרוט לפרטים את ההתלבטות – האם הנפטר רצה בחייו לחלוק עם משפחתו את כל ההתכתבויות שלו בג'ימייל או בוואטסאפ, למשל, אם וכאשר ימצא את מותו? האם אין שם דברים, שבחייו היו סודיים כחלק מזכותו לפרטיות, והוא היה מעדיף לשמור על חשאיותם גם לאחר לכתו מהעולם? מצד שני המשפחה רוצה להעמיק ולהנציח את זכרו של הנפטר, להיחשף לתמונות שלו או להכיר אותו טוב יותר, גם לאחר מותו, ואותם נכסים דיגיטליים יכולים לסייע רבות בכך. צופי הסדרה מראה שחורה ודאי זוכרים את הפרק שבו אמא של ילדה שהתאבדה רצתה את הסיסמה של הרשת החברתית שלה כדי להבין טוב יותר מה קרה, ואילו הרשת החברתית סרבה למסור לה את מבוקשה מתוך רצון להגן על כבודה, גם לאחר מותה.

החוק בישראל לא מכיר בזכות שיש לאדם,  שימשיכו להיות מוגנים לאחר מותו אותם נושאים, שהיו מוגנים בחייו מכוח חוק הגנת הפרטיות. תמיד זכור בהקשר זה המקרה המפורסם של עופרה חזה המנוחה שהסתירה בחייה את העובדה כי היא חולה באיידס מכוח קנאותה לפרטיותה וכשנפטרה בישרה הכותרת בעיתון כי "עופרה חזה נפטרה מאיידס". ניסיון חקיקה שאמור היה להסדיר את הנושא עמד על שולחן הכנסת בעשור הראשון של המאה הנוכחית, אבל לא צלח לכדי חוק. לחברי הכנסת אז לא נראה היה הגיוני להקנות זכויות למי שכבר נפטר. לפי המצב החוקי, לכאורה, לא רק היורשים על-פי דין יכולים לבקש לחטט בהתכתבויות של הנפטר, אלא שאלו צריכות להיות בגדר נחלת הכלל.

למרות היעדר ההגנה בחוק, בתי המשפט הכירו מספר פעמים בנושא השמירה על כבוד המת ועל הסודות שסביר כי היה רוצה לשמר כסוד גם לאחר מותו. אוזכרו שם שתי הצדקות מובילות לכך: הרצון לשמור על כבוד המשפחה כמו גם הרצון לכבד את רצונו של הנפטר בטרם הלך לעולמו. עיון בהתכתבויות של אדם בחייו יכול לחשוף, למשל, כי היה עמוק בארון ולא חשף את נטייתו המינית או כי קיים חיי אהבה כפולים ודברים דומים אחרים שהיה מעדיף לשמור לעצמו. מהסיבה הזו גוגל פיתחה אפשרות לגולש לקבוע את גורלם של הנכסים הדיגיטליים שלו אחר מותו ומתחייבת למי שעושה שימוש באפשרות הזו לפעול בהתאם להוראות שייתן.

אבל הגנה של בתי המשפט או של ענקית הרשת אינה מבטיחה ודאות. מה גם שהנפטר לא יכול לקום ולהגן על עצמו. מסירת פרטי הנכסים הדיגיטליים שלו מבלי שהביע את רצונו לכך בחייו, לא תחשוף את הגורם המוסר לתביעה, אלא אם יתברר כי יש שם חומרים שיפגעו בצד שלישי, שאולי הוא יתבע, אבל ימצא עצמו בפני מצב משפטי מעורפל ולא ברור.

דווקא עכשיו כשהמדינה מלקקת את פצעיה, ראוי היה שהמחוקק יאמר את דברו. ראוי היה שהמחוקק יקבע בחוק הגנת הפרטיות הגנה על אותם נושאים, שאדם היה רוצה לשמור בסוד גם לאחר מותו. חקיקה כזו תכבד את הנפטר, את זכותו לפרטיות בחייו, את משפחתו וגם תבטיח ביטחון לכל מי שמנהל בהווה את סודותיו הכמוסים במסגרת אותם נכסים דיגיטליים.

הפוסט הסודות של אלו שכבר לא איתנו הופיע ראשון בדן חי ברשת

קשה לחשוב על ויכוח פוליטי בנושא הסוגייה הפלשתינאית, שלא יעלה בו נימוק, על-ידי אחד הניצים, כי מנהר הירדן ועד הים זו מדינתנו. פעמים רבות ויכוחים פוליטיים מלובים בסיסמאות קליטות אשר מופצות בסיטונאות על גבי מרצ'נדייז כגון שלטים, דגלים וחולצות. אם ירצו להדפיס חולצות עם הביטוי "מהים עד הנהר" כדי ללבות את הוויכוח וירצו לעשות את זה במדינת ניו-ג'רזי שבארצות הברית, לא בטוח שניתן יהיה בקרוב לעשות שימוש בביטוי הזה, מהנהר ועד הים, לטובת אותן חולצות, סתם כך ללא אישור.

ההסבר למחסום הלא כל-כך מובן קשור לעורך-דין יהודי מניו ג'רזי, שהגיש לפני ימים ספורים במדינתו בקשה לרישום סימן מסחר על הביטוי "from the river to the sea" תחת סיווגים של חולצות וכובעים. ממש כך. לכאורה זה נראה רעיון נהדר, לרשום כסימן מסחרי את אותן מילים, שלא תרצה שמחר יעלו כנגדך באיזה "קרב חולצות פוליטיות" או משהו דומה. אפשר לחשוב בהקשר הזה על הרבה מאוד צירופי מילים. אבל האם זה אפשרי גם בישראל? האם נוכל לרשום סימן רשום על הביטוי "מהים ועד הנהר" גם כאן אצלנו? או אולי על הביטוי "העם רוצה רפורמה משפטית" כדי למנוע שימוש בו על גבי חולצות מפגינים בעד הרפורמה?

בישראל וברוב המקומות בעולם רישום סימן המסחר מעניק לבעליו זכות שימוש ייחודית בסימן לגבי סחורות ו/או שירותים שבגינם הוא נרשם ולמעשה מקנה לבעליו מונופול בשימוש בו לטובתם. סימן המסחר יכול להירשם על לוגו אבל גם על מילה או צרוף של מילים ואותיות. רישום סימן מסחר על הביטוי "העם רוצה רפורמה משפטית", למשל, בגין הסיווג המתאים, ימנע את האפשרות לרשום אותו על חולצות. לרבים זה היה נראה כמהלך ערמומי מאוד. השאלה אם זה ראוי ועוד יותר מכך, האם זה אפשרי.

במישור האתי או המוסרי אפשר לחשוב על נימוקים שיתמכו במגמה המתוארת וכאלה שיתנגדו לה. יהיו שיקראו לזה סתימת פיות ויהיו שיראו בזה פתרון אלגנטי למנוע שימוש בסיסמאות מרגיזות, ביחס לצד שלו הן מפריעות. אין ספק שבמדינה דמוקרטית זה לא מרגיש לנו כל-כך ראוי. מניעת יכולת לעשות שימוש ביטויים מסוימים, היא באופן מובהק, פגיעה ישירה בחופש הביטוי, שהיא זכות מושרשת במדינה חופשית.

עיון בחוק ובפסיקה שניתנה בארץ עשוי להרגיע את החשש, אם עלה לרגע, שמעשה כזה ייעשה בישראל. פקודת סימני המסחר קובעת, בין היתר, כי לא יירשם סימן אלא אם יש בו כדי להבחין בין הטובין של בעל הסימן לבין הטובין של אחרים ("אופי מבחין"), ושלצורך בחינת הבקשה לרישום, הרשם רשאי לשקול עד כמה השפיע השימוש בסימן עד כדי להקנות לו אופי מבחין כאמור. כך למשל, סביר שלא תינתן הגנה לסימנים גנריים הכוללים מילים, ביטויים, שמות וכיו"ב, ששגורים בשפה היומיומית של הציבור ושהרשם סבור שגוף מסחרי אינו יכול להפקיעם מנחלת הכלל לטובת הסימן המבוקש, אם לדעת הרשם הסימן לא רכש אופי מבחין.

על פי פקודת סימני המסחר לא ניתן לרשום סימן גם על ביטוי הפוגע או עלול לפגוע בתקנת הציבור או במוסר, ובפרט ביטויים אשר קוראים לרצח-עם. קביעה זו בפקודה פוסלת כשירותו לרישום של סימן שעלול להוביל לפגיעה כזו. הפקודה אף קובעת כי לא ירשם בישראל גם סימן חוץ, כזה שרשום במדינה אחרת, ככל והוא פוגע בתקנת הציבור או במוסר. על מנת שסימן ייפסל לרישום מטעמי פגיעה בתקנת הציבור או אי-מוסריות, עליו לעמוד באופן מובהק ואובייקטיבי כנגד נורמות מקובלות בחברה.

בישראל נודעה בשנים האחרונות תופעה של הגשת תביעות שזכתה לכינוי "תביעות השתקה". הכוונה היא לתביעות שלטענת הנתבע הוגשו נגדו כדי להרתיע אותו מלהתבטא ביחס לגורם שתבע אותו, שכמובן מכחיש כי זהו המניע בהגשת התביעה. הליכה אל רשם סימני המסחר לרשום ביטויים כדי למנוע שימוש בלתי מוגבל בהם במחאות פוליטיות ואחרים היא למעשה סוג של השתקה. אם בתביעה שנטען לגביה שהיא תביעת השתקה עדיין יכול התובע לטעון כי הוא נפגע באמת וכי התביעה באה על בסיס הפגיעה, מי שיבקש לרשום סימן מסחר על ביטויים פוליטיים ודומים, יתקשה לטעון טיעון כזה. לכן, דומה, אפשר בינתיים להירגע. בישראל קשה לראות את רשם סימני המסחר רושם סימן על הביטוי "מהים עד הירדן" או כל ביטוי דומה אחר, גם לא על הביטוי "העם רוצה רפורמה משפטית" וטוב שכך. מי שירצה להדפיס על החולצה הבאה שלו ביטוי כזה, יכול, מהבחינה הזו, להיות רגוע.

הפוסט דרך חדשה לחסום ויכוח: רישום סימן מסחר על טיעוני הנגד הופיע ראשון בדן חי ברשת

התקופה הקשה שעוברת על כולנו מחייבת ערנות מיוחדת גם בתחום ההגנה על המידע ומערכות הארגון. הלחימה מלווה בהמשך מתקפות סייבר משמעותיות, בכל הערוצים כלפי גופים ישראליים מכל הסוגים. ניכר כי המצב בו שרויה המדינה מגביר את המוטיבציה בקרב גורמים עוינים לנסות לחדור למערכות של ארגונים שונים, חברות פרטיות, ציבוריות, ממשלתיות, עמותות וכן בכל ארגון פעיל אחר. מצב הדברים מצריך ביצוע של מספר בדיקות מצד הארגון, לרבות בדיקת מערכות ההגנה כמו גם בדיקת המוכנות והערנות של הארגון ועובדיו.

על רקע זה מצאנו לנכון להזכיר את עיקרי ההוראות הרלבנטיות למצב זה מהזווית המשפטית-רגולטורית, כדלקמן:

1. הודעה לעובדים – מומלץ להוציא מייל לעובדים בארגון הודעת דוא"ל אשר תכלול את עיקרי הדברים הבאים:

• עריכת בדיקה שהסיסמה לכניסה למערכות ארוכה, מורכבת וקשיחה, במיוחד עת מתבצעת כניסה מרחוק. מומלץ לבצע בדיקה שהסיסמאות של העובדים הוחלפו לפחות בחצי השנה האחרונה, ולדרוש החלפת סיסמאות ישנות או חלשות המציבות סיכון אבטחתי מוגבר.
• אזהרה מפני הודעות פישינג, SMS והודעות וואטסאפ מגורמים לא מזוהים. יש להנחות את העובדים לדווח מיד לממונה אבטחת המידע בארגון על כל הודעה חשודה.
• התראה מפני פתיחת כל הודעה שהשולח שלה אינו מוכר ומקבל ההודעה אינו מצפה לה.
• התראה להימנע מללחוץ על לינקים והפניות, שהגיעו במיילים או בהודעות SMS / ווטסאפ, בוודאי אם מקור ההודעה אינו מוכר.
• להתריע מפני לחיצה על קישורים המפנים אל עמודים חיצוניים אשר נשלחים בקבוצות ווטסאפ/טלגרם וכיו"ב, היות שבקבוצות אלו עשויים לארוב גם גורמים עוינים אשר ינצלו זאת.
• לדרוש שלא להזדהות או לענות לשיחות לא מזוהות, לא ללחוץ על מספרים בתפריט קולי במקרה של שיחות שאינן מובנות / מוכרות או שמקורן אינו מוכר ומזוהה.
• לבחון האם הרשאות הגישה למערכות הארגון אינן רחבות מידי, והאם יש מקום לצמצמן בכלל או לכל הפחות בעת הזו.
• להורות על הימנעות משמירת מידע של הארגון על המחשב האישי, להימנע משימוש בכתובות דואר-אלקטרוני פרטיות לצורכי עבודה או להעברת מידע של הארגון, להימנע משימוש בתוכנות חיצוניות וכל פלטפורמה או אמצעים טכנולוגיים שלא קיבלו את אישור מערכות המידע של הארגון. בעניין זה יש לשים תשומת לב מיוחדת להקפיד על שימוש מופחת בתוכנות מסרים ורשתות חברתיות (פייסבוק, טלגרם, ווצאפ וכו') בשימוש במחשב הביתי בזמן העבודה, זאת בשל הימצאותם של גורמים עוינים ברשתות אלו, לרבות התחזות לגורמים אחרים.
• לדרוש מהעובדים לעדכן את טלאי האבטחה ומערכות ההפעלה של מכשיריהם המשמשים לגישה מרחוק למערכות הארגון. מומלץ ככל הניתן למנוע גישה (באופן אוטומטי) ממכשיר אשר אינו מספק רמת אבטחה מינימלית נדרשת או המכיל מערכות הגנה מספקות בעת חיבור למערכות הארגון מרחוק.

2. עדכון מערכות הפעלה – מומלץ לוודא כי כלל מערכות ההפעלה והתוכנות שבשימוש העובדים בארגון, כמו גם תוכנות ההגנה (אנטי-וירוס, Firewall וכיו"ב) עדכניות, ובפרט לוודא התקנת עדכוני ייצרן וטלאי (patches) אבטחה אחרונים. כמו כן, יש למנוע שימוש בתוכנות שמקורן אינו מוכר או שאינן מאושרות לשימוש בידי הארגון או מערך אבטחת המידע שלו.
3. הרשאות גישה – לבחון שוב את הרשאות הגישה למערכות הארגון ולבדוק האם אין מקום לצמצם אותן עבור עובדים קיימים, למחוק הרשאות של עובדים שעזבו, ולהשהות הרשאות של עובדים שהוצאו למילואים או שאינם זמינים מכל סיבה אחרת בימים אלו.
4. עבודה מרחוק –יש להקפיד על גישה מאובטחת במקרה של עבודה מרחוק, ובפרט להקפיד על דרכים לזיהוי בטוח של המשתמש, בין היתר באמצעות אימות דו-שלבי.
5. שיחות מקוונות – בעת ניהול שיחות מקוונות (כמו פגישות Zoom), יש להקפיד על שימוש בתוכנות מאובטחות ומאושרות לשימוש מראש, ולהקפיד על כלי זיהוי מספקים בעת כניסה לשיחות. על מנהלי השיחות לוודא כי כל הנוכחים בהן מוכרים ומאושרים.
6. ספקי מיקור חוץ – בעת התקשרות עם ספקים חיצוניים אשר תהיה להם גישה למידע האישי או למערכות הארגון – אין להתפתות ל"קיצורי דרך" – יש להקפיד על התקשרות מסודרת שתבטיח את הדרוש גם מנקודת המבט של אבטחת המידע, ובכלל זה לערוך את הבדיקות הנדרשות ולהחתים את הספקים על נספח מיקור חוץ מתאים, ולוודא כי החיבור של הספק אל מערכות הארגון מאובטח וכי העברת מידע תהיה מוצפנת.
7. גיוס עובדים – בעת גיוס עובדים חדשים, יש להקפיד על מיון ובחירת עובדים מהימנים שניתן וצריך לאפשר להם חיבור למערכות החברה ולהקפיד על העברת הדרכה מתאימה לפני החיבור למערכות. זאת גם במידה וקיים לחץ בשל המצב לגייסם.
8. החתמת עובדים – ככל שלא נעשה, יש לוודא החתמתם של עובדים על סעיפי סודיות, אבטחת מידע ושימוש במשאבי המחשוב של החברה על-פי נהליה, לרבות הוראות שימוש בתיבות מייל ארגוניות ונהלי גלישה בטוחה ממחשבים המחוברים גם למערכות הארגון.
9. התקנים ניידים – בתקופת חרום יש להקפיד הקפדה יתרה על שימוש נכון ומאובטח בהתקנים ניידים, לא להתפתות לקיצורי דרך ולהגמשת ההוראות בנושא.
10. מערכות גיבוי – מומלץ לבחון שוב את הליך גיבוי מערכות המידע של הארגון ולוודא כי הוא מתבצע בצורה המיטבית המבטיחה את האפשרות להעלות את המערכות מחדש ולשחזר את המידע במקרה של תקיפה.
11. נהלי התאוששות מאירוע והמשכיות עסקית – מומלץ לבחון את הנהלים וההתקשרויות הקשורות אליהם ולבדוק את מוכנות כל הגורמים המסייעים לאור האירועים בתקופה זו.
12. מנגנון דיווח – ככלל, יש לייצר ערנות ומנגנון דיווח ישיר של עובד לגורם הרלבנטי בארגון כאשר הוא נתקל במקרים חשודים. יש לוודא כי לעובדים קיימת כתובת זמינה למענה בהקשר זה.
13. חידוד נהלים – יש לוודא חידוד נהלים קיימים באשר לעבודה מרחוק, דיווח על אירועי אבטחת מידע, אופן הקצאת הרשאות גישה והשימוש בהן וכיו"ב.

אנו לרשותכם לכל דבר ועניין,

דן חי ושות', עורכי דין

הפוסט הגנת הפרטיות והסייבר בשעת חרום / מדריך הופיע ראשון בדן חי ברשת