במסמך ארוך ומנומק ממליצה הרשות למוסדות להשכלה גבוהה על דרכי פעולה, אשר יסייעו להם לשמור על פרטיות הסטודנטים, בעת ביצוע הבחינה במתכונת של עריכת הבחינה מרחוק. הרשות הבהירה,  בין היתר, כי על המוסדות להשכלה גבוהה חלה חובה ליידע את הנבחנים מראש על מתכונת הבחינה ומשמעויותיה, לקבל את הסכמתם להיבחן במתכונת זו וכן לאפשר לסטודנט שירצה בכך להיבחן במתכונת חלופית, כאשר גם דחיית מועד הבחינה עד למועד שבו ניתן יהיה לקיימה באופן פרונטלי תחשב, לדעת הרשות, חלופה יעילה. המלצת הרשות היא כי על המוסדות להשכלה גבוהה לנקוט באמצעים אשר יפחיתו את סיכוני הפרטיות, כגון צמצום המידע בו אין עוד צורך, ביצוע תסקיר השפעה על פרטיות, ואבטחת המידע בהתאם להוראות הדין.

בין הדגשים של הרשות במסמך ישנה התייחסות גם למשך שמירת המידע. לדעת הרשות יש להקפיד על עיקרון צמידות המטרה ולא לשמור על המידע מעבר לנחוץ. כך, לדעת הרשות, התשובה לשאלה מהו המועד שבו המידע מפסיק לשרת את המטרה לשמה נאסף, נגזרת ממהות המידע. למשל, מידע אשר נועד לאמת את זהות הנבחן, כגון צילום תעודת זהות, הופך ככלל בלתי רלבנטי עם סיום תהליך ההזדהות. מידע אשר נאסף כדי להבטיח את טוהר הבחינה המקוונת, כגון צילומי וידאו, יהפוך לכאורה בלתי רלבנטי כאשר אין טענת העתקה או מרמה. מכאן מידע מסוג זה יש למחוק, בין היתר מכוח החובה הקיימת בתקנות אבטחת המידע, שלא להחזיק מידע שאין עוד הצדקה לאחזקתו.

לסיכום קובעת הרשות: "התקופה הנוכחית מציבה אתגרים רבים למוסדות להשכלה גבוהה ולסטודנטים המבקשים להמשיך ולקיים לימודים בתקופה של סגרים וריחוק חברתי. מובן הצורך במציאת פתרונות יצירתיים ללימודים מרחוק ולקיום בחינות באופן שאינו פרונטלי, וזאת תוך שמירה על טוהר הבחינה, לשם קיום רמה אקדמית נאותה ושמירת עקרון החופש האקדמי. עם זאת לאמצעים טכנולוגיים לשמירה על טוהר הבחינה ישנה השפעה ניכרת על פרטיות הסטודנטים, ועל כן יש להקפיד וליישם את ההוראות וההנחיות שבמסמך זה ובדין הכללי, בכדי להגן על המידע האישי של הסטודנטים ועל פרטיותם."

הפוסט הרשות להגנת הפרטיות מפרסמת: כך נשמור נכון על הפרטיות בבחינות מרחוק הופיע ראשון בדן חי ברשת

לפי מתווה הצעת החוק, בעל מאגר מידע או מחזיק במאגר מידע שנפרץ ידווח על כך לגורם אשר המידע הוא בקשר אליו בהקדם האפשרי כמו גם לרשם מאגרי המידע, העומד בראש הרשות להגנת הפרטיות. במידה והרשם יימצא כי בעל המאגר לא הודיע כאמור תוך זמן סביר, הוא יהיה רשאי, על פי ההצעה, להטיל עיצום כספי לפי מפתח שיקבע שר המשפטים בתקנות. במידה ורשם יחליט להטיל עיצום כספי, יהא עליו למסור, על פי ההצעה, לבעל המאגר הודעה על החלטתו בתוך 30 ימים ממועד שהתקבלה. בהודעה יהא עליו לפרט את המידע שברשותו על הפריצה, סכום העיצום, התקופה לתשלום העיצום ואת זכותו של בעל המאגר לטעון את טענותיו לפני הרשם. בעל מאגר מידע יוכל לערער על החלטת הרשם לבית המשפט לעניינים מנהליים. בנוסף, החלטת הרשם בדבר הטלת עיצום כספי תעוגן בתיקון לחוק בתי משפט לעניינים מנהליים, תש"ס-2000, בתוספת הראשונה.

הצעת החוק במתכונתה הנוכחית אינה מהווה חידוש לאור החקיקה הקיימת בנושא. בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 נקבעה חובת דיווח מידית לרשם מאגרי המידע בקרות אירוע אבטחה חמור. כמו כן, פרסמה הרשות להגנת הפרטיות את מדיניותה ביחס לדיווח של אירוע אבטחה חמור במידע אישי. מדיניות זו מטרתה להטמיע את חובת הדיווח אצל כלל הגופים, וחשוב מכך, לשפוך אור באשר למקרים המחייבים דיווח מידי ממועד גילויו של האירוע. בין האירועים השונים אשר הרשות מציינת ככאלה המחייבים חובת דיווח מידית ניתן למצוא, בין היתר, זיהוי של פריצה (חיצונית או פנימית) לרשת הארגון, במסגרתה קיים חשש סביר ו/או ודאות כי הפורץ ניגש למאגר מידע של הארגון'.

יחד עם זאת ההצעה אינה שלמה באשר לעיצום הכספי, בעקבות אי דיווח על פריצה למאגר מידע, בתיקון חוק לבתי משפט לעניינים מנהליים. דומה כי ההצעה קיבלה השראה מהצעה להיקף רחב יותר של עיצומים כספיים על שלל מצבים, כמו שהוצע בהצעת החוק הגנת הפרטיות (תיקון מס' 13), התשע"ח-2018. דומה כי המדובר בסנונית ראשונה של הצעות בנושא, אשר בעקבותיהן תגובש הצעת חוק ממשלתית חדשה.

הפוסט עיצומים כספיים בגין העדר דיווח על אירוע אבטחת מידע. הצעת חוק פרטית בנושא הונחה על שולחן הכנסת. הופיע ראשון בדן חי ברשת

עיקר ממצאי הרשות מצביעים על ליקויים הנוגעים בעיקר בנוגע לעמידה בהוראות החוק בתחום עיבוד המידע האישי באמצעות מיקור חוץ, קיום הוראות החוק ותקנות אבטחת המידע ביחס לנהלי אבטחה, מבדקי חדירות ותוכנית עבודה שנתית.

במסגרת הדין וחשבון שלה מפרסמת הרשות ממצא נוסף לפיו  חלק מהמכונים הרפואיים אינם מקפידים כנדרש ליידע את ציבור המטופלים בדבר זכויותיו על פי חוק הגנת הפרטיות, לרבות החובה להציג את מקור המידע, הזכות לעיין במידע והזכות לתקן את המידע המצוי במאגר המידע, ככל והוא שגוי. הרשות מביעה גם תקווה כי פרסום הדו"ח יוביל לכך, שהגופים בתחום ישכילו לנהל את המידע של מטופליהם בצורה מיטבית, תוך שמירה על זכויותיהם והגנה על פרטיותם.

ממצאי הליך פיקוח הרוחב עולה כי על-אף שמרבית המכונים הרפואיים הינם בעלי היכרות עם דרישות החוק והתקנות והטמיעו את עיקרי הדרישות, עדיין נמצאו ליקויים משמעותיים באופן יישום הוראות החוק והתקנות, והנחיית הרשות היא כי על הגופים המשתייכים למגזר זה ליישם את הנקודות הבאות:

1. בקרה ארגונית וממשל תאגידי- הגופים נדרשים לוודא את רישום כלל מאגרי המידע שבבעלותם בהתאם להוראות החוק. בנוסף, על הגופים לוודא כי מונו כדין הגורמים הנדרשים בחוק ובתקנות, לרבות הוצאות כתב מינוי רשמי למנהל המאגר ולממונה אבטחת המידע. כמו כן, לוודא כי קיימים נהלי אבטחת מידע בארגון הכוללים התייחסות לנושאים כגון: אבטחה פיזית, הרשאות גישה וכו'. יש להכין תוכנית עבודה לנושא אבטחת מידע והגנת הפרטיות, ואף לערוך מיון עבור עובדים חדשים אשר מקבלים גישה למאגר.
2. ניהול מאגרי מידע- על הגופים לקבל את הסכמת נושא המידע כנדרש בחוק עבור שמירת פרטיו במערכת הארגון, תוך מתן הודעה בעת איסוף המידע, הכוללת התייחסות לשאלה האם חלה חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו, וכן ציון המטרה אשר לשמה מבוקש המידע, למי יימסר המידע ומטרות המסירה. בנוסף, על הגופים האוספים מידע להקפיד על אופן השקיפות בפני המטופל בעת קבלת ההסכמה ומסירת המידע על ידו, ולהקפיד בכל פנייה בכתב, בדפוס או באמצעי אחר המהווה פניה בדיוור ישיר לפי החוק. כמו כן, על הגופים להקפיד ליידע ולאפשר לנושאי המידע לעיין במידע על אודותיהם, המוחזק במאגר מידע.
3. אבטחת מידע- על הגופים לוודא בניית מנגנוני הרשאות במאגרי המידע של הארגון, בהתאם לתקנות הגנת הפרטיות שיבטיחו הפרדת סמכויות, ויאפשרו גישה של העובדים בעלי הגישה למידע לנתוני המאגר. בנוסף, הרשות ממליצה כי הגורמים הרלוונטיים בגופים יקיימו דיון אודות הצורך בחיבור אמצעים נתיקים. במקרים בהם יוגדר כי קיים צורך בשימוש באמצעים נתיקים, יש להצפין הנתונים באמצעות שיטות הצפנה מקובלות. מעבר לכך, יש לנקוט באמצעים מספקים בכדי למנוע חדירה למיקום הפיזי בו נשמרים השרתים והתשתיות המחזיקים את ו/או המאפשרים גישה אל מאגרי המידע, על פי תקנות הגנת הפרטיות.
4. עיבוד מידע אישי במיקור חוץ- על הגופים המסתייעים בגורם חיצוני לצורך עיבוד מידע, לבחון, עוד בטרם ההתקשרות, את סיכוני אבטחת המידע הכרוכים בהתקשרות על הגופים, בעלי המאגר, לוודא עריכת הסכם מול כל גורם חיצוני שמחזיק במאגר, כאשר יש לקבוע במפורש בהסכם את כל הוראות תקנות הגנת הפרטיות.

הרשות להגנת הפרטיות קובעת לבסוף כי תמשיך לפעול לאכיפת מדיניותה בקרב בעלים ומחזיקים במאגרי מידע אישי באמצעות הליך פיקוחי הרוחב, לרבות באמצעות ביקורות חוזרות בגופים שהונחו לתקן ליקויים, וזאת לשם הגברת עמידתם בהוראות החוק והתקנות ועל מנת לחזק את ההגנה על זכות הציבור לפרטיות. ניכר, כי עצם קיום הליך פיקוח הרוחב עורר אצל המפוקחים תהליך בחינה עצמית והנעה לשיפור עצמי באופן הציות לחוק ולתקנות, כאשר בסיום ההליך כאמור, הגופים שבהתנהלותם נתגלו ליקויים, נדרשו להציג לרשות התחייבות נושא משרה ותוכנית מסודרת לתיקונם.

קישור למסמך שפרסמה הרשות מצורף בלינק הבא :

https://www.gov.il/BlobFolder/reports/medical_labs_privacy/he/medical_labs_privacy_repoet (1).pdf

הפוסט פרטיות החולים – הרשות להגנת הפרטיות מפרסמת דו"ח ממצאי פיקוח הרוחב במכונים רפואיים הופיע ראשון בדן חי ברשת

הזכות לפרטיות מוצאת עצמה במרכז הדיון הציבורי בעת משבר הקורונה. התקנות לשעת חירום, המאפשרות מעקב אחרי חולים ומי שהיה בסביבתם, תיקון לחוק נתוני תקשורת, המציע מעקב אחרי מחויבי הבידוד ועוד שלל הצעות שעולות מידי יום, בניסיון לפרוץ את הזכות לפרטיות במאבק עם המחלה.

מול כל הניסיונות האלה, לא שמענו שניצב מנגד גורם ממשלתי שמייצג עבור הציבור את העמדה של הזכות לפרטיות, מנסה לצמצם את הפגיעה ולהגן על האזרחים מפני פגיעה. במדינה מתוקנת היו הפעולות האלה נעשות בתאום עם נציב הפרטיות של המדינה. כך נוהגים בבריטניה, צרפת ובמדינות אחרות באירופה. גם בישראל יש גוף שאמון על הפרטיות – הרשות להגנת הפרטיות במשרד המשפטים. אלא שהרשות הזו פועלת כבר למעלה משנה ללא ראש רשות. ראש הרשות האחרון סיים את תפקידו בחודש ינואר 2019 ובשל שרשרת הבחירות לא מונה לו מחליף קבוע. אבל גם אם היה מתפקד ראש רשות במשרה מלאה, לא היו לו הרבה סמכויות לפעולה.

כבר בשנת 2011 פורסמה הצעת חוק שביקשה להקנות לרשות להגנת הפרטיות סמכויות אכיפה רחבות. בכל הכנסות האחרונות עברה ההצעה הזו פעמיים קריאה ראשונה ופעם אחת החילו עליה רציפות. לא מעבר לזה. ועדת חוקה חוק ומשפט, שהייתה אמורה להכין את החוק לקריאה שנייה ולשלישית בכנסת, לא מצאה זמן לדון בהצעה. התוצאה היא שיש לנו רשות שיכולה להתהדר בשם הזה של "הגנת הפרטיות" אך אין לה ראש ואין לה ממש סמכויות.

בתחילת העשור השני של שנות האלפיים הטרנד היה לומר כי ההתקדמות הטכנולוגית הרסה את הזכות לפרטיות. ההתנהלות בארץ די התכתבה עם האווירה הזו. אלא שלפני כשנתיים נכנסו לתוקף תקנות מידע חדשות באירופה, ה-GDPR, שטרפו את הקלפים כאשר קבעו עקרונות ברורים לשימוש במידע, כאלו שמתכתבים היטב עם ההתקדמות הטכנולוגית. מדינות רבות בעולם מיהרו ללכת בעקבות אירופה. כך קליפורניה עם תקנות הגנה על המידע הצרכני, ה-CCPA, ברזיל, ארגנטינה, יפן ועוד.

בישראל אומנם נכנסו לתוקף לפני כשנתיים תקנות אבטחת מידע חדשות, אך אלו עוסקות רק בהיבטים של השמירה על המידע מפני פגיעה בו, לא של כל עיסוק אחר הקשור בו. גם תקנות אלו לא כוללות בחובן סמכויות אכיפה לרשות, ולמעשה אין לרשות כל סמכות להטיל קנס, למשל, על מי שמפר אותם.

על רקע המצב הבלתי סביר הזה נקלעה ישראל למשבר הקורונה, שמצריך פגיעה בפרטיות, לעיתים אף מוצדקת, ללא גורם שיוכל לתת את המשקל של הצד השני, זה של הפרטיות. לכן אפשר לשמוח שהפרטיות נדרסת בצל הקורונה. לשמוח כי אולי דווקא עכשיו יקום שר או חבר כנסת ויבין, שאם לא נעשה מעשה כדי לשמור על הזכות, מעמדה ילך וידעך כמו במדינות העולם השלישי. ויש מה לעשות.

לפני כל דבר אחר יש למנות לרשות ראש קבוע. הממשלה אומנם ממשלת מעבר, אבל ניתן לנסות להגיע להסכמה על מועמד מקובל על כל הצדדים. מועמד כזה צריך להיות איש מקצוע מהתחום ולפוליטיקה לא צריך להיות חלק במינוי כזה. אחר-כך ניתן לקדם את חקיקת התיקון לחוק שייתן לרשות להגנת הפרטיות סמכויות אכיפה. ואחרי כל אלה, אולי יהיה לנו גורם שאוכף את הזכות לפרטיות, ששומר על המשטרה והשב"כ שצדים את מפרי חוקי הקורונה עם אמצעי איכון ואמצעים פוגעניים אחרים. אין ספק שיש לשמור על מעמדה של הרשות להגנת הפרטיות. היא תשמור אז על כולנו. נהיה אז, נקווה, מדינה דמוקרטית שהזכות לפרטיות זוכה בה לכבוד.

הפוסט הקורונה תפסה את הזכות לפרטיות בישראל לא מוכנה הופיע ראשון בדן חי ברשת

להלן מספר הנחיות חשובות למעסיק והנחיות חשובות לעובד מרחוק מהבית, עליהן יש להקפיד בעת עבודה מהבית / גישה מרחוק.

 המעסיק

• מתן גישה על בסיס צריך לדעת בלבד – יש להקפיד על מתן הרשאות גישה מסודרות וקפדניות במיוחד בעת מתן גישה מרחוק למידע של ארגון. יש להקפיד כי הגישה למידע תינתן במידה המינימלית הנדרשת, תוך הגבלת האפשרות לגישה לתיקיות חיוניות בלבד. ככל הניתן, יש להימנע מהפרקטיקה של שימוש ב-Remote desktop protocol פשוט וכללי להשתלטות מרחוק, לבטח כאשר זה נעשה באופן עצמאי על ידי העובדים, וללא פיקוח המעסיק.
• הימנעות מפעולה במחשבים אשר מותקנות בהם תוכנות לא-חוקיות ומסוכנות – יש לעשות מאמץ, ככל שניתן, להשתמש במחשבים הניידים המוכרים ומתוחזקים של המעסיק. כאשר עובדים מתחברים באופן שוטף מהמחשבים האישיים, יש להנחות אותם לוודא כי מערכות ההפעלה שברשותם עדכניות ונתמכות באופן שוטף. כן, יש להנחות את העובדים לוודא כי המחשבים שבשימוש מוגנים מפני חדירות ווירוסים ככל הניתן, באמצעות תוכנות ייעודיות
• גישה מוגבלת בזמן – ככל שניתן להסתייע בתמיכה טכנית לחיבור ארעי מרחוק והעברת קבצים נקודתית – הרי זה עדיף. בכל מקרה, חיבור משתמשים מרחוק צריך להיות מוגבל בזמן, ומשך הגישה צריך להיות מתועד.
• מתן גישה לפי רשימת הרשאות קבועות – כפי שבשגרה כל עובד צריך לקבל גישה לפי רשימת הרשאות המתייחסת לתפקידו, במידה הנדרשת לתפקידו בלבד, כך גם בחירום ובעבודה מהבית. כלומר, לא רק היקף ההרשאות צריך להיות מצומצם, אלא גם סוג ההרשאות צריך להתאים למידע הרלוונטי שהעובד נדרש אליו במסגרת תפקידו. גישה מרחוק אינה דבר בינארי ותשתנה מעובד לעובד, ויש להקפיד ליצור את החיץ האמור, ככל שמתאפשר, באמצעות גורמי המחשוב המלווים את המעסיק.
• חיזוק סיסמאות- יש לקבוע כי כל עובד יידרש לעדכן את סיסמתו האישית למחשב האישי, לתיבת הדוא"ל ולכניסה למערכות, ככל שמתאפשר.
• אמצעי פיזי לזיהוי – עת גישה מרחוק, ככל שניתן להשתמש בטוקן או אמצעי פיזי אחר לשם שיפור אבטחת המידע בזיהוי והאימות (למשל – OTP – one time password ואימות דו שלבי) – יש לעשות כן.

העובדים:

• לעיתים בעבודה מהבית נוח יותר להתחבר לתיבה האישית או לשלוח אליה קבצים – בעת הזו חשוב במיוחד להקפיד לעשות שימוש בתיבת הדואר האלקטרוני המקצועית בלבד.
• היזהרו מפישינג! יש להימנע מפתיחת קבצים ומיילים משולחים לא מוכרים, ולהתריע בפני הממונה בארגון על כל חשד בזהות שולח הדואר האלקטרוני או תוכן שאינו שיגרתי לפעילות.
• יש לדאוג לנעול את המחשב עובדים מרחוק, לא להשאיר אותו במקום שאינו מוגן וללא השגחה, תחת ההבנה כי כעת נגיש למערכות מאגרי המידע.
• יש לרענן סיסמאות ולוודא כי הן מורכבות (ספרות, אותיות, סימנים מיוחדים) ואינן מהוות סדרות עוקבות של מספרים, רצפים מוכרים, תאריכים סמליים עבורם, שמות מוכרים וכיו"ב.
• יש להתחבר לרשתות WIFI קבועות בלבד, ולהימנע מהתחברות לרשתות ציבוריות או מזדמנות. ככל שלא נדרש חיבור לרשת, לעבוד במצב לא מחובר או מחיבור VPN.
• לגלות אחריות וערנות באופן כללי, להישמע להוראות המנהלים ונהלי החברה ולדווח על כל אי סדר וחשש מפני חדירה, העתקה או דליפה של מידע או חומר.

הפוסט אבטחת המידע והפרטיות בעת עבודה מהבית – דגשים הופיע ראשון בדן חי ברשת

תהא אשר תהא עוצמת ההקלה, עיסוק הפיקוח על הבנקים בסוגיה רק ממחיש, עד כמה חשובה ומורכבת סוגיית הוצאתו של מידע מישראל אל ענן היושב בחו"ל. העיסוק בסוגיה מעלה, ללא ספק, שאלות רבות. ביניהן השאלה עד כמה ראוי שגורמים בישראל יוציאו מידע אל מחוץ לגבולות המדינה והאם יש מקום להגביל העברה כזו?

התשובה לשאלה הזו מורכבת. מצד אחד גורמים עסקיים רבים, בניהם חברות מרכזיות במשק, שאינם נמצאים תחת רגולטור מפקח כמו הפיקוח על הבנקים, כבר העבירו מידע רב שלהם אל עננים המצויים מחוץ לגבולות המדינה. מצד שני, אל ה"חגיגה" הזו מבקשים להצטרף גורמים מרכזיים יותר, כמו הבנקים ולאחרונה אף נודע שגם המדינה רוצה בכך. האם זה ראוי?

על רצונה של המדינה להעביר מידע של משרדי ממשלה אל עננים המצויים בחו"ל היה אפשר ללמוד ממכרז שהוציא אגף התקשוב להוצאת מידע של רשויות המדינה אל ענן, כאשר לא הייתה במכרז כל הגבלה גם על העברת מידע אל ענן המצוי מחוץ לגבולות המדינה.

ההגבלה היחידה הקיימת בחקיקה הישראלית על העברת מידע אל מחוץ לגבולות המדינה, מתרכזת בעיקר בשאלת אבטחתו של מידע זה. אין ספק שעננים דוגמת אלו שמספקות חברות הענק, כמו אמזון או מייקרוסופט, מבטיחים הגנה על המידע מההיבט של אבטחת המידע. קריאת ההתחייבויות של חברות כאלו כלפי מי שמאכסן אצלם את המידע מעלה, כי הם אף עולות בקנה אחד עם הוראות תקנות אבטחת המידע הישראליות והוראות הדין המקומי ביחס להעברת מידע לחו"ל.

אבל כאשר מעבירים מידע לחו"ל שאלת אבטחת המידע אינה השאלה היחידה שצריכה להישאל. יש לבדוק, בנוסף לכך, אם המידע אינו כזה, שלא קיים חשש שיתגלה תחת צו של בית משפט או הוראה של רשות חוקית במדינה בה ייאגר. כאשר מידע נמצא תחת תחומה השיפוטי של מדינה אחרת, הוא מצוי גם תחת מערכת החוקים והמשפט של אותה מדינה. אם המידע הוא כזה שארגון או גוף כלשהו, גם כזה שעוין את מדינת ישראל, יכול לגלות בו עניין ובאופן חוקי להביא לחשיפתו, עשויות להיות לכך השלכות משמעותיות על הגורם הישראלי שמאחסן את המידע באותה מדינה זרה, במקרים מסוימים גם על תחומים כמו כלכלה וביטחון, לכן אפשרות חשיפתו החוקית של המידע צריכה להילקח בחשבון כאשר כל ארגון עסקי או גוף ממשלתי בוחר היכן לשמור את המידע שלו.

בנוסף, החזקת מידע מחוץ לגבולות המדינה מקשה מאוד בפיקוח עליו. הרי כל מי שהעביר את מאגרי המידע שלו לגורם חיצוני מוכרח שתהיה לו אפשרות לבצע ביקורת פתע בחוות שרתים המחזיקות בו. אך איך מדינת ישראל תוכל לבצע ביקורת פתע בחוות שרתים מעבר לים?

כאשר מדובר בחברות העוסקות בצרכנים, לא מדובר במידע מהותי שאין להעבירו לחו"ל. אבל כאשר מדובר במידע רגיש, בייחוד של משרדי ממשלה, יש לעשות מחשבה נוספת לפני שמעבירים אותו. ישראל צריכה לקחת דוגמא ממדינות, כמו גרמניה למשל, שמבינות את הסכנות ולכן לא מוכנות להוציא את המידע שלהן החוצה. זו הסיבה שמייקרוסופט נאלצה להקים את הענן שלהם בגרמניה, לטובת העניין. ראוי שזו תהיה המדיניות גם בישראל, בייחוד לאור מעמדה בעולם ויחסיה עם שכנותיה.

הפוסט ענן בחו"ל – לא עבור המדינה הופיע ראשון בדן חי ברשת