הרשות להגנת הפרטיות: מדריך פרקטי בנושא התקשרות עם גורם חיצוני

הרשות להגנת הפרטיות: מדריך פרקטי בנושא התקשרות עם גורם חיצוני
מאת: מערכת Telecom News, 7.9.23, 18:04

סיכונים רבים בהיבטי סייבר ואבטחת מידע קשורים לגישה של ספקים חיצוניים למידע הארגוני. המדריך מסייע לארגונים ליישם את הוראות תקנה 15 בתקנות הגנת הפרטיות (אבטחת מידע) ומתייחס בפירוט לתוכן ההסכם המתחייב בין גורם לספק.

בשנים האחרונות גוברת מגמת ההסתייעות של ארגונים רבים במגזר הפרטי במגזר הציבורי, בנותני שירותים חיצוניים דרך מיקור חוץ (להלן גם: ספקים), שניתנת להם גישה גם למאגרי המידע האישי של הארגון.

לשימוש של ארגון בספקים, שכולל מתן גישה לספקים אל מאגרי המידע של הארגון, יש משמעויות משפטיות, עסקיות וטכנולוגיות, שכן בד"כ, ספקים אלה אינם חלק מהמערך הארגוני, אינם נמנים על עובדי הארגון, והם נותנים שירות למגוון ארגונים במקביל. לכן, סיכונים רבים בהיבטי סייבר ואבטחת מידע קשורים לגישה של ספקים חיצוניים אלה למידע האישי בארגון, להעברת מידע בין הספקים לארגון, ולסיום ההתקשרות בין השניים.

תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 היא המסדירה את אופן ההתקשרות בין הארגון לבין כל גורם חיצוני (שאיננו אדם יחיד), שמספק לארגון שירות הכרוך במתן גישה למאגר המידע שלו.  

המדריך הוא מדריך פרקטי המסייע לארגונים ליישם את הוראותיה של תקנה 15 בתקנות הגנת הפרטיות (אבטחת מידע). המדריך מתייחס בפירוט לתוכן ההסכם המתחייב בין גורם לספק, והוא כולל 2 נספחים לשימוש הארגונים:

שאלון עזר לבדיקת היבטי אבטחת המידע של הספק,
שאלון מוצע לאופן ביצוע הבקרה התקופתית אצל הגורם החיצוני.

המדריך (9 עמודים) - כאן.