בשנים האחרונות נכנסו לתוקף, חודשו והתבססו רגולציות רבות בתחומי הגנת הפרטיות, אבטחת מידע וסייבר. בראש ובראשונה ניתן למנות כמובן את האסדרה האירופאית להגנת הפרטיות EU 2016/679 General Data Protection Regulation המוכרת כ- GDPR, אשר עם כניסתה לתוקף במאי 2018 חוללה שינוי עמוק והניעה גל של שינויים ותיקוני רגולציה גלובאליים בתחום. בישראל אנו יכולים להצביע על חוק הגנת הפרטיות, התשמ"א-1981, התקנות שפורסמו מכוחו ובהן תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017 (תקנות אבטחת מידע) והוראות רשות הגנת הפרטיות. בקליפורניה (ובעקבות כך במדינות נוספות בארה"ב) חוקק ה- California Consumer Privacy Act (ה- CCPA), PIPL בסין, LGPD בברזיל, POPI בדרום אפריקה ועוד רגולציות רבות ומגוונות. תהליכים אלו זירזו והאיצו בין היתר את ההתפתחות והאכיפה של רגולציות סקטוריאליות של אבטחה והפרטיות, כמו למשל ה- The Health Insurance Portability and Accountability Act of 1996 (HIPAA) האמריקאי החל ביחס לעיבוד מידע רפואי או רגולציות דומות בתחום אבטחת התשתיות, השירותים הפיננסיים וכיו"ב.
רגולציות אלו אמנם נבדלות זו מזו בחלק מהחובות הכלולות בהן, אולם בכלליות ניתן לומר כי רב המשותף על המפריד, והוראותיהן כולן מתמקדות בהסדרתם של שני תחומים משיקים וקשורים – הגנת הפרטיות ואבטחת מידע. הגנת הפרטיות הינו תחום משפטי הקובע כללים, מגבלות ואיסורים לשימוש במידע אישי, מידע הנוגע לבני אדם מזוהים. אבטחת מידע תכליתה להבטיח כי מידע יישמר בסודיות ויגיע רק לידי הגורמים המורשים לו, יהיה זמין, אמין ותקין ובאופן כללי יישמר בצורה נאותה המונעת פרצות אבטחה ושימוש שאינו מורשה. הרגולציות האמורות, כל אחת בדרכה, מטפלות בשלל נושאים הקשורים בהגנת הפרטיות ואבטחת מידע: מיפוי ושליטה במידע, ניהול תקין שלו, הגבלת שימוש וגישה, קביעת נהלים ומסמכי מדיניות לעניין השימוש במידע, אבטחת שרשרת אספקה (ספקים חיצוניים), העברות מידע בינלאומיות וכו'. הרגולציות כולן קובעות לא רק חובות פרטניות וקונקרטיות, אלא גם את החובה לנהל מסגרת ארגונית, מדיניות ונהלים המבטיחים את הציות השוטף להוראות הרגולציה, לרבות בקרות וסקרי סיכונים תקופתיים.
מאפיין נוסף המשותף למרבית הרגולציות הללו הינו התחולה האקסטריטוריאלית שלהן – בצורה ישירה או עקיפה, מרבית הרגולציות הללו מבקשות להתנתק משאלת המיקום הגיאוגרפי של הגורם עליו חלה הרגולציה, וחלף כך לעסוק בשאלת המוצא של המידע – דהיינו לאיזו מדינה משתייכים "נושאי המידע", האנשים שהמידע שלהם נאסף ומעובד. כך לדוגמא, רגולציית ה- GDPR חלה לא רק על גופים הפועלים מתוך שטחי האיחוד האירופי, אלא גם על גופים מחוץ לשטחי האיחוד (לדוגמא בישראל) כאשר הם מעבדים מידע של אזרחים אירופאים.
אם כך, כיצד בפועל מצייתים להוראות הגנת הפרטיות? כיצד יכולה חברה ישראלית הפועלת בשווקים גלובאליים להבטיח כי פעילותה תהיה בהתאם למגבלות הקבועות בחוק?
גישה אחת, הינה לטפל בנושאים כאשר הם מתעוררים. בצורה כזו, בכל נקודה על ציר הזמן ובהתאם לסוגיות המתעוררות "מהשטח", אנו מתאימים את המענה הנדרש. לדוגמא בעת התקשרות עם לקוח, אנו כאן ב- APM, נבנתה מתודולוגיה של תהליך ציות פנימי, אשר במאמץ משותף בינינו ובין הלקוח, מאפשרת להטמיע את כלל דרישות הדין, בהתאם לאחת או כמה רגולציות רלבנטיות, בתהליך אחיד, סדור ומנוהל. לאחר שאנו מבינים ומגדירים יחד עם הלקוח את הצרכים והחשיפות הרגולטוריות הרלבנטיות לפעילותו, אנו יוצאים לתהליך המנוהל כולו על ידינו, מונגש וקל עבור הלקוח, במסגרתו אנו מחלקים את התהליך לשלושה שלבים פשוטים ומוגדרים:
- תחקור ומיפוי פערים – בסדרה של פגישות וראיונות עם הגורמים הרלבנטיים בחברה, אנו ממפים את כלל המידע הקיים בחברה, מזהים את איזורי החשיפה ומציפים את הפערים בין הפעילות הנוכחית ובין דרישות הרגולציה – בין המצוי לרצוי.
- בניית תוכנית עבודה מותאמת אישית – לאחר הבנת ומיפוי הפערים, אנו מתאימים עבור הלקוח ויחד איתו את הפעולות המתקנות (mitigations) הנדרשות לצורך הבטחת העמידה בהוראות הדין. בסופו של דבר אנו מייצרים עבור הלקוח מפת דרכים, תוכנית ברורה ופשוטה, להטמעת כלל הנדרש.
- יישום והטמעה – בשלב השלישי אנו עוברים למימוש התוכנית ששורטטה. בחלק זה אנו למעשה לוקחים בעלות על כלל הפעולות הנדרשות שאנו יכולים לבצע עבור הלקוח – כתיבת נהלים, הכנת הסכמים, מסמכי מדיניות, מתן הנחיות וליווי וניהול שוטף של הפרויקט עד להשלמתו.
תהליך זה והמתודולוגיה שבבסיסו, הופעלו ומומשו על ידינו ב- APM כבר מאות פעמים בשנים האחרונות, בארגונים גדולים כקטנים, מכל התחומים הרלבנטיים – החל מגופי תעשייה וייצור שונים, דרך חברות פנאי, בידור ומועדוני צרכנות ועד כמובן לחברות הייטק וסטרטאפ המפתחות מוצרים, פלטפורמות אפליקציות ושירותים דיגיטאליים שונים.
ביחס ללקוחות מהסוג האחרון, חברות סטרטאפ, הייטק וטכנולוגיה, אנו יודעים לשלב בתהליך ייעוץ גם ביחס למאפייני האבטחה והפרטיות של המוצר, באופן המקיים את הדרישה המוכרת ל- Privacy and Security by default and design – אנו עובדים מול ה- CTO, VP R&D וצוות הפיתוח והמוצר על מנת להבטיח שלא רק פעילות החברה תוסדר בהתאם לדין, אלא גם המוצר עצמו יכלול את כל המאפיינים הנדרשים על מנת להבטיח ציות ולאפשר לחברה לטעון למשל בביטחון כי היא GDPR Compliant. בחלק זה של הפעילות אנו למעשה מספקים שירות החורג מהייעוץ המשפטי הקלאסי ומתייחס גם להיבטים טכנולוגיים של ממש, כדוגמת אבטחת IT, Secured Architecture, הצפנה ופסיאודונימיזציה (Pseudonymization) וכו'.
לבסוף, על בסיס הניסיון והידע הנרחב שלנו בניהול תהליכי ציות אלו עבור לקוחותינו, אנו יודעים גם לשלב תהליכים אלו עם הסמכות לתקינה נדרשת כדוגמת iso 27001, iso 27799, iso 27017-27018, iso 27701, SOC 2, HITRUST ועוד.
לסיכום, אנו ב- APM יודעים לתמוך בלקוחותינו לא רק נקודתית כשהצורך עולה, אלא גם בתהליכי ציות רוחביים, במסגרתם במאמץ ארגוני מרוכז אנו מבטיחים את הטמעת כלל דרישות רגולציית הגנת הפרטיות ואבטחת המידע, בתהליך פשוט, מונגש וקל עבור הלקוח.