המבקר: הפרטיות שלנו לא נאכפת – בגלל חילוקי דעות בממשלה

מבקר המדינה, השופט (דימ') יוסף שפירא, גילה ליקויים חמורים בהגנה על הפרטיות שלנו במאגרי המידע הממשלתיים. על פי הדו"ח שפרסם היום (ב'), הרשות להגנת הפרטיות לא יכולה לאכוף את התקנות האחרונות בתחום אבטחת המידע, שפורסמו בשנה שעברה, עקב חילוקי דעות בין משרד המשפטים, שהרשות היא חלק ממנו, למערך הסייבר, שבאחריות משרד ראש הממשלה. המשמעות היא שהלכה למעשה, לא מובטח יישומן המלא של התקנות, שפורסמו במאי 2018 ומקבילות לתקנות ה-GDPR האירופית, בהתאמה לשוק הישראלי.

זו אינה הביקורת היחידה של המבקר שקשורה לרשות להגנת הפרטיות: הוא כתב שעל אף החשיבות שהרשות מייחסת למעורבותה בסוגיות הגנת הפרטיות במאגרי המידע במגזר הציבורי, היא לא מעורבת בפרויקטים ממשלתיים בנושא בצורה אפקטיבית ודיונים רבים בכנסת נערכים ללא השתתפותה.

מכלל הגופים הציבוריים, קובע המבקר, רק ארבעה בלבד מדווחים לרשם מאגרי המידע כקבוע בחוק, והרשות לא מבצעת מעקב או אכיפה יזומה על גופים שאינם מעבירים דיווחים אלה. זאת ועוד, היא לא מעודכנת לגבי העברות מידע בין גופים ציבוריים גם בקשר ל-"מאגרי על", שהם, לפי הגדרתם, מאגרים בעלי מידע רגיש – כאלה שפגיעה בחשאיות, באמינות, בשלמות ובזמינות שלהם עלולה לגרום נזק רב לציבור ולמדינה, בהיבטים המדיניים-ביטחוניים, הכלכליים או האזרחיים.

זאת ועוד, המבקר מצא שעל אף שבשלהי העשור האחרון חלה עלייה בפעולות האכיפה, הרי שבתקופת הביקורת מספרן היה נמוך ביחס לקצב הגידול בתחום שוק המידע האישי בישראל. זאת, על אף שכוח האדם ברשות גדל.

ליקויים בהגנה על פרטיות הילדים

שפירא חושף שורה של ליקויים גם בהגנה על פרטיות הילדים, בין היתר אי ביצוע החלטות שמטרתן להדק את השמירה על פרטיותם במוסדות החינוך. המבקר מצא שהרשות הארצית להערכה ומדידה בחינוך פועלת כבר 12 שנים ללא שום חוק שמסדיר את פעילותה, תפקידיה וסמכויותיה. המשמעות היא שהרשות מחזיקה בידה מידע רגיש ביותר על תלמידים ועושה בו שימוש ללא שום פיקוח לאן הוא מועבר ומי עושה בו שימוש.

עוד מתייחס המבקר לעניין הצבת המצלמות, שנועדו לסייע בהידוק הפיקוח על כל הפרה של פרטיות במוסדות החינוך. שפירא מצביע על כך שמנכ"ל משרד החינוך נתן הוראה להצבתן עוד במאי 2015, אבל היא לא בוצעה עד היום. בנוסף, הוא כותב כי למשרד החינוך אין מיפוי של מאגרי המידע או רשימת מצאי של מערכות המידע, וכי עד היום אין למשרד שום רשימה מרוכזת של ספקים בתחום.

מבקר המדינה, השופט בדימוס יוסף שפירא. צילום: ניב קנטור

חורים בהגנת המידע הרפואי

המבקר חושף גם ליקויים בהגנה על המידע הרפואי שלנו. על אף שקיים חוזר של מנכ"ל משרד הבריאות שקובע במפורש כי תנאי לקבלת רישיון למוסד רפואי הוא עמידה בתקן אבטחת מידע, שפירא מצא שרק 150 מוסדות מתוך 1,500 שפעילותם טעונה רישוי, בעיקר בתי חולים וקופות חולים, עמדו בו. עוד הוא ציין כי משרד הבריאות לא פרסם הנחיות ברורות למוסדות הרפואיים בנוגע לנהלי דיווח על אירועי אבטחה חריגים, על אף שוועדה מטעם המשרד פרסמה המלצות בעניין כבר לפני שנה.

שפירא אף מצא כי אין בקרה מסודרת על מערכות מידע מקוונות שמשתפות מידע רפואי ומאפשרות לבתי חולים לצפות במידע רפואי שמחזיקות קופות החולים.

מהן המלצות המבקר?

ההמלצות העיקריות בדו"ח הן שעל משרד המשפטים לקיים עבודת מטה בעניין חוק הגנת הפרטיות, לבחון את התיקונים הנדרשים בדיני הגנת הפרטיות, לתעדף אותם ולקבוע לוחות זמנים.

המבקר קורא למשרד המשפטים, משרד ראש הממשלה ומטה הסייבר למצוא את האיזונים המתאימים בין הזכות לפרטיות ובין צרכיו של מערך הסייבר בהגנת המידע; לרשות להגנת הפרטיות לקבל דיווחים על כך; למשרד החינוך לפעול לאלתר להסדרת פעילות הרשות הארצית להערכה ולמדידה; ולמשרדי המשפטים והבריאות לפעול לקביעת כללים ברורים בנוגע למערכות שמעבירות את המידע הרפואי של המטופלים בין קופות החולים ובתי החולים.

תגובות

מהרשות להגנת הפרטיות נמסר בתגובה כי היא "מברכת על החשיבות שמוצא משרד מבקר המדינה בנושא הגנת הפרטיות".

בתגובה נמסר כי "בשנים האחרונות גדל היקף פעילות הרשות. בדומה לעולה מהדו"ח, הרשות רואה חשיבות בקידום הצעת החוק בדבר הרחבת סמכויות האכיפה שלה – הן לשם הגנת המידע האישי של הציבור והן לשם שמירת מעמדה של ישראל כמדינה המבטיחה הגנה על מידע אישי ברמה נאותה, התואמת את הדין האירופי ואת הסטנדרטים המובילים בעולם. על כן, הרשות פעלה ותמשיך לפעול, ביחד עם כלל הגורמים הרלוונטיים, לקידום הצעת החוק וכן לקידומם של תיקוני חקיקה נוספים".

"הרשות פועלת למיקוד פעולות האכיפה ולהגברת ההרתעה, תוך שימוש מושכל במשאבים העומדים לרשותה", צוין בתגובה. "זאת, על מנת לייצר אכיפה איכותית ומשמעותית. בנוסף, הרשות הייתה מעורבת בפרויקטים ממשלתיים משמעותיים ופעלה במספר נושאים בעלי חשיבות לאומית עקרונית. נציין כי בעידן הנוכחי, בו השימוש במערכות דיגיטליות הולך וגובר, אין בהכרח הצדקה אסטרטגית למעורבות הרשות בכלל הפרויקטים הממשלתיים".

בנוגע להעברות מידע בין גופים ציבוריים טוענים ברשות כי הדבר חל על הגופים הציבוריים ולא על הרשות. "עם זאת", נכתב, "הרשות תפיץ לכלל הגופים ריענון בעניין דרישות החוק ביחס לנושא".

בסיום נכתב כי "בשנים האחרונות חל גידול משמעותי בהיקף פרסומי הרשות לציבור הכוללים הנחיות, גילויי דעת וניירות עמדה, מדריכים לציבור ועוד".

ממשרד החינוך נמסר כי סוגיית אבטחת המידע מעסיקה אותו "מדי יום ביומו ולכן, הוא נוקט בשורה של פעולות כדי להבטיח עקרון חשוב זה. בין הפעולות: בדיקת חדירות מיוזמתו למערכות ולאתרים כדי להציף פרצות אבטחה. הממצאים הקריטיים תוקנו והיתר מלווים בתכנית עבודה. פעילויות רבות להעלאת המודעות לנושאי אבטחת מידע והגנה בסייבר – החל מפעילויות בשבוע הגלישה הבטוחה, וכלה בהרצאות להורים ולתלמידים באקדמיה ברשת ובסרטוני הסברה שמופצים. כמו כן, בימים אלה מקודמות מספר יוזמות למערכי שיעור בבתי ספר, בשיתוף מערך הסייבר הלאומי. בנוסף, המשרד מבצע עבודת בקרה שיטתית אל מול בתי הספר, כדי לוודא שנושא אבטחת המידע מטופל בצורה טובה. בשנתיים האחרונות נבדקו בנושא יותר ממחצית בתי הספר וקיבלו משוב לצורך תיקון ליקויים, אם נמצאו. פעילות נוספת היא פיתוחים חדשים, ובכללם הגרסה החדשה של מערכת המנב"ס, שהוכנסה לשימוש בחודשים האחרונים ושיפרה באופן משמעותי את השמירה על הפרטיות ואבטחת המידע. כמו כן, גובשו שני חוזרי מנכ"ל שעוסקים בפרטיות בבתי ספר, וכן ניהול דיגיטלי של נתוני תלמידים. מדובר בטיוטות והם מיועדים להתפרסם במהלך החודשים הקרובים".

"אשר לטענה על העברת מידע רגיש אודות תלמידים, יצוין שיש נהלים ברורים לטיפול והעברת מידע בין מוסדות: סוגי המידע שניתן להעביר, למי מותר להעביר, המנגנון לאישור העברה וכדומה. אופן ההעברה מאובטח – כספות, ועובר רק מידע שאושר להעברה", נכתב בתגובה.

עוד על פי המשרד, "בנוגע לספקים טכנולוגיים למוסדות חינוך, מבוצעות בדיקות אבטחת מידע מחמירות לגופים אלה אחת לשנה. גוף אשר לא עומד בתקן אבטחת המידע של המשרד ובבדיקות אבטחת המידע לא מקבל מידע מבתי הספר".

"בהתייחס לבקרה בנושא מצלמות אבטחה, משרד החינוך ערך השנה בקרה ב-350 בתי ספר יסודיים וב-68 בתי ספר על יסודיים, במסגרתה נבדקו שורה של תחומים המוזכרים בתוך חוזר המנכ"ל. בכוונת המשרד להמשיך ולעקוב אחר נושא זה", צוין בהודעת התגובה.