בלעדידו"ח: הגנת פרטיות לקויה בעמותות
בלעדי
דו"ח: הגנת פרטיות לקויה בעמותות
הרשות להגנת הפרטיות מצאה ששום עמותה לא עומדת כראוי בנוהלי העברת מידע, למרות המידע הרגיש שהן מרכזות, כגון פרטים רפואיים נפשיים של המסתייעים בהן
ליקויים קשים בביקורת שערכה הרשות להגנת המידע בעשרות מאגרי מידע רגישים של עמותות. שום עמותה לא עומדת כראוי בכללים בנושא העברת מידע; אצל 75% רמת העמידה נמוכה; אצל 25% בינונית; אצל יותר משליש התגלתה רמת אבטחת מידע נמוכה או בינונית; ומדאיג לא פחות: במסגרת סקר תיקון ליקויים שנערך אשתקד אצל חצי מהעמותות שנבדקו 82% מהליקויים לא תוקנו – כך עלה מדו"ח פיקוח על אבטחת מידע והגנת הפרטיות בעמותות של הרשות להגנת מידע במשרד המשפטים.
הרשות הגדירה את מאגרי המידע במגזר עמותות כיעד פיקוח משמעותי מפני ש"קיימים סיכונים לא מעטים לפרטיות האנשים המסתייעים בשירותי עמותות, שנובעים מכך שגופים אלו מנהלים מידע רב, מזוהה ורגיש, הן בעצמם והן באמצעות גורמים חיצוניים שמעניקים להם שירותי מיקור חוץ".
מדובר בחלק מהמקרים במאגרי מידע גדולים מאוד, ולעיתים קרובות במידע סודי ופרטי רגיש של האנשים שלהם מסייעות העמותות, כולל מידע רפואי ונפשי, פרטי נטייה מינית, מידע ביומטרי ועבר פלילי. בשל מיעוט האמצעים של ארגוני המגזר השלישי בחלק מהעמותות אין מחלקות ייעודיות לטיפול בנושא הגנת הפרטיות. תקופת הקורונה יצרה אתגר נוסף כשהגדילה מאוד את היקף המסתייעים בעמותות וכן את הצורך בהעברת מידע מהן ואליהן.
הארגונים שלהם מאגרי מידע חייבים לעמוד בדרישות חוק הגנת הפרטיות ותקנות אבטחת המידע, לקיים את חובת היידוע של הנמצאים במאגר על קיום הרישום לגביהם ולקיים בקרה ארגונית. הרשות להגנת הפרטיות ערכה בשנים 2022-2021, לאחר משבר הקורונה, ביקורת ב־33 ארגוני מגזר שלישי, וב־2023 ביקורת תיקון ליקויים.
אצל 50% מהארגונים התגלתה רמת עמידה בינונית, ואצל 4% רמת עמידה נמוכה בדרישות הגנת הפרטיות. אבל כשבודקים את המדדים לגופם המצב חמור בהרבה. שום גוף לא עומד בצורה טובה בכללים בנושא העברת מידע. אצל 75% היתה רמת עמידה נמוכה ורק אצל 25% בינונית.
הליקוי העיקרי בתחום זה הוא אי עמידה בדרישות בנושא התקשרות עם גורם חיצוני לצורך עיבוד או ניהול מידע. 48% מהגופים לא מינו ועדה שתנהל את נושא העברת המידע כנדרש, 30% קיבלו או מסרה מידע בלי לדווח לרשם, ו־22% העבירו או קיבלו מידע בלי רישום של ההעברה.
גם באבטחת המידע בתוך הארגון התגלו בעיות קשות. אצל 16% רמת אבטחת מידע נמוכה, ואצל 17% רמת אבטחת מידע בינונית, כלומר אצל יותר משליש מהעמותות אין רמת אבטחה מספקת. בחלק מהגופים לא מקיימים מבדקי חדירה וסקרי סיכונים בתדירות הנדרשת וכן תיעוד הגישה למאגרים חלקי ובלתי מספק. אצל 30% מהארגונים אין הוראת ניתוק אוטומטית לאחר משך זמן של אי פעילות, ואצל 22% אין מדיניות סיסמאות חזקות.
בתחום הבקרה הארגונית על ניהול מאגרי המידע מתברר שאצל 40% מהארגונים לא קיים נוהל אבטחת מידע או שהוא אינו תקין. אצל 36% מהארגונים אין הדרכת אבטחת מידע מסודרת.
הממונה על ההגנה המגזרית במחלקת אכיפה ברשות להגנת הפרטיות אפרת סוקולובר אומרת ש"מדובר בתמונה מדאיגה. עמותות שמחזיקות במידע כל כך רגיש על אזרחים חשוב שידעו לשמור עליו בצורה הכי טובה שיש. ברור שיש לעמותות קושי כלכלי והן משקיעות את רוב התקציב בנזקקים, אך אם מידע כל כך רגיש ידלוף הנזק יהיה מאוד משמעותי".