תיקון 13 לחוק הגנת הפרטיות: למה משרדי עורכי דין ורואי חשבון הם המטרה החדשה של הרגולטור?
פתיח: שינוי המשוואה
עד ה-1 באוגוסט 2025, רוב בעלי העסקים בישראל יכלו להרשות לעצמם להתייחס לאבטחת מידע כאל 'המלצה'. אם פרצו לך למשרד, הנזק היה בעיקר תפעולי. אבל כללי המשחק השתנו.
תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף מלא, לא מחפש רק את הבנקים וחברות הביטוח. הוא מפנה זרקור מסנוור אל עבר המגזר שנשאר עד כה מתחת לרדאר: בעלי מאגרי מידע קטנים ובינוניים שמחזיקים מידע רגיש במיוחד.
עבור משרד עורכי דין שמחזיק בתיקי לקוחות, או משרד רואי חשבון שמנהל הצהרות הון – המשמעות היא דרמטית. החוק החדש מעביר את האחריות מהמישור הטכני למישור הניהולי והכספי. השאלה היא כבר לא 'האם יש לי אנטי-וירוס', אלא 'האם אני ערוך לביקורת פתע של הרשות להגנת הפרטיות?'
1. המקל והמקל: הכירו את מנגנון העיצומים הכספיים החדש
השינוי הגדול ביותר שתיקון 13 מביא איתו הוא המעבר מאכיפה פלילית (שקרתה לעיתים נדירות ודרשה הליכים מורכבים בבית משפט) לאכיפה מנהלית מהירה וכואבת.
עד היום, בעלי עסקים רבים הניחו שהסיכוי שמישהו יתבע אותם על דליפת מידע הוא קלוש. החוק החדש משנה את הכללים: לרשות להגנת הפרטיות ניתנה הסמכות להטיל עיצומים כספיים (קנסות מנהליים) באופן ישיר, ללא צורך בהליך פלילי ארוך.
עבור משרד קטן או בינוני, המשמעות היא קריטית: הפרה של תקנות אבטחת מידע – למשל, אי-הצפנה של מחשב נייד שנגנב, או שימוש בסיסמאות חלשות שאפשרו פריצה – יכולה להסתיים בקנס של עשרות עד מאות אלפי שקלים. הקנס מוטל על המשרד באופן ישיר, והנטל להוכיח שהייתם בסדר עובר אליכם. הרגולטור לא צריך "לגרור" אתכם לבית משפט כדי לגבות את הכסף.
2. חובת הדיווח: הסיוט התדמיתי של כל משרד
הכסף הוא אולי כואב, אבל הפגיעה במוניטין היא קטלנית. תיקון 13 מחדד ומחמיר את "חובת הדיווח" במקרה של "אירוע אבטחה חמור".
אם בעבר משרדים יכלו לנסות "להשתיק" פריצות או דליפות מידע ולסגור את העניין בשקט מול חברת ה-IT, החוק החדש דורש דיווח מיידי לרשות להגנת הפרטיות. במקרים מסוימים, הרשות רשאית להורות לכם להודיע לכל נושאי המידע שנפגעו – כלומר, ללקוחות שלכם.
דמיינו את הסיטואציה הבאה: עליכם לשלוח הודעה ללקוח אסטרטגי של המשרד, שמנהל אצלכם תיק גירושין רגיש או עסקת נדל"ן גדולה, ולבשר לו: "השרת שלנו נפרץ והמידע שלך כנראה דלף". עבור עורך דין או רואה חשבון, שהמוצר העיקרי שלו הוא דיסקרטיות ואמון, מדובר בנזק בלתי הפיך. לקוחות לא עוזבים בגלל טעות משפטית; הם עוזבים כשהם מרגישים לא בטוחים.
3. "אבל איש המחשבים שלי אמר שהכל בסדר"
זו הטעות הנפוצה ביותר. רוב המשרדים מעסיקים טכנאי מחשבים מצוין שיודע לתקן מדפסת תקועה או להגדיר Outlook, אבל אין לו את הכלים או הידע לנהל אבטחת מידע רגולטורית.
תיקון 13 דורש הרבה יותר מאנטי-וירוס בסיסי. הוא דורש:
- ניטור אקטיבי: מערכת שיודעת לזהות ניסיון פריצה לפני שהוא גורם נזק (EDR).
- ניהול הרשאות: לוודא שמתמחה זמני לא יכול להעתיק את כל מאגר הלקוחות לדיסק-און-קי.
- נוהל גיבוי ושחזור: גיבוי מוצפן לענן שנבדק אחת לתקופה (ולא רק דיסק קשיח במגירה).
כאן נכנסת לתמונה הגישה של Managed IT. ב-Varnoxx, אנחנו לא רק "מתקנים תקלות". אנחנו משמשים כמנהלי האבטחה של המשרד שלכם (CISO as a Service). אנחנו דואגים למעטפת הטכנולוגית והמשפטית, כדי שאתם תוכלו להתרכז בתיקים ובמאזנים.
4. צ'ק-ליסט הישרדות: האם המשרד שלך חשוף?
לפני שהרגולטור דופק בדלת, שאלו את עצמכם את 4 השאלות הבאות. אם התשובה לאחת מהן היא "לא" או "לא יודע", אתם בסיכון לקנס:
- האם מותקנת אצלכם מערכת הגנה מתקדמת (EDR) שמנוטרת 24/7?
- האם יש לכם גיבוי ענן מוצפן שמנותק מהרשת המשרדית (למניעת כופר)?
- האם החלפתם סיסמאות ברירת מחדל בנתב ובשרתים בחצי השנה האחרונה?
- האם אתם יודעים בדיוק למי מהעובדים יש גישה למידע הכי רגיש במשרד?
📚 אל תסתמכו על המילה שלנו - בדקו את המקורות:
-
נוסח החוק המלא (ספר החוקים):
חוק הגנת הפרטיות (תיקון מס' 13), התשפ"ד–2024 >> -
הודעת הרשות להגנת הפרטיות (Gov.il):
"מהפכה בהגנה על הפרטיות: אושר תיקון מס' 13 לחוק הגנת הפרטיות" >> -
סיקור בגלובס:
"הכנסת אישרה את הרפורמה בחוק הגנת הפרטיות: קנסות של עד מאות אלפי שקלים" >>
* הקישורים נפתחים בחלון חדש ומובילים לאתרים הממשלתיים הרשמיים ולאתרי חדשות מובילים.
🚨 אל תחכו לביקורת פתע
חוסר ידיעה אינו פוטר מקנס. צוות Varnoxx מציע לעסקים המחזיקים מידע רגיש בדיקת חשיפה ראשונית (Assessment) מקיפה.
בבדיקה נמפה את פרצות האבטחה במשרד, נבדוק את מוכנות הגיבויים ונפיק דוח מצב מול דרישות החוק החדשות.