מפיקוח רוחב שערכה הרשות להגנת הפרטיות בקרב 28 סוכנויות ביטוח בישראל עלה כי כשני שליש מהסוכנויות (75%) עמדו ברמה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, 92% מהסוכנויות עמדו ברמה גבוהה בקריטריון של ניהול מאגרי מידע וכ- 71% מהסוכנויות עמדו ברמה גבוהה בקריטריון של בקרה ארגונית

אילוסטרציה של יד הבונה מגדל קוביות

הרשות להגנת הפרטיות במשרד המשפטים מפרסמת את ממצאי דוח פיקוח הרוחב, שערכה בקרב מגזר סוכנויות הביטוח. בפיקוח נבדקו 28 סוכנויות ביטוח, המשרתות אלפי לקוחות.

מגזר סוכנויות הביטוח בישראל נקבע כאחד מיעדי פיקוח הרוחב המשמעותיים של הרשות להגנת הפרטיות בשל מאפייניו הייחודיים. ביניהם, שימוש נרחב של כלל הציבור בשירותי סוכנויות הביטוח, איסוף מידע בהיקפים נרחבים ושמירתו לתקופה ממושכת, ובהחזקת מידע רגיש כגון מצב נפשי ומצב בריאותי. בנוסף, המעבר הטכנולוגי המואץ לרכישת שירותי ביטוח במרחב הדיגיטלי, מעלה סיכונים נוספים לפריצה למאגרי מידע וגניבת נתונים, כדוגמת פרשת שירביט, אשר המחישה את חשיבות העמידה בחוק הגנת הפרטיות ובתקנות מכוחו, במיוחד בקרב סוכנויות ביטוח המספקות שירותי ביטוח לחברות וגורמים ביטחוניים.

הדו"ח מתייחס לפיקוחי הרוחב שביצעה הרשות להגנת הפרטיות בתקופה שבין החודשים יולי 2019 למאי 2020 במגזר סוכנויות הביטוח ולביקורות מעקב על הגופים שהיו תחת פיקוח רוחב זה בתקופה שבין החודשים ינואר 2021 למרץ 2021.

במסגרת פיקוח הרוחב, בחנה הרשות את עמידת סוכנויות הביטוח בקריטריונים הבאים: בקרה ארגונית, ניהול מאגרי מידע, אבטחת מידע ועיבוד מידע אישי במיקור חוץ.

ממצאי הדו"ח

ממצאי דו"ח הפיקוח העלו כי נמצאו ליקויים בתחום אבטחת המידע וכי על מנת לשפר את רמת העמידה של הסוכנויות, עליהן לוודא, בין היתר, כי תיעוד של כל אירועי אבטחת המידע יישמר וכן לגבש נוהל עבודה סדור בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), לרבות קיום דיון מעת לעת באירועי אבטחה. כמו כן, על סוכנויות הביטוח לבחון את הצורך בחיבור התקנים ניידים למערכותיהן, וככל שלא קיים צורך או שהוא מינימאלי, להגביל את השימוש בהם למתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, רגישות המידע והסיכונים למערכות המאגר או למידע הנובעים מחיבור ההתקן הנייד למערכת לרבות קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה. 

בהתייחס לקריטריון של ניהול מאגרי מידע, עולה מממצאי הדו"ח כי ישנה אי בהירות בקרב סוכנויות הביטוח בנוגע לשימושים שמותר להן לעשות במידע שהן אוספות על הלקוחות כאשר הן משמשות כמחזיקות עבור חברות הביטוח. עמדת הרשות היא כי בעסקת ביטוח טיפוסית כגון ביטוח חיים, בריאות, נכסים וכיוצ"ב, חברת הביטוח היא בעלת מאגר המידע וסוכנות הביטוח משמשת כמחזיקה, ומשכך אסור לה להשתמש במידע על הלקוחות למטרותיה, ככל שהן חורגות מהמטרות שביחס אליהן ניתנה הסכמת הלקוח לחברות הביטוח. המשמעות היא שההסכמה הניתנת על ידי המבוטח לחברת הביטוח למטרות המוצהרות, אינה מהווה הסכמה לשימושים נוספים על יד סוכנות הביטוח, גם אם המטרה דומה, כשאין בכך כדי לשלול את האפשרות של סוכנות הביטוח להקים מאגרי מידע בבעלותה.

יצוין, כי במקרה בו מבקשת סוכנות הביטוח לעשות במידע שימושים נוספים על אלה שלשמם אספה את המידע עבור חברת הביטוח, באופן שיהפוך את הסוכנות לבעלת מאגר מידע נפרד, עליה לקבל את הסכמתו הנפרדת של הלקוח להצטרף למאגר הלקוחות של סוכנות הביטוח. במסגרת בקשת ההסכמה הנפרדת, על סוכנות הביטוח לציין האם חלה על הלקוח חובה חוקית למסור את המידע או שמסירת המידע תלויה ברצונו ובהסכמתו, וכן לציין את המטרה או המטרות אשר לשמן מבוקש המידע, למי יימסר המידע ומטרות המסירה.

מממצאי הדו"ח המתייחסים לקריטריון של עיבוד מידע אישי במיקור חוץ, עולה כי במגזר סוכנויות הביטוח נמצאה רמת עמידה בינונית בהוראות חוק הגנת הפרטיות. כמו כן, עולה מהממצאים כי סוכנויות רבות כלל אינן מודעות לכך שהשימוש שהן עושות בתוכנות ניהול אינטרנטיות, מהווה למעשה העברת מידע למיקור חוץ.

 כפי שעולה מהדו"ח, על הגופים המסתייעים בגורם חיצוני לצורך עיבוד מידע לבחון, עוד בטרם ההתקשרות, את סיכוני אבטחת המידע הכרוכים בהתקשרות. בנוסף, על בעל המאגר לוודא עריכת הסכם מול כל גורם חיצוני המחזיק במאגר, בו ייקבעו במפורש, בין היתר, חובתו של הגורם החיצוני לדווח, אחת לשנה לפחות, לבעל המאגר אודות אופן ביצוע חובותיו לפי התקנות וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה. הרשות מבהירה, כי גם כאשר הסוכנות משמשת כמחזיקה במאגר עבור חברת ביטוח, יש לוודא עריכת הסכם מול כל גורם חיצוני נוסף שמחזיק במאגר. עוד דורשות התקנות מן הגופים לנקוט אמצעי בקרה ופיקוח נאותים על עמידת הגורם החיצוני בהוראות ההסכם והתקנות. 

לאור הממצאים שעלו מהליך פיקוח הרוחב, קיבלו 26 גופים מתוך 28 הגופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם. לנוכח הכשלים שהתגלו בהליך פיקוח הרוחב, המפורטים בממצאי הדו"ח, נשלחו הנחיות לכלל הגופים הפועלים במגזר, באשר לצעדים שעליהם לנקוט כדי לעמוד בדרישות החוק והתקנות.

פורסם באתר הרשות להגנת הפרטיות.