המדריך המלא לסיווג הסיכונים הנסתרים בעסק שלכם לפי חוק הפרטיות החדש.
לפני כמה שבועות, ישבתי עם בעלת סטודיו מצליח לעיצוב פנים. כשהגענו לדבר על חוק הפרטיות החדש, היא אמרה לי בביטחון: ‘רומן, אנחנו עסק קטן, משפחתי. יש לנו תוכנת CRM אחת, הכל מסודר, אנחנו בטח ברמת הסיכון הכי נמוכה שיש’.
היא צדקה. מאגר הלקוחות שלה באמת היה ‘קטנוע’ – סיכון נמוך. אבל אז שאלתי אותה על מאגר העובדים. התברר שבתיקייה נפרדת, היא שומרת לא רק חוזי העסקה, אלא גם צילומי תעודות זהות עם ספחים, הערכות ביצועים, ופרטי חשבונות בנק של 12 עובדים.
‘אה,’ אמרתי לה, ‘זה סיפור אחר לגמרי. אתם אולי נוסעים לעבודה על קטנוע, אבל בתוך המשרד אתם מנהלים ‘משאית משוריינת’ שמובילה מטילי זהב, ואתם אפילו לא יודעים את זה.’
התובנה הזו היא המהפכה האמיתית של תיקון 13. החוק כבר לא מסתכל על גודל העסק שלך, אלא על רמת הרגישות של כל מאגר מידע בנפרד. במדריך הזה, נלמד אתכם איך להפוך ל’קציני בטיחות בתעבורה’ של המידע בעסק שלכם.
שלב 1: מיפוי “צי הרכב” של המידע בעסק
לפני שקובעים רמת סיכון, חייבים לדעת מה יש לנו בחניון. רוב העסקים מחזיקים בכמה ‘כלי רכב’ שונים:
-
מאגר לקוחות ולידים (ה’קורולה’ או ה’משאית’): נמצא ב-CRM, באקסלים, במערכות דיוור.
-
מאגר עובדים ומועמדים (כמעט תמיד ‘משאית’): תיקיות אישיות, קבצי שכר, קורות חיים.
-
מאגר ספקים (ה’קורולה’): שמור לרוב במערכת הנהלת החשבונות.
-
מאגר מצלמות אבטחה (סיכון ייחודי): ההקלטות מהמשרד או החנות.
הצעד הראשון הוא פשוט: ערכו רשימה של כל המאגרים האלה אצלכם. לכל מאגר, הכינו “תעודת זהות” בסיסית: מה המטרה שלו, ואיזה סוג מידע הוא מכיל.
רוצים להבין איך לעשות את זה נכון? קראו את המדריך הראשון בסדרה.
שלב 2: קביעת הרישיון הנדרש (רמת האבטחה) לכל “רכב”
החוק מזהה סוגי מאגרים שהם מסוכנים יותר, ללא קשר לגודל העסק. שאלו את עצמכם: האם המאגר הזה עונה על לפחות אחד מהתנאים הבאים?
-
האם הוא מכיל ‘מידע רגיש’ על לקוחות (רפואי, פיננסי, ביומטרי וכו’)?
-
האם הוא משמש כמאגר של ‘מתווך מידע’ (Data Broker)?
-
האם יש גישה אליו ל-11 עובדים או יותר (במקרה שהוא מכיל מידע רגיש על עובדים)?
➡️ אם התשובה היא ‘כן’ לאחת מהשאלות האלה, המאגר שלכם הוא לפחות ברמה בינונית. דלגו לשאלה השנייה.
➡️ אם התשובה היא ‘לא’ לכל השאלות, דלגו לשאלה השלישית.
שאלה שנייה (רק למאגרים בסיכון גבוה): האם מדובר ב”מבצעים מיוחדים”?
אם קבעתם שהמאגר שלכם הוא בסיכון גבוה (‘בינוני’), עכשיו צריך לבדוק אם הוא בקטגוריית העל של הסיכון. שאלו את עצמכם:
-
האם המאגר הזה מכיל מידע על 100,000 איש או יותר?
➡️ אם התשובה היא ‘כן’, המאגר שלכם דורש רמת אבטחה גבוהה.
➡️ אם התשובה היא ‘לא’, המאגר שלכם דורש רמת אבטחה בינונית.
שאלה שלישית (רק למאגרים שאינם בסיכון גבוה): האם מדובר ב”נהג יחיד”?
“אם עניתם ‘לא’ לכל השאלות בשאלה הראשונה, המאגר שלכם הוא בסיכון נמוך. עכשיו נבדוק אם הוא ‘רכב פרטי’ רגיל או ‘קטנוע’:
-
האם המאגר מנוהל על ידי עוסק מורשה, ויש גישה אליו ל-3 אנשים או פחות?
➡️ אם התשובה היא ‘כן’, המאגר שלכם מוגדר כ”מאגר המנוהל בידי יחיד”.
➡️ אם התשובה היא ‘לא’ (למשל, זו חברה בע”מ, או שיש 4 מורשים), המאגר שלכם דורש רמת אבטחה בסיסית.
חשוב להדגיש – את כל האפיון הזה צריך לעשות לכל מאגר ומאגר בפרד.
השורה התחתונה: התאימו את ההגנה לסוג הנכס
הבנתם את העיקרון. אתם לא צריכים להתקין מערכות אבטחה של בנק על רשימת הניוזלטר שלכם, אבל אתם בהחלט לא יכולים להגן על מאגר העובדים שלכם עם סיסמה פשוטה ואנטי-וירוס חינמי.
השלב הבא, אחרי שסיווגתם כל מאגר, הוא לוודא שאתם עומדים ברשימת החובות הספציפית שחלה על כל רמה. זוהי עבודה שיטתית, אבל היא הדרך היחידה להבטיח שהעסק שלכם באמת מוגן.
שימו לב: המדריך הזה נותן כללי אצבע מצוינים, אבל החוק מכיל ניואנסים וחריגים. תהליך אבחון מקצועי יבחן כל מאגר לעומק ויוודא שהסיווג הסופי מדויק לחלוטין.
מרגישים שאתם צריכים עזרה בבניית ‘תעודת הרישוי’ של כל רכב בחניון שלכם? דברו איתי. פגישת אבחון של 30 דקות יכולה לעשות את כל ההבדל.
