עם כניסתו לתוקף של תיקון 13 לחוק הגנת הפרטיות, בעלי עסקים רבים שואלים: ‘מאיפה אני בכלל מתחיל?’. התשובה פשוטה יותר ממה שנדמה: מתחילים במיפוי.
אי אפשר להגן על מה שאתה לא יודע שיש לך. תהליך מיפוי מאגרי מידע הוא כמו להכין ‘דוח מצב נכסים’ של המידע בעסק. זהו הצעד הראשון וההכרחי, שבלעדיו כל פעולה אחרת שתעשו תהיה כמו לירות בעיניים עצומות. במדריך הזה, נראה לכם בדיוק איך לעשות את זה נכון.
מהו “מאגר מידע”? (כנראה זה לא מה שחשבתם)
תשכחו מחדרי שרתים. לפי החוק החדש, כל אוסף של פרטים אישיים ששמור דיגיטלית הוא ‘מאגר מידע’. זה אומר שגם קובץ האקסל עם רשימת הלקוחות, גם ה-CRM, וגם רשימת התפוצה שלכם – כולם מאגרי מידע שחלות עליהם חובות.
אז איך עושים את המיפוי? אני ממליץ על תהליך עבודה ב-4 שלבים
שלב 1: זיהוי המאגרים הנפוצים בעסק
תתחילו בלזהות את המאגרים הכי נפוצים והכי ברורים שלכם. כמעט בכל עסק קיימים המאגרים הבאים:
-
מאגר לקוחות: בדרך כלל במערכת ה-CRM.
-
מאגר עובדים: תיקיות אישיות, קבצי שכר.
-
מאגר שיווק (לידים): רשימות תפוצה במערכת דיוור או באקסלים.
-
מאגר ספקים: שמור בדרך כלל במערכת הנהלת החשבונות (או בכל מיני מקומות).
-
מאגר מצלמות אבטחה: אם יש לכם מצלמות במשרד, ההקלטות שלהן הן מאגר מידע לכל דבר.
שלב 2: איתור “מאגרי הצללים”
עכשיו מגיע החלק המורכב יותר: למצוא את המאגרים ה’לא רשמיים’ שאף אחד לא חושב עליהם. איך עושים את זה? קובעים פגישות קצרות עם אנשי המפתח בעסק ושואלים אותם שאלות ממוקדות:
-
שיחה עם מנהל/ת השיווק: ‘חוץ ממערכת הדיוור, איפה עוד אתם שומרים רשימות של לידים? האם אתם מורידים דוחות מפייסבוק לאקסל?’
-
שיחה עם מנהל/ת המכירות: ‘האם אנשי המכירות שומרים רשימות של לקוחות פוטנציאליים בקבצים אישיים על המחשבים שלהם?’
-
שיחה עם מנהל/ת הגיוס: ‘איפה נשמרים קורות החיים של מועמדים שלא התקבלו?'”
שלב 3: בניית “תעודת זהות” לכל מאגר (מסמך הגדרות מאגר)
אחרי שזיהיתם את המאגרים, אתם צריכים (לפי התקנות) ליצור לכל אחד מהם ‘תעודת זהות’ מסודרת. זהו מסמך פנימי שנקרא ‘מסמך הגדרות מאגר’.
למה זה כל כך חשוב? היעדר מסמך כזה הוא הפרה ישירה של התקנות, שהקנס עליה יכול להגיע עד 160,000 ₪. המסמך הזה הוא ההוכחה שלכם שעשיתם את שיעורי הבית.
המסמך צריך לענות על שאלות פשוטות:
-
מהי מטרת המאגר? (למשל, ‘ניהול לקוחות קיימים’).
-
איזה סוגי מידע הוא מכיל? (למשל, ‘שם, טלפון, היסטוריית רכישות’).
-
איפה הוא שמור פיזית? (למשל, ‘שרתי אמזון באירלנד, דרך תוכנת Salesforce’).
-
עם מי חולקים את המידע הזה? (למשל, ‘חברת השיווק ורואה החשבון’).
שימו לב – את תעודת הזהות של כל מאגר יש לעדכן מעת לעת ואחת לשנה לבדוק שאתם לא שומרים מידע מיותר.
שלב 4: סיכום בטבלת מיפוי מרכזית
בסוף התהליך, רכזו את כל המידע בטבלה פשוטה. היא תהיה ‘דשבורד הפרטיות’ שלכם ותיתן לכם תמונת מצב מלאה.
המיפוי הוא רק ההתחלה. מה הלאה?
עכשיו כשיש לכם מפה ברורה של כל המידע בעסק, אתם מוכנים לשלב הבא והקריטי: אבחון רמת האבטחה הנדרשת מכל מאגר. האם מאגר הלקוחות שלכם הוא ‘טויוטה’ או ‘טנק’? על כך, במאמר הבא בסדרה.
מרגישים שהתהליך הזה גדול עליכם? זה טבעי. אם אתם רוצים עזרה בבניית מפת המאגרים שלכם בצורה מקצועית ויעילה, דברו איתי. פגישת אבחון של 30 דקות יכולה לעשות את כל ההבדל.
