כ-80% מחברות כוח האדם והשמה בישראל לא עומדות במלוא דרישות החוק והתקנות בתחום אבטחת המידע, כ-30% ברמת עמידה בינונית וכמחצית ברמת עמידה נמוכה – כך עולה מדו"ח הרשות להגנת הפרטיות שפורסם ביום חמישי שעבר.
החברות במגזר כוח האדם וההשמה אוספות נתונים רגישים על מספר גדול במיוחד של עובדים. מאגריהן מכילים מידע אישי בהיקפים נרחבים במיוחד, שמנוהלים על ידי מספר רב של גופים וחברות שפועלים בתחום. ברשות הבהירו שמאפיינים אלה מדגישים את חובתן של החברות לעמוד בדרישות אבטחת המידע, לקיים מנגנון הרשאות גישה יעיל ולקיים מעקב ובקרה בקרב ספקים חיצוניים שמקבלים גישה למידע.
במסגרת ההליך, פנתה הרשות ל-31 חברות כוח אדם והשמה בדרישה למילוי שאלוני ביקורת בתחום הגנת הפרטיות: בקרה ארגונית, ניהול מאגרי מידע לרבות השימוש בגורם חיצוני, ואבטחת מידע. בפיקוח השתתפו בסופו של דבר 26 גופים שמנהלים מאגרי מידע של עובדים ומועמדים לעבודה. שני גופים נוספים הועברו להמשך טיפול אכיפתי, ובשאר התברר שסיימו את פעילותם, שינו את תחום פעילותם, או השיבו מענה מאוחד בשל פעילות עסקית מאוחדת, ניהול מאגר משותף או תשתית טכנולוגית משותפת.
לפי הממצאים, מרבית הגופים הציגו רמת עמידה חלקית בלבד בהוראות החוק והתקנות בשקלול כל התחומים שנבדקו, ורק כרבע מכלל הגופים נמצאו ברמת עמידה מלאה. ב-48% מהחברות לא נערכו מבדקי חדירה בשלוש השנים האחרונות. ב-40% מהחברות נמצא שלא קיימת אבטחה ברמה גבוהה למניעת גישה לשרתים והתשתיות המחזיקים או מאפשרים גישה למאגרי המידע. ב-24% מהחברות נמצא שלא קיים תיעוד של אירועי אבטחה בהתאם להוראת התקנות להגנת פרטיות, וב-24% נמצא שלא קיים איסור על חיבור התקנים ניידים והורדת מידע ללא הצפנה.
בשקלול הציונים שניתנו לגבי מידת העמידה בהוראות החוק והתקנות, בתחומי הבקרה הארגונית, ניהול מאגרי מידע ואבטחת מידע נמצא שציון העמידה הממוצע של המגזר בדרישות החוק עומד על 64%.
"התמונה העולה מהליך הפיקוח מצביעה על כך שהמודעות במגזר זה לנושא אבטחת המידע והגנת הפרטיות אינה הולמת את רגישות המידע המוחזק בידי חברות במגזר", נכתב בסיכום הדו"ח. "ממצאי פיקוח הרוחב העלו שהמגזר מצוי ברמת עמידה בינונית בתחום ניהול מאגרי מידע, ומעבר לאיוש תפקידים והקפדה על מבנה ארגוני פורמלי כנדרש, דרישות שבהן עומדים מרבית הגופים, יישום פרקטיקות שוטפות הנדרשות לאבטחת המידע והגנת הפרטיות של נושאי המידע, לוקה בחסר.
"ניכר שעצם קיומו של הליך פיקוח הרוחב עורר אצל הגופים שנבדקו תהליך בחינה והנעה לשיפור אופן הציות לחוק ולתקנות, כשבסיום ההליך, הגופים שבהתנהלותם נתגלו ליקויים, נדרשו להציג לרשות התחייבות נושא משרה ותוכנית עבודה לתיקון הליקויים".
ברשות הוסיפו שימשיכו לפעול לאכיפת מדיניותה בקרב בעלי מאגרי מידע והמחזיקים בהם באמצעות הליך פיקוחי הרוחב, לרבות באמצעות ביקורות חוזרות בגופים שהונחו לתקן ליקויים, וזאת לשם הגברת עמידתם בהוראות החוק והתקנות, וכדי לחזק את ההגנה על הזכות החוקתית לפרטיות. בעתיד תשקול הרשות לבחון את השינוי היחסי ברמת הציות להוראות החוק במגזר חברות כוח אדם והשמה, על ידי בחינת גופים נוספים ואחרים במגזר זה.