מה רשות הגנת הפרטיות כבר יודעת על סוכנויות ביטוח?
תיקון 13 לחוק הגנת הפרטיות שם את סוכנויות הביטוח בזירת סיכונים חדשה. לצורך סקירת הסיכונים שעומדים בפני סוכנויות הביטוח עם כניסת השינוי בחוק, חזרתי לדוח ביקורת הרוחב שפרסמה רשות הגנת הפרטיות ב-2022 כדי ללמוד מהממצאים שהוצגו על ידי הרשות.
במאמר זה אני אציג המלצות ממוקדות למגזר סוכנויות הביטוח, תוך שימוש בהבנה והניסיון שיש לי מצד אחד בניהול סוכנות ביטוח (בעבר מנכלית פלתורס ביטוח), ומצד שני בהטמעת תוכניות ציות בארגונים במסגרת PIL בשנים האחרונות.
רקע כללי
בשנים 2019-2022 ביצעה רשות הגנת הפרטיות פיקוח רוחב מקיף על מגזר סוכנויות הביטוח בישראל. הפיקוח כלל בדיקה של 28 סוכנויות ביטוח במטרה לבחון את רמת העמידה בהוראות חוק הגנת הפרטיות ותקנות אבטחת מידע מ-2017.
המאפיינים הייחודיים של מגזר זה הפכו אותו ליעד מועדף לפיקוח: הזדקקות נרחבת של הציבור לשירותי הביטוח, איסוף מידע בהיקפים גדולים לתקופות ממושכות, החזקה במידע רגיש (רפואי, פיננסי, אישי), והמעבר הטכנולוגי המואץ למרחב הדיגיטלי.
ממצאי הפיקוח העיקריים
הליקויים שנמצאו
הפיקוח העלה ליקויים משמעותיים ב-26 מתוך 28 הסוכנויות שנבדקו (כ-93%). הליקויים התרכזו בארבעה תחומים עיקריים:
- בקרה ארגונית (71% עמידה גבוהה)
- חוסר בסקרי סיכונים וביקורות אבטחת מידע
- נהלי אבטחת מידע חסרים או לא מקיפים
- העדר תכנית עבודה שנתית לבקרה שוטפת
- חוסר במבדקי חדירות במאגרים ברמת אבטחה גבוהה
- ניהול מאגרי מידע (92% עמידה גבוהה)
- הבעיה המרכזית: אי-בהירות בקרב סוכנויות באשר לתפקידן כמחזיקות לעומת בעלות של מאגרי מידע
- שימוש במידע לקוחות למטרות החורגות מההסכמה שניתנה לחברת הביטוח
- חוסר בהודעות נאותות בדיוור ישיר
- אבטחת מידע (75% עמידה גבוהה)
- חוסר בתיעוד אירועי אבטחה
- הגבלות לא מספקות על שימוש בהתקנים ניידים
- מנגנוני הרשאות לא מספקים
- עיבוד מידע במיקור חוץ (32% עמידה גבוהה בלבד)
- התחום הבעייתי ביותר: רק שליש מהגופים עמדו בדרישות
- חוסר במודעות לכך ששימוש בתוכנות ענן מהווה מיקור חוץ
- הסכמים לא מספקים עם ספקי מיקור חוץ
- חוסר באמצעי בקרה ופיקוח על גורמים חיצוניים
עמדת הרשות בסוגיית המחזיק vs. בעל מאגר
הרשות קבעה עמדה ברורה: בעסקת ביטוח טיפוסית, חברת הביטוח היא בעלת מאגר המידע, והסוכנות משמשת כמחזיקה בלבד. משמעות הדבר:
- הסוכנות אינה רשאית להשתמש במידע למטרותיה הייחודיות
- ההסכמה שניתנה לחברת הביטוח אינה חלה על שימושים נוספים של הסוכנות
- כדי להקים מאגר נפרד, הסוכנות חייבת לקבל הסכמה נפרדת מהלקוח
תיקון הליקויים וביקורות המעקב
לאחר הפיקוח, הגופים נדרשו להגיש תכניות תיקון מפורטות. בביקורת מעקב על 20% מהגופים נמצא כי 97% מהליקויים תוקנו – נתון המעיד על יעילות גבוהה של הליך הפיקוח.
המהפכה הצפויה: כניסת סמכויות הקנסות
במהלך הביקורות שתוארו בדו”ח, לרשות הגנת הפרטיות לא הייתה סמכות להטיל קנסות כספיים. הרשות יכלה לדרוש תיקון ליקויים ולנקוט באכיפה מוגבלת, אך ללא “שן כלכלית” משמעותית.
החל מאוגוסט 2025, לרשות הגנת הפרטיות יש סמכות להטיל קנסות של עד 2.3 מיליון שקלים על הפרות של חוק הגנת הפרטיות. שינוי זה צפוי ליצור מהפכה אמיתית בתחום:
השלכות על המגזר
- תמריץ כלכלי ברור: בעוד שבעבר סוכנויות יכלו “להרשות לעצמן” לדחות תיקונים, כיום כל ליקוי עלול להניב קנס כבד.
- מקצועיות מוגברת: הצורך בעמידה בסטנדרטים גבוהים יוביל להעסקת מומחים ולהשתלמויות מקצועיות.
- השקעה מוגברת בנושא הפרטיות: הצפי הוא לעלייה משמעותית בהשקעות בתחום פרטיות ואבטחת המידע, במיוחד:
- מערכות ניהול מידע מתקדמות
- ייעוץ משפטי מתמחה
- הדרכות עובדים מקיפות
- מערכות בקרה ופיקוח על ספקי מיקור חוץ
התחומים הפגיעים ביותר
בהתבסס על ממצאי הדו”ח, הסוכנויות צפויות להתמודד עם חשיפה גבוהה לקנסות בתחומים הבאים:
עיבוד מידע במיקור חוץ (הציון הנמוך ביותר):
- קנסות על חוסר בהסכמי מיקור חוץ תקינים
- קנסות על שימוש בתוכנות ענן ללא הסדרה נאותה
- קנסות על חוסר בפיקוח על ספקים חיצוניים
לדעתי, יישום פתרון לליקוי זה אינו מורכב מאחר וסוכנויות הביטוח משתמשות בדרך כלל במספר מוגבל של מערכות מידע חיצוניות. מדובר במערכות מתמחות הפועלות מול גורמים רבים בענף הביטוח, ולכן הן כבר מודעות לסטנדרטים הנדרשי. ניהול סיכוני מיקור החוץ אינו משימה מורכבת במיוחד – מדובר בעיקר בהכנסת תהליכים לרוטינת הניהול השוטפת באמצעות מערכת ניהול משימות מתאימה.
אבטחת מידע:
- קנסות על אי-תיעוד אירועי אבטחה
- קנסות על שימוש לא מוגבל בהתקנים ניידים
- קנסות על מנגנוני הרשאות לקויים
יש לשים לב כי עיקר ההתמקדות של הרשות הינה בנושאי ניהול ותיעוד ולא בסוגיות טכניות מורכבות. בנושאי אבטחת מידע, בכל ביקורת תמיד יימצאו ליקויים ותיקונים שיש לבצע וזוהי שגרה חשובה שיש להכניסה לפעילות השוטפת של הסוכנות. אולם בנושאי סקירת הרגולציה, כתיבת נהלים ויצירת בקרות שוטפות – אין מדובר במשהו טכנולוגי מורכב, אלא בהכנסה של שגרות ניהול חדשות לארגון.
אתגר מיוחד: הקשר בין גודל הסוכנות לרמת הציות
ממצא חשוב מהדו”ח מצביע על מתאם ברור בין גודל הסוכנות לרמת העמידה בדרישות הרגולציה. הדו”ח מציין במפורש:
- סוכנויות גדולות: הפגינו רמת עמידה בינונית-גבוהה בדרישות החוק
- סוכנויות בינוניות: נמצאו ברמת עמידה חלקית (בינונית/נמוכה)
תוצאות אלו מסתדרות עם המציאות המוכרת לי – סוכנויות הבינוניות נדרשות לעמוד באותן הוראות רגולציה (בשל כמות העובדים וכמות הלקוחות), אך מצד שני המשאבים שלהם מוגבלים ביחס לסוכנויות הגדולות ולכן פחות מוכנות להתמודד עם הדרישות הרגולטוריות.
ההתקדמות הטכנולוגית בתחום ופיתוח פתרונות מתאימים בשנים האחרונות יוצר הזדמנות חשובה לסוכנויות ביטוח למציאת פתרונות טכנולוגיים חסכוניים אשר יכולים:
- לחסוך עלויות משמעותיות בהשוואה להעסקת צוותים מקצועיים גדולים
- לסייע בהטמעת המתודולוגיה הנדרשת באופן אוטומטי ומובנה
- לספק כלים לניהול ציות המותאמים לארגונים קטנים
- להציע תבניות ונהלים מוכנים הבנויים על בסיס הדרישות הרגולטוריות
פתרונות אלו יכולים לכלול: מערכות ניהול ציות ענניות במחיר נגיש, תבניות אוטומטיות לכתיבת נהלים ותיעוד, כלים לניטור אוטומטי של ספקי מיקור חוץ, מערכות התראה ובקרה לאירועי אבטחה ועוד.
המלצות לסוכנויות הביטוח
לאור השינוי בסמכויות הרשות והממצאים שעלו מהדו”ח, מומלץ לסוכנויות:
- מיפוי הסיכונים הכרוכים במאגרי המידע של הסוכנות לאור דוח הביקורת
- רענון וכתיבה של נהלי העבודה והמדיניות
- הסדרת הסכמי מיקור חוץ עם כל הספקים – משימה פשוטה יחסית בהתחשב במספר המוגבל של מערכות המידע החיצוניות
- בניית מערך ניהול ותיעוד – הדגש העיקרי של הרשות
- הקמת שגרות ניהול חדשות לציות לחוק הגנת הפרטיות ובניית יכולת בקרה שוטפת
- הדרכת עובדים מקיפה על הנהלים החדשים
שימוש בפתרונות טכנולוגיים עשוי לקצר את לוח הזמנים להיערכות ולהקטין עלויות באופן מהותי.
סיכום
דו”ח הפיקוח על סוכנויות הביטוח מגלה פערים משמעותיים בעמידה בדרישות הגנת הפרטיות, במיוחד בתחום עיבוד המידע במיקור חוץ. כניסת סמכויות הקנסות לתוקף באוגוסט 2025 הופכת את הדו”ח ממפת דרכים להכנה לעולם חדש – עולם שבו כל ליקוי עלול להניב קנס של מיליוני שקלים.
רשות הגנת הפרטיות מכריזה בחודשים האחרונים בכל במה אפשרית כי היא תשתמש בסמכויות האכיפה שלה ובמחלקת האכיפה המונה 15 עובדים ומתכוונת להטיל קנסות לצורך האצת יישום הרגולציה.
התעלמות מעצם ביצוע ביקורת הרוחה ומדוח הרשות להגנת הפרטיות הינה כעצימת עיניים אל מול סיכון גדול המסתתר ממש מאחורי הפינה, בטווח של חודשיים.
הסוכנויות שיפעלו כבר עתה לתיקון הליקויים ולהטמעת מערכי ציות מקיפים, יהיו אלו שיצלחו להימנע מהקנסות הכבדים הצפויים. מי שיחכה – עלול לשלם מחיר כבד.
הזמן לפעולה הוא עכשיו.
הדו”ח אינו רק תיעוד של המצב הקיים – הוא מפת דרכים למניעת קנסות עתידיים.
