עשרות אירועים חמורים של אבטחת מידע לא דווחו לרשות להגנת הפרטיות במשרד המשפטים, כפי שדורש החוק. כך מדווחת הרשות (יום ד', 24.7.19), במלאת שנה לכניסתן לתוקף של תקנות אבטחת מידע.
הרשות מוסרת, כי בשנה האחרונה קיימה 146 הליכי אכיפה - אבל רק 103 מהם (70%) באו בעקבות דיווח כנדרש בידי הגופים בהם התרחשו האירועים. יתר המקרים נודעו לרשות כתוצאה מתלונות של גורמים חיצוניים או בפעולות יזומות שלה. ב-13% מהמקרים (19 אירועים) נקבע שהאירועים התרחשו בשל הפרה של הוראות החוק והתקנות; ב-66% (96 מקרים) נדרשו אותם גופים לתקן ליקויים שלא היוו הפרה שכזאת.
בחלוקה למגזרים, מוביל בצורה בולטת מגזר הביטוח והפיננסים עם 23% מהאירועים. אחריו: טכנולוגיה ואבטחת מידע (10%), בריאות (10%), תקשורת (8%), חינוך (8%), אינטרנט (7%) ומדע וטכנולוגיה (2% מהמקרים). 15% מן האירועים היו ניצול פרצת אבטחה במסד הנתונים; 7% - שימוש לרעה בפרטי גישה; הנדסת אנוש, נוזקות, התקפה גסה לגילוי סיסמה וטעויות אנוש - 9% כל אחד; וב-8% נמסר מידע בצורה בלתי מכוונת, ללא הרשאה או אובדן מדיה.
הרשות מציינת, כי כעת מסתיימת תקופת ההיערכות שהיא קבעה, ולכן בכוונתה להתחיל באכיפה מלאה של הוראות תקנות אבטחת מידע, החלות על כל המשק. התקנות מחייבות כל גורם המנהל מידע אישי, לעמוד בדרישות אבטחת מידע בהתאם לרמת הסיכון שיוצרת פעילות עיבוד המידע אצלו. חובתו של כל גוף היא לדווח לרשות במקרה של אירוע אבטחה חמור, והרשות אומרת שחקור כל הפרה של הוראות התקנות ותפעל נגד מי שלא יעמדו בדרישותיהן.
הרשות מזהירה, כי אם יתגלו ממצאים רשלניים בהתנהלותם של גופים בנוגע לעמידתם בדרישות התקנות, לרבות אופן הטיפול באירועי אבטחת המידע או אי-דיווח לרשות, היא עשויה לאסור עליהם להמשיך להשתמש במידע - דבר שיגרום לפגיעה משמעותית בפעילות העסקית של אותו גוף.
