עשרות רשויות מקומיות עומדות בצורה נמוכה ולכל היותר בינונית בדרישות אבטחת המידע ושמירת הפרטיות - מצאה הרשות להגנת הפרטיות במשרד המשפטים, בפיקוח רוחב שאת ממצאיו היא מפרסמת היום (יום ב', 22.11.21).
הרשות מציינת, כי השלטון המקומי הוא יעד פיקוח רוחב משמעותי, בשל הכמות הניכרת של מידע שבידיו על תושבי הרשויות - החל מנדל"ן, דרך חינוך וכלה ברווחה. כמו-כן, קיים חשש שמא הרשויות יעשו שימוש במידע שלא לצרכים להם נאסף, והשימוש שהן עושות בנותני שירותים חיצוניים עלול להביא לחשיפת מידע רגיש. "ניהול המאגרים בהתייחס למאפייניו הייחודיים של המגזר מחייב את אותן רשויות מקומיות לעמוד בדרישות החוק והתקנות ביתר שאת, תוך הגנה על פרטיות התושבים, לרבות קיום חובות אבטחת המידע, קיום חובת השקיפות כלפי התושבים, התקשרות תקינה מול מי שמחזיק במידע במיקור חוץ, ניהול תקין של העברות מידע בין גופים ציבוריים, שימוש במצלמות מעקב במרחב הציבורי, וקיום בקרה ארגונית", אומרת הרשות.
פיקוח הרוחב התמקד בעיקר בגבייה, חינוך והפעלת מצלמות ברחובות היישובים. הוא בוצע ב-70 רשויות מקומיות המנהלות מידע על למעלה מ-5 מיליון תושבים - כ-60% מתושבי ישראל. מדובר ב-33 רשויות גדולות (למעלה מ-42,000 תושבים), עשר רשויות בינוניות ו-27 רשויות קטנות (עד 30,000 תושבים). בתחום הגנת הפרטיות, העמידה בנהלים נמוכה ב-7% מהרשויות הגדולות, 60% מהבינוניות ו-22% מהקטנות; עמידה בינונית נמצאה (בהתאמה) ב-59%, 30% ו-67%. רשות הפרטיות לא מסרה את שמות הרשויות והיכן נמצאו ליקויים בולטים.
על-פי הדוח, נמצאה רמת עמידה בינונית-נמוכה בבקרה ארגונית, בעיקר אי-מינוי ממונה אבטחת מידע או מינוי שאינו עומד בהוראות התקנות בדבר עצמאותו ואי תלותו של ממונה אבטחת המידע. כמו-כן, נמצאו נהלי אבטחת מידע שאינם עומדים באופן מלא בדרישות החוק, אי-עריכת סקרי סיכונים וביקורות תקופתיות בנושא אבטחת מידע, הליך מיון עובדים שאינו בהתאם לדרישות התקנות והעדר תוכנית עבודה שנתית לבקרה שוטפת בתחום אבטחת המידע והגנת הפרטיות. ב-36% מן הרשויות העמידה בתחום הבקרה הארגונית היא נמוכה וב-38% נוספים היא בינונית.
עוד נמצאה נמצאה רמת עמידה בינונית-נמוכה בנהלים בנוגע להעברת מידע בין גופים ציבוריים, החל מהעדר ועדה לטיפול בהעברת מידע בין גופים ציבוריים וכלה באי רישום או רישום בלתי נאות של מידע שנמסר או מתקבל מגופים ציבוריים אחרים. בתחום זה, ב-52% מהרשויות העמידה היא נמוכה וב-28% היא בינונית. גם בניהול מאגרי המידע רמת העמידה היא בינונית-נמוכה, כאשר הכשלים העיקריים נבעו מטיפול בלתי נאות בתהליך איסוף המידע והעדר אפשרות לתושבי הרשות לעיין במידע על-אודותיהם או לתקנו. כמו-כן, לא מיושמות בקרות לבדיקת הנאותות בהתקשרות עם גורם חיצוני לשם קבלת שירותי עיבוד המידע. בתחום מאגרי המידע, ב-10% מהרשויות העמידה נמוך וב-61% היא בינונית.
בתחום הרגיש ביותר - אבטחת מידע - רמת העמידה היא בינונית-נמוכה, כולל העדר יישום מלא של מדיניות התואמת את דרישות החוק והתקנות. נמצאו מקרים בהם לא בא לידי ביטוי השימוש באמצעי פיזי הנתון לשליטתו של בעל המאגר, אי-עמידה במדיניות הססמאות ואי ביצוע סקרי סיכונים ומבדקי חדירה בהתאם לדרישת התקנות. נמצאו ליקויים בהעדר בקרות לזיהוי משתמשים ולניהול הרשאות בהתאם לצורך לדעת, והעדר תיעוד של אירועי אבטחת מידע. רשויות רבות אינן מקפידות על אופן יידוע הציבור בדבר מצלמות האבטחה, אינן קביעת מורשי גישה, סובלות מהעדר נהלים ברורים לשימוש בהן ועוד. ב-48% מן הרשויות רמת העמידה בהוראות הגנת הפרטיות בתחום זה הייתה נמוכה, וב-27% נוספים היא הייתה בינוניות.
עוד מסרה הרשות, כי 69 רשויות מקומיות קיבלו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלן. רשות אחת, שסירבה לשתף פעולה בהליך, הועברה להמשך טיפול אכיפתי. ב-24 רשויות מקומיות בוצעו ביקורות מעקב לבדיקת יישום תוכנית העבודה ותיקון הליקויים ובחינת העמידה בלוחות הזמנים שנקצבו לכך; לא נמסרו תוצאותיהן של ביקורות אלו.