17/01/2018

בשנת 2017 התפרסמו לא מעט מקרים של פרצות סייבר אשר חשפו מידע רגיש במיוחד. אולם, פרסומים אלו מהווים רק טיפה בים. בין המקרים ניתן למצוא אירועים כמו דליפת מידע אישי ופיננסי על לקוחות אקוויפקס, דליפת "מסמכי פרדייס" ובהם מידע עסקי על לקוחות פירמת העו"ד אפלבי ודליפת מידע רפואי על לקוחות חברת הביטוח הרפואי אנת'ם. במאי 2018 יכנס לתוקף השינוי הגדול ביותר שנעשה בעשורים האחרונים בחוקי הגנת המידע. הרגולטורים האחראים על שמירה על פרטיות באיחוד האירופי הבהירו שהם מתכוונים להשתמש בכוחות החדשים שניתנו להם במסגרת ה-GDPR (קיצור של General Data Protection Regulation). אי עמידה בכללים עלולה לגרור קנס של עד 4% מהמחזור הגלובלי של החברה המפירה. אולם GDPR אינו רק איום, אלא גם הזדמנות. בעידן בו מידע פרטי הוא נכס משמעותי ומניע עסקי, גיבוש אסטרטגיית פרטיות נכונה יכול להוביל ליתרון תחרותי.

שימוש ב-GDPR ליצירת יתרון תחרותי

הכל מתחיל מהכרה בכך שמידע פרטי הוא אחד הנכסים החשובים ביותר של הארגון. למעשה, כל תהליך עסקי שמשתמש במידע פרטי, הנאסף ומסונן נכונה, מהווה הזדמנות להבנה טובה יותר של הלקוחות, ביצועי הארגון ושל השוק בכללותו. ניהול המידע דורש אסטרטגיה זהירה, כזו שתבהיר ללקוחות מה אתם עושים עם המידע האישי שלהם ותשיג את אישורם במידה ונדרש. דרך זו תבטיח היכולת להשתמש בתובנות שיופקו מהמידע ותפחית את הסיכון לכך שהארגון יתפס בעיני הלקוחות כפולשני, ככל שאלו יראו יותר הצעות למוצרים, שירותים ותמחור מותאמים אישית.

חמישה צעדים שיבטיחו עמידה בכללים:

  1. הגדירו את אסטרטגיית הפרטיות שלהם - אילו רמות סיכון פרטיות הארגון שלכם מוכן לקבל? איפה תרצו להיות בהשוואה למתחרים? אילו היבטים של GDPR הם הקריטיים ביותר לכם וללקוחותיכם? מי בהנהלת החברה נושא באחריות? הגדרת האסטרטגיה היא הצעד הראשון. בלעדיה לא תוכלו לגבש גישה קוהרנטית ועקבית. מניסיוננו, רוב הארגונים יצטרכו להשקיע כסף בתוכנית לשיפור הפרטיות.
  2. איפה אתם עכשיו? - כדי להבין את גודל המשימה ובמה היא צריכה להתמקד, עליכם להבין באיזה שלב נמצא הארגון שלכם מבחינת שמירה על פרטיות. זה תהליך פרגמטי וממוקד שנועד להבין את החשיפה לסיכוני פרטיות לפי GDPR, הקיימים בעסק שלכם. למה צריך לשים לב? עמידה בכללים ובחוקים, מהירות היציאה לשוק, ניהול התפוצצות המידע, העברת מידע בין אזורים שונים של העולם עם חוקי פרטיות משתנים, ניהול סיכוני פרטיות בשירותי ענן וספקים חיצוניים, הגירת מידע של לקוחות אל המתחרים וניהול מוניטין.
  3. נקטו בגישה פרגמטית - עליכם לגבש תוכנית ריאליסטית שתעזור לנהל את הסיכונים ותתאים לאסטרטגיה העסקית הכוללת של העסק. אזורים שאפשר להתמקד בהם: איזה מידע יש לכם, איך הוא ינוהל ומה הסיכונים; זכויות של אינדיבידואלים, כמו "הזכות להישכח" וזכות הגישה למידע; ניהול תקריות ודיווח לרשויות תוך 72 שעות; מדיניות ונהלים לטיפול בסוגיית הפרטיות בכל שרשרת האספקה, גם ברמת החוזים ותקנוני השימוש; הדרכות לעובדים, בפרט לאלו הנמצאים בתפקידים רגישים כמו כוח אדם; אבטחת תהליכים מול צדדים שליישיים.
  4. תיאום ואספקה - עליכם לוודא שאמצעי השליטה והבקרה מוטמעים כחלק מהפעילות היומיומית באזורים בהם הסיכון הוא מירבי. בדיקה שכזו תדרוש תיאום כלל-ארגוני וקבלת משוב מהמחלקה המשפטית, מחלקת IT, כוח אדם ושיווק.
  5. הטמעה כחלק מהפעילות העסקית השוטפת - לאחר 2018 ארגונים ידרשו להסביר באופן שוטף איך הם אוספים, משתמשים, שומרים, מגלים ומשמידים מידע אישי בהתאם לדרישות GDPR. כדי לעמוד בכללי ה-GDPR, תזדקקו ככל הנראה לתיעוד מסגרת העבודה של ניהול הסיכונים; תיעוד עדכני של מלאי המידע האישי; תפקידים ותחומי אחריות ברורים ומוגדרים עבור פרטיות; הבנה של מה הצדדים השלישיים עושים עם המידע שלכם; ואימוץ מסגרות ידועות כמו ISO27001, Cyber Essentials.

 

הבאת הארגון שלכם למצב של גילוי אחריות ושימורו יאפשרו לכם שליטה טובה יותר במידע ויועילו לעסק הרבה מעבר לציות ל-GDPR. כמו כן, אלו יעניקו בטחון לגבי עמידה בכללי פרטיות מידע ברחבי העולם, ובו זמנית יציבו אתכם בעמדת כוח אסטרטגיות ומסחרית.