אין אולי מידע רגיש יותר לאזרח, מאשר תיקו הרפואי המכיל את כל פרטי הטיפולים והניתוחים שעבר. לכן היה מזעזע במיוחד לקרוא על החשד לפיו עובדים סוציאליים, אחים ואחיות בבתי חולים, עובדי קופת-חולים, מנהלים וסוכנים בחברות שירותי סיעוד וטלרפואה וסוחרים במידע, פעלו במשותף להוצאת מידע רפואי רגיש ממאגרי המידע של בתי חולים ואחת מקופות החולים, לטובת מסחורו לחברות סיעוד ושירותי הטלרפואה, כדי שאלה יוכלו לבצע שיווק ממוקד למטופלים.

יותר מכל עולה השאלה, במקרים כאלו, איך קרה שמתחת לאפם של מנהלי המידע באותם בתי חולים וקופת החולים, הצליחו עובדים להוציא מידע רגיש כל-כך, מבלי שאיש ישים לכך לב בזמן אמת? יותר מכך, מה עושים כל הגופים האלה כדי לשמור על המידע שלנו ועל פי איזה מדד נבחנת פעילות זו?

בישראל של היום, עם כל איומי הסייבר הגדולים, נבחנים איומי הסייבר על בסיס חקיקה ישנה מ-1981, שעודכנה לאחרונה לפני 10 שנים בדיוק. בחקיקה הזו יש הצהרה כללית על החובה לשמור על המידע, אך אין פרוט מדויק של מה מוטל על גופים, כדי לקיים את חובת אבטחת המידע וההגנה מפני פריצות למאגרי המידע, הן חיצוניות והן כאלו פנימיות של עובדי המערכת עצמה.

במציאות שבה מידע רב מצוי במאגרי מידע במערכות המחשב של גופים שונים, אין ספק שראוי שתהא תקינה ברורה שקובעת מה יש בדיוק לעשות, כדי לשמור על המידע. כשמעלים את הטענה הזו בפני גורמי שלטון שונים, עולה כנגד כך הטענה, שהנה המאגרים של צה"ל וגופי הביטחון לא נפרצו מעולם, משמע שמי שרוצה להגן על המידע שלו, מוצא את הדרך הנכונה לכך והוא לא צריך שהמדינה תבוא ותקבע לו תקנים בנושא.

אין ספק שקשה להסכים עם טענה כזו, המנפנפת בהצלחה של גופי הביטחון לשמור על המידע. מול ההצלחה של גופים אלה אפשר להזכיר את הדליפה ההרסנית של מאגר רישום האוכלוסין, לפני שנים אחדות, וגם עתה במקרה הנוכחי, מדובר בבתי חולים, גופים שמצויים בחלקם בבעלות המדינה. כדי שהאזרחים יהיו רגועים שהמידע שלהם מוגן, צריך לצאת מאווירת ה"סמוך", במקרה הזה על הגופים עצמם, ולהורות במדויק מה צריך לעשות ארגון, כדי לשמור על המידע שלו.

יש להטיל על הגופים השונים הוראות ברורות גם ביחס לדרך התנהגות העובדים בארגון כדי למנוע מצב, כפי שקרה עתה בבתי החולים, שעובדים יהיו אלו שידליפו את המידע. לצורך כך יש לאכוף קיומם של נהלי אבטחה ברורים בארגון ולחייב באכיפה משמעותית שלהם, תוך הרתעה ברורה של העובדים מפני אפשרות גניבת המידע. הרתעה כזו תושג, מקום בו ארגון אכן יאכוף את נהלי האבטחה, יפטר עובדים שסחרו ואף ידווח עליהם לרשויות שעוסקות בכך.

מי שמנסה לדאוג לנו היא הרשות למשפט טכנולוגיה במשרד המשפטים (רמו"ט), אשר מאז 2010 ממתינה טיוטת תקנות לאבטחת מידע, שהוציאה הרשות, לאישור שר המשפטים והכנסת. התקנות האלה מציעות להטיל חובה לדווח לרשות על אירועי מתקפות סייבר חמורים אצל הארגונים השונים, אשר במסגרתם נפרץ או נחשף מאגר מידע המכיל מידע אישי, כולל פריצה שנעשתה על-ידי עובדי הארגון עצמו. בהמשך לכך קובעות התקנות את סמכותה של רמו"ט לחייב את בעל מאגר המידע הרלבנטי להודיע למושאי המידע על אירוע הפריצה שארע.

נוסף על כן, התקנות החדשות מבקשות לקבוע ולהכין מראש, נהלים סדורים פנים-ארגוניים, אשר יפרטו את נהלי ואת יכולות הארגון להתמודדות עם אירועי אבטחת מידע שונים, וכן יבהירו במסגרת זו את חובותיהם ואחריותם של מורשי הגישה השונים למידע שבארגון. בנוסף לכך קובעת טיוטת התקנות שורה ארוכה של פעולות שעל ארגון לנקוט לצורך הסדרת נושא אבטחת המידע במסגרתו.

שרת המשפטים איילת שקד הייתה השרה הראשונה שראתה לנכון לקדם את הטיוטה ועתה ממתינים לאישורה על-ידי ועדת חוקה חוק ומשפט של הכנסת, שהייתה אמורה לדון בכך ב-15 לנובמבר 2015, אך בינתיים הדיון בה בוטל. לוועדת חוקה, כנראה, לא בוער להביא לכך שהמידע שלנו, יהיה יותר מאובטח. המחוקק, כך עושה רושם, נרדם שוב במשימת השמירה על המידע האישי של אזרחי המדינה.

שיתוף
נמנה על המובילים בתחום ההגנה על הפרטיות, המידע האישי, אבטחת המידע וההתגוננות מפני מתקפת סייבר במשפט הישראלי. בנוסף לכך התמחה במקרקעין ומשפט מסחרי ועוסק אף בלשון הרע, זכויות יוצרים, חוזי IT, חתימה אלקטרונית, ליטיגציה מסחרית, התגוננות מפני תובענות ייצוגיות ודיני ספורט. משמש כבורר במסגרת סכסוכים עסקיים בתחום שונים, לרבות בתחום חוזים מסחריים, מקרקעין וספורט. חבר המועצה הציבורית להגנת הפרטיות במשרד המשפטים (2007-2012), יו"ר ועדת הגנת הפרטיות של לשכת עורכי-הדין בישראל (2006-2011), מרכז תחום הפרטיות בלשכה ונציג הלשכה בדיוני הכנסת בתחום הפרטיות, מאגרי מידע והאזנות סתר (2011-2015), חבר ועדת אנגלרד לבחינת השאלות הנוגעות לפרסום פרטים מזהים בפסקי דין והחלטות של בתי משפט (2011-היום). דיין בבית-הדין המשמעתי הארצי של לשכת עורכי-הדין (2005-2010). מייסד הועדה למשפט וספורט בלשכת עורכי הדין והראשון שעמד בראשה (2003-2005), ועדה שפרסמה בחודש ספטמבר 2005 את דו"ח דן חי לשינויי חקיקה בתחום הספורט. מחלוצי העוסקים בתחום המשפט והספורט בארץ, תוך ייצוג עשרות רבות של ספורטאים, בעיקר כדורגלנים. מרצה מהחוץ במוסדות אקדמאים בנושא ההגנה על הפרטיות בישראל ודיני ספורט. תחומי עיסוק עיקריים: ייעוץ לבנקים, חברות ביטוח, בתי השקעות, חברות פיננסיות, חברות סלולר וארגוני בריאות בנושאי פרטיות, המידע האישי, אבטחת מידע ומוכנות למתקפת סייבר, כולל ייצוג בפני הרשות למשפט טכנולוגיה ומידע במשרד המשפטים (רמו"ט). ייצוג בהליכים משפטיים בתביעות בנושאי פרטיות, האזנת סתר, נתוני תקשורת, אינטרנט, לשון הרע, מסרים שיווקיים על-פי חוק התקשורת ('ספאם'), זכויות יוצרים וספורט, לרבות בתובענות ייצוגיות. ייצוג בעתירות לבג"ץ, עתירות מנהליות צווי מניעה וצווי עשה. ייעוץ בנושא החתימה האלקטרונית וייצוג בעלי זכויות יוצרים וסימני מסחר בעסקות רישוי והליכים משפטיים. ייצוג ספורטאים בפני אגודות ספורט, התאחדויות ואיגודי ספורט בארץ ובפני הארגונים המרכזים את ענפי הספורט בעולם.