היבטי פרטיות במחשוב ענן בישראל (פברואר 2012)
(תקציר webinar שהעבירה עו"ד נעמי אסיא. מצורפת מצגת באנגלית)
ככלל ניתן לומר שמחשוב ענן הינו מודל המאפשר גישה נוחה, לפי דרישה, באמצעות רשת, למאגר משותף של משאבי מחשוב הניתנים להגדרה בהתערבות מינימלית של ספק שירותי הענן. התחום הינו תחום המתפתח במהירות והגורמים הפועלים בו משקיעים משאבים רבים בפיתוח משאבים ושירותים. החדשנות שבמחשוב הענן ביחד עם התפתחותו המהירה, מציבה אתגרים טכניים, מסחריים וגם משפטיים.
אחת התופעות של מחשוב הענן היא שמידע רב אשר אוחסן בשעתו על שרתים פרטיים, מאוחסן כיום בענן. הענן אף מספק גישה נוחה לשירותי בסיסי נתונים. העלאת המידע והנתונים לענן, ביחד עם האפשרות לעיבוד נתונים בענן, מביאים עימם סיכון מובנה של אבטחה, בין היתר מאחר ואינו כפוף ישירות לצוות ה-IT של הארגון לו שייך המידע.
כך לדוגמא, אחד היתרונות בשירותי הענן הינו גמישות בשרתי האירוח, והאפשרות להתאמתם לצרכי המשתמש. הצד השני של מטבע זה הינו העובדה שהלקוח לא תמיד יודע באופן ודאי היכן בדיוק מאוחסנים הנתונים שלו.
חשוב לזכור כי הארגון נותר אחראי לאבטחת המידע שברשותו, גם כאשר המידע מצוי בענן ואינו מוחזק, פיזית, בידי הארגון. על הארגון לדאוג לנקוט, מצידו, באמצעים הטכניים אשר יבטיחו את המידע (לרבות חשיפת המידע לנותן שירותי הענן בעצמו), כמו גם לוודא שהאמצעים הפיזיים עליהם מוחזקים הנתונים מוגנים כראוי.
בהיבט המשפטי, קיים כיום חוסר גלובאלי בחקיקה קונקרטית למחשוב הענן, עובדה המקשה על ניסוח חוזים לתחום זה. הכלים שהחקיקה כן נותנת בידינו הינם חוקים המטפלים בתוצאות ההתקשרות בשירותי ענן, בעיקר במישור הגנת הפרטיות וההגנה על המידע.
החקיקה והרגולציה בישראל
הגוף האחראי על אבטחת המידע בישראל היא הרשות למשפט, טכנולוגיה ומידע במשרד המשפטים ("רמו"ט"). רמו"ט אחראית, בין היתר, לאכיפת נושא הגנת הפרטיות והחקיקה הקשורה ל-IT בישראל.
בחודש דצמבר 2009 הכירה ועדת העבודה לסעיף 29 של האיחוד האירופאי בחוק הגנת המידע הישראלי כחוק מתאים. המשמעות היא כי מחזיק במידע במדינה ממדינות האיחוד האירופאי יוכל להעביר נתונים הכוללים מידע אישי לישראל מבלי שהדבר יהווה הפרה של הדירקטיבה של האיחוד האירופאי לעניין הגנת מידע.
חשוב לזכור כי גוף ישראלי המבקש לאחסן מידע אצל ספק מחו"ל יהיה כפוף למערכת כפולה של חוקים – חוקי הגנת המידע הישראלים והחקיקה לה כפוף ספק שירותי הענן.
החקיקה הישראלית כוללת, מעבר לחוק הגנת הפרטיות, גם שורה של תקנות והנחיות הנוגעות, בין היתר, להעברת מידע לחו"ל, החלפת מידע בין גופים ציבוריים ושימוש במיקור חוץ לעיבוד נתונים הכוללים מידע אישי. אחד המסמכים החשובים לענין זה הינו הנחיות רשם מאגרי המידע 2/2011 לענין מיקור חוץ לעיבוד מידע, אשר אמורות להכנס לתוקף בחודש מאי 2012.
הנחיות הרשם כוללות, בין היתר הנחיות ודרישות ל:
- בחינה מוקדמת של ספק שירותי הענן.
- ניסוח הסכמי שירות הענן.
- הגנת נתונים ופיקוח על פעילות ספק שירותי הענן.
- זכויות אלה שעליהם נאספו הנתונים.
- השמדת נתונים ישנים.
הסכמי שירות למחשוב ענן
כמו בכל הסכם בינלאומי, על הצדדים לקבוע את מקום השיפוט והדין החל. עם זאת, יש לזכור שסעיפים אלה אינם משחררים את הצדדים מן הדין החל עליהם לענין שמירת הפרטיות והגנת המידע.
יש לזכור שכל העברת מאגר נתונים אל מחוץ לישראל כפוף למגבלות הקבועות לכך בחוק הישראלי.
ההסכם צריך לכלול סעיפים אשר יקבעו את גדר האחריות של ספק שירותי הענן לרבות לענין שמירה על סודיות, הגנת פרטיות ומידע. יש לעגן בהסכם גם מנגנוני פיקוח ודיווח על מנת לוודא שהספק עומד בהתחייבויותיו.
את המצגת המלאה להרצאה ניתן לראות כאן.