מרבית סוכנויות הביטוח עומדות ברף הבינוני-גבוה של חוק הגנת הפרטיות

מגזר סוכנויות הביטוח בישראל, נקבע כאחד מיעדי פיקוח הרוחב המשמעותיים של הרשות להגנת הפרטיות, וזאת בשל מאפייניו הייחודיים בהיבטי פרטיות, שבאים לידי ביטוי בשימוש נרחב של כלל הציבור בשירותי סוכנויות הביטוח, באיסוף מידע בהיקפים נרחבים ושמירתו לתקופה ממושכת ובהחזקת מידע רגיש, כגון מצב נפשי ומצב בריאותי. בנוסף, המעבר הטכנולוגי המואץ לרכישת שירותי ביטוח במרחב הדיגיטלי, מעלה סיכונים נוספים לפריצה למאגרי מידע וגניבת נתונים, כדוגמת פרשת "שירביט", אשר המחישה את חשיבות העמידה בחוק הגנת הפרטיות ובתקנות מכוחו, במיוחד בקרב סוכנויות ביטוח המספקות שירותי ביטוח לחברות וגורמים ביטחוניים.

במסגרת פיקוח הרוחב, בחנה הרשות להגנת הפרטיות את עמידת סוכנויות הביטוח בקריטריונים הבאים: בקרה ארגונית, ניהול מאגרי מידע, אבטחת מידע ועיבוד מידע אישי במיקור חוץ.

ממצאי דו"ח הפיקוח העלו, כי נמצאו ליקויים בתחום אבטחת המידע וכי על מנת לשפר את רמת העמידה של הסוכנויות, עליהן לוודא, בין היתר, כי תיעוד של כל אירועי אבטחת המידע יישמר וכן לגבש נוהל עבודה סדור, בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), לרבות קיום דיון מעת לעת באירועי אבטחה. כמו כן, על סוכנויות הביטוח לבחון את הצורך בחיבור התקנים ניידים למערכותיהן, וככל שלא קיים צורך או שהוא מינימאלי, להגביל את השימוש בהם למתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, רגישות המידע והסיכונים למערכות המאגר או למידע הנובעים מחיבור ההתקן הנייד למערכת לרבות קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה.

בהתייחס לקריטריון של ניהול מאגרי מידע, עולה מממצאי הדו"ח, כי ישנה אי בהירות בקרב סוכנויות הביטוח בנוגע לשימושים שמותר להן לעשות במידע שהן אוספות על הלקוחות, כאשר הן משמשות כמחזיקות עבור חברות הביטוח. עמדת הרשות היא כי בעסקת ביטוח טיפוסית כגון ביטוח חיים, בריאות, נכסים וכיוצ"ב, חברת הביטוח היא בעלת מאגר המידע וסוכנות הביטוח משמשת כמחזיקה, ומשכך אסור לה להשתמש במידע על הלקוחות למטרותיה, ככל שהן חורגות מהמטרות, שביחס אליהן ניתנה הסכמת הלקוח לחברות הביטוח. המשמעות היא, שההסכמה הניתנת על ידי המבוטח לחברת הביטוח למטרות המוצהרות, אינה מהווה הסכמה לשימושים נוספים על יד סוכנות הביטוח, גם אם המטרה דומה, כשאין בכך כדי לשלול את האפשרות של סוכנות הביטוח להקים מאגרי מידע בבעלותה.

מממצאי הדו"ח המתייחסים לקריטריון של עיבוד מידע אישי במיקור חוץ, עולה כי במגזר סוכנויות הביטוח נמצאה רמת עמידה בינונית בהוראות חוק הגנת הפרטיות. כמו כן, עולה מהממצאים כי סוכנויות רבות כלל אינן מודעות לכך שהשימוש שהן עושות בתוכנות ניהול אינטרנטיות, מהווה למעשה העברת מידע למיקור חוץ. כפי שעולה מהדו"ח, על הגופים המסתייעים בגורם חיצוני לצורך עיבוד מידע לבחון, עוד בטרם ההתקשרות, את סיכוני אבטחת המידע הכרוכים בהתקשרות.

לאור הממצאים, שעלו מהליך פיקוח הרוחב, קיבלו 26 גופים מתוך 28 הגופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם. לנוכח הכשלים שהתגלו בהליך פיקוח הרוחב, המפורטים בממצאי הדו"ח, נשלחו הנחיות לכלל הגופים הפועלים במגזר, באשר לצעדים שעליהם לנקוט כדי לעמוד בדרישות החוק והתקנות.

כשני שליש מהסוכנויות (75%) עמדו ברמה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, 92% מהסוכנויות עמדו ברמה גבוהה בקריטריון של ניהול מאגרי מידע וכ- 71% מהסוכנויות עמדו ברמה גבוהה בקריטריון של בקרה ארגונית. יחד עם זאת, רק 32% מהסוכנויות המשתמשות בשירותי מיקור חוץ לעיבוד מידע, עמדו ברמה גבוהה בהוראות התקנות, המתייחסות לחובות החלות על החברות במקרים של עיבוד מידע אישי באמצעות מיקור חוץ.

עו"ד רביד פטל, הממונה על פיקוח הרוחב ברשות להגנת הפרטיות: "פעילות מגזר סוכנויות הביטוח טומנת בחובה סיכונים לפרטיות לקוחותיהן, כתוצאה מהיקף המידע ורגישותו ובשל הקשר הישיר עם הלקוחות, באמצעות הסוכנויות עצמן וגופי מיקור חוץ. לאור האמור, נדרשת הקפדה יתרה בכל הנוגע להגנה על פרטיות, נושאי המידע ואבטחתו, בהתאם להוראות חוק הגנת הפרטיות והתקנות מכוחו".