בשנת 2025 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות בישראל, שנועד לחזק את יכולת ההגנה על מידע אישי בארגונים. התיקון מחייב גופים ציבוריים ועסקיים להחמיר את רמת אבטחת המידע, לשמור על לוגים ולדווח באופן מיידי על אירועי אבטחה.
מטרות מרכזיות של התיקון
- הגנה על מידע רגיש – חיזוק חובת הארגונים למנוע דליפות או שימוש לא מורשה במידע אישי.
- שקיפות מול הרשויות והציבור – דיווח מהיר ומלא על אירועי אבטחה לרשות להגנת הפרטיות וללקוחות שנפגעו.
- סטנדרטיזציה של אבטחת מידע – קביעת רף טכנולוגי מחייב הכולל אימות רב־שלבי (MFA), ניטור בזמן אמת ושמירה ממושכת של לוגים.
דרישות עיקריות של תיקון חוק 13 לחוק הגנת הפרטיות
- ניהול זהויות והרשאות מתועד – מערכת לניהול משתמשים, קבוצות וגישות.
- מנגנוני אימות חזקים (MFA) – חובה לכל המשתמשים, עובדים וספקים.
- שמירת לוגים ויכולת חקירה – לוגים זמינים למשך שנה לפחות, עם יכולת ניתוח.
- ניטור וזיהוי אירועים בזמן אמת – מערכות SIEM/EDR שמתריעות על חריגות.
- דיווח מיידי על אירועי אבטחה – לרשות להגנת הפרטיות וללקוחות בהתאם.
- בקרה מתמשכת – דוחות תקופתיים, שקיפות להנהלה ותרגול תוכניות תגובה.
המשמעות לארגונים
ארגונים שלא יעמדו בדרישות צפויים לקנסות משמעותיים, פגיעה באמון הלקוחות, ואף סנקציות משפטיות. לעומת זאת, ארגונים שיתכוננו מראש ייהנו מחיזוק המוניטין, אמון גבוה יותר מצד לקוחות ויכולת תחרותית משופרת בשוק.
המטרות המרכזיות של תיקון 13
- הגנה על זכויות הפרט
התיקון נועד לחזק את ההגנה על המידע האישי של כל אזרח. המטרה היא לוודא שפרטים רגישים – כמו מידע רפואי, פיננסי או משפטי – לא יזלגו לגורמים לא מורשים ולא ינוצלו לרעה. - הגברת אחריות הארגונים
עד היום חלק מהארגונים הסתפקו במדיניות חלקית או "מינימלית". תיקון 13 קובע אחריות ישירה וברורה על בעלי מאגרי מידע: הם חייבים ליישם בקרות, לנהל לוגים, להציב מנגנוני MFA, ולדווח על אירועים – אחרת הם חשופים לקנסות. - העלאת רמת אבטחת המידע בישראל לסטנדרט בינלאומי
החוק מקרב את ישראל לדרישות מקבילות כמו ה־GDPR באירופה. כך ארגונים ישראליים יכולים להציג עמידה ברגולציה גם מול שותפים ולקוחות בינלאומיים – יתרון תחרותי בשוק הגלובלי. - שקיפות מול הרגולטור והציבור
עד כה לא תמיד היה ברור מה קרה במקרה של דליפת מידע. התיקון מחייב דיווח מיידי לרשות להגנת הפרטיות וללקוחות שנפגעו. זה מייצר אחריות, שקיפות ואמון מחודש. - מניעת נזק עסקי ותדמיתי
החוק לא מסתפק בהגנה משפטית – הוא מכוון גם להקטין את הסיכון העסקי. דליפת מידע עלולה לגרום לאובדן לקוחות, פגיעה במוניטין ואף קריסה עסקית. תיקון 13 נועד למנוע את זה באמצעות אכיפה מוקדמת ומדויקת.
מה הייתה כוונת המחוקק בתיקון 13?
המחוקק זיהה שבשנים האחרונות חלה עלייה דרמטית בהיקף המידע האישי שנאסף עלינו:
- מערכות רפואיות,
- משרדי עורכי דין,
- בנקים וחברות פיננסיות,
- רשתות מסחר און־ליין,
- ואפילו עסקים קטנים שמנהלים רשימות לקוחות.
היקף כזה של מידע רגיש הופך כל ארגון למטרה לתוקפים. פריצות למאגרים של חברות ביטוח, קופות חולים, או משרדי ממשלה זכו לסיקור נרחב בישראל – וחשפו חולשה רגולטורית: לא היה מספיק פיקוח מחייב על איך נשמר המידע ואיך מדווחים על אירועים.
המחוקק, מתוך רצון להגן על הציבור ולמנוע מצב בו האזרח נושא בנזק (גניבת זהות, פגיעה כלכלית, חשיפה לא ראויה), חיזק את החוק כך שהאחריות תוטל על הארגונים עצמם.
במילים פשוטות:
המטרה היא להפוך את "הגנת הפרטיות" מנושא וולונטרי או שיווקי – לדרישה חוקית מחייבת עם סנקציות ברורות.
מה המשמעות של "מאגרי מידע"?
לפי חוק הגנת הפרטיות, מאגר מידע הוא:
אוסף של נתונים על אנשים, השמור באופן ממוחשב או פיזי, שניתן לשייך אותו לאדם מזוהה או שניתן לזהותו ממנו.
כלומר, לא צריך להיות “בסיס נתונים מתוחכם” – מספיק אקסל עם פרטי לקוחות או קובץ CRM בסיסי.
דוגמאות למאגרים:
- רשימת לקוחות במערכת ניהול עסק (כולל שמות, מיילים וטלפונים).
- קובצי HR עם פרטי עובדים, קורות חיים, פרטי חשבון בנק.
- מסד נתונים של עסקי E-Commerce עם כתובות למשלוחים ופרטי אשראי (גם אם חלקיים).
- תיקים משפטיים במשרד עורכי דין.
- רשימות מטופלים במרפאה.
למה זה חשוב?
- כל מאגר כזה הוא יעד לתקיפה.
- החוק דורש שכל מאגר ינוהל תחת בקרות אבטחת מידע: הרשאות, לוגים, MFA, ושמירה על עקיבות.
- ארגון שמחזיק מאגר אך לא מנהל אותו בהתאם נחשב מפר חוק וחשוף לעיצומים כספיים.
💡 המחוקק בעצם אומר:
“אם אתה שומר מידע אישי – האחריות על שמירה, דיווח ואבטחת המידע היא שלך. לא תוכל לטעון שלא ידעת או שזה לא קרה אצלך.”
