האתר שלכם מלא במידע אישי של אנשים אחרים. מי שומר עליו? הכירו את ISO 27701 – התקן שתיקון 13 הפך לחובה מוסרית

תעשו תרגיל קטן

פתחו רגע את לוח הבקרה של האתר שלכם וספרו: טופס צור קשר עם שמות וטלפונים. רשימת תפוצה עם כתובות מייל. ואם יש לכם חנות שמות מלאים, כתובות מגורים, היסטוריית הזמנות.

עכשיו השאלה: כל האנשים האלה נתנו את הפרטים לכם. אבל הפרטים לא יושבים אצלכם. הם יושבים אצל ספק האחסון שלכם. עשיתם לו אי-פעם בדיקת רקע בנושא פרטיות?

אם התשובה היא "לא חשבתי על זה" אתם בחברה טובה, אבל בתקופה רעה. כי משהו השתנה.

אבטחת מידע ופרטיות – זה לא אותו דבר

הנה נקודה שמבלבלת המון אנשים, ושווה לחדד: אבטחת מידע שואלת "האם המידע מוגן?". פרטיות שואלת "האם מותר לך בכלל להחזיק אותו, ומה אתה עושה איתו?"

אפשר להיות מבצר אבטחתי מושלם ועדיין להפר פרטיות: לאסוף מידע בלי צורך, לשמור אותו לנצח, להעביר אותו לצדדים שלישיים בלי בסיס חוקי. ולכן, תקן אבטחת מידע לבדו חשוב ככל שיהיה לא עונה על שאלת הפרטיות.

בשביל זה קיים ISO/IEC 27701: הרחבה של תקן אבטחת המידע ISO 27001 (כתבנו עליו בהרחבה כאן) שמוסיפה מעליו מערכת ניהול ייעודית לפרטיות PIMS (Privacy Information Management System). התקן מגדיר, בין השאר:

  • מיפוי מידע אישי –  איזה מידע אישי מוחזק, איפה, למה, ולכמה זמן.
  • הגדרת תפקידים – מי "בעל השליטה" במידע (Controller) ומי "מעבד" אותו עבור אחרים (Processor), ומה החובות של כל אחד. ספק אחסון הוא מעבד מידע קלאסי – והתקן מטיל עליו חובות ספציפיות בדיוק בכובע הזה.
  • מימוש זכויות נושאי מידע – תהליכים מסודרים לעיון, תיקון ומחיקה של מידע כשאדם מבקש.
  • צמצום ומחיקה – לא אוספים מה שלא צריך, לא שומרים מעבר לנדרש.
  • ניהול העברות ושרשרת ספקים מה קורה כשהמידע עובר הלאה, לספקי משנה או לחו"ל.

ואז הגיע תיקון 13 ושינה את כללי המשחק

אם עקבתם אחרי הבלוג, קראתם כבר את המדריך שלנו להיערכות לתיקון 13 לחוק הגנת הפרטיות ואת ההסבר על ההבדל בין סקר פרטיות לתסקיר פרטיות. השורה התחתונה של העידן החדש היא מילה אחת: Accountability אחריותיות. כבר לא מספיק לשמור על פרטיות; צריך להיות מסוגלים להוכיח שאתם שומרים עליה, עם סמכויות אכיפה וקנסות שהופכים את זה מהמלצה לסיכון עסקי ממשי.

ומה אחת הדרישות הבסיסיות של אחריותיות? לוודא שגם הספקים שלכם – אלה שמעבדים את המידע עבורכם עומדים ברמה הנדרשת. במילים פשוטות: כשרשות הגנת הפרטיות שואלת אתכם "למה בחרתם דווקא בספק האחסון הזה למידע האישי של הלקוחות שלכם?", אתם צריכים תשובה טובה.

"כי הוא היה זול" זו לא תשובה טובה.
"כי הוא מוסמך ISO 27701 לניהול פרטיות המידע" זו תשובה מצוינת.

הסמכה בפרטיות אצל ספק אחסון? נדיר. אצלנו זו המציאות

וכאן חוזר הפער בין השוק לבינינו. הסמכת ISO 27701 היא נדירה בנוף חברות האחסון בישראל היא דורשת קודם כל תשתית ISO 27001 מלאה, ואז שכבה שלמה של נהלים, בקרות וביקורת חיצונית ייעודית לפרטיות. אנחנו עברנו את המסלול הזה עד הסוף, וזה משלים את המשולש שלנו: ISO 27001 לניהול אבטחת המידע, ISO 27017 לאבטחת הענן, ו-ISO 27701 לניהול הפרטיות. שלוש הסמכות, שלוש ביקורות חיצוניות, שוק שרובו לא מחזיק אפילו באחת.

וזה לא מקרי. פרטיות היא לא צ'ק-בוקס אצלנו זה תחום שאנחנו חיים: מהצוות הייעודי שלנו לתחומי GRC ופרטיות ועד הפלאגין שפיתחנו להגנת הפרטיות בוורדפרס. ההסמכה היא פשוט החותמת החיצונית על מה שממילא קורה כאן כל יום.

מה זה נותן לכם, בעל האתר?

  • שכבה בציות שלכם עצמכם. בחירה בספק מוסמך פרטיות היא צעד מתועד ומוכח במסע האחריותיות שלכם מול תיקון 13 ואם אתם עובדים מול אירופה, גם מול ה-GDPR, שהתקן נבנה בהלימה לעקרונותיו.
  • תשובה מוכנה לשאלוני ספקים. עורכי דין, DPOs ומחלקות רכש שואלים היום "היכן מאוחסן המידע ומה ההסמכות של הספק?". יש לכם תשובה של שורה אחת.
  • שקט אמיתי. המידע של הלקוחות שלכם מנוהל אצל ספק שגוף חיצוני בדק לא רק את המנעולים שלו אלא גם את היושרה של מה שקורה מאחוריהם.

📚 המאמר הזה הוא חלק מסדרת התקנים של SPD:
🔗 ISO 27001 – ניהול אבטחת מידע
🔗 ISO 27017 – אבטחת מידע בענן
✅ ISO 27701 – ניהול פרטיות המידע (אתם כאן)

שאלות נפוצות

אם ספק האחסון שלי מוסמך ISO 27701, אני פטור מחובות הפרטיות שלי?

לא, ולא ניתן לכם להאמין בזה זו בדיוק הכנות שאנחנו מאמינים בה. אתם בעלי השליטה במידע והאחריות הראשית שלכם. אבל בחירת מעבד מידע מוסמך היא חובה שלכם וחלק מהותי מההוכחה שנהגתם באחריות.

מה הקשר בין ISO 27701 ל-GDPR?

התקן נבנה במידה רבה כגשר תפעולי לעקרונות ה-GDPR: מיפוי מידע, בסיס חוקי לעיבוד, זכויות נושאי מידע, ניהול מעבדים. הוא אינו "תעודת עמידה ב-GDPR" (דבר כזה לא קיים רשמית), אבל הוא הכלי המוכר בעולם להוכחת מערכת ניהול פרטיות עובדת.

יש לי רק טופס צור קשר באתר. זה בכלל "מידע אישי"?

כן. שם, טלפון וכתובת מייל הם מידע אישי לכל דבר על פי חוק הגנת הפרטיות. ההיקף קטן יותר, אבל העיקרון – והאחריות – זהים.


המידע של הלקוחות שלכם שווה יותר מהבטחות. צוות SPD Hosting זמין עבורכם בטלפון 03-6221258 – איפה שסייבר פוגש אחסון.

יולי 7, 2026

תוכן עניינים

לכתבות נוספות:

error: Content is protected !!