רוב הפרטים האישיים שלנו נמצאים אצל סוכנויות הביטוח מבדיקה שעשתה הרשות להגנת הפרטיות בקרב 28 סוכנויות ביטוח בישראל, נמצא כי מרבית סוכנויות הביטוח עומדות ברף הבינוני גבוה של הוראות חוק הגנת הפרטיות ובתקנות מכוחו. 26 מתוך 28 סוכנויות הביטוח שנבדקו, קיבלו הנחיות לתיקון ליקויים ועל חלקן אף ביצעה הרשות הליך פיקוח מעקב ווידאה כי הליקויים תוקנו כנדרש.
לאחרונה סיימה הרשות חקירה פלילית, שחשפה רשת סחר בנתונים אישיים של מבוטחים בשלוש מחברות הביטוח הגדולות בישראל, ממנה עלה כי סוכנות ביטוח הפעילה במהלך שנתיים עובדי מכירות בחברות הביטוח, שהופעלו על בסיס קבוע, תמורת תשלום. בסיומה של החקירה הועבר התיק למחלקת הסייבר בפרקליטות המדינה לשם עיון והחלטה בדבר הגשת כתבי אישום .
מגזר סוכנויות הביטוח בישראל, נקבע כאחד מיעדי פיקוח הרוחב המשמעותיים של הרשות להגנת הפרטיות, וזאת בשל מאפייניו הייחודיים בהיבטי פרטיות, שבאים לידי ביטוי בשימוש נרחב של כלל הציבור בשירותי סוכנויות הביטוח, באיסוף מידע בהיקפים נרחבים ושמירתו לתקופה ממושכת ובהחזקת מידע רגיש, כגון מצב נפשי ומצב בריאותי. בנוסף, המעבר הטכנולוגי המואץ לרכישת שירותי ביטוח במרחב הדיגיטלי, מעלה סיכונים נוספים לפריצה למאגרי מידע וגניבת נתונים, כדוגמת פרשת "שירביט", אשר המחישה את חשיבות העמידה בחוק הגנת הפרטיות ובתקנות מכוחו, במיוחד בקרב סוכנויות ביטוח המספקות שירותי ביטוח לחברות וגורמים ביטחוניים.
כשני שליש מהסוכנויות (75%) עמדו ברמה גבוהה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע, 92% מהסוכנויות עמדו ברמה גבוהה בקריטריון של ניהול מאגרי מידע וכ- 71% מהסוכנויות עמדו ברמה גבוהה בקריטריון של בקרה ארגונית. יחד עם זאת, רק 32% מהסוכנויות המשתמשות בשירותי מיקור חוץ לעיבוד מידע, עמדו ברמה גבוהה בהוראות התקנות, המתייחסות לחובות החלות על החברות במקרים של עיבוד מידע אישי באמצעות מיקור חוץ.
שמירה על מאגרי המידע
במסגרת פיקוח הרוחב, בחנה הרשות להגנת הפרטיות את עמידת סוכנויות הביטוח בקריטריונים הבאים: בקרה ארגונית, ניהול מאגרי מידע, אבטחת מידע ועיבוד מידע אישי במיקור חוץ.
ממצאי דוח הפיקוח העלו, כי נמצאו ליקויים בתחום אבטחת המידע וכי על מנת לשפר את רמת העמידה של הסוכנויות, עליהן לוודא, בין היתר, כי תיעוד של כל אירועי אבטחת המידע יישמר וכן לגבש נוהל עבודה סדור, בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), לרבות קיום דיון מעת לעת באירועי אבטחה. כמו כן, על סוכנויות הביטוח לבחון את הצורך בחיבור התקנים ניידים למערכותיהן, וככל שלא קיים צורך או שהוא מינימאלי, להגביל את השימוש בהם למתכונת ההולמת את רמת אבטחת המידע שחלה על המאגר, רגישות המידע והסיכונים למערכות המאגר או למידע הנובעים מחיבור ההתקן הנייד למערכת לרבות קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה.
בהתייחס לקריטריון של ניהול מאגרי מידע, עולה מממצאי הדוח, כי ישנה אי בהירות בקרב סוכנויות הביטוח בנוגע לשימושים שמותר להן לעשות במידע שהן אוספות על הלקוחות, כאשר הן משמשות כמחזיקות עבור חברות הביטוח.
הגנה על הלקוחות
עמדת הרשות היא כי בעסקת ביטוח טיפוסית כגון ביטוח חיים, בריאות, נכסים וכיוצ"ב, חברת הביטוח היא בעלת מאגר המידע וסוכנות הביטוח משמשת כמחזיקה, ומשכך אסור לה להשתמש במידע על הלקוחות למטרותיה, ככל שהן חורגות מהמטרות, שביחס אליהן ניתנה הסכמת הלקוח לחברות הביטוח. המשמעות היא, שההסכמה הניתנת על ידי המבוטח לחברת הביטוח למטרות המוצהרות, אינה מהווה הסכמה לשימושים נוספים על יד סוכנות הביטוח, גם אם המטרה דומה, כשאין בכך כדי לשלול את האפשרות של סוכנות הביטוח להקים מאגרי מידע בבעלותה.
יצוין, כי במקרה בו מבקשת סוכנות הביטוח לעשות במידע שימושים נוספים על אלה שלשמם אספה את המידע עבור חברת הביטוח, באופן שיהפוך את הסוכנות לבעלת מאגר מידע נפרד, עליה לקבל את הסכמתו הנפרדת של הלקוח להצטרף למאגר הלקוחות של סוכנות הביטוח. זאת, תוך במסגרת בקשת ההסכמה הנפרדת על סוכנות הביטוח לציין האם חלה על הלקוח חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו, וכן לציין את המטרה או המטרות אשר לשמן מבוקש המידע, למי יימסר המידע ומטרות המסירה.
חובת דיווח
מממצאי הדוח המתייחסים לקריטריון של עיבוד מידע אישי במיקור חוץ, עולה כי במגזר סוכנויות הביטוח נמצאה רמת עמידה בינונית בהוראות חוק הגנת הפרטיות. כמו כן, עולה מהממצאים כי סוכנויות רבות כלל אינן מודעות לכך שהשימוש שהן עושות בתוכנות ניהול אינטרנטיות, מהווה למעשה העברת מידע למיקור חוץ. כפי שעולה מהדוח, על הגופים המסתייעים בגורם חיצוני לצורך עיבוד מידע לבחון, עוד בטרם ההתקשרות, את סיכוני אבטחת המידע הכרוכים בהתקשרות.
בנוסף, על בעל המאגר לוודא עריכת הסכם מול כל גורם חיצוני המחזיק במאגר, בו ייקבעו במפורש, בין היתר, חובתו של הגורם החיצוני לדווח, אחת לשנה לפחות, לבעל המאגר אודות אופן ביצוע חובותיו לפי התקנות וההסכם ולהודיע לבעל המאגר במקרה של אירוע אבטחה. הרשות מבהירה, כי גם כאשר הסוכנות משמשת כמחזיקה במאגר עבור חברת ביטוח, יש לוודא עריכת הסכם מול כל גורם חיצוני נוסף שמחזיק במאגר. עוד דורשות התקנות מן הגופים לנקוט אמצעי בקרה ופיקוח נאותים על עמידת הגורם החיצוני בהוראות ההסכם והתקנות.
