בפעילות מגזר הכירורגיה הפלסטית והקוסמטית קיימים סיכונים רבים לפרטיות, אשר נובעים מניהול ואחזקת מידע רגיש וניהול קשר ישיר עם לקוחות באמצעות הגופים עצמם וכן שימוש במיקור חוץ. הרשות להגנת הפרטיות במשרד המשפטים ערכה פיקוח רוחב במגזר זה, מתוך הידיעה כי גופים אלה מחזיקים מאגרי מידע המכילים מידע רגיש רב ומנוהלים לרוב בידי גופים שאינם מאוגדים תחת המעטפת של חברה גדולה. כתוצאה מכך, ברוב המקרים אין בגופים אלה בעלי תפקידים ייעודיים לטיפול בנושא הגנת הפרטיות, דבר אשר מקשה על שמירת פרטיותם של לקוחותיהם.
הליך פיקוח הרוחב במגזר העלה ממצאים מדאיגים המעידים על ליקויים בעמידה בהוראות החוק בתחום אבטחת מידע, בקרה ארגונית, ממשל תאגידי, וניהול מאגרי מידע. בתחום אבטחת המידע, נמצאו פערים רבים ומשמעותיים. הממצאים מעידים על רמת עמידה נמוכה בכל הקשור באבטחת מידע, ומאידך רמת עמידה גבוהה בכל הקשור בניהול מאגרי מידע. יצוין, כי נמצאו ליקויים שחוזרים על עצמם במספר רב של גופים בנושא שימוש במיקור חוץ. בכל הקשור לבקרה ארגונית נמצאה רמת עמידה בינונית-נמוכה של הגופים בהוראות החוק.
נוכח הממצאים שעלו מהליך פיקוח הרוחב, קיבלו כלל הגופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם: מממצאי הדו"ח עולה, כי בהתייחס לאבטחת מידע, על הגופים להטמיע מנגנוני הרשאות במאגרי המידע המבוססים על הצורך לדעת בלבד, כלומר רק לבעל הרשאה המורשה לכך לפי רשימת הרשאות תקפות. כמו כן, על הגופים לנקוט באמצעים למניעת חדירה למיקום הפיזי של השרתים והתשתיות המאפשרים גישה למאגרי המידע. במאגרים בעלי רמת אבטחה גבוהה , יש לבצע מבדקי חדירות אחת לשנה וחצי.
להעלות את רמת האבטחה
נוכח הליקויים שנמצאו בנוגע לשימוש בהתקנים ניידים, על כלל הגופים השייכים למגזר זה לבחון את הצורך בחיבור התקנים ניידים וככל שאין צורך, להגביל את השימוש בהם לרמה ההולמת את רמת אבטחת המידע, את רגישות המידע, הסיכונים המיוחדים למערכות או למידע הנובעים מחיבור ההתקן וכן את קיומם של אמצעי הגנה מתאימים מפני סיכונים אלה. במקרים בהם יוגדר כי קיים צורך בשימוש באמצעים נתיקים, יש להצפין את הנתונים באמצעות שיטות הצפנה מקובלות.
בהתייחס לבקרה ארגונית, על הגופים לוודא כי מונו מנהל מאגר מידע וממונה אבטחת מידע כנדרש בחוק, כי קיימים נהלי אבטחת מידע הכוללים התייחסות לאבטחה פיזית, הרשאות גישה, תיאור אמצעי ההגנה, הוראות למורשי גישה, ניהול סיכונים והתמודדות עם אירועי אבטחת מידע. כמו כן, יש לעדכן את נוהל אבטחת המידע אחת לשנה. גוף שחלה עליו רמת האבטחה הגבוהה חייב לוודא כי בוצעו מבדקי חדירות העומדים בדרישות התקנות.
הגנה רוחבית
בכל הנוגע לניהול מאגרי מידע ומיקור חוץ, על הגופים לקבל את הסכמת נושא המידע לאיסוף מידע ושמירתו במאגריהם, תוך מתן הודעה בעת איסופו בנוגע לסמכות החוקית למסור את המידע, או הסכמת נושא המידע למסירתו וכן ציון מטרת האיסוף, הגורמים אליהם יימסר ולאיזו מטרה.
עוד עולה, כי על הגופים לאפשר לנושאי המידע לעיין במידע וכן לתקנו או לשנותו ובעת שימוש בשירותי מיקור חוץ, להקפיד לעגן בהסכם עם ספק מיקור החוץ את חובותיו ואחריותו ולוודא כי הוא נוקט באמצעים הנדרשים כדי להגן על מאגר המידע.
