רגולציה חדשה בארה"ב בתחומי אבטחת המידע וגניבת זהויות

מאת עו"ד עודד סלע

כתבה מאת עו"ד קווין ראיין ממשרד עוה"ד MUCH SHELIST שפורסמה במגזין אוקטובר של ארגון ה- PLUS, סוקרת שני חוקים חשובים שנכנסו לאחרונה לתוקף בארה"ב. מאמר זה מתבסס על הכתבה ומתייחס להשלכות החקיקה האמריקאית על עסקים הפועלים ונשענים על מאגרי מידע ומידע רגיש, גם מחוץ לארצות הברית.

חקיקה אמריקאית חדשה שחלקה כבר נכנס לתוקף, קובעת כללים חדשים בתחומי אבטחת מידע וגניבת זהויות. מדובר בחקיקה המטפלת בשני נושאים רגישים בתחום הגנת הפרטיות שישפיעו על תחומי פעילות רבים במשק האמריקאי וניתן להניח כי השפעותיה יגיעו גם למחוזותינו.

החקיקה האמורה כוללת שני חוקים חדשים:

החוק הראשון עוסק בנושא אבטחת מידע בתחום הרפואה ומכונה ה"HITECH ACT" (השם נובע מראשי תיבות וללא קשר למילה הייטק), נכנס לתוקפו ב-18.2.2010. טיוטת תקנות ליישום החוק פורסמו ביום 18.8.2010.

החוק השני, עוסק בנושא אבטחת מידע והגנה מפני גניבת זהויות, ומכונה "The Red Flags Rule", על שם ה"דגלים האדומים" - הסימנים העלולים להצביע על קיומה של בעיה הנוגעת לגניבת זהויות בבית עסק. חוק זה ייכנס לתוקף ב-31.12.2010. גם לחוק זה עשויה להיות לו השפעה על התנהלותם של עסקים רבים בארה"ב.

"חוק הדגלים האדומים"

חוק זה מחייב את כל הגופים עליהם הוא חל  לפתח וליישם תוכנית פורמאלית  למניעת גניבת זהויות, שמטרתה  לזהות, למנוע ולהפחית גניבת זהויות.

הפיקוח על ביצוע הוראות החוק מצוי בידי ועדת המסחר הפדרלית (FTC) והוא חל על קשת רחבה של גופים ועסקים - החל מממוסדות פיננסיים כמו בנקים, נותני אשראי, כל גוף  המלווה כספים או מחזיק כספים בפיקדון או בחשבון אחר, חברות סלולר, ספקי שירותים ציבוריים  ספקי שירותים רפואיים, עורכי דין (ביהמ"ש המחוזי בוושינגטון קבע שהחוק אינו חל על עורכי דין, אולם הוגש על כך ערעור), רואי חשבון, בעלי מקצוע אחרים חברות פיננסיות, סוכנויות רכב, סוכני משכנתאות וחברות תקשורת ושירותים, וגם ארגונים שאינם למטרות רווח וגופים ממשלתיים אינם פטורים מהוראות החוק.

על מנת לעמוד בדרישות החקיקה החדשה, על עסקים ובעלי מקצוע לפתח תוכנית  המזהה סימנים לגניבת זהות. "דגלים אדומים" אלה מחולקים ל-5 קטגוריות עיקריות:

• התרעות או אזהרות מגופים צרכניים.
• מסמכים חשודים.
• מידע אישי  חשוד, כמו כתובת חשודה.
• שימוש בלתי רגיל או פעילות חשודה בחשבונות בנק.
• הודעות מצרכנים שנגנבה זהותם, מרשויות אכיפת החוק או מעסקים אחרים.

על התוכנית  לתאר את התגובה הראויה שתמנע  גניבת זהויות או תפחית את התרחשותן.  האחראי על ביצוע התוכנית יהיה דירקטוריון החברה (או במקרה של עסקים קטנים  העובדים הבכירים של העסק), ועליה לכלול התייחסות מפורטת להכשרת עובדים  ולספק אמצעי פיקוח על נותני שירותים בהם לקוחות העסק.

בעסקים רבים כבר קיימות תוכניות ניהול סיכונים ונהלים העוסקים גם בתחום גניבת הזהויות, אולם אלה  לא יעמדו ככל הנראה בדרישות  החוק החדש, ועל התכנית שתוכן  לכלול, לכל הפחות, הפניות לנהלים קיימים רלוונטיים.

במקרה של כישלון בשמירה על זהות הלקוחות, יצטרך הגוף  להוכיח כי עשה "מאמץ סביר" לעמוד בדרישות החוק. הסיכון במקרה כזה הואבחשיפה לסנקציות שינקטו על ידי ה-FTC וסוכנויות פיקוח אחרות, אך בעיקר בתביעות בשל אי עמידה בנהלים הנדרשים ונזק מקצועי ועסקי לתדמית העסק.

ה- "HITECH Act"

כבר לפני כניסתו לתוקף של חוק זה היתה קיימת בארה"ב חקיקה ענפה בתחום הרגולציה על אבטחת מידע רפואי חסוי.

החוק מוסיף על הכללים שהיו קיימים עד עתה בנושא, גם את חובתו של מוסד רפואי להודיע לכל אזרח על פגיעה בזכויותיו בקשר למידע רפואי חסוי שלו וחדירה למידע כאמור, ובמקרה של פגיעה/חדירה למידע של למעלה מ-500 פרטים, להודיע לגוף מיוחד שהוסמך לשם כך. הדבר פותח כמובן פתח לתביעות מסוגים שונים במקרה של הודעות כאמור.

החידוש העיקרי בחוק מצוי  בהחלתו לא רק על נותני שירותים רפואיים, אלא גם על "עסקים קשורים", הכוללים את כלל נותני השירותים המשפטיים, האקטואריים, החשבונאים והניהוליים  למוסד הרפואי. עסקים אלה יידרשו, בנוסף לחתימת הסכמים כתובים עם המוסדות הרפואיים בנוגע לטיפול במסמכים רפואיים חסויים, למלא  אחר רוב התקנות שהיו קיימות, ושהוספו כעת ביחס למוסדות רפואיים. כלומר, החל מפברואר 2010 עסקים קשורים יחויבו גם הם להפעיל מדיניות ונהלים ביחס להגנה על הפרטיות ושמירה על מידע רפואי חסוי, ולדווח למוסד הרפואי על כל מקרה בו מודעים נודע להם על פריצה למידע חסוי.

כתוצאה מהחקיקה החדשה יהיה על מוסדות רפואיים ועסקים קשורים לוודא כי ההסכמים ביניהם בנושאים האמורים עומדים בדרישות הדין. בנוסף, יהיה על העסקים הקשורים להכין תוכניות של מדיניות ונהלים בהתאם לחוק החדש. אי עמידה בדרישות עלולה להביא לקנסות כבדים ולעיתים אפילו להליכים פליליים.

קיימים מוצרי ביטוח העשויים לסייע בהקטנת נזקי החשיפות הכרוכות בזליגת מידע, פריצה למאגרי מידע וגניבת זהויות. עריכת פוליסות מתאימות לצד קיום הנהלים והפעולות המחוייבות בחקיקה החדשה, עשויים לצמצם את החשיפה של התאגידים ומנהליהם לנזקי האירועים בהם עוסקים חוק הדגלים האדומים וחוק ה-HITECH ACT. 

לחקיקה האמריקאית החדשה שנסקרה במאמר זה, אין מקבילה בחקיקה הישראלית, אולם היא מבטאת מגמה עולמית הולכת וגוברת בעשור האחרון המתבטאת בהגברת המודעות לחשיבות השמירה על הפרטיות בעידן המידע בו אנו מצויים, וכפייה באמצעים רגולטורים של נהלים ותוכניות להגנה על מידע  בגופים המחזיקים במידע אישי על לקוחותיהם. בישראל טרם הוסדרה הרגולציה בנושא באופן כה מקיף, אולם ניתן להניח כי המגמה הזו תימשך ותגיע גם למחוזותינו בדמות הסדרה רגולטורית של נושא אבטחת המידע.

לעסקים המנהלים קשרים עסקיים עם עסקים בארה"ב, כדאי להיות מודעים לקיום החקיקה החדשה ולהיערך לה בהתאם.