חדשנות בביקורת בנושא חסיון מידע ופרטיות
פתיח
לרוב מדברים על חדשנות בהקשר של טכנולוגיה, יצירתיות יוצאת דופן, ומהלכים שיוצרים שינויים מהותיים בתהליכי העבודה הקיימים.
לתפיסתי, חדשנות יכולה לבוא לידי ביטוי גם בשינויים מינוריים שיכולים להיות משמעותיים לארגון, שינויים בתפיסה, בהסתכלות אחרת, ובעולמנו – בשאלת ביקורת אחרת.
מנקודת מוצא זו, דווקא כמבקרים יש לנו את היכולת להיות חדשנים בקלות יחסית, חדשנות שאינה מצריכה תקציבים משמעותיים או גיוס כוח אדם עם יכולות מיוחדות.
במאמר זה אשתף בביקורת שערכנו בנושא חסיון המידע ופרטיות אצלנו בקופת החולים מאוחדת, שבה החדשנות באה לידי ביטוי בשינוי נקודת המבט.
במאי 2018 נכנסו לתוקף תקנות הגנת הפרטיות שפרסמה הרשות להגנת הפרטיות הישראלית. זאת במקביל לתקנות ה-GDPR האירופיות. התקנות הרחיבו את דרישות הרגולטור מארגונים בישראל על מנת לשמור על מידע פרטי ולמנוע את זליגתו.
בשלהי שנת 2019 החלה הרשות לערוך ביקורות בארגונים השונים על מנת לוודא עמידה בתקנות. הפרה של התקנות יכולה להשית על הארגון קנסות גבוהים יחסית. לכך מתווסף הנזק מזליגת המידע, החשיפה המשפטית, החשיפה התדמיתית וכדומה.
כלומר, בארגונים המחזיקים מידע פרטי על פי הקריטריונים שהגדירה הרשות, החשיפה המובנית לשלל סיכונים היא גבוהה. כפועל יוצא, במרבית הארגונים המחזיקים מידע פרטי כהגדרת התקנות, בשנתיים האחרונות הושקעו תשומות רבות על מנת להיערך לכניסת התקנות לתוקף: נשכרו יועצים לצורך ליווי הארגון בתהליך, הוטמעו מערכות טכנולוגיות, לרוב עתירות משאבים, הוסדרו המדיניות, הנהלים והתהליכים, והושקעו משאבי כוח אדם רבים בביצוע השינויים הנדרשים.
הן בשל רמת החשיפה והן בשל היקפי המשאבים שהושקעו, גם אנו כמבקרים פנימיים נדרשים לתת את הדעת לנושא, ולאפשר לדירקטוריון לקבל תמונת מצב אובייקטיבית לגבי היקף החשיפה של הארגון בהיבט זה.
הגישה הקלאסית של ביקורת פנימית בנושא היא בחינת רמת הציות הארגונית לרגולציה. בדיקה באיזו מידה הארגון עומד בדרישות התקנות, ומיפוי הפערים הקיימים בין דרישות הרגולציה (לרבות התאמת המערכות) ובין הקיים בפועל.
אני לא מפחיתה מחשיבותה של הביקורת הזו. אך במסגרת מאמר זה בחרתי שלא לדון בשאלה אם נכון לנו כמבקרים פנימיים לעמוד במקום של מתן הבטחה של עמידת הארגון ברגולציה בנושא עתיר חשיפה, על כל משמעות האחריות הרובצת לפתחנו בהקשר זה. אני בהחלט חושבת שהמיקוד שלנו יכול, ואולי צריך, להיות אחר. ממילא במרבית הארגונים הבריאים לא יחכו לביקורת של המבקר הפנימי כדי לוודא שהם עומדים בדרישות. יותר מזה, קיימת דרישה של הרגולטור לערוך מבדקי ציות. מנקודת מבטי הפרטית, הערך המוסף שלנו בתור מבקרים לא יהיה גבוה, במיוחד בהתחשב בזה שאת הארגון ליוו יועצים מומחים בתהליך השינוי.
אז מה עשינו חדשני?
אם אני מתחילה מהשורה התחתונה – שאלת הביקורת שלנו הייתה אחרת. לטעמי היא הייתה חדשנית ושונה מהאופן שאנחנו כמבקרים בדרך כלל שואלים.
במסגרת הביקורת, במקום לבחון מה נעשה בעבר ולתת לארגון תמונת מצב מה רמת הציות כיום, אנחנו בדקנו, תוך ראייה צופה פני עתיד, האם מה שיש היום הוא מספק על מנת להבטיח כי רמת הציות הארגונית כיום תישמר גם בעתיד. הרי הארגון השקיע משאבים ותשומות רבים כל כך כדי להגיע לרמה מספקת לצורך עמידה בדרישות התקנות, וסביר להניח שאחרי כל ההשקעה רמת הציות שלהם כיום תהיה גבוהה או לפחות מספקת. השאלה היא האם בעוד שנה, כשתבוא הרשות להגנת הפרטיות לערוך ביקורת לארגון, היא תמצא ארגון באותה רמת ציות כמו היום. האם תהליכי העבודה שתוכננו ויושמו בארגון במסגרת ההערכות לכניסת התקנות לתוקף, יאפשרו לארגון לשמר את את אותה רמת ציות ארגונית גם מחר, גם בעוד שנה וגם בעוד כמה שנים?
כמה פשוט, ככה משמעותי.
זה אך טבעי שהקשב הארגוני, שהיה ממוקד בפרויקט ההיערכות, יהיה ממוקד עכשיו בפרויקטים הבאים שנמצאים על השולחן. בדרך כלל כשהקשב הארגוני מוסת, אם התהליכים לא מהודקים מספיק – גם רמת הציות פוחתת.
אני חושבת שחלק מהמחויבות שלנו כמבקרים היא לוודא שתשומות אלו יישאו פרי לאורך זמן, דבר שכאמור לא תמיד קורה. בנוסף, אני חושבת שמחויבותנו, גם עבור הדירקטוריון, היא לשקף באיזו מידה הארגון מתכנס להיות ארגון ששומר על פרטיות המידע לאורך זמן, ולא רק נכון ליום הביקורת.
במסגרת הביקורת בחנו את תהליכי העבודה ונוהלי העבודה. בשונה מתהליכי ביקורת רגילים, לקחנו את כל החומרים שנכתבו לצורך העמידה ברגולציה – מיפוי המערכות, מיפוי הספקים, סקרי הפערים – כבסיס לביצוע הביקורת, והסתמכנו עליהם כמו שהם, בלי שתיקפנו אותם. כאמור, כמבקרים יכולנו להתמקד בלדייק אותם או לתקף אותם, אולם לא זו הייתה מטרת הבדיקה. המטרה הייתה לבדוק שתהליכי העבודה ונוהלי העבודה שהוגדרו יאפשרו לשמר את כל החומרים שנכתבו ואת התהליכים שהוגדרו כפועל יוצא שלהם, ושיהיו תקפים ועדכניים גם בעתיד.
להלן מספר דוגמאות:
| נושא | בדיקה קלאסית | בדיקה מנקודת מבט אחרת |
| מיפוי ספקים שיש להם נגיעה למאגרי המידע | נכון למועד הביקורת, האם הארגון מיפה בהתאם לדרישות את כל הספקים הרלוונטיים? | · האם תהליכי העבודה הקיימים תומכים בעדכון שוטף של המיפוי, באופן שיבטיח כי עבור כל ספק חדש שאיתו יתקשר הארגון גם בעתיד תבוצע בחינת הצורך בהכללתו במיפוי הספקים הקיים?
· האם תפיסת מיפוי הספקים מורחבת מעבר לדרישות התקנות, וכוללת גם ספקים שאינם בעלי גישה ישירה למערכות המחזיקות במידע פרטי, אולם במסגרת השירות שנותנים לארגון מקבלים רשימות ונתונים מתוך מאגרי המידע? אם כן, האם הוגדרו תהליכי בקרה והגנות על מנת לוודא שיש ביכולתם לשמור על המידע הפרטי שמועבר אליהם? ושאלה משמעותית יותר: האם התהליכים הקיימים כיום תומכים במיפוי שוטף עבור ספקים אלו גם בעתיד? לדוגמה: o חברות שיווק שמקבלות רשימת לקוחות. o משרד רואי החשבון שמקבל קובצי שכר כחלק מתהליכי ביקורת הדוחות הכספיים. o ספק שמעניק פלטפורמה דיגיטלית לחלוקת מתנות לעובדים ומקבל את רשימת העובדים של הארגון ואת כתובות המייל ומספרי הטלפון שלהם. o חברה שמספקת פלטפורמה לשמירת קורות חיים של מועמדים לגיוס בארגון |
| מיפוי עובדים בעלי הרשאה למאגרים | נכון למועד הביקורת, האם מופו כלל העובדים בעלי הרשאה למאגרים השונים? | האם תהליכי העבודה שנבנו כוללים עדכון של המיפוי לעובדים שעוזבים והוספה של עובדים חדשים?
האם תהליכים אלו משולבים בתהליכי הקליטה והעזיבה של העובדים? |
| מבנה ארגוני | האם מונה ממונה אבטחת מידע בהתאם לתקנות? | האם המבנה הארגוני כיום, מיקומה של יחידת אבטחת המידע וסמכויות מנהל אבטחת המידע הם:
· בהתאמה לאחריות שלו ולמעורבות שלו בתהליכי העבודה הרלוונטיים, באופן שיאפשר לו לממש את תפקידו והאחריות המוטלת עליו ולשמר את תהליכי העבודה שנבנו (ברמת סמכות, נִראות, דרגה, ממשק להנהלה וכדומה). · מאפשרים הפחתה הדרגתית של תשומות הניהול שהושקעו על ידי הנהלת הקופה, תוך שימת מרבית האחריות הניהולית לתהליכים ליחידת אבטחת מידע. |
לסיכום, לאור התשומות והמשאבים הרבים שהשקיע הארגון בתהליך ההיערכות לרגולציה, והעמדת תשתית שמהווה הבסיס לעמידה בה, ביקורת זו אפשרה להנהלת הקופה להפנות זרקור למקומות שבהם נדרש לתת את הדגש כשלב שני להיערכות, ונתנה לדירקטוריון, שנתמך על עבודת המבקר הפנימי, תמונת מצב לגבי רמת החשיפה הארגונית העתידית בנושא, ובהתאם את מידת הצורך שלו להיות מעורב בנושא בעתיד הקרוב והרחוק.
