משרד המשפטים אינו מקדם במהירות מספקת תיקוני חקיקה בתחום הגנת הפרטיות, ואילו במשרדי החינוך והבריאות - המחזיקים במידע פרטי רגיש במיוחד בכמויות עצומות - אבטחתו אינה מספקת. כך קובע (יום ב', 8.5.18)
מבקר המדינה,
יוסף שפירא.
לדברי שפירא, "כבר בתחילת שנות ה-2000 הכיר משרד המשפטים בצורך בתיקונים בחוק הגנת הפרטיות ובתקנותיו, אך רובם לא קודמו או לא הושלמו. בתחום הגנת הפרטיות יש פער מובנה בין החקיקה, הממושכת מטבעה, ובין ההתפתחות הטכנולוגית המהירה.
"פער זה מגביר את הצורך לפעול בנחישות ובמהירות, על-מנת לשמור על רלוונטיות של הוראות הדין במציאות המשתנה. על משרד המשפטים לקיים עבודת מטה בעניין חוק הגנת הפרטיות, לבחון את התיקונים הנדרשים בדיני הגנת הפרטיות, לתעדפם ולקבוע לוחות זמנים לקידומם, הן לשם הגנה על זכויותיהם של נושאי המידע בישראל והן לשם שמירת מעמדה של ישראל כמדינה המבטיחה הגנה על מידע אישי ברמה נאותה התואמת את הדין האירופי".
אלא שהמצב בפועל רחוק מלהיות מספק. צוות שהקים משרד המשפטים לבחינת החקיקה בתחום מאגרי המידע, הגיש בינואר 2007 דוח על תיקוני חקיקה נחוצים בתחום זה. אף שמשרד המשפטים החל במהלך השנים בתהליכים ליישום המלצותיו של צוות ההסדרה, רובן לא יושמו עד מועד סיום הביקורת - למעלה מעשור לאחר מכן.
בפברואר 2018 פורסמה הצעה לתיקון חוק הגנת הפרטיות, שמטרתה להרחיב את סמכויות האכיפה של רשם מאגרי המידע, לאחר שתהליך חקיקה קודם לא הסתיים לאחר שש שנים. בשל מחלוקות שלא יושבו בין משרד המשפטים והרשות להגנת הפרטיות ובין מערך הסייבר הלאומי במשרד ראש הממשלה, הצעת החוק לא קודמה. כל עוד לא תוקן החוק, מדגיש שפירא, לא קיימת סנקציה יעילה בגין הפרה של חובת אבטחת המידע, והדבר פוגע ביכולת ההרתעה של הרשות.
הרשות להגנת הפרטיות אינה מעודכנת על העברות מידע בין גופים ציבוריים גם בקשר ל"מאגריעל" שהם, על-פי הגדרתם, מאגרים בעלי מידע רגיש, שפגיעה בחשאיותם, באמינותם, בשלמותם ובזמינותם עלולה לגרום נזק רב מאוד לציבור ולמדינה בהיבטים מדיניים-ביטחוניים, כלכליים או אזרחיים.
על אף החשיבות הרבה שהרשות מייחסת לפרסום הנחיות, בשנים 2018-2008 היא פרסמה 15 הנחיות בלבד בתחום הגנת הפרטיות, ובשנים 2016-2013 לא פרסמה הנחיות כלל. גם בנושאים שהרשות זיהתה שנכון יהיה לפרסם הנחיות לגביהם, בשל חשיבותם והרלוונטיות שלהם לציבור, היא לא עשתה זאת.
הרשות לא קבעה מדיניות אכיפה סדורה המתחשבת בשיקולים שקבע ראש הרשות, כגון מידת ההשפעה הרוחבית של פעולת האכיפה, אכיפה בנושא הייחודי לרשות, תיעדוף הטיפול בגופים חזקים, ועוד. בעשור האחרון פחתו פעולות האכיפה שהרשות נקטה בהן בהשוואה לתחילתו, ואף שבשלהי העשור חלה עלייה, עדיין מספרן קטן משהיה בשנים 2009-2008. זאת, על-אף הגידול בהיקפו של שוק המידע האישי בישראל, ועל אף שכוח האדם בתחום האכיפה ברשות הוכפל.
הביקורת במשרדי הבריאות והחינוך העלתה תמונה מדאיגה, לפיה הם מבצעים פרויקטים מקיפים או פועלים לאיסוף מידע אישי רב, מבלי שהוסדרה כראוי המסגרת הנורמטיבית לכך. נוסף על כך נמצאו ליקויים במדיניות אבטחת המידע וביישומה - קובע שפירא.
החקיקה בתחום הגנת הפרטיות אינה כוללת התייחסות מיוחדת לילדים. גם הניסיונות להסדרתה של ההגנה על פרטיות הילדים בחקיקה או בכללים, לא צלחו. עבודת העידכון של חוזר מנכ"ל משרד החינוך בנושא העברת מידע בין מוסדות חינוך, הנמשכת לפחות מספטמבר 2013, טרם הושלמה. נכון למועד סיום הביקורת, אין למשרד החינוך מדיניות אבטחת מידע וסייבר מאושרת.
חוזר מנכ"ל משרד הבריאות קובע, כי עמידה בתקן הבינלאומי לניהול אבטחת מידע במערכות בריאות, הוא תנאי לקבלה ולחידוש רישיון למוסד רפואי ממשרד הבריאות. אולם מכלל 1,500 מוסדות רפואיים הטעונים רישיון, כ-150 בלבד קיבלו הסמכה לתקן (בעיקר בתי חולים וקופות חולים). שאר המוסדות, ובהם בתי חולים גריאטריים, מרכזים למשתמשים בסמים, מרפאות כירורגיות ומרפאות שיניים, לא קיבלו הסמכה לתקן, ומשרד הבריאות אינו אוכף עליהם חובה זאת.
משרד הבריאות טרם הנחה את המוסדות הרפואיים בנוגע למקרים שיחייבו דיווח על אירועי אבטחת מידע. מערכת המידע המקוונת לשיתוף מידע רפואי, המאפשרת לבתי החולים לצפות במידע הרפואי שמחזיקות קופות חולים על המטופל, פועלת מבלי שהוסדרה בחקיקה ראשית או בחקיקת משנה, וזאת בניגוד לעמדתו של משרד המשפטים.