ברשויות המקומיות מאגרי מידע רבים בתחומים האלה: כספים (גבייה, שכר, תשלומים לספקים ועוד); תכנון ובנייה; חינוך (שירות פסיכולוגי חינוכי, גני ילדים קייטנת ועוד); רווחה; כוח אדם; רישוי עסקים; תחבורה וחניה; תברואה ועוד. מאגרים אלה הם הבסיס לעבודתן של הרשויות. חלקם כוללים גם מידע רגיש כהגדרתו בחוק הגנת הפרטיות, התשמ"א-1981 (להלן - חוק הגנת הפרטיות), למשל אבחונים פסיכולוגיים וחוות דעת של פסיכולוגים ושל עובדים סוציאליים. בשנת 2010 היו ברשויות המקומיות כ-520,000 תיקי רווחה פעילים וכ-165,000 תיקי שירות פסיכולוגי פעילים.
פעולתם של גופים ציבוריים מושתתת על מערכות מידע הכוללות נתונים רבים על התושבים - מעמד אישי, מצב בריאות, מצב כלכלי, הכשרה מקצועית, דעות ואמונות - שחשיפתם עלולה לפגוע בפרטיותם של התושבים. ככל שגופים עושים שימוש נרחב יותר במאגרי מידע כך גוברת הסכנה שהמידע ייחשף ברבים ויפגע בפרטיותם של תושבים, ולכן מוטלת על בעלי המאגרים החובה להגן על המידע.
כמה חוקים נועדו להבטיח את ההגנה על הפרטיות ואת צנעת הפרט ובכללם - חוק יסוד: כבוד האדם וחירותו, הקובע כי "כל אדם זכאי לפרטיות ולצנעת חייו"; חוק הגנת הפרטיות והתקנות שהותקנו מכוחו.
פעולות הביקורת
בחודשים ינואר-יולי 2011 בדק משרד מבקר המדינה, לסירוגין, את אבטחת המידע והגנת הפרטיות בשבע רשויות מקומיות: בחמש עיריות (אשקלון, יהוד-מונוסון, בני ברק, טירה ויקנעם עילית) ובשתי מועצות מקומיות (בני עי"ש ורמת ישי). נבדקו בעיקר היחידות הממונות על תחומי המחשוב, הארנונה, הרווחה והחינוך, ובכלל זה כמה בתי ספר, והשירות הפסיכולוגי החינוכי. בדיקות השלמה נעשו במשרד המשפטים, במשרד הרווחה והשירותים החברתיים, במשרד החינוך, במינהל לשלטון מקומי שבמשרד הפנים (להלן - המינהל לשלטון מקומי), במרכז השלטון המקומי בישראל ובחברה א'.
עיקרי הממצאים
1. במשך שנים לא קבע משרד הפנים מדיניות לאבטחת המידע ולהגנת הפרטיות ברשויות המקומיות; לא הניח את התשתית לטיפול בנושא; ולא פעל לקביעת הנחיות בתחום זה, אף שכבר בשנת 1996 תוקן חוק הגנת הפרטיות ונוספו לו סעיפים הנוגעים להגנה על הפרטיות במאגרי מידע.
2. הרשות למשפט, טכנולוגיה ומידע שבמשרד המשפטים לא קיימה מאז הקמתה פעולות פיקוח ואכיפה על רישום מאגרי מידע. כמו כן היא לא קבעה נהלים והנחיות ולא הטילה קנסות על רשויות מקומיות שלא קיימו את חובתן זו.
3. בכל הרשויות שנבדקו, חוץ מעיריית אשקלון, לא מונה ממונה על אבטחת מידע, והממונה בעיריית אשקלון חסר הכשרה בנושא אבטחת מידע. בעקבות הביקורת מונה גם בעיריית בני ברק ממונה על אבטחת מידע.
4. בחמש משבע הרשויות המקומיות שנבדקו לא נקבעו נוהלי אבטחת מידע. אשר לשתי הרשויות שבהן נקבעו נהלים כאלה - באחת מהן הנהלים מיושמים בחלקם בלבד, ואילו בשנייה הוכנה כבר בשנת 2001 טיוטת "נהלי אבטחת מחשבים ומערכות מידע", אך הנהלת העירייה עדיין לא אישרה אותה, והנהלים אינם מיושמים.
5. שלא לפי הוראות חוק הגנת הפרטיות, שתיים משבע הרשויות שנבדקו לא קיימו מעולם את חובת הרישום של מאגרי המידע שלהן; שלוש רשויות לא שילמו אגרות תקופתיות יותר משלוש שנים, ועקב כך נמחק רישום מאגריהן. רק מאגרי מידע של שתי רשויות היו רשומים ברשות למשפט, טכנולוגיה ומידע, כנדרש בחוק.
6. ברשויות המקומיות שנבדקו לא נקבעו כללים לאבטחת המידע במחשבים מנותקי הרשת ובאמצעים הנתיקים האחרים שנעשה שימוש בהם, למעט בעיריית אשקלון - זו הוציאה נוהל לאבטחת המחשבים הניידים שברשותה.
7. בשש משבע הרשויות שנבדקו אין תכנית שיקום מאסון והמשכיות עסקית. רק בעיריית אשקלון הוכנה תכנית כזו, אך במועד סיום הביקורת טרם הסתיימה הפעלתה.
8. ברשויות המקומיות שנבדקו, פרט לעיריית אשקלון, אין הוראות ונהלים תקפים ומחייבים לאבטחת רשומות מכל הסוגים.
9. ברשויות שנבדקו נמצא כי מידע אישי הנוגע לבריאותם של תושבים או למצבם הכלכלי או האישי מוחזק בארונות פתוחים, בכונניות ובמגירות שאינן ניתנות לנעילה. דבר זה אינו עולה בקנה אחד עם הדרישות הבסיסיות להגנה על מידע רגיש הנוגע לתושבים.
10. באגפי החינוך בשתי רשויות מקומיות שנבדקו לא היו מנעולים בחלק מהארונות ומהמגירות המכילים מידע רגיש; אלה שהיה אפשר לנעול אותם לא היו נעולים; בכונניות לא נעולות היה דואר ובו מידע רגיש.
11. מפקחי משרד הרווחה והשירותים החברתיים אינם בודקים את מילוי הוראות תקנון העבודה הסוציאלית בנושאי חובת הסודיות וניהול רשומות במחלקות הרווחה ברשויות המקומיות. כמו כן לא בוצעו ביקורות ייעודיות של האגף לביקורת פנימית במשרד לשירותים חברתיים בנושאים אלה.
12. חברה א' מחזיקה במאגרי המידע של כל הרשויות המקומיות שנבדקו. לא נחתמו הסכמים בין הרשויות שנבדקו לחברה א' בדבר מורשי הגישה למאגרי המידע שלהן כפי שנדרש בחוק הגנת הפרטיות. לשלוש רשויות מקומיות אין כלל חוזה למתן שירות עם החברה. במועד הביקורת היו שתי רשויות מקומיות לראשונה בעיצומו של מכרז לאספקת שירותי מחשוב הכולל דרישות לקיום הוראות חוק הגנת הפרטיות ואבטחת מידע. רק בשנת 2010 מילאה לראשונה חברה א' את חובתה כמחזיקה במאגרים של בעלים שונים ומסרה דיווח שנתי לרשות למשפט, טכנולוגיה ומידע.
13. בכל הרשויות שנבדקו לא הוקמו ועדות למסירת מידע. בעיריית אשקלון מונתה ועדה כזאת רק במהלך הביקורת, ביוני 2011.
14. ככלל, הרשויות המקומיות שנבדקו לא קיימו פעולות הדרכה והסברה בתחום אבטחת המידע. רק עיריית אשקלון הכינה תכנית הדרכה שנתית לאבטחת מידע וביצעה פעילות רענון להגברת המודעות לנושא האבטחה, ורק בה פועל ממונה אבטחת מידע המארגן את ההדרכות.
15. נושא אבטחת המידע והגנת הפרטיות אינו נכלל בתכניות הביקורת של רואי החשבון העושים ביקורת ברשויות המקומיות מטעם משרד הפנים. גם מחלקת ביקורת מינהלית באגף לביקורת רשויות מקומיות שבמשרד הפנים מעולם לא קיימה ביקורת בנושא זה.
סיכום והמלצות
מממצאיו של דוח זה מסתמן כי לרשויות המקומיות עדיין חסרה התשתית לטיפול בנושא אבטחת המידע והגנת הפרטיות. ברוב הרשויות שנבדקו אין הנחיות מפורטות לטיפול שוטף בנושא; רובן פועלות ללא ממונה על אבטחת מידע כנדרש בחוק; מאגרי המידע שבהן אינם רשומים כנדרש; היקף פעולותיהן בתחומי ההדרכה והביקורת מצומצם.
על הרשויות המקומיות: לקיים פעולות בקרה בעניין אבטחת המידע והגנת הפרטיות, כדי לזהות פעולות חריגות או ניסיונות של גורמים בלתי מורשים לעשות פעולות כאלה; למנות לאלתר ממונים על אבטחת מידע כמתחייב מחוק הגנת הפרטיות; לגבש מסמך מדיניות בנושא אבטחת מידע, ולקבוע בו את תדירות ביצועם של סקרי סיכונים ומבחני חדירה; להקפיד לרשום ולנהל את כל מאגרי המידע שברשותן כנדרש בחוק; להקים ועדות להעברת מידע ולהכין נהלים ייעודיים בנושא העברת מידע בין גופים ציבוריים כפי שנקבע בתקנות הגנת הפרטיות; לעשות ביקורות על אבטחת מידע ועל הגנת הפרטיות ברשויות המקומיות באמצעות מבקרי הרשויות.