בתי ספר, גנים וחוגים: מידע על קטינים תחת רגולציה כפולה
החינוך הוא המגזר המותקף ביותר בישראל — 4,543 מתקפות בשבוע — והרשות להגנת הפרטיות כבר מפקחת על צהרונים. מדריך מעשי למוסדות חינוך פרטיים: מה החוק דורש על מידע קטינים אחרי תיקון 13, הסכמת הורים לתמונות, הנחיית המצלמות החדשה, וצ׳קליסט לפתיחת שנת הלימודים.
יום שני בבוקר, מזכירת בית הספר הפרטי מנסה להיכנס למערכת ניהול התלמידים כדי להוציא רשימת נוכחות — והמסך מציג הודעת כופר. אין גישה לרשימות הכיתה, לפרטי הקשר של ההורים, לתיקים הרפואיים של הילדים עם האלרגיות ולמסמכי ההשמה של תלמידי החינוך המיוחד. תוך שעה מתברר שגם הגיבוי, ששכן על אותה רשת, מוצפן. זה לא תרחיש תיאורטי: מגזר החינוך הוא המגזר המותקף ביותר בישראל, ומוסדות חינוך פרטיים — בתי ספר, גנים, צהרונים, חוגים ומרכזי לימוד — יושבים בדיוק בנקודת החיתוך המסוכנת: הררי מידע רגיש על קטינים, תשתית IT חלשה, והמון משתמשים. במדריך הזה נפרק מה בדיוק מסכן אתכם, מה החוק דורש ממכם — במיוחד אחרי תיקון 13 והנחיית המצלמות החדשה — ומה עושים עם זה כבר לפני פתיחת שנת הלימודים.
לפי נתוני Check Point לשנת 2025, מגזר החינוך הוא המגזר המותקף ביותר בישראל — 4,543 מתקפות בשבוע על ארגון ממוצע, יותר מכל מגזר אחר (לשם השוואה: תקשורת 3,756, בריאות 2,396). גם מערך הסייבר הלאומי מציב את החינוך בין המגזרים המותקפים ביותר. הסיבה מבנית: מוסד חינוכי מחזיק מידע אישי ורגיש בהיקף עצום, מפעיל עשרות ומאות משתמשים (צוות, הורים, לעיתים תלמידים) על תשתית שלרוב לא תוכננה לאבטחה — והשילוב הזה הוא קרקע פורייה לתוקפים.
המידע שאתם מחזיקים — ולמה הוא כל כך שווה לתוקף
לפני שמדברים על הגנה, כדאי לעצור על מה בעצם שוכב אצלכם במערכות. מוסד חינוכי פרטי הוא מאגר מידע עשיר במיוחד, ובחלק גדול ממנו מדובר במידע שהחוק מסווג כרגיש או בעל רגישות מיוחדת:
- רשומות בריאות של קטינים — אלרגיות, מחלות כרוניות, תרופות, אישורים רפואיים. מידע רפואי הוא מידע ברגישות מיוחדת לפי החוק.
- תיעוד חינוך מיוחד והשמה — אבחונים, המלצות פסיכולוגיות, תוכניות התערבות. זהו אולי המידע הרגיש ביותר שיש לכם, וחשיפתו עלולה לפגוע בילד לאורך שנים.
- פרטי הורים ומידע פיננסי — תעודות זהות, כתובות, טלפונים, אמצעי תשלום ופרטי חיוב עבור שכר לימוד, צהרונים וחוגים. מידע פיננסי גם הוא ברגישות מיוחדת אחרי תיקון 13.
- תיקי צוות — מספרי ת״ז, פרטי שכר, ולעיתים מסמכים מרשות מוסמכת (למשל אישורי היעדר עבירות מין).
- תמונות וסרטונים של קטינים — מקבוצות הוואטסאפ הכיתתיות, מאירועים, ולעיתים ממצלמות המעון.
ההצלבה הזו — מי הילד, איפה הוא לומד, מה מצבו הבריאותי, מי ההורים ואיפה הם גרים — היא בדיוק מה שהופך את המאגר שלכם למטרה. זו לא רק סכנת סחיטה כלכלית מול המוסד; זו חשיפה של קטינים, האוכלוסייה שהחוק מגן עליה הכי חזק.

הרשות להגנת הפרטיות כבר מסתכלת עליכם
אם חשבתם שרגולטור הפרטיות עסוק רק בבנקים ובחברות הענק — כדאי לעדכן. בדצמבר 2025 השיקה הרשות להגנת הפרטיות את מבצע פיקוח הרוחב הראשון שלה מאז כניסת תיקון 13 לתוקף, בחמישה מגזרים. אחד מהם, במפורש, הוא צהרונים (מסגרות חינוך לילדים לצד רשויות מקומיות, אתרי מסחר, אפליקציות פופולריות ומכוני בדיקות גנטיות). המסר ברור: מסגרות שמחזיקות מידע על קטינים נמצאות על הכוונת, ולא רק כשקורה אירוע.
המשמעות המעשית: הפיקוח לא מחכה לפריצה. הוא בודק אם יש לכם מדיניות פרטיות עדכנית, מנגנון הסכמה תקין, אבטחת מידע סבירה, והסכמי עיבוד מול הספקים שמחזיקים עבורכם מידע. אלה בדיוק הליקויים שהרשות ציינה בגל האכיפה מול אתרי מסחר באותו חודש — וכולם רלוונטיים למוסד חינוכי בדיוק כמו לחנות אונליין. אם אתם רוצים את מפת הדרכים המלאה של החוק, ראו חוק הגנת הפרטיות הישראלי ב-2026: מפת דרכים מלאה לעסק.
רגולציה כפולה: תיקון 13 ומידע על קטינים
הכותרת מדברת על ״רגולציה כפולה״ ולא בכדי. מצד אחד, מוסד חינוכי כפוף לחוק הגנת הפרטיות ולתקנות אבטחת מידע ככל בעל מאגר. מצד שני, המידע שלכם הוא מידע על קטינים ומידע רגיש — ושתי התכונות האלה מכפילות את החשיפה תחת תיקון 13, שנכנס לתוקף ב-14.8.2025.
העיצומים הכספיים בתיקון 13 מחושבים לפי מספר נושאי המידע, וכשמדובר במידע בעל רגישות מיוחדת — התעריף מוכפל. כך למשל, עיבוד מידע שלא כדין מתומחר ב-4 ש״ח לנושא מידע, ו-8 ש״ח כשהמידע ברגישות מיוחדת, עם רצפה של 200,000 ש״ח. הפרה של תקנות אבטחת המידע יושבת בשלוש דרגות, שהחמורה בהן — הכוללת אי-דיווח על אירוע אבטחה חמור — מגיעה ל-80,000 ש״ח למאגר ברמת אבטחה בינונית ו-320,000 ש״ח למאגר ברמה גבוהה. מוסד חינוכי טיפוסי, שמחזיק מידע רפואי על קטינים ומעל עשרה בעלי הרשאה, נופל לרוב לרמת אבטחה בינונית לכל הפחות — ולכן חלות עליו החובות המחמירות, כולל דיווח מיידי לרשות על אירוע אבטחה חמור.
בדוגמה שהרשות עצמה מביאה במדריך לתיקון 13, עיבוד שלא כדין במאגר של 200,000 נושאי מידע ברגישות מיוחדת מגיע ל-1,600,000 ש״ח. בית ספר או רשת גנים לא מגיעים בהכרח למספרים כאלה — אבל גם מוסד עם כמה אלפי תלמידים והורים, שמחזיק מידע רפואי, נמצא בטווח של עשרות עד מאות אלפי שקלים אם הרשות תמצא הפרה. לא לדעת לאיזו רמת אבטחה אתם שייכים היא כבר בעצמה בעיה. כך יודעים לאיזו רמת אבטחה המאגר שלכם שייך.
הסכמת הורים לתמונות: מה הטופס שבאמת מכסה אתכם
אחת השאלות שחוזרות הכי הרבה מהשטח: מותר להעלות תמונה של הילדים לקבוצת הוואטסאפ הכיתתית או לעמוד הפייסבוק של הגן? התשובה תלויה בהסכמה מדעת של ההורים — ורוב המוסדות טועים כאן פעמיים. הטעות הראשונה: לצאת מנקודת הנחה שההרשמה למוסד כוללת הסכמה לפרסום. היא לא. הטעות השנייה: לחתום על ״הסכמה כללית לצילום״ שלא מגדירה כלום.
טופס הסכמה שבאמת מגן עליכם הוא ספציפי: הוא מפרט לאילו ערוצים מיועדות התמונות (קבוצת ההורים הכיתתית? רשתות חברתיות פתוחות? אתר המוסד? חומרי שיווק?), מבהיר שההסכמה וולונטרית ושאפשר לחזור ממנה, ומאפשר להורה לסמן לאילו שימושים הוא מסכים ולאילו לא. הורה שאישר תמונות בקבוצה הסגורה של הכיתה לא בהכרח אישר פרסום בפייסבוק פתוח — וההבחנה הזו קריטית. שמרו את ההסכמות בכתב, נהלו רישום מי הסכים למה, וכבדו סירוב: ילד שהוריו לא אישרו פרסום פשוט לא מופיע.
מצלמות במעון: מה השתנה בפברואר 2026
מי שמפעיל מעון יום או גן עם מצלמות צריך להכיר את השינוי האחרון. הרשות להגנת הפרטיות פרסמה טיוטת הנחיה בנובמבר 2025, וב-19.2.2026 פרסמה את ההנחיה הסופית (מס׳ 1/26) בנושא הגנת פרטיות ואבטחת מידע בשימוש במצלמות במעונות יום לפעוטות. זו כבר לא טיוטה — אלה הכללים שהרשות תאכוף לפיהם. עיקרי החובות:
- המצלמות חייבות להיות גלויות — חל איסור מוחלט על מצלמות סמויות.
- איסור מוחלט בחדרי רחצה ושירותים — ואין להציב מצלמות באזורים שאינם משמשים לחינוך וטיפול, כמו מטבחון או חדר מנוחה לצוות.
- שמירה ל-30 יום בלבד — בתום התקופה הצילומים נמחקים לצמיתות באמצעות מנגנון אוטומטי.
- איסור הקלטת קול — המצלמות מיועדות לווידאו בלבד; אפילו הסכמת הורים לא מכשירה הקלטת קול.
- איסור מצלמות נוספות ומערכות זיהוי פנים — רק מה שהחוק מתיר.
- צפיית הורים דורשת הסכמת 100% מההורים — צפייה בזמן אמת או צפייה עיתית מותרת רק בהסכמת כלל הורי הפעוטות, ורק במסלול אחד; מפעיל המעון אינו חייב לאפשר צפייה כלל.
חשוב להבין: ההקלטות ממצלמות המעון הן ״מידע אישי״ ומהוות ״מאגר מידע״ לכל דבר, ומפעיל המעון הוא בעל השליטה במאגר — כך שחלות עליו כל חובות אבטחת המידע של החוק והתקנות, בנוסף לכללים הספציפיים של חוק המצלמות. אם אתם מאפשרים צפייה מרחוק, ההנחיה דורשת הזדהות חזקה בשני גורמים, ערוץ מאובטח (VPN), סיסמאות מתחלפות ואיסור הורדת הצילומים. הרחבנו על הדין הכללי של מצלמות אבטחה במאמר מצלמות אבטחה בעסק: הנחיות הרשות והשילוט הנדרש.
התוכנית המעשית: מה עושים בפועל
ספקי פלטפורמות חינוך — הסכם עיבוד הוא לא פורמליות
מוסד חינוכי מודרני רץ על מערכות של צד ג׳: אפליקציות למידה, מערכות ניהול תלמידים, אפליקציות תקשורת עם הורים, מערכות תשלום. כל ספק כזה מחזיק עבורכם מידע על קטינים — ולכן צריך הסכם עיבוד מידע (Data Processing Agreement) שמגדיר איזה מידע הספק אוסף, למה, כמה זמן הוא שומר אותו, אילו אמצעי אבטחה הוא נוקט, והאם ומתי המידע יוצא מישראל. בדקו במיוחד: האם הספק משתמש בנתוני התלמידים לשיפור המוצר או לפרסום? היכן יושבים השרתים? מה קורה למידע כשמסיימים את ההתקשרות? הרשות ציינה במפורש היעדר הסכמי עיבוד כליקוי אכיפה. ראו גם המדריך ספקי ענן אחרי תיקון 13: מה לבדוק בחוזה.
היגיינת חשבונות של הצוות
חדר המורים הוא נקודת תורפה קלאסית: מחשב משותף שכולם מחוברים אליו עם אותו משתמש, סיסמה מודבקת על המסך, ומורים שמעבירים מידע תלמידים למחשב הביתי או לטלפון הפרטי. הכללים פשוטים אבל לא מתפשרים: חשבון אישי לכל עובד, הרשאות לפי תפקיד (המורה למתמטיקה לא צריך גישה לתיקים הרפואיים), אימות רב-שלבי (MFA) על המייל ועל מערכת ניהול התלמידים, ונוהל ברור שאוסר שמירת מידע תלמידים על מכשירים אישיים לא מנוהלים. עובד שעוזב — החשבונות שלו נסגרים באותו יום.
משמעת קבוצות הוואטסאפ
קבוצת הוואטסאפ הכיתתית היא כלי מצוין — ובור פוטנציאלי. קבעו כלל ברור למחנכים ולצוות: מה לעולם לא נכנס לקבוצה. ציונים ומידע על הישגים אישיים, מידע רפואי (״שימו לב, יוסי אלרגי לבוטנים״), מספרי תעודת זהות, ופרטים על מצב משפחתי או השמה — כל אלה נשלחים בערוץ פרטי ומאובטח, לא בקבוצה שבה יושבים עשרות הורים ולעיתים בני משפחה נוספים. קבוצה היא לעדכונים תפעוליים בלבד.
נתוני תשלום וחיוב הורים
גבייה של שכר לימוד, צהרון וחוגים כרוכה בפרטי אמצעי תשלום. הכלל: אל תאחסנו מספרי כרטיסי אשראי בעצמכם. השתמשו בספק סליקה מוסמך שמנתק אתכם מהאחריות הישירה על נתוני הכרטיס, ואל תשמרו צילומי כרטיסים בתיקיות משותפות או בוואטסאפ. מידע פיננסי הוא מידע ברגישות מיוחדת — הטיפול בו לא-זהיר מכפיל את החשיפה.
כשקורה אירוע: תגובה והמשכיות
שני תרחישים שכל מוסד צריך להתכונן אליהם מראש. הראשון — דליפת מידע של קטינים. אם דלף מידע רפואי או השמה של תלמידים, אתם לא רק מול חובת דיווח מיידית לרשות להגנת הפרטיות על אירוע אבטחה חמור (במאגר ברמה בינונית ומעלה) — אתם גם מול הורים מודאגים שדורשים תשובות. תקשורת ההורים היא חלק מניהול האירוע: מי מודיע, מה אומרים, ומתי. הכינו מראש נוהל אירוע של עמוד אחד — את מי מנתקים, למי מתקשרים (IT, מוקד הסייבר 119, הרשות), ומי מדבר עם ההורים.
השני — כופרה שמשביתה מערכות. ברגע שהמערכת למטה, אתם צריכים גישה לרשימת הנוכחות ולאנשי הקשר לחירום של כל ילד — דווקא ברגע שהכי חשוב. פתרון פשוט: עותק לא-דיגיטלי או מנותק-רשת של רשימות הנוכחות ואנשי הקשר לחירום, מעודכן, שנשלף גם כשהכול חשוך. גיבוי לפי עקרון 3-2-1 (שלושה עותקים, שני סוגי מדיה, אחד מחוץ לאתר ומנותק) הוא ההבדל בין יום עבודה אבוד לבין שבועות של שיקום.
צ׳קליסט לפתיחת שנת הלימודים
השבוע שלפני פתיחת השנה הוא ההזדמנות הטבעית לסדר את הבית. הנה מה שאפשר וכדאי לעשות:
- מפו את המידע — איפה יושב מידע התלמידים בפועל: מערכת ניהול, מייל, וואטסאפ, מחשב חדר המורים, מגירות. קבעו לאיזו רמת אבטחה המאגר שייך.
- חדשו טופסי הסכמה — הסכמה מפורטת לצילום ופרסום, עם הבחנה בין ערוצים; רשמו מי הסכים למה.
- הפעילו MFA — על המייל, מערכת ניהול התלמידים, מערכת התשלומים והגיבוי בענן.
- חשבון אישי לכל עובד — בטלו משתמשים משותפים בחדר המורים; הרשאות לפי תפקיד.
- סגרו חשבונות של עוזבים — צוות שסיים לא נשאר עם גישה למערכות.
- בדקו הסכמי עיבוד — מול כל ספק אפליקציה, מערכת ניהול וסליקה שמחזיק מידע תלמידים.
- קבעו כללי וואטסאפ — פרסמו לצוות מה לעולם לא נכנס לקבוצה (ציונים, בריאות, ת״ז).
- וודאו עמידה בהנחיית המצלמות — גלויות, לא בשירותים, 30 יום שמירה, ללא קול; ואם יש צפיית הורים — הסכמה מלאה ואבטחה מתאימה.
- הכינו נוהל אירוע — עמוד אחד: מי מנתק, למי מתקשרים, מי מדבר עם ההורים.
- הכינו רשימות חירום מנותקות — נוכחות ואנשי קשר נגישים גם כשהמערכת למטה, וגיבוי 3-2-1 שנבדק.
- קבעו אחראי אחד — עם או בלי חובת מינוי ממונה הגנת פרטיות (DPO), לאבטחת המידע במוסד חייבת להיות כתובת אחת.

חלק גדול מההגנה על ילדים לא נגמר בשער המוסד. אם אתם מנהלים מוסד ורוצים לתת ערך אמיתי להורים — או שאתם הורים בעצמכם — שווה להכיר את ילדים ברשת: המדריך להורה שלא רוצה להיות שוטר ואת המדריך המשלים בקרת הורים בלי מלחמות.
השורה התחתונה
מוסד חינוכי פרטי מחזיק את אחד המאגרים הרגישים שיש — מידע על קטינים, בריאות, השמה וכספים — על תשתית שלרוב לא נבנתה בשביל זה. זה בדיוק השילוב שהפך את החינוך למגזר המותקף ביותר בישראל, וזה בדיוק מה שהרשות להגנת הפרטיות בחרה לפקח עליו. החדשות הטובות: רוב המהלכים שיורידו לכם משמעותית את הסיכון — הסכמות מסודרות, MFA, הסכמי עיבוד, משמעת וואטסאפ, נוהל אירוע ורשימות חירום מנותקות — הם ברי-ביצוע לפני פתיחת השנה, בלי תקציב של אוניברסיטה. לא צריך לעשות הכול ביום אחד; צריך להתחיל, ולקבוע לזה אחראי.
Cybertis מלווה מוסדות חינוך פרטיים — בתי ספר, גנים, צהרונים וחוגים — בהיערכות לתיקון 13, בבניית מדיניות פרטיות ואבטחה, בהסכמי עיבוד מול ספקים ובמינוי ממונה הגנת פרטיות במיקור חוץ. הפגישה הראשונה עלינו.
לשירות היערכות לתיקון 13*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. חובות הרגולציה תלויות במאפייני המוסד, בסוגי המידע ובהיקפו, ומחייבות בחינה פרטנית.*