תקנות אבטחת מידע: איך יודעים לאיזו רמת אבטחה המאגר שלכם שייך
מרפאה עם ארבעה עובדים, חנות אונליין עם 120,000 לקוחות ומערכת HR עם שעון ביומטרי — לכל אחד רמת אבטחה אחרת לפי תקנות אבטחת מידע, ולפעמים מפתיעה. עץ החלטה בארבע שאלות, מפת החובות המלאה לכל רמה, סכומי העיצומים לפי תיקון 13 — והחריגים שכמעט אף אחד לא מכיר.
יש שאלה אחת שאנחנו שואלים כמעט בכל פגישת היכרות עם עסק, והיא מפילה את רוב היושבים בחדר: ״לאיזו רמת אבטחה משתייכים מאגרי המידע שלכם?״ התשובה הנפוצה ביותר היא שתיקה. השנייה בשכיחותה — ״אנחנו עסק קטן, אז כנראה הרמה הבסיסית״ — מסוכנת עוד יותר, כי היא כמעט תמיד שגויה. מרפאה עם ארבעה עובדים, חנות אונליין עם 120,000 לקוחות רשומים ומחלקת HR עם שעון נוכחות ביומטרי — לכל אחד מהם תשובה שונה לגמרי, ולעיתים מפתיעה. ומאז שנכנס לתוקף תיקון 13 לחוק הגנת הפרטיות, השאלה כבר לא תיאורטית: רמת האבטחה קובעת אילו חובות חלות עליכם בפועל — וגם את גובה העיצום הכספי שהרשות להגנת הפרטיות מוסמכת להטיל כשמשהו משתבש.
תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017 חלות על כל מאגר מידע בישראל — מקובץ אקסל של לקוחות ועד CRM ארגוני — מאז כניסתן לתוקף ב-2018. התקנות מסווגות כל מאגר לאחת מארבע קטגוריות: מאגר המנוהל בידי יחיד, רמת אבטחה בסיסית, רמת אבטחה בינונית ורמת אבטחה גבוהה, וכל רמה גוררת סט חובות שונה. תיקון 13, שנכנס לתוקף ב-14.8.2025, לא שינה את שיטת הסיווג — אבל הצמיד לכל רמה עיצומים כספיים, והפך טעות בסיווג לטעות יקרה.
שלושה פרמטרים קובעים הכול — וגודל החברה אינו אחד מהם
הסיווג לפי התקנות לא נגזר ממחזור העסק, ממספר העובדים או מהוותק — אלא ממאפייני המאגר עצמו: סוג המידע שנשמר בו, מספר נושאי המידע (האנשים שהמידע עליהם), ומספר בעלי ההרשאה — כל מי שקיבל מכם גישה למידע שבמאגר או למערכות שמפעילות אותו, כולל יועצים, מנהלי חשבונות וטכנאי IT, לא רק עובדים. לצד שלושת אלה נבחנים גם מטרת המאגר (איסוף מידע כדי למסור אותו לאחרים, כמו שירותי דיוור ישיר) וזהות הבעלים (גוף ציבורי).
המפתח לסיווג הוא רשימת סוגי המידע שבתוספת הראשונה לתקנות. מאגר שמכיל אפילו אחד מהסוגים האלה נחשב ״רגיש״ לצורך הסיווג:
- מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד
- מידע רפואי או מידע על מצבו הנפשי של אדם
- מידע גנטי
- דעות פוליטיות או אמונות דתיות
- עבר פלילי
- נתוני תקשורת (פירוט שיחות, נתוני מיקום ותעבורה)
- מידע ביומטרי (טביעת אצבע, זיהוי פנים)
- מידע כלכלי — נכסים, חובות, התחייבויות ומצב כלכלי
- הרגלי צריכה שמלמדים על מידע רגיש אחר או על אישיותו של אדם
נקודה שמבלבלת רבים: תיקון 13 הגדיר קטגוריה חדשה ורחבה יותר של ״מידע בעל רגישות מיוחדת״ (שכוללת למשל גם נתוני מיקום ונתוני שכר). לצורך סיווג רמת האבטחה של המאגר, הרשימה הקובעת היא עדיין זו שבתוספת הראשונה לתקנות — שתי הרשימות חופפות ברובן, אבל לא זהות.
עץ ההחלטה: ארבע שאלות עד לרמה הנכונה
שאלה 1: האם זה בכלל ״מאגר המנוהל בידי יחיד״?
הקטגוריה המקלה ביותר שמורה למאגר שמנהל יחיד (או תאגיד בבעלות יחיד), שבו רק היחיד ולכל היותר שני בעלי הרשאה נוספים משתמשים בפועל. אבל שימו לב לשלושת החריגים שמוציאים מהקטגוריה: מאגר שמטרתו העיקרית מסירת מידע לאחרים כדרך עיסוק, מאגר עם מידע על 10,000 אנשים ומעלה — וגם מאגר שחלה עליו חובת סודיות מקצועית לפי דין או אתיקה מקצועית. המשמעות המעשית: רופא עצמאי, עורך דין או רואה חשבון — גם אם הם עובדים לגמרי לבד — לא נכנסים לקטגוריה הזאת.
שאלה 2: האם המאגר נכנס לתוספת הראשונה?
שלושה מסלולים מכניסים מאגר לרמת האבטחה הבינונית: מטרתו העיקרית היא איסוף מידע לצורך מסירתו לאחרים (סחר במידע, שירותי דיוור ישיר); בעליו הוא גוף ציבורי; או שהוא כולל אחד מסוגי המידע הרגיש שברשימה למעלה. אם אף אחד מהמסלולים לא מתקיים — המאגר ברמה הבסיסית, וכאן נגמר הסיפור.
שאלה 3: האם חצה את סף ה-100,000 או ה-100?
מאגר של סחר במידע או מאגר עם מידע רגיש קופץ לרמת האבטחה הגבוהה אם מתקיים אחד משני תנאים: הוא מכיל מידע על 100,000 אנשים ומעלה, או שמספר בעלי ההרשאה בו עולה על 100. שימו לב שהספירה היא של נושאי המידע במאגר — לא של לקוחות פעילים. חנות אונליין ששומרת גם לקוחות רדומים משנים עברו סופרת את כולם.
שאלה 4: האם אחד החריגים מוריד אתכם חזרה לבסיסית?
כאן נמצא הסעיף שהכי מעט אנשים מכירים, לשני הכיוונים. מאגר שהגיע לרמה הבינונית רק בגלל שהוא מכיל מידע רגיש (ולא כי הוא גוף ציבורי או סוחר מידע, וכל עוד לא חצה את ספי הרמה הגבוהה) יורד חזרה לרמה הבסיסית באחד משני מקרים: מספר בעלי ההרשאה אצל בעל המאגר אינו עולה על עשרה; או שמדובר במאגר שכולל רק מידע על עובדים או ספקים לצורכי ניהול העסק — למשל נתוני שכר, אישורים רפואיים ותמונות פנים — ובלבד שאין בו מידע גנטי, דעות פוליטיות או אמונות דתיות, ביומטריה שאינה תמונות פנים או הרגלי צריכה.

מה כל רמה דורשת בפועל
החובות בתקנות בנויות במדרגות — כל רמה כוללת את חובות הרמה שמתחתיה ומוסיפה עליהן. שתי נקודות שכדאי לעצור עליהן: ראשית, מסמך הגדרות המאגר — המסמך שמתאר מה נאסף, לאילו מטרות, מי מחזיק ומהם סיכוני האבטחה העיקריים — חל על כל הרמות, כולל מאגר המנוהל בידי יחיד. אין עסק בישראל שמחזיק מאגר מידע ופטור ממנו. שנית, החל מהרמה הבסיסית נדרש גם נוהל אבטחת מידע מחייב, ניהול הרשאות לפי תפקיד ומיון של מי שמקבל גישה.
| החובה | יחיד | בסיסית | בינונית | גבוהה |
|---|---|---|---|---|
| מסמך הגדרות מאגר ובחינה שנתית שלו | ✓ | ✓ | ✓ | ✓ |
| נוהל אבטחה, ניהול הרשאות ומיון בעלי גישה | — | ✓ | ✓ | ✓ |
| הדרכה תקופתית לבעלי הרשאות (לפחות אחת לשנתיים) | — | — | ✓ | ✓ |
| תיעוד אוטומטי של גישה למערכות, נשמר 24 חודשים | — | — | ✓ | ✓ |
| זיהוי באמצעי פיזי והחלפת סיסמאות לפחות כל 6 חודשים | — | — | ✓ | ✓ |
| דיווח מיידי לרשות על אירוע אבטחה חמור | — | — | ✓ | ✓ |
| ביקורת אבטחה תקופתית (לפחות אחת ל-24 חודשים) | — | — | ✓ | ✓ |
| דיון תקופתי באירועי אבטחה | — | — | אחת לשנה | אחת לרבעון |
| סקר סיכונים ומבדקי חדירות (לפחות אחת ל-18 חודשים) | — | — | — | ✓ |
| עותק גיבוי נפרד שמבטיח שלמות מידע ויכולת שחזור | — | — | — | ✓ |
ברמה הגבוהה מתווספות שתי החובות הכבדות באמת: סקר סיכונים לאיתור סיכוני אבטחת מידע ומבדקי חדירות למערכות המאגר, כל אחד מהם לפחות אחת ל-18 חודשים, כולל דיון בתוצאות ותיקון הליקויים. גם הגדרת ״אירוע אבטחה חמור״ — זה שמחייב דיווח מיידי לרשות להגנת הפרטיות — מחמירה עם הרמה: ברמה הבינונית מדווחים על שימוש לרעה בחלק מהותי מהמאגר; ברמה הגבוהה — על כל שימוש בלא הרשאה או פגיעה בשלמות המידע, גם נקודתיים.

תיקון 13: כמה עולה הפרה בכל רמה
עד אוגוסט 2025 התקנות היו קיימות אבל כלי האכיפה היו מוגבלים. תיקון 13 שינה את זה מהיסוד: הפרות של תקנות אבטחת מידע מדורגות היום בשלוש מדרגות עיצום, והסכום נגזר ישירות מרמת האבטחה של המאגר. לפי המדריך המקצועי הרשמי של הרשות להגנת הפרטיות, במאגר ברמה בינונית המדרגות הן ₪20,000, ₪40,000 ו-₪80,000; במאגר ברמה גבוהה — ₪80,000, ₪160,000 ו-₪320,000. כל הסכומים מוכפלים במאגר עם יותר ממיליון נושאי מידע. במאגרים ברמה הבסיסית ובמאגר המנוהל בידי יחיד מדובר בסכומים סמליים יחסית של ₪1,000–2,000 (עד ₪4,000 בהפרות פיקוח על מיקור חוץ).
שווה לשים לב מה יושב במדרגה העליונה: בין השאר אי-ביצוע סקר סיכונים ומבדקי חדירות, ואי-דיווח לרשות על אירוע אבטחה חמור. כלומר, ארגון עם מאגר ברמה גבוהה שפשוט לא ידע שהוא ברמה גבוהה — ולכן מעולם לא הריץ מבדק חדירות ולא דיווח על אירוע — צובר חשיפה של מאות אלפי שקלים מהפרות ״פסיביות״ בלבד. זו בדיוק הסיבה שסיווג נכון הוא הצעד הראשון בכל היערכות לתיקון 13.
איך זה נראה בעסק אמיתי: שלוש דוגמאות
מרפאה פרטית עם ארבעה עובדים
מידע רפואי מכניס את מאגר המטופלים לתוספת הראשונה, וחובת הסודיות הרפואית חוסמת את קטגוריית ״מנוהל בידי יחיד״. אבל אם במרפאה יש רק ארבעה בעלי הרשאה — פחות מעשרה — חריג התוספת מוריד את המאגר לרמה הבסיסית. אותה מרפאה בדיוק, אחרי שצירפה קופה מתחלפת של מזכירות, מתמחים וספק מחשוב עם גישה קבועה וחצתה את עשרת בעלי ההרשאה — קופצת לרמה הבינונית, על כל המשתמע: תיעוד גישה אוטומטי, הדרכות, ביקורת תקופתית ודיווח מיידי על אירוע חמור. ומכון רפואי עם 100,000 מטופלים ומעלה נמצא ברמה הגבוהה בלי קשר למספר העובדים.
חנות אונליין עם 120,000 לקוחות רשומים
מאגר לקוחות ״רגיל״ — שם, טלפון, כתובת, היסטוריית הזמנות — לא נשמע דרמטי. אבל אם המאגר כולל מידע כלכלי (אמצעי תשלום, חובות, נתוני אשראי) או הרגלי צריכה שמלמדים על אישיותו של אדם — הוא בתוספת הראשונה; ועם 120,000 נושאי מידע הוא חוצה את סף ה-100,000 ומגיע לרמה הגבוהה: סקר סיכונים ומבדק חדירות כל 18 חודשים, דיון רבעוני באירועים, ותקרת עיצומים של ₪320,000 להפרה. רוב בעלי החנויות שאנחנו פוגשים בטוחים שהם ״עסק קטן ברמה בסיסית״ — עד שסופרים את הרשומות.
מערכת HR עם שעון נוכחות ביומטרי
מאגר עובדים עם נתוני שכר ואישורים רפואיים נהנה בדרך כלל מחריג העובדים והספקים ונשאר ברמה הבסיסית. אבל ברגע שמוסיפים שעון נוכחות בטביעת אצבע, נכנסת למאגר ביומטריה שאינה תמונת פנים — והחריג נשבר. התוצאה: מאגר ה-HR כולו מסווג ברמה הבינונית (אם יש יותר מעשרה בעלי הרשאה), בגלל רכיב אחד שנרכש כדי לחסוך התעסקות עם כרטיסי נוכחות.
עסקים מסווגים את עצמם לפי תחושת הגודל — ״אנחנו 12 עובדים, מה כבר יש לנו״ — במקום לפי תוכן המאגר. קליניקה קטנה עם תיקים רפואיים, סוכנות ביטוח עם מידע פיננסי-רפואי משולב או אפליקציה עם 100,000 משתמשים רשומים יכולות להיות ברמה בינונית או גבוהה גם עם צוות זעיר. הכיוון ההפוך קיים גם הוא: עסקים שמשקיעים בחובות של רמה גבוהה בלי שהיא חלה עליהם. את שני סוגי הטעויות פותרים באותה דרך — מיפוי מסודר של המאגרים לפני שקונים פתרונות.
צ׳קליסט לשבוע הקרוב
- מפו את המאגרים. רשימה של כל מקום שבו נשמר מידע אישי: CRM, מערכת שכר, קופה, אקסלים, תיבות מייל משותפות. כל אחד מהם הוא מועמד להיות מאגר מידע.
- סווגו כל מאגר לפי עץ ההחלטה. סוג המידע מול רשימת התוספת הראשונה, ספירת נושאי המידע (כולל רשומות ישנות), ספירת בעלי ההרשאה — כולל ספקים חיצוניים עם גישה.
- כתבו או עדכנו את מסמך הגדרות המאגר. חובה בכל רמה, וזה גם המסמך הראשון שהרשות מבקשת בפיקוח.
- ודאו שקיים נוהל אבטחה שמשקף את מה שקורה בפועל — נדרש מהרמה הבסיסית ומעלה.
- אם יש לכם מאגר ברמה בינונית או גבוהה — בדקו שמנגנון תיעוד הגישה פועל ושומר 24 חודשים, ושידוע לכולם מי מדווח לרשות על אירוע חמור ואיך.
- אם יש לכם מאגר ברמה גבוהה — בדקו מתי בוצעו סקר הסיכונים ומבדק החדירות האחרונים. אם עברו יותר מ-18 חודשים, אתם כבר בהפרה מהמדרגה העליונה.
- קבעו נקודת בחינה שנתית. מאגרים גדלים, עובדים מתווספים וספי הסיווג נחצים בשקט — סיווג הוא לא החלטה חד-פעמית.
השורה התחתונה
רמת האבטחה של המאגר היא נקודת המוצא של כל תוכנית פרטיות ואבטחת מידע בישראל: היא קובעת את רשימת החובות, את חובת הדיווח ואת גובה החשיפה לעיצומים. הסיווג עצמו הוא לא פרויקט — הוא תרגיל של שעות בודדות למי שיודע אילו שאלות לשאול. אבל טעות בו מייצרת או השקעה מיותרת בחובות שלא חלות עליכם, או חשיפה של מאות אלפי שקלים לחובות שכן.
Cybertis מלווה עסקים וארגונים במיפוי וסיווג מאגרי המידע, בניית מסמכי ההגדרות והנהלים, וסגירת הפערים מול תקנות אבטחת מידע ותיקון 13 — כולל סקרי סיכונים ומבדקי חדירות למאגרים ברמה הגבוהה. הפגישה הראשונה עלינו.
לשירות היערכות לתיקון 13*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. סיווג מאגר בפועל תלוי בנסיבות הקונקרטיות של הארגון והמידע, ולרשם מאגרי המידע סמכות להקל או להחמיר במקרים מסוימים (תקנה 20). מומלץ להיוועץ בגורם מקצועי.*