מיפוי מאגרי מידע: המסמך הראשון שכל ארגון צריך
אי אפשר לסווג רמת אבטחה, לענות לפניית לקוח או לדווח על פרצה — בלי לדעת איזה מידע מחזיקים ואיפה. מדריך מעשי למיפוי מאגרים בעסק: שבע שאלות לכל מערכת, מסמך הגדרות המאגר לפי תקנה 2, ומה עושים עם המפה אחרי שהיא מוכנה.
יום שלישי בערב, מייל מספק ה-CRM: ״זיהינו אירוע אבטחה בסביבה שלכם, פרטים בהמשך״. המנכ״ל שואל שלוש שאלות פשוטות: איזה מידע שלנו יושב שם? על כמה אנשים? ויש שם משהו רגיש? ובחדר — שקט. אף אחד לא יודע בוודאות, כי אף אחד מעולם לא כתב את זה. הסיטואציה הזו חוזרת על עצמה כמעט בכל ארגון שאנחנו פוגשים בפעם הראשונה, והיא בדיוק הסיבה שכל תוכנית פרטיות ואבטחה מתחילה במסמך אחד: מפת מאגרי המידע. לא מדיניות, לא נהלים, לא כלים — קודם כול מפה. אי אפשר להגן על מה שלא יודעים שקיים, ואי אפשר לעמוד באף חובה של חוק הגנת הפרטיות בלי לדעת מה מחזיקים, על מי ולמה.
תיקון 13 לחוק הגנת הפרטיות, שנכנס לתוקף ב-14.8.2025, הרחיב את הגדרת ״מידע״: כל נתון על אדם מזוהה או ניתן לזיהוי — כולל זיהוי באמצעות מזהה (מספר טלפון, מייל, ת״ז) או נתוני מיקום. המשמעות המעשית: כמעט כל מערכת עסקית שמכילה נתונים על אנשים היא מאגר מידע — ה-CRM, קובץ השכר, רשימת התפוצה ואפילו תיבת המייל. התיקון גם הגדיר רשימת ״מידע בעל רגישות מיוחדת״: מידע רפואי, גנטי, ביומטרי, נתוני מיקום, נטייה מינית, דעות פוליטיות ואמונות דתיות, עבר פלילי, נתוני שכר ומצב כלכלי והערכות אישיות — ומידע כזה מקפיץ את דרישות האבטחה ואת גובה העיצומים.
למה המיפוי קודם לכול הדבר
מפת מאגרים היא לא ״עוד מסמך רגולטורי״ — היא התשתית שכל שאר החובות נשענות עליה. בלי מפה, כל אחת מהמשימות הבאות נתקעת בשאלה ״רגע, מה בכלל יש לנו?״:
- סיווג רמת אבטחה. תקנות אבטחת מידע קובעות חובות שונות לפי רמת האבטחה של המאגר — בסיסית, בינונית או גבוהה — והרמה נגזרת מסוגי המידע, מכמות האנשים וממספר בעלי ההרשאה. איך יודעים לאיזו רמה המאגר שלכם שייך? רק אחרי שיודעים מה יש בו.
- מענה לפניות של אנשים. לקוח שמבקש לעיין במידע עליו, לתקן אותו או להימחק מדיוור — ואתם חייבים להשיב לו בלוחות זמנים קבועים בדין — מחייב לדעת בכל רגע באילו מערכות הוא בכלל מופיע. בלי מפה, כל פנייה הופכת למבצע חיפוש ארגוני.
- דיווח על אירוע אבטחה. מאגרים ברמת אבטחה בינונית או גבוהה חייבים לדווח לרשות להגנת הפרטיות על אירוע אבטחה חמור מיידית עם גילויו. מיידית — כשצריך קודם לברר יומיים מה בכלל היה במערכת שנפרצה — זה לא קורה. ולפי מדרג העיצומים של תיקון 13, אי-דיווח על אירוע חמור נמצא במדרגה הגבוהה ביותר: עד 80,000 ₪ במאגר ברמה בינונית ועד 320,000 ₪ במאגר ברמה גבוהה.
- חובת יידוע לרשות. מאגר שמכיל מידע בעל רגישות מיוחדת על יותר מ-100,000 בני אדם חייב ביידוע הרשות להגנת הפרטיות תוך 30 יום — ואי אפשר לדעת אם חציתם את הרף בלי לספור.
- פיקוח. בדצמבר 2025 הודיעה הרשות להגנת הפרטיות על מבצע פיקוח הרוחב הראשון מאז כניסת תיקון 13 לתוקף, בחמישה מגזרים — רשויות מקומיות, אתרי מסחר מקוון, אפליקציות פופולריות, מכוני בדיקות גנטיות וצהרונים. אחד הדברים הראשונים שמפקח מבקש הוא בדיוק המסמך שבמאמר הזה.
מסמך הגדרות המאגר: החובה שכבר חלה עליכם
מיפוי מאגרים הוא לא רק Best Practice — הוא חובה משפטית ותיקה. תקנה 2 לתקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017 מחייבת כל בעל מאגר מידע להגדיר ״מסמך הגדרות מאגר״, שכולל לכל הפחות שבעה עניינים:
| מה נדרש בתקנה 2 | מה זה אומר בפועל |
|---|---|
| תיאור כללי של פעולות האיסוף והשימוש במידע | מאיפה המידע מגיע (טפסים, שיחות, מערכות) ומה עושים איתו |
| מטרות השימוש במידע | למה בכלל אוספים — מתן שירות, חיוב, שיווק, ניהול עובדים |
| סוגי המידע הכלולים במאגר | שמות, פרטי קשר, נתונים פיננסיים, מידע רפואי — כולל סימון רגישות מיוחדת |
| פרטים על העברת מידע אל מחוץ לגבולות המדינה | לאן, באיזה אופן ולמי — רלוונטי כמעט לכל שימוש בענן |
| פעולות עיבוד באמצעות מחזיק | אילו ספקים חיצוניים מעבדים את המידע עבורכם (מיקור חוץ, SaaS) |
| הסיכונים העיקריים לפגיעה באבטחת המידע | מה יכול להשתבש בכל מאגר, ואיך מתמודדים עם זה |
| שם מנהל המאגר, המחזיק וממונה האבטחה | כתובת אחת אחראית — מי מחזיק את המפתחות ומי עונה לרשות |
התקנה גם קובעת תחזוקה: את המסמך צריך לעדכן בכל שינוי משמעותי ולבחון את הצורך בעדכונו אחת לשנה, ובנוסף — לבדוק אחת לשנה שהמידע שנשמר במאגר אינו רב מהנדרש למטרותיו (עיקרון צמצום המידע). ועוד חיבור חשוב לתיקון 13: חובת היידוע החדשה לרשות — למאגרים עם מידע ברגישות מיוחדת על יותר מ-100,000 איש — כוללת הגשה של מסמך הגדרות המאגר עצמו יחד עם פרטי בעל השליטה והממונה על הגנת הפרטיות. כלומר, זה לא מסמך פנימי שאף אחד לא יראה — במקרים רבים הוא מגיע ישירות לשולחן הרגולטור. אגב, אם אתם עדיין זוכרים את חובת רישום המאגרים הישנה — תיקון 13 ביטל אותה כמעט לחלוטין לעסקים פרטיים, והמרכז הרגולטורי עבר בדיוק לכאן: לתיעוד ולמיפוי אצלכם.
שיטת העבודה: שבע שאלות לכל מערכת
החדשות הטובות: לעסק קטן-בינוני, מיפוי ראשוני הוא לא פרויקט של חודשים אלא של ימים בודדים. השיטה שאנחנו עובדים בה פשוטה — עוברים מערכת-מערכת, ולכל אחת עונים על שבע שאלות זהות. לא מתחילים מהחוק; מתחילים מהמציאות:
- איזה מידע יש שם? שמות, ת״ז, פרטי קשר, נתונים פיננסיים, מידע רפואי, צילומים, תכתובות. סמנו במפורש מה נחשב מידע בעל רגישות מיוחדת.
- על מי? לקוחות, עובדים, ספקים, מועמדים לעבודה, גולשים באתר — ובסדר גודל: מאות? אלפים? מעל 100,000?
- למה הוא נאסף? מטרת השימוש. אם אין תשובה טובה — זה כבר ממצא: מידע בלי מטרה הוא מועמד למחיקה.
- איפה הוא שמור? שרת מקומי, ענן (ובאיזו מדינה), מחשבים אישיים, טלפונים. כאן נכנסת גם שאלת ההעברה לחו״ל.
- מי ניגש אליו? אילו תפקידים, כמה אנשים, והאם יש הרשאות שכבר מזמן לא היו צריכות להיות שם.
- אילו ספקים נוגעים בו? ספק ה-SaaS, לשכת השכר, רואה החשבון, המתחזק של האתר — כל מי שמעבד את המידע עבורכם הוא ״מחזיק״ לפי החוק.
- כמה זמן שומרים אותו? האם יש תקופת שמירה מוגדרת, או שהכול נשמר לנצח כי ״לא כואב לשמור״.

סיבוב מיפוי בעסק ישראלי טיפוסי
כך נראה סיבוב ראשון בעסק קטן ממוצע — שבע מערכות שכמעט תמיד קיימות, כל אחת ממופה בשורה אחת:
- CRM / ניהול לקוחות. שמות, טלפונים, מיילים והיסטוריית התקשרות של לקוחות ולידים; יושב אצל ספק SaaS, לרוב עם שרתים בחו״ל.
- הנהלת חשבונות. פרטי חיוב, חשבוניות ופרטי חשבון בנק של לקוחות וספקים — מידע פיננסי; נגיש גם לרואה החשבון החיצוני.
- שכר ונוכחות. ת״ז, נתוני שכר, אישורי מחלה ולעיתים נתוני נוכחות ביומטריים של העובדים — רגישות מיוחדת כמעט בהגדרה; מעובד אצל לשכת שכר.
- טפסי האתר. שם, טלפון, מייל ותוכן הפנייה של מתעניינים; נשמר אצל ספק האחסון או בכלי הטפסים — ולפעמים נשלח גם למייל של כולם.
- WhatsApp Business. מספרי טלפון, תכתובות שלמות וקבצים שלקוחות שולחים — כולל, מניסיון, צילומי ת״ז וטפסים רפואיים; יושב על מכשירים אישיים ואצל Meta.
- דוא״ל ארגוני. כל מה שעבר במייל אי-פעם: הצעות מחיר, קורות חיים, מסמכים סרוקים. בפועל — מאגר המידע הכי גדול ופחות מנוהל בעסק.
- מצלמות אבטחה. צילומי עובדים, לקוחות ואורחים; נשמרים אצל המתקין או בענן, ולעיתים אף אחד לא זוכר כמה זמן ומי צופה.

מה מוצאים כמעט בכל מיפוי (וזה החלק החשוב)
המערכות ״הרשמיות״ הן החלק הקל. הערך האמיתי של המיפוי הוא במה שמתגלה בדרך — מאגרי הצללים שאף אחד לא תכנן:
- יצוא לאקסל. דוח לקוחות שמישהו הוריד מה-CRM ״רק לניתוח חד-פעמי״ ב-2023, וחי מאז על הלפטופ — בלי הצפנה, בלי גיבוי ובלי שאף אחד זוכר אותו.
- גיבויים ישנים. דיסק חיצוני במגירה עם עותק מלא של מערכת שכבר הוחלפה, כולל כל המידע שהיה בה.
- חשבונות וכוננים של עובדים שעזבו. תיקיות Drive משותפות, תיבות מייל פעילות והרשאות שאיש לא סגר — שרידים של תהליך עזיבה שלא כלל את שאלת המידע.
- תיבות מייל משותפות וקבוצות וואטסאפ שבהן מסתובבים צילומי ת״ז ומסמכים רפואיים של לקוחות, מחוץ לכל מערכת מנוהלת.
כשפורצים לעסק, התוקף לא מחפש את המערכת המוקשחת — הוא מוצא את קובץ האקסל השכוח או את הגיבוי הישן. ובעת אירוע, מידע שלא ידעתם שקיים הוא גם מידע שלא תדעו לדווח עליו, להודיע לנפגעים ממנו או למחוק אותו. מניסיוננו בעשרות מיפויים: בכל עסק, בלי יוצא מהכלל, סיבוב המיפוי הראשון מצא לפחות מאגר אחד שההנהלה לא ידעה על קיומו.
מהמפה לפעולות: מה עושים עם התוצאה
מפה שנשארת קובץ יפה לא שווה כלום. ארבע פעולות נגזרות ממנה כמעט מיד:
- סיווג רמת אבטחה לכל מאגר. לפי סוגי המידע, מספר האנשים ומספר בעלי ההרשאה — כמו שפירטנו במדריך רמות האבטחה. הרמה קובעת את כל חבילת החובות: נהלים, ביקורות, דיווחים.
- בדיקת חובת יידוע. יש מאגר עם מידע ברגישות מיוחדת על יותר מ-100,000 איש? חלה חובת יידוע לרשות להגנת הפרטיות תוך 30 יום, בצירוף מסמך הגדרות המאגר. עסקים חוצים את הרף הזה מהר משנדמה — רשימת דיוור ותיקה עם נתוני רכישות יכולה להספיק.
- ניקוי לפי תקופות שמירה. כל מאגר שענה ״שומרים לנצח״ בשאלה השביעית מקבל תקופת שמירה ותאריך מחיקה. פחות מידע = פחות חשיפה = פחות אחריות.
- סגירת פינות מול ספקים. לכל ״מחזיק״ שזוהה במפה — לוודא שיש הסכם עיבוד מידע עם התחייבויות אבטחה, כנדרש בתקנות. מבצע האכיפה של הרשות באתרי מסחר בדצמבר 2025 בדק, בין השאר, בדיוק את קיומם של הסכמים כאלה.
תבנית טבלת המיפוי — ואיך שומרים עליה חיה
לא צריך תוכנה ייעודית כדי להתחיל: גיליון אחד, שורה לכל מאגר, ואלה העמודות — שם המערכת/המאגר; סוגי המידע (עם סימון רגישות מיוחדת); על מי המידע וכמה אנשים בערך; מטרת השימוש; היכן שמור (כולל מדינה); מי ניגש; ספקים/מחזיקים שנוגעים בו; תקופת שמירה; רמת אבטחה משוערת; ואחראי. עשר עמודות שמכסות גם את שבע השאלות וגם את דרישות תקנה 2. ממלאים שורה אחת לכל מערכת מהסיבוב שעשיתם — וזהו, יש לכם גרסה ראשונה של מסמך הגדרות המאגר.
מפת מאגרים מתה ביום שבו העסק מאמץ כלי חדש בלי לעדכן אותה. הפתרון שעובד בשטח הוא לחבר את העדכון לתהליך קיים: כל רכישת תוכנה, ספק חדש או תהליך חדש שנוגע במידע אישי — מוסיף שורה למפה לפני שהוא עולה לאוויר. בנוסף, קבעו תזכורת שנתית קבועה לסקירה מלאה — שממילא נדרשת לפי תקנה 2 — ותעדו שהיא התקיימה. שעה בשנה, וזה ההבדל בין מסמך חי לבין קובץ מ-2023.
צ׳קליסט: המיפוי הראשון שלכם השבוע
- פתחו גיליון עם עשר העמודות שלמעלה ומנו אדם אחד אחראי על מילויו.
- עברו על שבע המערכות הטיפוסיות — CRM, הנהלת חשבונות, שכר, טפסי אתר, WhatsApp, דוא״ל, מצלמות — וענו על שבע השאלות לכל אחת.
- שאלו כל מנהל צוות: ״איפה עוד יש אצלך מידע על אנשים?״ — והוסיפו את מאגרי הצללים שיעלו (אקסלים, גיבויים, כוננים משותפים).
- סמנו כל מאגר שמכיל מידע בעל רגישות מיוחדת, והעריכו לכל אחד את סדר הגודל של מספר האנשים.
- בדקו אם מאגר כלשהו חוצה 100,000 איש עם מידע רגיש — אם כן, טפלו בחובת היידוע לרשות.
- סווגו רמת אבטחה ראשונית לכל מאגר, ורשמו ליד כל ספק אם קיים הסכם עיבוד מידע.
- בחרו מאגר אחד שענה ״שומרים לנצח״ — וקבעו לו תקופת שמירה ומועד מחיקה ראשון.
- קבעו ביומן את הסקירה השנתית הבאה.
מיפוי מאגרים הוא הצעד עם יחס העלות-תועלת הטוב ביותר בכל תוכנית הפרטיות: יומיים של עבודה שהופכים כל דרישה עתידית — סיווג, מענה לפניות, דיווח אירוע, פיקוח — ממשבר למשימה. והכי חשוב: זה מסמך שהעסק שלכם יכול להתחיל לבד, השבוע.
Cybertis מלווה עסקים וארגונים בהיערכות מלאה לתיקון 13 — ממיפוי מאגרים וכתיבת מסמך הגדרות המאגר, דרך סיווג רמות אבטחה והסכמי עיבוד, ועד תוכנית עבודה מסודרת מול הרשות להגנת הפרטיות. הפגישה הראשונה עלינו.
לשירות היערכות לתיקון 13*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. החובות החלות על כל ארגון תלויות במאפייני המאגרים, בסוגי המידע ובנסיבות הפרטניות, ומחייבות בחינה פרטנית.*