ISO 27701: תקן ניהול הפרטיות שמשלים את 27001
לקוח אירופי שואל איך אתם מנהלים פרטיות — לא רק אבטחה? ISO 27701 הוא תקן ה-PIMS הבינלאומי, ומגרסת 2025 הוא עצמאי וניתן להסמכה בלי 27001 קודם. מה השתנה, למי זה מתאים באמת, מה הדלתא למחזיקי 27001 — ומתי זה סתם overkill.
השאלון הגיע מלקוח אנטרפרייז באירופה, ולצד השורות המוכרות על הצפנה ו-MFA הופיעה שורה חדשה: ״האם הארגון מחזיק ISO 27701 או מסגרת שקולה לניהול פרטיות?״. חברת ה-SaaS שקיבלה אותו כבר הייתה מוסמכת ISO 27001 — אבל התעודה הזו מדברת על אבטחת מידע, לא על פרטיות. הלקוח לא רצה לדעת רק שהדאטה מאובטח; הוא רצה לדעת מי אחראי עליו, לאיזו מטרה הוא מעובד, איך מטופלת בקשת מחיקה, ומה קורה כשהמידע עובר למדינה שלישית. זה בדיוק הפער ש-ISO/IEC 27701 בא לסגור. במאמר הזה נסביר מה התקן, מה השתנה בגרסת 2025 (רמז: הרבה), למי הוא מתאים באמת, וכמה עבודה זה מוסיף למי שכבר עבר את ISO 27001.
ISO/IEC 27701 הוא התקן הבינלאומי לניהול פרטיות — מה שנקרא PIMS (Privacy Information Management System). אם ISO 27001 מסמיך מערכת לניהול אבטחת מידע (ISMS), 27701 מסמיך מערכת מקבילה לניהול מידע אישי (PII): מיהם בעל השליטה (Controller) והמעבד (Processor), לאילו מטרות מותר לעבד, איך מכבדים את זכויות מושאי המידע, ואיך מנהלים העברות בין-לאומיות. התקן מיושר מלאה מול ISO 27001:2022 ו-ISO 27002:2022, ומספק נספח מיפוי מפורש לדרישות ה-GDPR.
הבחנה אחת חשובה כבר עכשיו: אבטחת מידע ופרטיות הן לא אותו דבר. אפשר לאבטח מצוין מאגר שמלכתחילה אסור היה לאסוף, שנשמר הרבה מעבר לנדרש, ושאי אפשר למחוק ממנו רשומה בודדת גם כשלקוח דורש. ISO 27001 מכסה את ה״כמה טוב הדאטה שמור״; ISO 27701 מכסה את ה״האם מותר לנו בכלל להחזיק אותו, ואיך אנחנו מכבדים את הזכויות של האנשים שמאחוריו״. שני צדדים של אותה מטבע — ולכן התקנים בנויים להשתלב.
החדשות: ISO/IEC 27701:2025 עומד עכשיו בפני עצמו
עד לא מזמן, 27701 היה הרחבה של 27001 ולא תקן עצמאי. הגרסה המקורית מ-2019 חייבה בסיס קיים של ISO 27001: לא ניתן היה להסמיך ארגון ל-27701 בלי שיהיה לו ISMS מוסמך (או מיושם במקביל). זה יצר תלות מבנית — הפרטיות תמיד ״רכבה״ על האבטחה.
באוקטובר 2025 פורסמה גרסת ISO/IEC 27701:2025, וזה השינוי המהותי: התקן הפך למערכת ניהול עצמאית וניתנת להסמכה בפני עצמה. ארגון יכול כעת לבנות ולהסמיך תוכנית פרטיות מבוקרת בלי להקים קודם ISMS מלא. התקן אימץ את המבנה האחיד של תקני הניהול של ISO (סעיפים 4–10 — הקשר ארגוני, מנהיגות, תכנון, תמיכה, תפעול, הערכת ביצועים ושיפור), והבקרות עברו לנספחים. המשמעות המעשית: פחות עלות ופחות מורכבות למי שהפרטיות היא הצורך העיקרי שלו, בלי חובה לשאת את כל משקל 27001 קודם.
ארגונים שמוסמכים לגרסת 2019 יקבלו תקופת מעבר (transition period) לעדכון לגרסת 2025 — כמקובל בעדכוני תקני ISO. אל תחכו לרגע האחרון: תיאום מבדק המעבר מול גוף ההסמכה, כמו כל מבדק, נעשה חודשים מראש. בדקו מול גוף ההסמכה שלכם את התאריך הקובע ואת היקף הדלתא הנדרש.
המבנה: דרישות PIMS ובקרות לפי תפקיד
מעבר לדרישות הניהוליות (סעיפים 4–10), הלב של 27701 הוא מערך הבקרות בנספחים — והמבנה שלו הוא מה שהופך אותו לשימושי כל כך. הבקרות מחולקות לפי התפקיד שהארגון ממלא ביחס למידע האישי:
- בקרות משותפות — חלות על כל ארגון שמעבד מידע אישי, ללא קשר לתפקידו.
- בקרות ספציפיות לבעל שליטה (Controller) — לארגון שקובע את מטרות ואמצעי העיבוד: בסיס חוקי לעיבוד, ניהול הסכמה, שקיפות מול מושאי המידע, טיפול בבקשות מימוש זכויות, מזעור נתונים.
- בקרות ספציפיות למעבד (Processor) — לארגון שמעבד מידע בשם לקוחותיו: עיבוד רק לפי הוראות הלקוח, סיוע ללקוח במימוש חובותיו, ניהול קבלני משנה, החזרה או מחיקה בתום ההתקשרות.
החלוקה הזו קריטית, כי רוב חברות ה-SaaS הן מעבד עבור לקוחותיהן (המידע שייך ללקוח, אתם מעבדים אותו בשבילו) — ולעיתים גם בעל שליטה על מידע משלהן (עובדים, לידים שיווקיים). התקן מאלץ אתכם להבהיר את התפקיד לכל זרם מידע, וזו הבהרה שרוב הארגונים מגלים שמעולם לא עשו במסודר. בנוסף, התקן כולל נספח מיפוי מפורש ל-GDPR: לכל בקרה יש התאמה לסעיפי הרגולציה האירופית, כך שאתם רואים בדיוק איזו דרישת GDPR כל בקרה עונה.
מסגרת אחת שעונה על הרבה חוקים
כאן טמון הערך האמיתי של 27701, במיוחד לחברה ישראלית שמוכרת גלובלית. מיפוי ה-GDPR הוא רק הדוגמה הבולטת — אותן בקרות ליבה של פרטיות עונות במקביל על חובות מרובות ממדינות שונות. אם בניתם תהליך מסודר לטיפול בבקשות זכויות של מושאי מידע, הוא משרת גם את זכות העיון והמחיקה לפי ה-GDPR וגם את הזכויות המקבילות בדין הישראלי. אם מיניתם ממונה הגנת פרטיות ותיעדתם את סמכויותיו, אתם עונים גם על דרישת ה-DPO של ה-GDPR וגם על חובת מינוי ממונה הגנת הפרטיות שנכנסה לתוקף בישראל עם תיקון 13. במקום להריץ פרויקט ציות נפרד לכל חוק, אתם בונים מערכת אחת — וממפים אותה לכל דין רלוונטי.
עבור ארגון ישראלי, הזוויות שבהן 27701 מתכתב עם תיקון 13 לחוק הגנת הפרטיות ברורות: בירור תפקיד בעל שליטה/מעבד, תהליכי מימוש זכויות, מינוי ותיעוד ה-DPO, וממשל העברות מידע בין-לאומי. התקן לא ״עונה על תיקון 13״ אוטומטית — הדין הישראלי הוא דין נפרד עם דרישות משלו — אבל התשתית התהליכית חופפת במידה משמעותית, וזה חוסך עבודה.
למי זה באמת מתאים?
27701 הוא לא תקן שכל ארגון צריך. הוא הופך רלוונטי כשלקוחות דורשים ודאות בפרטיות שמעבר לאבטחה — כלומר, כשעצם השאלה ״איך אתם מנהלים את המידע האישי״ הפכה לחלק מהעסקה. המקרים המובהקים:
- מעבדי מידע שמשרתים ארגונים אירופיים או גלובליים — חברות SaaS שהמידע של הלקוחות עובר דרכן, ושהלקוחות שלהן כפופים ל-GDPR ומעבירים אליהן את הדרישה בשרשרת.
- מוצרים עתירי PII — פלטפורמות שהמידע האישי הוא ליבת המוצר, לא תופעת לוואי.
- Adtech, HR-tech ו-Health-tech — תחומים שבהם עצם העיסוק הוא במידע רגיש או בפרופיילינג, והפרטיות היא סיכון עסקי מרכזי, לא נספח.
- ארגונים שכבר מוסמכי 27001 ורוצים לענות על גל דרישות הפרטיות בלי לפתוח פרויקט חדש מאפס — הדלתא עבורם קטנה יחסית.

27701 מול החלופות: SOC 2 ותקני GDPR
27701 הוא לא השחקן היחיד בזירת הפרטיות, וכדאי לדעת מתי כל אחד מתאים.
| מסגרת | מה היא | מתי מתאימה |
|---|---|---|
| ISO/IEC 27701 | תקן בינלאומי עם תעודה רשמית לניהול פרטיות (PIMS); מגרסת 2025 עצמאי וניתן להסמכה בנפרד | לקוחות אירופיים/גלובליים שרוצים תעודת פרטיות פורמלית וממופה ל-GDPR |
| SOC 2 — Privacy TSC | קריטריון הפרטיות בתוך דוח בוחן של רו״ח לפי מסגרת ה-AICPA; אחד מחמשת קריטריוני האמון, ולרוב אופציונלי בדוח | לקוחות אמריקאים שכבר מבקשים דוח SOC 2 ורוצים להוסיף מרכיב פרטיות |
| אישורי GDPR (Art. 42) | מנגנוני אישור (certification schemes) לפי ה-GDPR עצמו — עדיין בשלים חלקית ומעטים בפועל | כשלקוח דורש במפורש אישור GDPR ייעודי; נדיר יחסית בשוק כיום |
ההבחנה המעשית: SOC 2 הוא דוח בוחן שבו הפרטיות היא קריטריון אחד (ולרוב אופציונלי) מתוך חמישה — טוב ללקוח אמריקאי שכבר ביקש SOC 2 וממילא רוצה גם פרטיות בתוכו. 27701 הוא תעודה בינלאומית ייעודית לפרטיות, עם מיפוי GDPR מובנה — טוב ללקוח אירופי או גלובלי שרוצה מסמך פרטיות עצמאי ומוכר. אישורי GDPR הרשמיים (סעיף 42 לרגולציה) נשארים בשלים חלקית ומעטים בפועל, כך שברוב המקרים 27701 הוא הדרך המעשית להוכיח בגרות פרטיות מול השוק האירופי.
מסלול היישום למי שכבר מוסמך 27001 — הדלתא
אם כבר יש לכם ISMS מוסמך, החדשות טובות: חלק ניכר מהתשתית הניהולית — ניהול סיכונים, בקרת גישה, ניהול ספקים, תגובה לאירועים, ביקורת פנימית וסקר הנהלה — כבר קיים ומשרת גם את הפרטיות. הדלתא מתמקדת ברכיבים הייחודיים לפרטיות:
- הערכת סיכוני פרטיות. להרחיב את הערכת הסיכונים כך שתכסה סיכונים למושאי המידע (privacy risk), לא רק סיכוני אבטחה לארגון.
- מצאי PII. למפות אילו סוגי מידע אישי אתם מחזיקים, מאיפה הם מגיעים, לאן זורמים ולכמה זמן נשמרים — הרחבה של מיפוי מאגרי המידע לזווית הפרטיות.
- בירור תפקיד Controller/Processor. להגדיר לכל זרם מידע אם אתם בעל שליטה או מעבד — ולתעד את ההשלכות מכל בקרה.
- תהליכי מימוש זכויות. נוהל מסודר לטיפול בבקשות עיון, תיקון, מחיקה והתנגדות, עם SLA וראיות טיפול.
- ממונה הגנת פרטיות (DPO). מינוי, הגדרת סמכויות, אי-ניגוד עניינים ותיעוד — ראו מה DPO באמת עושה ביומיום.
- ממשל העברות בין-לאומיות. למפות לאן מידע אישי עובר ולוודא בסיס חוקי ובקרות מתאימות לכל העברה.
בפועל, לארגון שכבר מנהל ISMS בוגר, זו הרחבה ממוקדת ולא פרויקט מאפס — במיוחד עכשיו, כשה-PIMS יכול להישען על אותה מערכת ניהול. ההשקעה המרכזית היא במיפוי ה-PII, בבירור התפקידים ובבניית תהליכי הזכויות — הרכיבים שבאמת ייחודיים לפרטיות.

מסלול היישום למי שאין לו 27001
כאן נכנס לתמונה החידוש של גרסת 2025: אם הפרטיות היא הצורך העיקרי שלכם ואין לכם עדיין ISMS, אתם יכולים ללכת ישירות למסלול ה-PIMS העצמאי — לבנות ולהסמיך תוכנית פרטיות בלי להקים קודם 27001 מלא. עם זאת, חשוב להיות כנים לגבי ההיקף: מסלול עצמאי עדיין מחייב את כל מרכיבי מערכת הניהול (סעיפים 4–10) — הקשר ארגוני, מחויבות הנהלה, ניהול סיכונים, תיעוד, ביקורת פנימית וסקר הנהלה — פלוס את מלוא בקרות הפרטיות. זה קל יותר מ״27001 ואז 27701״, אבל זה עדיין מערכת ניהול מלאה, לא קיצור דרך. בפועל, ארגונים רבים עדיין בוחרים לבנות בסיס אבטחה איתן במקביל, כי בקרות אבטחה טובות הן תנאי לפרטיות אמיתית.
מכניקת ההסמכה
ההסמכה מבוצעת על ידי גוף הסמכה מוסמך (Certification Body), בדומה ל-27001: מבדק בשלות תיעוד ואחריו מבדק אפקטיביות, וכן מחזור מבדקי מעקב (surveillance) שנתיים. היתרון הגדול למי שכבר מוסמך 27001: כיוון ששני התקנים חולקים את אותו מבנה ואת אותה מערכת ניהול בסיסית, אפשר לרוב לשלב את מבדקי 27701 לצד מבדקי המעקב של 27001 באותו ביקור — במקום להריץ שני מסלולי ביקורת נפרדים. את הפרטים המדויקים והתיאום כדאי לסגור מול גוף ההסמכה, אבל העיקרון ברור: מערכת אחת, מבדק משולב, פחות חיכוך.
הזווית הישראלית
הרשות להגנת הפרטיות אינה מחייבת ISO 27701 — הדין הישראלי, כולל תיקון 13, קובע חובות משל עצמו ואינו מפנה לתקן זה. אבל ההסמכה מייצרת ערך ראייתי אמיתי: היא מוכיחה שהארגון מתייחס לפרטיות ברצינות ומנהל אותה במסגרת מובנית ומבוקרת. במקרה של אירוע או בירור מול הרשות, תיעוד מסודר של תהליכי פרטיות — מיפוי PII, בירור תפקידים, נהלי זכויות, מינוי DPO — הוא בדיוק סוג ההגנה שמראה שהארגון פעל באחריות. במילים אחרות: 27701 לא פוטר אתכם מתיקון 13, אבל התיעוד שהוא מחייב הופך את ההוכחה של עמידה בו לפשוטה בהרבה.
מתי זה סתם יותר מדי
אם אתם עסק קטן-בינוני בלי לקוחות אנטרפרייז שדורשים ודאות פרטיות, הסמכת 27701 היא כנראה overkill. עדיף להשקיע קודם ביסודות: מיפוי מאגרים, מדיניות פרטיות תקינה, ניהול הסכמות, ותהליך בסיסי לטיפול בבקשות. בקצרה — פרטיות בתכנון (Privacy by Design) לפני תעודה. את 27701 שומרים לרגע שבו לקוח באמת מבקש אותו, או שהמידע האישי הוא ליבת הסיכון העסקי שלכם.
המסגור הכן על ROI: ISO 27701 משתלם כשהוא פותח עסקאות או סוגר שאלוני פרטיות שהיו נתקעים בלעדיו. אם אין ביקוש כזה מהשוק שלכם, ההשקעה לא מחזירה את עצמה — ותשקיעו טוב יותר בבסיס. אם יש ביקוש, במיוחד ממי שכבר מוסמך 27001, הדלתא קטנה יחסית והתשואה ברורה: תעודת פרטיות מוכרת שעונה על מספר חוקים במכה אחת.
צ׳קליסט מוכנות — מה לבדוק השבוע
- האם השוק שלכם דורש? בדקו אם לקוחות (בעיקר אירופיים/גלובליים) העלו דרישת פרטיות שמעבר לאבטחה. בלי ביקוש — עצרו כאן ושפרו יסודות.
- מפו את תפקידכם. לכל זרם מידע אישי — האם אתם בעל שליטה, מעבד, או שניהם? זו ההחלטה שמנווטת את כל השאר.
- עשו מצאי PII ראשוני. אילו סוגי מידע אישי אתם מחזיקים, מאיפה, לאן זורמים וכמה זמן נשמרים.
- בדקו את מצב ה-27001 שלכם. מוסמכים? הדלתא קטנה. לא? שקלו את מסלול ה-PIMS העצמאי של גרסת 2025 מול בניית בסיס אבטחה במקביל.
- זהו את פערי הפרטיות. הערכת סיכוני פרטיות, תהליכי מימוש זכויות, מינוי DPO וממשל העברות — מה מהם כבר קיים ומה חסר.
- בררו מול גוף הסמכה. אם אתם מוסמכי 27701:2019 — מהו לוח המעבר לגרסת 2025. אם אתם חדשים — אפשרות לשלב את המבדק לצד מעקב 27001.
השורה התחתונה: ISO 27701 הוא הכלי שהופך את ״אנחנו מאבטחים את הדאטה שלכם״ ל״אנחנו מנהלים את הפרטיות שלכם באחריות ובאופן מוכח״. מגרסת 2025 הוא עומד בפני עצמו, מה שמנמיך את מחסום הכניסה — אבל הוא עדיין השקעה שצריכה להיות מוצדקת בביקוש אמיתי מהשוק. למי שכבר עבר את 27001 ופוגש גל דרישות פרטיות, זו ההרחבה הטבעית והמשתלמת ביותר.
Cybertis מלווה חברות ישראליות בהסמכות אבטחה ופרטיות מקצה לקצה — מ-ISO 27001 ועד הרחבת ה-PIMS ל-ISO 27701, כולל מיפוי תפקידים, מצאי PII, תהליכי זכויות ומינוי DPO. נתחיל בבירור אם התקן בכלל מתאים לכם — הפגישה הראשונה עלינו.
לשירות הסמכות אבטחה ופרטיות*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי מחייב. תחולת תקן והיקף יישומו תלויים במאפייני הארגון ובדרישות גוף ההסמכה, ומחייבים בחינה פרטנית.*