על כשלי אבטחה וכשלי אכיפה

קשה לקבוע מי אחראי

מה עושים?

פתרון אחד כבר בדרך – הצעת חוק (מסמך PDF) מצוינת של משרד המשפטים, שמציעה לקבוע פיצוי ללא הוכחת נזק. כלומר: מספיק יהיה להוכיח שבעל מאגר המידע הפר את חובתו לנקוט אמצעים סבירים לאבטחת מידע, ובינגו, בית המשפט יפסוק פיצוי בלי שנצטרך להוכיח את גובה הנזק. אבל צריך עוד. הפרת אבטחת מידע זועקת לתביעה ייצוגית: תביעות ייצוגיות מתאימות במיוחד למצב שבו יש הרבה נפגעים, אבל הנזק של כל אחד מהם קטן. התובע הייצוגי תובע בשם כולם.

חוק תובענות ייצוגיות (מסמך PDF) מהשנה שעברה מאפשר להגיש תביעה ייצוגית רק במקרים שהחוק מפרט. אחד מהם הוא בתביעה בין עסק ללקוח. זה מתאים למקרים כמו זה של ארקיע. אבל המקרה של התעשייה האווירית לא מתאים לשום חלופה בחוק הקיים. כותב שורות אלה הציע באינספור מקומות לתקן את החוק ולאפשר הגשת תביעה ייצוגית במקרה של פגיעה בפרטיות.

הנה תסריט אפשרי: ynet מדווחים בערב על דליפת מידע. למחרת בשמונה בבוקר, חמישה עורכי דין רבים בכניסה לבית המשפט מי הראשון להגיש את התביעה הייצוגית. בשמונה וחצי, ynet מדווחים על הגשת התביעה. בתשע, הבוסית מגיעה למשרד, רואה את הידיעה, מתקשרת לאחראי אבטחת המידע בחברה: "בדוק בבקשה את אבטחת המידע אצלנו, שלא יקרה לנו מה שקרה להם".

בתשע ועשרה, רמת אבטחת המידע תעלה בכמה דרגות. ועדה במשרד המשפטים (גילוי נאות: אני חבר בוועדה) בחנה את האפשרות להוסיף אפשרות של תביעה ייצוגית, ואמורה לפרסם את המלצותיה בחודשים הקרובים. בינתיים – שימו לב למי אתם מוסרים איזה מידע, שלא יגיע לידיים לא רצויות.

קטע זה מופץ לפי רישיון דרישת ייחוס-שימוש לא מסחרי 1.0 ישראל של Creative Commons .

מרושתים: לבלוג המלא