DPO לספקי
גופים ציבוריים.
חברות SaaS, IT, outsourcing ומוקדי שירות שמספקים לקופות חולים, רשויות מקומיות, משרדי ממשלה, אוניברסיטאות ותאגידים עירוניים — אתם "מחזיקי מידע" לפי תיקון 13. החובה היא שלכם, גם אם הארגון פרטי. ליווי DPO as a Service שמותאם לדרישות הרכש של הגופים הציבוריים, מענה לשאלוני פרטיות, חתימת DPA, ועמידה בביקורות.
שמונה סוגי ספקים שצריכים DPO
ספק SaaS לרשות מקומית
מערכת ניהול תושבים, מערכת גבייה, מערכת תכנון ובנייה. גישה לטבלאות עם מאות אלפי תושבים — מחזיק מובהק.
Outsourcing IT למשרד ממשלה
תפעול שרתים, ניהול גישה, ניטור. גם אם לא רואים תוכן ישירות — עדיין נחשבים מחזיקים תחת תיקון 13.
מוקד שירות חיצוני לעירייה
מענה לפניות תושבים, חיובי ארנונה, פניות לרווחה. מאזינים לשיחות, רואים מאגרים — מחזיקים.
ספק תוכנה לקופות חולים
מערכת תיקים רפואיים, מערכות מעבדה, מערכות גבייה. מידע רגיש מיוחד = רמת אבטחה גבוהה.
יועצי מס שעובדים עם גופים ציבוריים
ייעוץ מס למוסדות אקדמיים, מלכ"רים גדולים שמקבלים מימון ממשלתי, תאגידים עירוניים.
ספקים של מערכות לנגישות
ספקי תוכנה / חומרה שמשתלבים במערכות ציבוריות, במיוחד עם מידע על אנשים עם מוגבלויות.
חברות סקרים ומחקר
חברות שמבצעות סקרים עבור משרדי ממשלה, מבקר המדינה, או מועצות. מאגרי משיבים = מחזיקים.
ספקי לוגיסטיקה לבריאות
חברות שמשנעות תרופות, ציוד רפואי, או דגימות. רואים נתוני מטופלים בתעודות משלוח.
8 דרישות לעמידה בדרישות גוף ציבורי
מינוי DPO רשמי
דרישה ישירה של תיקון 13. הרבה ספקים פספסו שהם נחשבים מחזיקים — וזה בדיוק מה שגופי הרכש בודקים היום.
נספח עיבוד מידע (DPA)
גופי רכש דורשים מספקים לחתום על DPA לפני התקשרות. אנחנו כותבים DPA שעומד בדרישות הציבוריות, אבל לא חונק את העסק.
תיעוד הסכמי אבטחה
מפרט אבטחת מידע של הספק, רמת ההגנה, הסמכות, ההסתכלות בבקרות.
הצהרת ניגוד עניינים
הצהרה שאין ניגוד עניינים בין הספק לגוף הציבורי או לעובדי גוף הציבורי.
ביטוח אחריות מקצועית + סייבר
מכרזי גופים ציבוריים בדרך כלל דורשים פוליסה בגובה של 1-5 מיליון ₪. אנחנו עוזרים גם בבחירת הפוליסה.
דיווח על אירועי אבטחת מידע
חובת דיווח לגוף הציבורי על כל אירוע — לעיתים תוך 24 שעות, מהיר יותר מהדרישות הסטנדרטיות.
ניקוי משתמשים לא פעילים
דרישה ספציפית שראינו בכמה מכרזים: ניקוי משתמשים לא פעילים אחת ל-4 חודשים, עם תיעוד.
גיבויים והעברת מידע בסיום החוזה
נוהל מסודר להחזרת מידע / מחיקה בסיום ההתקשרות. תיעוד שהמחיקה בוצעה.
7 המסמכים שכל ספק חייב להחזיק
| מסמך | פרטים |
|---|---|
| הסכם עיבוד מידע (DPA) | נספח לחוזה ראשי, עברית או עברית-אנגלית |
| מסמך הגדרות מאגר | תיעוד כל מאגר מידע של הגוף הציבורי שאנחנו מחזיקים |
| מפרט אבטחת מידע | תיאור הבקרות הטכניות והארגוניות |
| הצהרת ניגוד עניינים | חתום על ידי בעל הספק והמנהלים הרלוונטיים |
| אישור פוליסת ביטוח | תקף, עם סכומי כיסוי מתאימים |
| נוהל אירוע אבטחת מידע | תיעוד תהליך הדיווח לגוף הציבורי |
| נוהל סיום התקשרות | מחיקה / החזרת מידע, ותיעוד הביצוע |
שאלות נפוצות מספקי גופים ציבוריים
מתי ספק נחשב "מחזיק" לפי תיקון 13?
אנחנו רק ספק תשתית — לא נוגעים בנתונים
מספיק שיש לנו CISO ועו"ד פנימי?
איך גופי רכש בודקים אותנו?
מה אם החוזה הקיים שלנו לא כולל DPA?
אנחנו עובדים עם הרבה גופים ציבוריים — צריך DPA לכל אחד?
יש לכם ניסיון במגזר?
כמה זה עולה?
ספקים של רשויות / קופות / משרדי ממשלה — נסגור את הפינה.
שיחה של 30 דקות, בדיקת סטטוס, תוכנית התאמה לחוזים הקיימים.
לתאם שיחה