ISO/IEC 27701:2025

תקן ISO/IEC 27701 לניהול פרטיות המידע משמש כבסיס לאמון דיגיטלי בעולם המונע מנתונים אישיים. ארגונים נדרשים כיום להגן על המידע הפרטי של הלקוחות והמשתמשים כאבן יסוד של אמון וחדשנות . תקן 27701, שיצא לראשונה ב-2019 וכעת עודכן בשנת 2025, מעניק לארגונים כלים מובנים לעמידה בדרישות הגנת המידע האישי ולניהול סיכוני פרטיות באופן שיטתי.
רוצים לשמוע עוד ? בואו נפגש

תקן ISO/IEC 27701:2025 – התקדמות בניהול פרטיות המידע 

1. היסטוריה של התקן

תקן ISO/IEC 27701 נולד מתוך הצורך לתת מענה לניהול מובנה של הגנת פרטיות המידע, במיוחד בעקבות כניסת תקנות כמו GDPR באירופה בסוף העשור הקודם. העבודה על התקן החלה כבר בשנת 2016, ביוזמת מומחים מצרפת במסגרת הוועדה הטכנית ISO/IEC JTC 1/SC 27/WG5 (אבטחת מידע וטכנולוגיות פרטיות) . תחילה סומן הפרויקט במספר 27552, ולאחר תהליך פיתוח מואץ פורסמו שתי טיוטות (בפברואר ובאוגוסט 2018) וטיוטת תקן בינלאומי (DIS) בתחילת 2019 . בהיעדר צורך בשינויים טכניים משמעותיים, הוחלט לדלג על שלב FDIS, והעבודה הטכנית הסתיימה באפריל 2019. רגע לפני הפרסום הרשמי, הוחלט למספר מחדש את התקן ל-27701 (בהתאם למדיניות שסוגי תקני ניהול מקבלים סיומת “01”), והפרסום התקיים ב-6 באוגוסט 2019 . גרסה ראשונה זו של התקן היוותה למעשה הרחבה לתקן ISO/IEC 27001 (מערכת לניהול אבטחת מידע), במטרה להוסיף רובד של ניהול פרטיות (PIMS) על גבי ה-ISMS הקיים . לאורך השנים מאז 2019, אימצו ארגונים רבים את התקן כדי להראות עמידה בדרישות פרטיות כגון GDPR, ותעשיית התקינה צברה ניסיון מעשי ביישומו. בשנת 2022, כחלק ממחזור העדכון החמש-שנתי של תקני ISO, החלו עבודות לעדכן את 27701, במיוחד לאור ההתפתחויות הטכנולוגיות והרגולטוריות והעדכון של תקני הבסיס (ISO 27001/27002) בשנת 2022. צוות מומחים בינלאומי עבד על הגרסה החדשה, ובאוקטובר 2025 פורסם ISO/IEC 27701:2025 כמהדורה השנייה של התקן . הגרסה הישנה מ-2019 נמשכה (Withdrawn) והוחלפה באופן רשמי בגרסה החדשה.

2. הסיבות לעדכון התקן – למה דווקא עכשיו?

מספר גורמים מרכזיים הובילו לעדכון מקיף של התקן בשנת 2025:

  • שינויים רגולטוריים גלובליים: מאז 2019 התרחבו והעמיקו חוקי הגנת הפרטיות ברחבי העולם. מעבר ל-GDPR האירופאי, נכנסו לתוקף חוקים כמו CCPA/CPRA בקליפורניה, LGPD בברזיל, חוקים חדשים במדינות באסיה ואפריקה ועוד . הארגונים ניצבים בפני מגוון דרישות רגולציה, והיה צורך לעדכן את התקן כך שיתאים ויתיישר עם דרישות בינלאומיות רחבות, ולא יתמקד רק בתקנה האירופית. אכן, בגרסה 2025 הוכנס דגש על יישור לקו עם תקנות גלובליות כדוגמת GDPR, CCPA, LGPD ודומותיהן .

  • התפתחות טכנולוגית וסיכונים חדשים: בעשור האחרון חלו שינויים טכנולוגיים משמעותיים המשפיעים על פרטיות המידע – מחשוב ענן נרחב, שימוש גובר בבינה מלאכותית, “אינטרנט של הדברים” (IoT) האוסף נתונים אישיים, ושימוש נרחב בביג-דאטה וביומטריה. הגרסה החדשה משקפת התפתחויות אלו: נוספו בקרות והנחיות לניהול מידע אישי בסביבות ענן, בהקשר של מערכות IoT ובינה מלאכותית, ולניהול מידע רגיש כמו ביומטרי ובריאותי . למשל, ניתן דגש חזק יותר על נושאים כמו קבלת הסכמה מודעת מהנבדקים, שקיפות בהחלטות אוטומטיות, ומעקב אחר העברת מידע בין-לאומית – נושאים שקיבלו משנה תוקף עם הופעת טכנולוגיות חדשות ודרישות רגולטוריות (כגון דרישות ה-GDPR בנושא ייצוא מידע אישי לחו”ל).

  • יישור עם עדכוני תקני אבטחת מידע (27001/27002): תקן ISO 27701:2019 התבסס במקור על ISO/IEC 27001:2013 ו-ISO/IEC 27002:2013 . בשנת 2022 פורסמו גרסאות מעודכנות לתקנים אלו (ISO/IEC 27001:2022 ו-ISO/IEC 27002:2022) עם שינויים מבניים והוספת נושאים חדשים באבטחת מידע. על-מנת לשמור על עקביות, היה צורך לעדכן את 27701 בהתאם – ליישר את דרישותיו ומספרי הבקרות שבו לתקן האם המעודכן. הגרסה החדשה אכן מיושרת עם מבנה ISO/IEC 27001:2022 ו-27002:2022, כך שהשילוב בין התקנים חלק יותר ומותאם לתפיסת האבטחה העדכנית . הדבר כלל, בין השאר, התייחסות ל-11 הבקרות החדשות שהתווספו ב-27002:2022 (כגון ניהול מודיעין איומים, שימוש ענן, אבטחת פיתוח וכו’) והבטחת תאימות של 27701 למתודולוגיה החדשה.

  • הנגשת התקן לארגונים רחבים יותר: אחת התובנות מארבע שנות היישום הראשונות הייתה שהדרישה המובנית בגרסת 2019 – הסמכה מקדימה ל-ISO 27001 כתנאי להסמכת 27701 – הגבילה את האימוץ בעיקר לארגונים גדולים ומבוססים עם מערכת ניהול אבטחת מידע בוגרת . בעולם בו פרטיות מידע הפכה לערך עליון בפני עצמו, עלה הצורך לאפשר גם לארגונים קטנים יותר או כאלו שטרם הסמיכו ISMS מלא, להטמיע מערכת לניהול פרטיות. לפיכך, הוחלט לבנות את גרסת 2025 כתקן עצמאי (Stand-alone) שאינו מחייב תקן אחר כתנאי מוקדם . שינוי זה אמור להגדיל את הנגישות של 27701 ולפתוח את הדלת לארגונים ממגזרים חדשים – סטארט-אפים, חברות פינטק, ספקי ענן, פלטפורמות איקומרס, חברות מונעות-בינה מלאכותית, ועוד – שיוכלו כעת להציג עמידה בתקן פרטיות ללא תלות מלאה במוכנות שלהם להסמכת אבטחת מידע .

  • ניסיון מצטבר והפקת לקחים: במהלך יישום גרסת 2019 בשטח נצבר ידע לגבי מה עבד היטב ומה דרש שיפור. למשל, התברר שחלק מהבקרות של 27001/27002 שאומצו אוטומטית ב-PIMS אינן רלוונטיות באופן ישיר לפרטיות (בקרות תשתית, פיזיות וכו’), מה שהעמיס על ארגונים ללא ערך פרטני. לכן, בגרסה החדשה בוצעה “רזולוציה” ושיפור בפוקוס: הוסרו בקרות שאינן קשורות לפרטיות (ראו פרטים בחלק החידושים) והוספה הבהרה טובה יותר של הדרישות לבקרים ומעבדים. כמו כן, על בסיס משוב, חודדו ההגדרות והאחריות התאגידית (כגון תפקיד הנהלה, מחויבות הנהלה, שילוב בסיכוני הארגון) כדי להבטיח שהנהלות ייקחו בעלות על נושא הפרטיות ולא ישאירו אותו ברמת ה-IT בלבד .

לסיכום, העדכון של 2025 בא לענות על סביבת פרטיות חדשה ומורכבת יותר – רגולטורית, טכנולוגית ועסקית – ולוודא שהתקן ימשיך להיות רלוונטי, יעיל ונגיש למגוון רחב יותר של ארגונים.

3. מהו תקן ISO/IEC 27701:2025 – הגדרה, מטרות ומבנה

ISO/IEC 27701:2025 הוא תקן בינלאומי המגדיר מערכת לניהול מידע פרטיות (Privacy Information Management System – PIMS) בתוך ארגון. התקן קובע דרישות ומספק הנחיות להקמה, יישום, תחזוקה ושיפור מתמיד של מערכת ניהול שנועדה להגן על מידע אישי מזהה (PII) . במילים אחרות, מטרת התקן היא לסייע לארגונים לשלב את ניהול הפרטיות בתוך מערך ניהול אבטחת המידע שלהם, באופן שיטתי ומוכח. הוא מתמקד הן בהיבטי מדיניות ותהליכי ניהול, והן בבקרות אופרטיביות ספציפיות המיועדות להבטיח טיפול נאות במידע אישי. התקן פונה לארגונים בתפקידי בקרי מידע (PII Controllers) וכן מעבדי מידע (PII Processors) – כלומר כל גוף האוסף/מנהלת מידע אישי או המעבד מידע אישי עבור גוף אחר . עבור שני התפקידים מוגדרות דרישות ובקרות מתאימות במסגרת ה-PIMS.

תרומת התקן להגנת הפרטיות: אימוץ ISO 27701 מעניק לארגון מסגרת מוכרת ובינלאומית לניהול אחריותיות (Accountability) בתחום המידע האישי. במקום הצהרות כלליות על “אכפתיות לפרטיות”, מאפשר התקן לארגון להוכיח הלכה למעשה את מחויבותו, באמצעות מדיניות, נהלים ובקרות ברורות . הוא עוזר לזהות ולהעריך סיכוני פרטיות באופן שיטתי ולטפל בהם באמצעות בקרות מתאימות, ובכך להפחית את הסיכון לפגיעה בזכויות הפרט . יתרון מרכזי נוסף הוא סיוע בעמידה בדרישות חוקיות: התקן בנוי כך שסל הבקרות שלו חופף במידה רבה לדרישות רגולטוריות (כמו GDPR), וכך ארגון הפועל לפי התקן יכול להראות למפקחים ולבעלי עניין שהוא מיישם צעדים התואמים לחוק . אכן, בנספחים לתקן 2019 הוצגו טבלאות מיפוי בין בקרות התקן לדרישות GDPR, ISO 29100, ISO 27018 ועוד, דבר שהדגים כיצד בקרת פרטיות אחת יכולה לענות על מספר חובות רגולטוריות . באופן זה, ה-PIMS לפי ISO 27701 משמש ככלי להגברת אמון מול לקוחות, שותפים עסקיים ורגולטורים – הארגון יכול להציג אישור הסמכה לתקן כ”חותמת” לכך שיש בידיו מנגנונים להגן על נתונים אישיים . בתקופה של מודעות ציבורית גבוהה לנושאי פרטיות, תו תקן 27701 עשוי לשמש כיתרון תחרותי וחיזוק למוניטין הארגון. בנוסף, התקן משתלב היטב עם מערכות ניהול קיימות בארגון – הוא בנוי במבנה דומה לתקני ISO אחרים (כגון ISO 27001, ISO 9001 וכו’), מה שמקל על שילובו במערכת הניהול הארגונית בלי יצירת כפילויות מיותרות . למעשה, ארגון שכבר מוסמך לתקן 27001 יהנה מחפיפה משמעותית, שכן רבות מבקרות האבטחה החלות על מידע אישי כבר מיושמות אצלו, וה-PIMS מוסיף את רובד הפרטיות מעליהן . חשוב להבהיר שלמרות שהתקן מסייע בעמידה בתקני פרטיות (כגון GDPR), הסמכה לתקן 27701 כשלעצמה אינה “תעודת ציות” משפטית – אך היא בהחלט כלי אפקטיבי להפגנת עמידה מיטבית בדרישות ולהתכונן לביקורות חיצוניות .

מבנה התקן: במהדורת 2025 התקן פורמט כתקן ניהול מלא (Type A MSS) בעל מבנה של פרקי דרישות ונספחי בקרות:

  • פרקי דרישות (Clauses 4-10): בדיוק כמו תקני ניהול אחרים, התקן מכיל את הפרקים: הקשר הארגון, מנהיגות, תכנון, תמיכה, תפעול, הערכת ביצועים ושיפור . פרקים אלה מגדירים כיצד הארגון מגדיר את היקף ה-PIMS, את תפקידי האחריות (כגון בעל תפקיד פרטיות – DPO), משלב את ניהול סיכוני הפרטיות בתהליכי ניהול הסיכונים, מגדיר מטרות ויעדים לשיפור, מבצע ביקורות פנימיות, סקירות הנהלה וכו’ – בהתמקדות בהיבטי פרטיות. הם למעשה מרחיבים או מדגישים בהקשר פרטיות את דרישות ISO 27001:2022. למשל, בדרישות התכנון נוסף דגש על הערכת סיכוני פרטיות ספציפיים; בדרישות מנהיגות – מחויבות הנהלה למדיניות פרטיות; בדרישות תפעול – נהלים לטיפול בבקשות בעלי מידע וכו’.

  • נספחי הבקרות (Annex A ובנספח B): הנספח המרכזי מכיל את רשימת הבקרות והיעדים האובייקטיביים ל-PIMS, המיועדים הן לבקרי מידע והן למעבדי מידע . בגרסת 2025, על כך בפירוט בסעיף הבא, הבקרות אורגנו כרשימה אחת משולבת עם סימון אילו בקרות חלות על בקר, מעבד או שניהם (ולצידן נספח הדרכה ליישום הבקרות) . הבקרות מכסות נושאים מגוונים: מדיניות פרטיות, הערכות השפעה על הפרטיות (PIA), הסכמה ודיווח לנושאי מידע, זכויות נושאי מידע (גישה, תיקון, מחיקה, התנגדות), מנגנוני Privacy by Design כבר משלב האפיון, אבטחת מידע טכנית ספציפית למידע אישי (הצפנה, צמצום גישה, אנונימיזציה וכד’), ניהול ספקים המעבדים מידע אישי, ניהול תקריות פרטיות (כגון דיווח על דלף מידע לרשות ולנושאי מידע) ועוד . הנספחים המיידיים כוללים גם מיפויים והדרכות: נספח מדריך ליישום הבקרות ונספחי מיפוי לעקרונות תקן ISO 29100 (מסגרת עקרונות הגנת פרטיות) ולתקנות כמו GDPR, כדי לסייע לארגון לראות כיצד ה-PIMS פוגש דרישות חיצוניות.

4. החידושים והשינויים בגרסת 2025 לעומת 2019

גרסת 2025 של ISO/IEC 27701 מביאה עמה שינויים מהותיים, שהופכים את התקן לבשל וממוקד יותר בפרטיות, ומסירים מגבלות שהיו בגרסה המקורית. הטבלה הבאה מסכמת את ההבדלים העיקריים בין מהדורת 2019 למהדורת 2025:

נושא מרכזי

ISO/IEC 27701:2019 (מהדורה 1)

ISO/IEC 27701:2025 (מהדורה 2)

מעמד התקן

הרחבה (Add-on) לתקן ISO/IEC 27001 – תלוי בו וב-27002 .

תקן עצמאי (Stand-alone) לניהול פרטיות, בעל מערכת ניהול מלאה משלו .

תלות בהסמכת 27001

נדרש הסמכת ISO 27001 כדרישת מקדימה לקבלת הסמכת 27701 .

ניתן להסמיך ISO 27701 באופן בלתי תלוי – אין חובה להחזיק בהסמכת 27001 (אך שילוב עם ISMS קיים אפשרי וקל) .

היקף הבקרות

כלל את כל 114 בקרות אבטחת המידע של ISO 27002:2013, בתוספת בקרות פרטיות ייעודיות (נספחי A&B) עבור בקרי ומעבדי מידע . בפועל, חלק מבקרות האבטחה הכלליות לא היו רלוונטיות ישירות לפרטיות.

ממוקד רק בבקרות פרטיות הנחוצות: הוסר עומס של ~52 בקרות אבטחה כלליות שאין להן זיקה מיידית להגנת מידע אישי . התקן מתמקד בליבת ניהול הפרטיות, והארגון חופשי לבחור בקרות אבטחה נוספות עפ”י צרכיו (או לפי ISMS נפרד).

בקרות פרטיות ספציפיות

נספחים A ו-B הגדירו 31 בקרות לבקרי מידע ו-18 בקרות למעבדי מידע (סה”כ 49 בקרות פרטיות בנוסף לבקרות אבטחת מידע) שנתנו מענה לנושאי פרטיות כמו מדיניות פרטיות, זכויות נושאי מידע, הסכמות, הגבלות שימוש, ועוד.

ארגון מחדש והרחבת הבקרות: הוכנסו כ-78 בקרות פרטיות בסך הכל, משולבות ברשימה אחת (עם סימון בקר/מעבד/שניהם), מתוכן ~31 בקרות ייעודיות לבקר, ~18 למעבד, וכ-29 בקרות משותפות . הבקרות המעודכנות משקפות גם נושאים חדשים (ראו שורה הבאה).

נושאים חדשים בבקרות

התבסס על מבנה הבקרות של 27002:2013 – לא כלל במפורש נושאים שצצו מאז כגון מודיעין איומים, שירותי ענן, בינה מלאכותית. מיפוי רגולטורי התמקד בעיקר ב-GDPR (נספח D).

הוספת 11 בקרות חדשות (בהשוואה לגרסת 2019) בהתאם לעדכון 27002:2022 – למשל בקרות לניהול מודיעין איומים, שימוש בשירותי ענן, אימוץ עקרונות AI אחראי, והגנה על נתוני IoT. כמו כן, התקן כיסה כעת באופן מלא את עקרונות תקן ISO 29100 (מסגרת עקרונות פרטיות) . המיפויים הרגולטוריים הורחבו להתאמה למגוון תקנות גלובליות (מעבר ל-GDPR בלבד).

דגש על ממשל ותרבות פרטיות

אחריות ההנהלה והמשילות על נושא הפרטיות הוזכרו ב-2019 אך לא בהרחבה, והתמקדות התקן הייתה בעיקרה טכנית/תהליכית.

מיקוד מוגבר בממשל ארגוני של פרטיות: הגרסה החדשה מדגישה את מחויבות ההנהלה הבכירה לנושא, את שילוב ניהול הפרטיות בממשל הסיכונים הארגוני הכולל, ואת הצורך ביצירת תרבות מודעות לפרטיות בארגון . ישנן דרישות ברורות יותר לדיווחי הנהלה, לפיקוח על עמידת מערכי הפרטיות ולאינטגרציה של פרטיות באסטרטגיה העסקית.

הסמכת אנשי מקצוע

המסגרת התעדת רק ארגונים (הסמכת צד ג’ לארגון כולו). לא הייתה התייחסות להסמכת מומחים פרטיים במסגרת התקן.

נפתח פתח להסמכה אישית: התקן החדש מאפשר לגופי הסמכה להציע גם הסמכות פרטיות למומחים (יועצים, קציני פרטיות וכו’) על בסיס ידע מעמיק בתקן , בדומה למנגנוני הסמכה אישית הקיימים בתקני ISO אחרים. זאת במקביל ולא במקום הסמכת הארגון.

כפי שמשתקף בטבלה, המהדורה השנייה “משחררת” את התקן מכבלי ה-ISMS וממקדת אותו בליבת ניהול הפרטיות. המהלך להפוך את 27701 לתקן עצמאי משמעותו שהיום ארגון יכול לבחור להטמיע ולהסמך רק על פיו, אם מטרתו העיקרית היא עמידה בדרישות פרטיות, ללא צורך בהסמכת 27001 מלאה. כמובן, עדיין מומלץ לראות ב-27701 הרחבה משלימה לניהול אבטחת מידע – הרי אבטחת מידע היא תנאי הכרחי (אך לא מספיק) להגנת פרטיות. עבור ארגונים שיש להם כבר מערכת 27001, המעבר לגרסת 2025 יהיה פשוט יחסית, משום שהרבה מהתהליכים והבקרות התשתיתיות כבר מיושמים; אותם ארגונים יצטרכו בעיקר להתאים את מערכת הניהול (מסמכים, נהלים) לתקן החדש ולהטמיע את הבקרות הפרטיות הנוספות . לעומת זאת, ארגונים שיגשו כעת להסמכת 27701 ללא רקע ב-27001, ימצאו תקן ממוקד וברור יותר, ללא “רעשי רקע” של בקרות לא רלוונטיות, אם כי יהיה עליהם עדיין להוכיח שהם מיישמים אמצעי אבטחת מידע מספקים להגנת המידע האישי (גם אם לא דרך תקן 27001 עצמו). במילים אחרות, גרסת 2025 מציבה דרישות פרטיות גבוהות יותר ומפורטות יותר מבעבר, אך באופן יעיל ומפוקס יותר. היא מיישרת קו עם המיטב שבשני העולמות – גם מתאימה itself לעידן החדש של ניהול פרטיות גלובלי, וגם משתלבת חלק במארג התקנים הקיימים (27001, 29100, 42001 וכו’) עבור מי שרוצה לקיים מערכת משולבת .

5. כיצד מיישמים את התקן – שלבים עיקריים, התאמה ל-ISO 27001/27002, אתגרים נפוצים

הטמעת תקן ISO/IEC 27701:2025 בארגון צריכה להתבצע באופן מתודולוגי, בדומה להטמעת כל תקן ניהול, אך עם דגשים ייחודיים לפרטיות. להלן השלבים העיקריים ליישום ה-PIMS, לצד התייחסות להשתלבות עם תקני ISO/IEC 27001/27002 ואתגרים שעשויים לצוץ בדרך:

שלב 1 – הגדרת מסגרת הפרויקט והיקף ה-PIMS: בשלב ראשון ההנהלה צריכה להפגין מחויבות לנושא ולמנות גורם מוביל (למשל ממונה הגנת פרטיות או צוות ציות) להובלת התהליך. יש להגדיר את היקף מערכת הניהול – אילו יחידות, מערכות, מאגרי מידע ותהליכים ייכללו במסגרת ה-PIMS. בגרסת 2025, כאשר ה-PIMS יכול להיות עצמאי, חשוב לתחום בבירור את ההיקף כך שיכסה את כל עיבודי המידע האישי המשמעותיים בארגון. אם הארגון כבר מוסמך ל-27001, מומלץ לסנכרן את תחום ה-PIMS עם תחום ה-ISMS הקיים כדי להבטיח אינטגרציה מלאה (אם כי ניתן גם לבחור בהיקף שונה, בהתייעצות עם הגוף המסמיך). בשלב זה כדאי לבצע סקירת פערים ראשונית: לבחון אילו דרישות של התקן כבר מקוימות ואילו חסרים. ארגון עם ISMS קיים יגלה שרבות מדרישות הניהול (מדיניות, הערכת סיכונים, הדרכות, ניהול מסמכים וכו’) כבר ממומשות אצלו באופן דומה, דבר שנותן מקפצה קדימה ביישום ה-PIMS . ארגון ללא ISMS יצטרך לבנות תשתית ניהולית מאפס, אך יהנה מתקן 27701 ממוקד יותר שלא מחייב לאמץ כל בקרת אבטחה כללית.

שלב 2 – הערכת סיכונים ודרישות רגולטוריות: לב לבו של התקן הוא ניהול סיכוני פרטיות. הארגון נדרש לבצע תהליך של זיהוי, ניתוח והערכה של הסיכונים לפגיעה במידע האישי שבמסגרת היקף ה-PIMS. לשם כך, יש למפות את כל סוגי המידע האישי שנאספים ומעובדים, את זרימת הנתונים בין מערכות ובין הארגון לצדדים שלישיים, ואת האיומים והפגיעויות האפשריים (למשל: סיכוני דלף מידע, שימוש חורג מהמטרה, גישה לא מורשית, הפרת זכויות נשואי מידע וכו’). הערכת הסיכונים חייבת להתחשב בעקרונות פרטיות בינלאומיים – דהיינו לשקול את ההשלכות של הפרת GDPR, חוקי פרטיות מקומיים וכד’. רבים מסתייעים פה בעריכת DPIA (הערכת השפעה על הפרטיות) עבור תהליכים ומערכות עיקריות. מתוך ניתוח הסיכונים יש לגזור בקרות מתאימות להפחתתם. תקן 27701 מספק רשימת בקרות מומלצות (בנספח A) – הארגון צריך לבחור את הבקרות הרלוונטיות מתוך הרשימה בהתאם לסיכונים שזוהו ולאופי הפעילות . למשל, אם זוהה סיכון גבוה לדלף מידע רגיש, ייושמו בקרות טכניות מחמירות (הצפנה, הגנה מפני זיוף); אם קיים סיכון לאי-ציות לזכויות נשואי מידע, יוגדרו נהלים קפדניים לטיפול בבקשות גישה/מחיקה וכו’. האתגר בשלב זה הוא לזהות נכונה את כל הסיכונים ואת כל הבקרות הנדרשות – פעמים רבות חברות מפספסות איומים או בוחרות בקרות לא מתאימות, ולכן מומלץ לערב מומחי פרטיות בתהליך .

שלב 3 – עדכון מדיניות, נהלים ותהליכים: בהתבסס על ממצאי הערכת הפערים והסיכונים, הארגון צריך לפתח או לעדכן את מדיניות הפרטיות הארגונית ואת נהלי העבודה הפנימיים. זה כולל ניסוח מדיניות עליונה להגנת מידע אישי המאושרת ע”י הנהלה (לעיתים כהרחבה למדיניות אבטחת המידע), המגדירה עקרונות כמו הגבלת איסוף ושימוש, תקופות שמירה, זכויות נשואי מידע וכד’. יש לקבוע נהלי תפעול לטיפול בנושאי פרטיות: למשל, נוהל למימוש זכויות נושאי מידע (איך מקבלים ומטפלים בבקשות עיון, תיקון, מחיקה והתנגדות) , נוהל ניהול הסכמות (כיצד מבקשים, מתעדים ומכבדים הסכמה של אדם לשימוש במידע עליו), נוהל דיווח ותחקור תקריות פרטיות (כגון דליפת מידע – כולל קווים מנחים מתי ואיך לדווח לרגולטור ולנושאי המידע עצמם), נוהלי אבטחת מידע ספציפיים למידע אישי (לדוגמה: תיוג וסיווג של מידע אישי במערכות, מנגנוני מחיקה אנונימיזציה) ועוד . אם הארגון כפוף לתקנות פרטיות שונות, יש לוודא שהנהלים מכסים את כל הדרישות (לדוגמה: עמידה בזמני תגובה לבקשות לפי חוק, שמירת תיעוד בקשות, הסדרת מנגנון opt-out לשיווק וכד’). בנוסף, יש להתייחס לנהלי פיתוח מוצר – הטמעת עקרונות Privacy by Design בתהליכי פיתוח מערכות ומוצרים (כגון ביצוע PIA בשלבי תכנון פרויקט חדש, מינימום איסוף נתונים שאינם נדרשים, אי-שימוש במידע אמיתי בסביבת בדיקות וכד’). במקביל, הארגון צריך לעדכן הסכמי סודיות והתקשרויות: למשל, לוודא שכל חוזה עם מעבד נתונים (Processor) מכיל את הסעיפים הנדרשים (כמו ב-GDPR Article 28) – התחייבות המעבד להשתמש במידע רק למטרות שהוגדרו, לא להעבירו ללא אישור, לאפשר ביקורות, לדווח על אירועי אבטחה וכו’ . גם מול שותפים עסקיים או ספקים שמקבלים נתונים אישיים יש ליצור נספחי הגנת פרטיות. שלב זה דורש ירידה לפרטים ותיעוד מקיף – כל המדיניות והנהלים צריכים להיות כתובים וברורים, שכן הם גם ייבדקו בעת מבדק ההסמכה .

שלב 4 – הטמעת הבקרות והפתרונות הטכנולוגיים: במקביל לעדכון הנהלים, יש ליישם בפועל את בקרות הפרטיות שנקבעו. זה כולל היבטים טכנולוגיים: למשל, הטמעת כלי הצפנה והגנת נתונים רגישים (במאגרי מידע ובתקשורת) על מנת לצמצם את סיכון חשיפת המידע ; הגדרת הרשאות גישה מצומצמות למידע אישי במערכות (עיקרון ה-Need to know), וניטור גישה חריגה; הטמעת מערכות רישום ובקרה (לוגים) של פעולות על מידע אישי, כדי לאתר פעילות בלתי מורשית ולאפשר ביקורת ; יישום מנגנוני גיבוי ושחזור למידע אישי שתואמים לדרישות פרטיות (לדוגמה, הגבלת גישה לגיבויים, הצפנתם, ושגרות מחיקה של נתונים מגיבוי כשנדרשת מחיקה מערכות ייצור) ; חסימת שימוש במדיה נשלפת לא מבוקרת שעלולה לגרום לדליפת מידע ; הפרדת סביבות (לדוגמה הפרדה בין סביבת בדיקות לייצור כדי שמידע לקוחות אמיתי לא ידלוף לסביבת פיתוח); שימוש בכלי Data Loss Prevention (DLP) למניעת יציאת מידע אישי החוצה באופן לא מורשה; הטמעת פורטלים אוטומטיים לטיפול בבקשות נשואי מידע (כדי לייעל עמידה בלוחות זמנים); ועוד. כמו כן, ישנן בקרות אדמיניסטרטיביות: כגון מינוי רשמי של אחראי/ת הגנת פרטיות (DPO) בארגון אם נדרש עפ”י דין, קיום הליך סדור לבדיקות רקע וחובת סודיות לעובדים הנגישים למידע אישי, ועוד . בשלב ההטמעה חשוב לערב את מחלקת ה-IT, אבטחת מידע, משאבי אנוש, משפטי וכל פונקציה רלוונטית – שכן הגנת פרטיות נוגעת לכל שדרות הארגון.

שלב 5 – הדרכות ותוכנית מודעות: אפילו הבקרות הטובות ביותר יכולות להיכשל אם האנשים בארגון אינם מודעים ומיומנים. תקן 27701 מכתיב קיום הדרכות שוטפות לעובדים בנושאי הגנת פרטיות המידע . לכן, בשלב זה יש לפתח ולהעביר הדרכות לכלל העובדים על מדיניות הפרטיות החדשה, על נהלי העבודה (כיצד לזהות ולדווח אירוע פרטיות, איך לענות לבקשת לקוח על מחיקת מידע, מה מותר ואסור לעשות עם מידע אישי וכו’). מומלץ להתאים את ההדרכה לתפקיד: לספק דוגמאות רלוונטיות לצוותי שיווק (למשל כללי שימוש בדוא”ל לפרסום בהסכמה), לצוותי פיתוח (כגון עקרונות Privacy by Design), לתמיכה לקוחות (איך לאמת זהות מבקש מידע) וכן הלאה. בנוסף להדרכות יזומות, יש לקיים תוכנית מודעות מתמשכת – תזכורות תקופתיות, פוסטרים, ניוזלטרים פנימיים בנושא פרטיות, על מנת לטפח תרבות ארגונית שמכבדת פרטיות. חלק מהדרישות הן שגם ההנהלה תקבל עדכון בנושא, כדי לחזק את הובלת הנושא מלמעלה. הדרכות ומודעות אינן רק לצורך “וידוא הבנה”, אלא גם מסייעות לצמצם תקלות אנוש (כגון משלוח מייל גורף עם כתובות גלויות, או שמירת נתונים רגישים על התקן בלתי מוצפן וכד’). למעשה, הדרכת עובדים היא רכיב קריטי בעמידת הארגון בתקן ובהטמעת הבקרות בפועל.

שלב 6 – ניטור, ביקורת פנימית ושיפור מתמיד: לאחר שהמערכת הוקמה והופעלה, התקן דורש להפעיל מנגנוני בקרה פנימית. ראשית, יש לבצע ביקורת פנימית תקופתית של ה-PIMS – רצוי ע”י גורם בלתי תלוי בתוך הארגון או יועץ חיצוני – כדי לוודא שכל הדרישות מתקיימות, שהנהלים מבוצעים בפועל, ושלא נותרו פערים או נקודות תורפה . הביקורת הפנימית תבחן מדגמית תהליכים (למשל תהליך טיפול בבקשת נושא מידע – לבדוק תיקי בקשות ולוודא שטופלו בהתאם למדיניות), תבדוק לוגים ודוחות (למשל האם היו חריגות גישה למידע אישי ואיך טופלו), תראיין עובדים על הנהלים, וכד’. ממצאי הביקורת מתועדים ודורשים תיקון. במקביל, לפחות אחת לשנה הנהלת הארגון צריכה לבצע סקירת הנהלה של ה-PIMS – לעבור על ביצועי המערכת, תקריות שהיו, תלונות שהתקבלו, תוצאות הביקורת הפנימית, שינויים רגולטוריים רלוונטיים – ולקבל החלטות על שיפורים או משאבים נדרשים. התרבות הארגונית צריכה להיות של שיפור מתמיד: אם מתגלים כשלים או תחומים לשיפור, יש לעדכן נהלים, לבצע ריענוני הדרכה, להשקיע בטכנולוגיות חדשות וכו’. מחזור ה-PDCA (Plan-Do-Check-Act) שקיים בלב תקני הניהול, מתקיים גם כאן. חשוב גם לעקוב אחר שינויי חקיקה ודרישות חוק חדשות – למשל, אם נכנסת רגולציית פרטיות חדשה במדינה בה הארגון פועל, לעדכן את המערכת בהתאם.

השתלבות עם ISO 27001/27002: לגרסת 2025 יש יתרון שהיא מתממשקת באופן מובנה למסגרת ISO 27001 העדכנית . עבור ארגונים שכבר מפעילים ISMS, ניתן לשלב את ניהול הפרטיות כחלק אינטגרלי: לבצע הערכת סיכוני אבטחת מידע ופרטיות במשולב, לקיים מדיניות מאוחדת (עם פרק פרטיות), להשתמש במנגנוני הבקרה של ISMS (כמו ועדת היגוי אבטחת מידע) כדי לדון גם בנושאי פרטיות, וכו’. הבקרות של 27701 משלימות את בקרות 27002 – יש ביניהן חפיפה (למשל בקרות גישה והצפנה מופיעות בשניהם) – ולכן נדרש לוודא אי-סתירות: ארגון יכול להחליט שמסמך ה-SoA (הצהרת הישימות) שלו יכלול גם את בקרות ה-PIMS או שני מסמכים נפרדים אך מסונכרנים. הגרסה החדשה ביטלה רשמית את התלות ב-27001, אך עדיין מאפשרת ומעודדת אינטגרציה: היא בנויה בעקרונות המבנה האחיד של תקני ISO, ומותאמת להשתלב לצד מערכות 27001, 9001 ואף תקן AI חדש (ISO/IEC 42001) . נקודה חשובה – למרות שב-2025 הוסרו “בקרות לא רלוונטיות”, אין משמעות הדבר שארגון יכול להזניח אבטחת מידע בסיסית. כדי להגן על פרטיות, חייב להיות יישום של בקרות אבטחה חיוניות (כמו ניהול גישה, הגנת סייבר וכד’). ארגון שאין לו ISMS, יצטרך אם כך במסגרת ה-PIMS שלו להכניס לפחות את הבקרות הנחוצות לאבטחת המידע האישי (גם אם לא פורמלית דרך 27001). למעשה, התקן החדש מאפשר גמישות: ארגון עתיר סיכוני סייבר יבחר ממילא ליישם מכלול בקרות, וייתכן שירחיב מעבר לנדרש במפורש ב-27701, ואילו ארגון קטן עם סיכון מוגבל יוכל להתמקד בעיקר בפרטיות. הגישה המומלצת היא שילוב הוליסטי – לראות ב-27701 הרחבה לניהול הסיכונים הכולל, תוך מינוף התהליכים המשותפים.

אתגרים נפוצים בהטמעה: כמו בכל פרויקט תקן, ישנם מכשולים שארגונים צריכים לתת עליהם את הדעת:

  • הגדרת תחום מתאימה: אחד האתגרים הוא לקבוע נכון את גבולות ה-PIMS. יש לוודא שכל המערכות והתהליכים בהם יש מידע אישי נכללים בתחום, אך לא לכלול מערכות שאין בהן כלל PII (כדי לא ליצור עומס מיותר). בשילוב עם ISMS קיים, חשוב שלא יהיה פער שבו ה-PIMS מכסה תחום רחב יותר מה-ISMS (מצב שיצור “חור” באבטחת המידע) . תיעוד הגבולות בצורה ברורה במסמך ההיקף הוא חיוני.

  • תיעוד וראיות: תקן 27701 דורש תיעוד מקיף למדי – מדיניות, נהלים, רשימות נכסים, רישומי פעילויות עיבוד (כמתחייב גם מ-GDPR Article 30), דו”חות הערכת סיכונים, דוחות PIA, תוצאות הדרכות, ותיעוד בקשות נשואי מידע וטיפולן. ארגונים מתקשים לפעמים בתחזוקת התיעוד באופן שוטף. מומלץ ליישם כלים ממוחשבים (למשל תוכנה לניהול ציות ופרטיות) ולמנות אחראי עדכונים שיוודא שכל שינוי במערכת (תהליך חדש, מערכת חדשה) מתועד ומשולב. גופים מסמיכים מבקשים לעיין בהרבה מהמסמכים הללו, לכן חשוב שהם יהיו מלאים ומדויקים . בנוסף, ניהול נכון של הצהרת ישימות (SoA) – ברקע גרסת 2019 זה היה מסמך חובה שסקר את בקרות 27001+27701. בגרסה החדשה, בהיעדר דרישת SoA קלאסית, עדיין יש צורך ברשימת בקרות מיושמות או לא מיושמות עם נימוקים. תיעוד זה חייב להיות מסונכרן עם ניתוח הסיכונים.

  • שילוב תרבותי והתנגדות לשינוי: היבט “רך” יותר אך קריטי הוא לגרום לכל עובדי הארגון להפנים את חשיבות הפרטיות. אם ההנהלה או הצוות לא רתומים, התהליכים על הנייר לא יספיקו. לעיתים יש “התנגשות” בין מטרות עסקיות (כגון שימוש רחב בנתוני לקוחות לשיווק) לבין עקרונות פרטיות (צמצום ושקיפות). הטמעת התקן עלולה להיתקל בחשש ש”זה יסרבל לנו את העסק”. לכן, הנהלת הארגון צריכה להעביר מסר ברור שהגנת פרטיות היא ערך ליבה, ולהסביר שלטווח ארוך הדבר משתלם עסקית – מונע קנסות ותביעות, ובונה אמון לקוחות. יש לערוך מפגשים וסדנאות הסברה להנהלה הבכירה ולבעלי תפקידים, ולהדגיש סיפורי הצלחה וכשלי עבר (כמו חברות שנקנסו בשל הפרת פרטיות) כדי ליצור תחושת דחיפות.

  • אינטגרציה עם מערכות קיימות: ארגונים גדולים לרוב מנהלים מספר תוכניות ציות (אבטחת מידע, איכות, המשכיות עסקית וכו’). אתגר שכיח הוא למנוע כפילויות או סתירות. למשל, אם בארגון קיים תהליך ניהול סיכונים ארגוני – יש לשלב בו את סיכוני הפרטיות ולא ליצור תהליך נפרד לחלוטין. אם יש פורום סיכונים או ועדת ממשל, עדיף שידון גם בנושא הפרטיות. תיאום בין צוות אבטחת מידע לצוות פרטיות הוא חיוני – לעיתים שני התחומים מטופלים ביחידות שונות, לכן חשוב ליצור ממשקים ברורים (למשל נוהל שיתוף פעולה במקרה אירוע אבטחה שכולל דלף מידע אישי). בגרסה 2019 היו מצבים בהם צוות אבטחת מידע “הוביל” את ההסמכה וראה בפרטיות נספח שולי – כעת עם עצמאות התקן, יש לתאם ציפיות פנימית מי מוביל את התחום.

  • היערכות למבדק הסמכה חיצוני: תהליך ההסמכה הרשמי דורש מעבר מבדק חיצוני של גוף מסמיך מוכר. אתגר לא מבוטל הוא הכנה לקראת המבדק – לוודא שכל העובדים הנוגעים בדבר מוכנים לענות לשאלות מבקר, שכל התיעוד זמין, שכל הבקרות אכן פועלות. פעמים רבות ארגונים מגלים “במבדק הכל בבת אחת” על חוסרים (למשל נהלים שלא יושמו הלכה למעשה). כדי להימנע מזה, מומלץ לבצע ביקורת מקדימה (pre-audit) עם יועץ או פנימית, ואף מבדק ניסיון שבו מדמים את יום המבדק. יש לוודא טיפול באי-התאמות לפני שמזמינים את הגוף המסמיך. כמו כן, מאחר שגרסה 2025 חדשה, ייתכן שגופי ההסמכה עצמם יגבו שאלות וילמדו תוך כדי – ולכן חשוב לעקוב אחרי הנחיות מעבר ופרסומי IAF בנושא כדי לדעת למה לצפות .

למרות האתגרים, ניסיון של ארגונים שכבר יישמו את התקן מראה שהתהליך בר-ניהול ואינו ארוך מדי, בייחוד אם הארגון בא מתפיסה סיכונית וחוקתית חזקה. לפי דיווחי חברות ייעוץ, ניתן להגיע להסמכה תוך חודשים ספורים של עבודה מאומצת בארגון קטן-בינוני. המפתח הוא תמיכת הנהלה ושיתוף פעולה בין יחידות – אז ה-PIMS יכול להביא לשיפור אמיתי באופן הטיפול במידע אישי.

6. תחומי פעילות ודומיינים שבהם התקן רלוונטי

תקן ISO/IEC 27701 רלוונטי למעשה לכל ארגון בכל מגזר אשר אוסף, מעבד או שומר מידע אישי (PII) במסגרת פעילותו . עם זאת, ישנם תחומי פעילות שבהם ניהול פרטיות המידע קריטי במיוחד, ולכן ניכר עניין מוגבר באימוץ התקן בהם:

  • מגזר הבריאות: ארגוני בריאות, כמו בתי חולים, קופות חולים, מרפאות וחברות פארמה, מתמודדים עם נתונים אישיים רגישים במיוחד (מידע רפואי, היסטוריות טיפולים, מידע גנטי). חובת הסודיות הרפואית לצד רגולציות כמו HIPAA (בארה”ב) ותקנות פרטיות מקומיות הופכות את ISO 27701 לכלי מועיל להבטחת שהמידע הרפואי הפרטי מוגן ומטופל כנדרש. אימוץ התקן במגזר זה מראה למטופלים שהארגון נוקט אמצעים מחמירים לשמירת פרטיותם. בישראל, למשל, מוסדות רפואיים כפופים לחוק הגנת הפרטיות ולנהלי משרד הבריאות, ותקן 27701 יכול לסייע להם במיסוד התהליכים והבקרות.

  • מגזר הפיננסים: בנקים, חברות ביטוח, בתי השקעות ושירותים פיננסיים אחרים מטפלים בהיקפי מידע עצומים על לקוחות – נתונים אישיים, פיננסיים, אשראיים ועוד. מגזר זה כבר ותיק באימוץ ISO 27001, וכעת מרחיב את המיקוד לפרטיות. תקן 27701 מתאים במיוחד לענף זה כדי לנהל סוגיות כגון סודיות חשבונות, שימוש בנתוני לקוחות לשיווק פיננסי, דרישות “הכר את הלקוח” (KYC) ועוד. בנוסף, רגולטורים פיננסיים רבים דורשים כיום תוכניות ניהול פרטיות (למשל באירופה PSD2/פתיחת בנקאות גוררת חובות פרטיות). כמה בנקים בעולם כבר דיווחו על הסמכה ל-27701 כדרך להפגין עמידה בדרישות אלה .

  • מגזר הטכנולוגיה והאינטרנט: חברות טכנולוגיה – ובפרט חברות תוכנה כשירות (SaaS), פלטפורמות מקוונות, רשתות חברתיות, ספקי שירותי ענן, חברות דאטה ו-Analytics – מטפלות במיליוני משתמשים ולכן גם במידע אישי רב (לעיתים רגיש מאוד כמו מיקום, הרגלים, העדפות). מגזר זה מצוי תחת זכוכית מגדלת ציבורית ורגולטורית בכל הנוגע לפרטיות (דוגמת השימועים לקבוצות טכנולוגיה בקונגרס האמריקאי, קנסות GDPR גדולים שקיבלו חברות כגוגל, מטא וכד’). עבור חברות אלו, ISO 27701 מציע מסגרת מוסדרת ליישום עקרונות Privacy by Design בפיתוח מוצרים, לניהול מדיניות פרטיות גלובלית (בפרט כשלקוחותיהם מפוזרים במדינות שונות), ולהבטחת עמידה בהתחייבויות חוזיות כמעבדי מידע עבור לקוחות עסקיים. כבר כיום מספר הולך וגדל של ספקי שירותי ענן ותוכנה מדווחים על הסמכה ל-27701 כהוכחה לציות (לעיתים לצד תקני אבטחה נוספים כמו SOC2 או ISO 27018 לענן).

  • מגזר הציבורי והממשלתי: סוכנויות ממשלה, רשויות מקומיות, גופים ציבוריים (כגון מערכות חינוך) – כל אלה מנהלים מאגרי מידע גדולים על אזרחים ותושבים: מרשמי אוכלוסין, נתוני מס, רווחה, חינוך וכו’. חלות עליהם חובות חוקיות מחמירות להגנת הפרט, ובשנים האחרונות יש דגש על שקיפות ואמון הציבור. הטמעת תקן 27701 במגזר הציבורי יכולה לספק מתודולוגיה סדורה לארגון אבטחת מידע ופרטיות, מעבר למחויבויות החוקיות המפורשות. למשל, רשות מקומית שמבקשת להגן על מידע התושבים (מרישומי ארנונה ועד מצלמות בעיר חכמה) – באמצעות התקן תוכל להציג לציבור שהיא פועלת לפי סטנדרט בין-לאומי מוכר . במדינות מסוימות אף החלו לחייב גופים ממשלתיים באימוץ התקנים (למשל בבריטניה – דרישות אבטחת מידע/פרטיות לספקי שירות ציבורי).

  • מגזר המסחר והקמעונאות: חברות קמעונאות, במיוחד אלו בעלות פעילות אונליין (חנויות אי-קומרס) אוספות מידע אישי (פרטי לקוח, היסטוריית רכישות, נתוני כרטיסי אשראי) ומשתמשות בו לשיווק ומועדוני לקוחות. הן חשופות גם לאירועי סייבר (כמו פריצות למאגרי אשראי) וגם לסוגיות רגולטוריות (כמו חוקי ספאם ופרסומות ממוקדות). ISO 27701 יכול לסייע להן בסגירת הפערים הללו – ע”י בקרות להסכמות שיווק, הגבלת שמירת נתוני אשראי, טיפול בבקשות מחיקה של לקוח וכו’. זה מעניק להן גם יתרון תחרותי בהצגת “תו אמון” ללקוחות לגבי השמירה על פרטיותם.

  • תחומים נוספים: גם במגזרי חינוך (אוניברסיטאות ומוסדות לימוד המטפלים במידע על תלמידים והורים), תעשייה יצרנית (לדוגמה חברות רכב אוספות מידע על נהגים ברכבים מקושרים), תחבורה (חברות תעופה עם מועדוני נוסע מתמיד ומידע מתקדם על נוסעים) – בכל אלה סוגיות הפרטיות גדלות. התקן מתאים לא רק לחברות טכנולוגיות אלא גם לארגונים מסורתיים יותר, שכן כמעט כל ארגון היום מחזיק נתוני עובדים, לקוחות או משתמשים. לפי פרסומי ISO, התקן מיועד לגופים פרטיים, ציבוריים ואף ללא מטרת רווח מכל גודל – כל מי שמטפל במידע אישי יכול להפיק תועלת ממנו . בפועל, העניין הרב ביותר כיום מגיע מתחומי הבריאות, פיננסים וטכנולוגיה – בהם הסיכונים גבוהים – אך המגמה היא התרחבות לשאר המגזרים ככל שהמודעות גוברת.

7. על מה ארגונים צריכים לשים דגש כדי לעמוד בדרישות התקן

על מנת להצליח בהסמכה ולעמוד בדרישות ISO/IEC 27701, ארגון צריך לפתח ולתחזק מספר מוקדי התמקדמות עיקריים:

  • תהליכים ומדיניות ברורים לניהול פרטיות: ארגון חייב לעגן בנהלים כתובים את כל התהליכים הקשורים למידע אישי. יש לשים דגש על פיתוח מדיניות פרטיות מקיפה המאושרת ע”י ההנהלה, המפרטת את התחייבות הארגון להגנת מידע אישי ואת העקרונות המנחים (לדוגמה, שימוש במידע רק למטרה שלשמה נאסף, שמירת נתונים לפרקי זמן מינימליים, הבטחת זכויות גישה/תיקון לנושאי מידע וכו’). בנוסף למדיניות העל, יש לתעד נהלי עבודה מפורטים: נוהל להגשת וביצוע בקשות של נושאי מידע (Subject Access Requests) לקבלת עותק מהמידע או למחיקתו ; נוהל לניהול הסכמה (מתי וכיצד מבקשים מהפרט הסכמה לעיבוד נתוניו, ואיך מאפשרים לו למשוך אותה) ; נוהל לטיפול בתלונות או פניות פרטיות; נוהל להעברת מידע לגופים שלישיים (כולל וידוא חוזי שהם מוגנים); נוהל להשמדת מידע בסוף מחזור החיים שלו; וכדומה. תהליכים אלה צריכים להיות משולבים בפעילות העסקית – למשל, תהליך קליטת לקוח חדש יכלול באופן מובנה שלב של מסירת הודעת פרטיות ללקוח ואיסוף הסכמות נדרשות.

  • תיעוד ומעקב: יש חשיבות עליונה לתיעוד ביישום התקן. ארגון צריך לנהל רשומות של כל פעילויות העיבוד (Record of Processing Activities) – כלומר, לתעד איזה מידע אישי הוא מחזיק, מה המקור שלו, מה המטרה, איפה נשמר, עם מי משתפים אותו, מה הבסיס החוקי לעיבוד וכו’. רשומה זו (שנדרשת גם תחת GDPR) מהווה בסיס להבנת סיכוני הפרטיות ותחום ההסמכה. בנוסף, במהלך ההטמעה חשוב לתעד כל החלטת הערכת סיכון (למשל ניתוח DPIA) ואת תוצאותיה – תיעוד זה ישמש ראיה בעת מבדק שתהליכים בוצעו . יש לנהל יומן בקשות נושאי מידע – לתעד כל בקשה, תאריך קבלה, אופן טיפול, תאריך מענה, ובכך להוכיח עמידה בלוחות זמנים. גם אירועי אבטחה/פרטיות צריכים להיות מתועדים (Incident log) עם פירוט ניתוח ופעולות תיקון. מערך התיעוד כולל גם את מדיניות ונהלי הפרטיות עצמם, שעליהם להיות מאושרים ובבקרה עדכנית (גרסאות, הפצה לעובדים וכו’). מערכת ניהול מסמכים יעילה חיונית לכך.

  • הכשרות והעלאת מודעות: כבר הזכרנו זאת בסעיף הקודם, אך שווה להדגיש שוב: אנשי הארגון הם קו ההגנה הראשון. תקן 27701 דורש באופן מפורש שתבוצע הדרכת מודעות לפרטיות לעובדים . לכן על הארגון לקבוע תוכנית הדרכה תקופתית (למשל אחת לשנה) שבה כל העובדים יעברו קורס/רענון בתחום פרטיות המידע. התוכן צריך לכלול הן ידע כללי (מהי פרטיות מידע, מה חובותינו על פי חוק, מה המשמעות של דלף מידע) והן היכרות עם מדיניות ונהלי הארגון הספציפיים. עבור בעלי תפקיד מיוחדים – כמו אנשי IT, שצריכים להבין על אילו נתונים חלים מגבלות; צוות שיווק, שצריך להבין כללי Opt-in/Opt-out – מומלץ הדרכה ייעודית. בנוסף, יש להעלות את מודעות ההנהלה – לוודא שהנהלת החברה (מנכ”ל, דירקטוריון) מבינה את משמעות התקן ומקבלת דיווחים תקופתיים על מצב הפרטיות בארגון. תרבות ארגונית שבה פרטיות נחשבת “ערך” תוודא שכל עובד מקפיד על הנהלים, הרבה יותר מאשר תרבות שרואה בכך מטרד בירוקרטי.

  • מנגנוני בקרה ומערכות תומכות: כדי לעמוד בדרישות התקן, יש להשקיע גם בכלים ובמערכות שתומכים בניהול יעיל. למשל, שימוש במערכת ניהול פניות יכול לעזור לעקוב אחרי כל בקשת גישה/מחיקה שנכנסת ולטפל בה במועד. שימוש בכלי Data Discovery יכול לסייע לארגון לאתר היכן במערכותיו נמצא מידע אישי (לעיתים חברות מגלות מידע “יתום” שלא ידעו עליו). כלי DLP כבר הוזכרו למניעת זליגת מידע. אפשר לשקול גם פתרונות ייעודיים לניהול פרטיות (Privacy Management Software) שמספקים תבניות DPIA, ניהול רשומות עיבוד, מעקב הסכמות וכד’. כלי כאלה מקלים משמעותית על עמידה בדרישות התיעוד והמעקב. לבסוף, מומלץ ליישם מדדי ביצוע (KPI) לנושא פרטיות: למשל, למדוד כמה זמן לוקח בממוצע לטפל בבקשת לקוח, כמה תקריות פרטיות ארעו רבעונית, אחוז העובדים שהשלימו הדרכה – ולדון במדדים אלו בסקירות הנהלה. תקן 27701 מעודד מדידה ושיפור כתרבות, והצבת מדדים מקדמת זאת.

  • התאמה למגזר ולסיכונים ספציפיים: ארגון צריך לשים פוקוס מיוחד על הדרישות והאתגרים הייחודיים לו. למשל, חברה גלובלית צריכה לעקוב אחר דרישות חוק בכל המדינות בהן היא פועלת (לדוגמה, לארה”ב יש רגולציות מדינתיות שונות; בסין חוק הגנת מידע אישי שונה; בישראל – חוק הגנת הפרטיות ותקנות אבטחת מידע). התקן עצמו הוא כללי, אבל הארגון חייב להטמיע בתוכו את הדרישות הפרטניות של החוקים החלים עליו . דוגמה: ארגון ישראלי יחיל בתהליך ניהול תקריות את חובת הדיווח לרשות להגנת הפרטיות בישראל תוך 72 שעות במקרה אירוע חמור, בנוסף לדרישות GDPR אם רלוונטי. דוגמה נוספת: ארגון בתחום הבריאות ישים דגש על עמידה בתקני בריאות (כמו HIPAA), ויוודא שהנהלים שלו עונים גם על דרישות אלו (למשל חתימת Authorization לשיתוף מידע רפואי עם צד ג’). בקיצור, עמידה בדרישות התקן לבדה אינה סוף פסוק – צריך להטמיע את רכיבי הציות החוקי בתוך ה-PIMS, והתקן נותן את המסגרת לעשות זאת.

  • שיתוף פעולה עם יחידת אבטחת מידע: למרות ההפרדה הפורמלית, פרטיות ואבטחת מידע שזורות זו בזו. ארגונים נדרשים לוודא שסביבת אבטחת המידע הארגונית תומכת במטרות הפרטיות. למשל, מערך ניהול הגישה הכללי של ה-IT חייב להתחשב ברגישות המידע האישי – אולי להפעיל אימות רב-שלבי (MFA) למערכות המכילות מידע אישי רגיש, גם אם לא מופעל גורף לכל המערכות. צוות אבטחת המידע צריך להיות שותף בביצוע הערכות הסיכונים של ה-PIMS, שכן רבים מהאיומים הם איומי סייבר. ארגון מצליח יהיה כזה שבו צוות הפרטיות (משפטי/ציות) עובד יד ביד עם צוות הסייבר/אבטחה, וחולקים ידע – למשל דיוני ניהול סיכונים משותפים, טיפול משולב באירועים, וקידום מטרות משותפות. במישור הפיזי, זה אומר למשל שתוכניות הביקורת הפנימית משולבות (בודקות גם וגם) ושפורום ההנהלה שמקבל דיווח על סיכוני אבטחה יקבל גם על פרטיות.

לסיכום סעיף זה, כדי לעמוד בדרישות ISO 27701 לא מספיק “לכתוב כמה נהלים” – יש לטפח מערך כולל של תהליכים, טכנולוגיה ואנשים שמקדמים יחד הגנת פרטיות. התקן מציב את המסגרת, אך על הארגון למלא אותה בתוכן הנכון עבורו, בהתאמה לסביבה העסקית והרגולטורית שלו.

8. למי התקן מתאים – סוגי ארגונים, גודל, ורמות בשלות

תקן ISO/IEC 27701:2025 פתוח ומתאים לכל ארגון שעוסק במידע אישי, ללא קשר לסוג, גודל או מגזר. בניגוד לגרסת 2019 שהייתה כמעט נחלתם הבלעדית של ארגונים גדולים עם הסמכת ISO 27001, המהדורה החדשה נועדה במפורש להגדיל את הנגישות ולפנות גם לשחקנים נוספים .

  • סוגי ארגונים: התקן מתאים הן לארגונים פרטיים (חברות עסקיות), הן לגופים ציבוריים (משרדי ממשלה, רשויות) והן לעמותות וארגונים ללא מטרת רווח – כולם מנהלים כיום מידע אישי בהיקפים שונים ולכן יכולים להפיק תועלת מ-PIMS. בארגונים ממשלתיים אמנם יש לעיתים רגולציות ייעודיות, אך התקן יכול להוות כלי סיוע מובנה למילוי דרישות החוק באופן שיטתי. חברות במגזר הפרטי משתמשות בתקן כדי לבדל את עצמן תדמיתית ולנהל סיכוני מוניטין.

  • גודל הארגון: אחד השינויים הבולטים כאמור הוא שהתקן כעת נגיש גם לעסקים קטנים ובינוניים (SMEs) ולחברות סטארט-אפ . ארגון קטן עם עשרה עובדים למשל, שפעילותו כרוכה בעיבוד מידע אישי (נגיד חברת פיתוח אפליקציה עם 100,000 משתמשים), יכול ליישם 27701 ללא צורך להטמיע מערכת אבטחת מידע מלאה מ-א’ עד ת’. כמובן, עליו לעמוד בדרישות הליבה, אך העומס התפעולי קטן יותר כיוון שהתקן ממוקד. התקן גמיש וניתן להתאמה לגודל: ארגונים קטנים יכולים לתעד פחות מסמכים (כל עוד התהליכים מתקיימים, ניתן לשלב כמה נהלים למסמך אחד וכו’). ארגונים גדולים לעומת זאת יידרשו מן הסתם ליותר תהליכים פורמליים ופירוט. התקן לא מגביל גודל – הוא מדבר על “כל ארגון שאוסף/מעבד PII” , כך שגם עסק זעיר וגם תאגיד ענק יכולים באותה מידה לגשת להסמכה. בפועל, רבות מההסמכות הראשונות היו של חברות ענק רב-לאומיות (שכבר היו מוסמכות 27001), אך המגמה כעת היא עלייה בעניין מצד חברות קטנות יותר, שיכולות להסתפק בהסמכה זו כמענה לדרישות פרטיות בלי לעבור מסלול מלא של ISO 27001.

  • רמת בשלות בתחום אבטחת מידע/פרטיות: ארגונים עם רמת בשלות גבוהה באבטחת מידע (למשל כאלה שיש להם ISMS פעיל, צוות סייבר מיומן) – עבורם הוספת 27701 היא אבולוציה טבעית. הם כנראה כבר מיישמים חלק גדול מהבקרות, ופשוט צריכים להתמקד ברכיבי הפרטיות (כמו ניהול הסכמות, זכויות נושאי מידע וכו’). לעומתם, ארגונים עם בשלות נמוכה יותר – התקן מהווה עבורם אולי נקודת כניסה ראשונה לעולם תקני הניהול. למשל, סטארט-אפ שאין לו עדיין נהלי אבטחה מבוססים, יכול לבחור להתחיל ב-27701 אם הפרטיות היא דאגה מרכזית (נניח סטארט-אפ בתחום ה-HealthTech עם מידע רפואי – הפרטיות רגישה ביותר). התקן יספק להם שלד להקים בסיס של נהלי אבטחה ופרטיות כאחד. אף שההמלצה הכללית של תקן 2019 הייתה שבלי יסודות אבטחה תקינים קשה להגן על פרטיות, התקן 2025 מניח שגם ארגון בתחילת הדרך יכול לגשת ישר לנושא הפרטיות ולבנות תוך כדי כך גם את מרכיבי האבטחה הדרושים . כמובן, אם הארגון ממש חסר כל תשתית, ייתכן שיהיה עליו לעבוד קשה יותר – אך אין מניעה. בנוסף, בגזרה החדשה של חברות טכנולוגיה צעירות – עבורן לפעמים פרטיות היא אף מוקד יותר מאבטחת מידע (למשל, הסטארט-אפ עוסק בניתוח מידע אישי בענן – הסיכון המשפטי העיקרי הוא פרטיות). אותן חברות ימצאו כעת בתקן 27701 מענה ישיר וממוקד.

  • התאמה ללקוחות ולדרישות שוק: עוד שיקול – התקן מתאים לארגונים שרוצים לעמוד בציפיות לקוחות עסקיים. אנו רואים יותר ויותר במכרזים ודרישות ספקים, בקשה לעמידה בתקני פרטיות. לדוגמה, תאגיד גדול ששוכר שירות ענן עשוי לשאול את הספק: האם אתם מוסמכים ISO 27701? כך שגם חברת B2B שספקית שירותים תאמץ את התקן כדי להיות “ברשימה” של ספקים מאושרים מבחינת ציות רגולציה. במובן זה, התקן מתאים במיוחד לחברות שמשרתות תעשיות מפוקחות (פיננסים, בריאות) ורוצות להראות יתרון תחרותי בתחום הציות.

לסיכום, אין ארגון “קטן מדי” או “פשוט מדי” לתקן 27701 – כל מי שמחזיק מידע אישי יכול ליישם עקרונות פרטיות בניהולו. ברור שמורכבות היישום תגדל עם גודל הארגון ומורכבותו, אך המסר המרכזי במהדורה 2025 הוא: פרטיות אינה רק לגדולים. התקן נבנה באופן שמאפשר סקיילביליות – מאימוץ בסביבה מצומצמת ועד תאגיד גלובלי. כפי שצוין בציטוט מאחד המאמרים: המהלך להפוך את 27701 לעצמאי נועד “להגביר את הנגישות לניהול פרטיות איתן עבור ארגונים בכל הגדלים, ללא תלות ברמת הבשלות שלהם בניהול אבטחת מידע” . בכך, ISO ממשיך את המגמה של דמוקרטיזציה של תקני ניהול – הפרטיות היא עכשיו זירה שכל ארגון יכול (ויכול) לשחק בה.

9. כיצד CYBEROOT משתלבת בתהליך (הטמעת התקן בארגונים)

חברת CYBEROOT  היא אחת החברות המובילות בישראל בייעוץ והטמעת תקני אבטחת מידע והגנת פרטיות. החברה מוסמכת רשמית על-ידי מכון התקנים הישראלי (SII) ו-IQC (המכון לבקרה ואיכות) כמלווה מורשה להטמעת תקני ISO בתחום זה . המשמעות היא ש-CYBEROOT עומדת בעצמה בדרישות ובקריטריונים מחמירים של אותם גופים, המבטיחים את רמת הידע והמיומנות של יועציה בהובלת ארגונים להסמכה מוצלחת. צוות המומחים של CYBEROOT כולל יועצי אבטחת מידע, ממוני הגנת פרטיות (DPO) מנוסים ומבקרים מוסמכים, בעלי היכרות עמוקה עם דרישות התקנים ועם האתגרים המעשיים בשטח.

כמי שמוסמכת בעצמה להטמיע תקנים, CYBEROOT מכירה היטב גם את הצד של דרישות מכון התקנים ו-IQC, ויודעת להכין את הארגון באופן ממוקד למה שמבקר ההסמכה יחפש. היא דואגת שהארגון לא רק “יתאים לתקן על הנייר” אלא גם יאמץ את רוח התקן – כלומר שישתרש שיפור אמיתי בניהול הגנת הפרטיות. החברה מדגישה גישה פרגמטית: הפיכת דרישות התקן לתהליכים יעילים שלא מכבידים שלא לצורך, ושילוב פתרונות טכנולוגיים אוטומטיים להפחתת הנטל הידני (כגון שימוש בכלי ניהול פרטיות מומלצים).

ל-CYBEROOT חשוב לא פחות לבנות אצל הלקוחות יכולת פנימית מתמשכת – לכן חלק מהשירות הוא העברת ידע לצוות הלקוח, קיום סדנאות והכשרות פנימיות, כך שלאחר סיום הפרויקט הצוות יודע להמשיך ולתחזק את המערכת באופן עצמאי לאורך זמן. החברה רואה בהטמעת התקן לא יעד נקודתי אלא הקניית כלי ניהול אסטרטגי לארגון, שימשיך לשרת אותו מול אתגרי הפרטיות העתידיים.

לסיכום, תקן ISO/IEC 27701:2025 ממצב עצמו כסטנדרט המוביל לניהול פרטיות מידע בעולם, וארגונים מכל הסוגים שואפים לאמץ אותו כדי לחזק את עמידתם בדרישות ולהוכיח מחויבות לפרטיות. העדכון של 2025 הפך את המשימה לנגישה וממוקדת יותר, ועם שותף מומחה דוגמת CYBEROOT – המסע אל ההסמכה ואל שיפור הגנת הפרטיות הארגונית נעשה בטוח, מהיר ועם ערך מוסף אמיתי לארגון ולמחזיקי העניין שלו.

Facebook
Twitter
LinkedIn
דילוג לתוכן