במהלך השנים האחרונות חלה עלייה בולטת בשימוש בשרותי מיקור חוץ על ידי ארגונים שונים, הן במגזר הפרטי והן בציבורי. בנסיבות אלה, ספקי השירותים השונים באים במגע עם מידע שלא נאסף על-ידם ולכך משמעויות לא מבוטלות כאשר מדובר על מידע פרטי.
מתן גישה לספקי השירותים למאגרי המידע של הארגון, טומן בחובו השלכות משפטיות, עסקיות וטכנולוגיות משמעותיות. הסיבה לכך נעוצה בעובדה כי ספקי השירותים פועלים בדרך כלל ללא תלות במבנה הפנימי של הארגון או בשליטתו. כמו כן, היות ומדובר בספקי שירותים, בדרך כלל מידע שונה מגורמים שונים נמצא בשליטתם זמנית.
כתוצאה מכך, גישת ספקים חיצוניים למידע של לקוחותיהם מגביר באופן משמעותי סיכוני סייבר ואבטחת מידע. המאסדר הישראלי קבע בתקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), תשע”ז – 2017 מהן הדרישות בעת שימוש במיקור חוץ.
למרות שמדובר ברשימה ברורה של דרישות, אופן הישום בפועל נותר לשיקול דעת הארגון והעדר סטנדרט רצוי מותיר פתח לתקלות וחיכוכים מיותרים. לאור זאת, הרשות להגנת הפרטיות נכנסה לעובי הקורה וניסחה עבור הציבור מדריך התקשרות עם ספקי חוץ המפרט באופן רחב יותר מה ואיך יש לבצע.
המדריך ישמש כלי רב ערך עבור ארגונים המבקשים ליישם ביעילות את ההוראות המפורטות בתקנה 15 לתקנות אבטחת המידע. למדריך נוספו שני נספחים יעודיים – שאלון עזר לבדיקת היבטי אבטחת המידע של הספק ושאלון מוצע לאופן ביצוע הבקרה התקופתית אצל הגורם החיצוני.
במילים אחרות, חובה על כל מי שמחזיק במידע פרטי ומאפשר גישה לספקי שירות שונים, לקרוא היטב את המפורט במדריך ולפעול בהתאם להנחיותיו.
