עורך דין המשתמש בשרת דואר חינמי לקבלה ולשליחה של מידע של לקוחות ייראה כמי שלכאורה מפר את חובת הסודיות המוטלת עליו מכוח כללי האתיקה. כך קובע גילוי דעת מקיף שפרסמה היום (ג') ועדת האתיקה של לשכת עורכי הדין בנושא אבטחת המידע המצוי בידי עורכי הדין (החלטה את/1/22).
ההחלטה מבקשת לקבוע רף מינימלי של עמידה בחובות אבטחה. אי עמידה בו תקים חזקה ניתנת לסתירה לכך שעורך הדין הפר את חובותיו לשמור את ענייני לקוחותיו בסוד. עמידה ברף המינימלי הנדרש כשלעצמה אינה מספיקה: היא תנאי חיוני אבל לא בלעדי ובכל מקרה על עורך הדין להראות שנקט אמצעי אבטחה התואמים את המידע והפעילות במשרדו.
ועדת האתיקה הארצית מצאה שההתפתחויות הטכנולוגיות מזמנות שאלות וסוגיות רבות באשר לאופן מימוש חובות הסודיות של עורכי הדין במרחב הדיגיטלי, לרבות בטלפונים הניידים שלהם, במחשביהם האישיים, ברשת המחשב ובשירותים המקוונים המשמשים אותם בפעילותם המקצועית. התקפות סייבר ואירועי זליגת מידע המרובים בארץ ובעולם, כך לפי ועדת האתיקה, "מחייבים את ציבור עורכי הדין להגדיל את תשומת הלב והמשאבים לצורך אבטחת המידע הסודי ולהביאו לרמה הולמת המתחייבת על פי דין".
הועדה נתנה המלצותיה בארבעה היבטים עיקריים:
- שימוש בשירותים ורכישתם – עורכי הדין יעשו שימוש באמצעים טכנולוגיים ובספקים חיצוניים בהתאם למידת רגישות המידע ולהשפעה הפוטנציאלית על הלקוח. בנוסף, עורכי הדין יחויבו ברכישת רישיון מערכת הפעלה מוכרת וידועה (law.co.il אומר שלום ללינוקס; לשכת עורכי הדין חושבת שמערכת ההפעלה הנפוצה בעולם אינה מאובטחת דיה) ושל שירותי דוא"ל מאובטח. בהקשר זה הובהר כי חזקה שספק שירותי טכנולוגיה חינמי החשוף למידע סודי של הלקוח, אינו עומד בדרישות אבטחת המידע הנדרשות (להתראות ג'ימייל, היי שלום דרופבוקס, לשכת עורכי הדין נגדכם, חושב law.co.il בצער ומפקפק בהגיונה של ההחלטה הזו).
- הגנה ואבטחה – עורכי הדין ינקטו באמצעי אבטחה הולמים, לרבות התקנת עדכונים באופן שוטף, בחירה בסיסמאות שלא יתגלו בנקל, והצפנת תהליך ההתחברות מרחוק. עוד נקבע, כי על עורכי הדין לוודא כי אמצעי התקשורת החזותית בה הוא עושה שימוש אינו מותיר גישה לצד שלישי ואינו נצפה, מוקלט או מוסרט בידי צד שלישי ללא ידיעת המשתתפים.
- הכשרה והדרכה – עורכי הדין ישתתפו בהדרכות בנושא אבטחת מידע לפחות אחת לשנתיים.
- היערכות והתמודדות – עורכי הדין יערכו לאירועי אבטחה באופן שיאפשר התאוששות מהירה והגנה, לרבות באמצעות גיבוי המידע.
באופן חריג ושאינו עולה בקנה אחד עם הוראות תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017, נקבע כי עורכי דין נדרשים לעדכן את לקוחותיהם על פירצות אבטחה העלולות לסכן את המידע הסודי הקשור לייצוגם. בתקנות לא קיימת חובה לדווח על אירועי אבטחה ליחידים שהמידע על אודותיהם נפגע, אלא בהוראה מפורשת של רשם מאגרי המידע.
בהחלטת הועדה נקבע, כי עמידה בהמלצות אלה, המהוות רף מינימלי של אבטחת מידע, תהווה בסיס לכאורי להנחה כי עורך הדין עמד בחובותיו האתיות לאבטחת המידע, אף אם יתברר בדיעבד כי המידע של הלקוחות נחשף. לאחר 2022, שנת היערכות, ועדת האתיקה מודיעה כי תתחיל בנקיטת צעדים משמעתיים נגד עורכי דין שתמצא כי לא עמדו בהוראותיה.