הרשות להגנת הפרטיות במשרד המשפטים פרסמה "מדריך פעולה להתקשרות עם ספקי מיקור חוץ". המדריך נועד לסייע לארגונים ליישם את הוראות תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. התקנה קובעת כי על בעל מאגר מידע, המתקשר עם גורם חיצוני לצורך קבלת שירות (הכרוך במתן גישה למאגר המידע של המזמין), לבחון לפני ההתקשרות את סיכוני אבטחת המידע הכרוכים בה, ולהתקשר בהסכם עם הגורם החיצוני המסדיר את חובותיו בתחום הפרטיות ואבטחת המידע.
הרשות מדגישה כי לשימוש של ארגון בספקים, הכולל מתן גישה לספקים אל מאגרי המידע של הארגון, יש משמעויות משפטיות, עסקיות וטכנולוגיות, שכן בדרך כלל, ספקים אלה אינם חלק מהמערך הארגוני, אינם נמנים על עובדי הארגון, והם נותנים שירות למגוון ארגונים במקביל. לכן, לפי הרשות, קיימים סיכונים רבים בהיבטי סייבר ואבטחת מידע קשורים לגישה של ספקים חיצוניים אלה למידע האישי בארגון, להעברת מידע בין הספקים לארגון, ולסיום ההתקשרות בין השניים.
המדריך שפרסמה הרשות נועד לשמש כמדריך 'פרקטי', המסייע לארגונים ליישם את הוראות תקנה 15. הוא מתייחס בפירוט לתוכן ההסכם המתחייב בין המזמין לספק, וכולל שאלון עזר לבדיקת היבטי אבטחת מידע של הספק, וכן שאלון מוצע לגבי ביצוע ביקורת תקופתית אצל הגורם החיצוני. מקור: הרשות להגנת הפרטיות.