עמידה בדרישות הפרטיות וניהול רשומות בסביבות Google Workspace ו-Cloud Identity

עדכון אחרון: 20 בספטמבר 2022

כדי לעמוד בדרישות לגבי אבטחה, חוזים והעברת נתונים בכפוף לחוקי ההגנה על נתונים באיחוד האירופי, בריטניה ושוויץ, בסביבות Google Workspace ו-Cloud Identity צריך לחתום על הנספח לעיבוד נתונים ב-Cloud ‏(CDPA) (נקרא בעבר "תיקון לעיבוד נתונים" או DPA) שמשולבים בו סעיפים חוזיים סטנדרטיים (SCC). לקוחות שמחויבים לעמוד בדרישות של HIPAA צריכים לחתום על ההתיקון בנושא שותפים עסקיים.

איך מביעים הסכמה לנספח לעיבוד נתונים ב-Cloud ‏(CDPA)

אתם צריכים להביע הסכמה ל-CDPA רק אם ההסכם שלכם עם Google Workspace או Cloud Identity לא מאזכר את הנספח הזה (או את ה-DPA). אם אתם לא בטוחים בעניין, מומלץ להביע הסכמה ל-CDPA כי הנספח הזה כולל התחייבויות חשובות לעמידה בדרישות, ואם ההסכם שלכם כולל אותו (או את ה-DPA), שום דבר לא ישתנה.

אם אתם רוצים להביע הסכמה:

  1. במסוף Google Admin, נכנסים לתפריט ואז חשבון ואז הגדרות חשבון ואז נושאים משפטיים ועמידה בדרישות.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע תנאים נוספים בנושא אבטחה ופרטיות שבנספח לעיבוד נתונים ב-Cloud להסכם עם Google Workspace או Cloud Identity, לוחצים על קריאה ואישור.
  3. חשוב שאתם או האדם המתאים בארגון תעיינו בסעיפי החוזה.
  4. לוחצים על אני מסכים/ה.

כאן יש מידע נוסף על העמדה של Google לגבי General Data Protection Regulation (התקנות הכלליות להגנה על מידע, GDPR), וכאן על אבטחה ואמון ב-Google Workspace.

שלב 1: מאשרים שהחוק האירופי לגבי הגנה על נתונים חל על הארגון

אם הכתובת שלכם לחיוב נמצאת מחוץ לאירופה, למזרח התיכון ולאפריקה, והשימוש שלכם ב-Google Workspace או ב-Cloud Identity כפוף ל-GDPR של האיחוד האירופי, ל-GDPR של בריטניה או לחוק השווייצרי FDPA (כל אחד מהם מוגדר בנספח לעיבוד הנתונים ב-Cloud‏ (CDPA) שנקרא בעבר "תיקון לעיבוד נתונים"), אתם צריכים לאשר את זה ולציין את הרשות המפקחת המוסמכת (או הרשויות המפקחות המוסמכות) שלכם. כדי לעשות את זה אתם צריכים לבצע את ההוראות שבהמשך.

  1. במסוף Google Admin, נכנסים לתפריט ואז חשבון ואז הגדרות חשבון ואז נושאים משפטיים ועמידה בדרישות.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בתנאים הנוספים לאבטחה ופרטיות, לוחצים על ציון שחוק "הגנה על נתונים" של האיחוד האירופי חל עליך.
  3. לוחצים על אישור אם החוק חל.
  4. לוחצים על שמירה. אם רוצים לבטל את האישור, לוחצים על ביטול האישור.

שלב 2: מספקים פרטים על הרשות המפקחת האירופית, האחראי להגנה על מידע (DPO) והנציג של הארגון

  1. במסוף Google Admin, נכנסים לתפריט ואז חשבון ואז הגדרות חשבון ואז נושאים משפטיים ועמידה בדרישות.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. בקטע הרשויות המפקחות, מציינים את הרשויות הרלוונטיות.
  3. לוחצים על שמירה.
  4. אם יש צורך לכך בארגון, מבצעים את השלבים לרישום אחראי להגנה על מידע (DPO) או נציג בהתאם ל-GDPR.

איך מאשרים את התיקון בנושא שותפים עסקיים לפי HIPAA

לקוחות שמחויבים לעמוד בדרישות של HIPAA צריכים לחתום על התיקון בנושא שותפים עסקיים (BAA).

כדי לעיין בהסכם ה-BAA ולאשר אותו, אתם צריכים להיות מחוברים לחשבון אדמין ב-Google Workspace או Cloud Identity של הארגון. כרגע, משתמשים ב-Google Workspace או ב-Cloud Identity שהם לא אדמינים ומשתמשים במהדורה החינמית מדור קודם של Google Workspace (שנקראת לפעמים Google Apps Standard Edition) לא יכולים לעיין בהסכם BAA של Google ולאשר אותו.

איך מעיינים בתיקון בנושא שותפים עסקיים לפי HIPAA

  1. במסוף Google Admin, נכנסים לתפריט ואז חשבון ואז הגדרות חשבון ואז נושאים משפטיים ועמידה בדרישות.

    כדי לבצע את המשימה הזאת אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. נכנסים לקטע תנאים נוספים בנושא אבטחה ופרטיות.
  3. כדי לעיין בתיקון, לוחצים על תיקון בנושא שותפים עסקיים ב-Google Workspace או Cloud Identity לפי HIPAA.
  4. כדי לאשר שאתם ישות שכפופה ל-HIPAA, לוחצים על קריאה ואישור ועונים על שלוש השאלות.
  5. כדי לאשר את ה-HIPAA BAA, לוחצים על אישור.

מידע נוסף