רגולציהתקנות אבטחת מידע7 דק׳ קריאהעודכן: 14 במאי 2026

תקנה 13 ובינה מלאכותית — איך תקנות אבטחת המידע חלות על מערכות AI

תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017 הן הבסיס המעשי לדרישות אבטחת המידע על מאגרי מידע בישראל. תקנה 13 מטילה חובות מוגברות על מאגרי מידע ברמת אבטחה גבוהה — תיעוד מקיף, ביקורות תקופתיות, וניהול הרשאות מסודר. כשהארגון מעבד מידע אישי באמצעות AI, התקנות חלות במלוא תוקפן.

שנת התקנות
2017
רמות אבטחה
5
שמירת audit log
24m
מבדק פנימי
2y
תוכן עניינים (3)
  1. 01 חמש רמות אבטחה
  2. 02 החובות העיקריות
  3. 03 חמש פעולות מיידיות

סקירת התקנות — חמש רמות אבטחה

תקנות הגנת הפרטיות (אבטחת מידע) מסווגות כל מאגר לאחת מחמש רמות אבטחה:

  • מאגר בסיסי — דרישות מינימליות (תקנה 4)
  • מאגר ברמה בינונית — מצריך נוהל אבטחה מתועד (תקנה 5)
  • מאגר ברמה גבוהה — דרישות מוגברות, כולל ביקורות שנתיות (תקנה 13)
  • מאגר בהיקף ייחודי — מעל 5 מיליון נושאי מידע
  • מאגר מסוג מיוחד — מאגרי גופים ציבוריים מסוימים

רוב ארגוני SaaS, פינטק, ובריאות בישראל מסווגים כ-׳מאגר ברמה גבוהה׳ — וזה השלב שבו תקנה 13 נכנסת לתוקף. למפת המאגרים השלמה, ראו מאגרי מידע + חוקי ישראל + AI.

החובות העיקריות של תקנה 13

1. ניהול הרשאות גישה

חובה לתעד מי רשאי לגשת למאגר, באיזו רמת הרשאה (קריאה / כתיבה / מחיקה), ועל בסיס מה ניתנה ההרשאה. בהקשר AI:

  • איזה משתמשים יכולים להזין מידע מהמאגר לכלי AI חיצוני?
  • איזה מערכות AI מקבלות הרשאת קריאה ל-API של המאגר (לדוגמה, chatbot שמושך נתוני לקוח)?
  • איזה משתמשים יכולים להוריד פלטים של מודל שמכיל מידע אישי?

רשימה זו צריכה להתעדכן בכל שינוי תפקיד, וצריך לבטל הרשאה מיד עם סיום העסקה.

2. תיעוד פעולות גישה (audit log)

כל גישה למאגר ברמה גבוהה צריכה להיות מתועדת בלוג שלא ניתן לשנות. בהקשר AI, זה משמעותי:

  • תיעוד של כל פרומפט שכולל מידע אישי
  • תיעוד של כל קריאת API מ-מערכת AI למאגר המידע הארגוני
  • תיעוד של אילו נתונים יוצאו לכלי AI חיצוני, מתי, ועל ידי מי

3. בקרת מורשים תקופתית

תקנה 13 דורשת ביקורת תקופתית של מורשי הגישה — בדרך כלל פעם בשנה לפחות. במערכות AI, הביקורת חייבת לכלול גם: אילו service accounts וAPI keys ניגשים למאגר? האם הספקים החיצוניים עדיין פעילים? האם חוזי DPA איתם בתוקף?

4. ניהול אירועי אבטחת מידע

תקנה 13 מטילה חובת תיעוד וטיפול בכל אירוע אבטחת מידע — כולל ניסיון גישה לא מורשית, חשיפה בלתי מכוונת, אובדן נתונים. בהקשר AI, יש אירועים ייחודיים שצריך להגדיר:

  • ׳הזיה׳ של מודל שחשפה מידע פרטי של משתמש אחר
  • הזנת מידע רגיש לכלי AI חיצוני ללא DPA (שימוש לא מורשה של עובד)
  • שינוי מודל אצל הספק שגרם לאיכות תוצאות פחותה או הטיה

אירוע חמור (השפעה על 10,000 נושאי מידע ומעלה, או מידע ברגישות מיוחדת) חייב בדיווח לרשות תוך 72 שעות מהזיהוי. ראו פירוט החובה בתיקון 13 לחוק.

5. ביקורת פנימית תקופתית

מאגר ברמת אבטחה גבוהה חייב במבדק פנימי לפחות אחת לשנתיים. ארגון מתקדם משלב את המבדק הזה עם מבדקי ISO 27001 ו-ISO 42001 — חיסכון משמעותי בעבודה חוזרת. ראו את המדריך שלנו לחיבור בין שני התקנים.

חמש פעולות מיידיות לעמידה בתקנה 13 בהקשר AI

  1. 1

    רשימת מורשי גישה

    תוך 30 יום: מי בארגון יכול להזין מידע מהמאגר לכלי AI חיצוני? לתעד, לבטל הרשאות לא נחוצות.

  2. 2

    חוזי DPA מעודכנים

    לוודא שלכל ספק AI שמעבד מידע מהמאגר יש חוזה עם סעיפי אבטחת מידע מתאימים לרמת המאגר.

  3. 3

    תיעוד פעולות (audit log)

    להפעיל לוג על כל גישה ל-API של המאגר, כולל גישות ממערכות AI. לשמור לפחות 24 חודשים.

  4. 4

    נוהל אירועי AI

    להוסיף לנוהל הקיים סעיפים על אירועי AI ייחודיים: הזיות שחושפות מידע, הזנה לא מורשית.

  5. 5

    מבדק שנתי משולב

    לתכנן את המבדק הפנימי הבא כך שיכלול גם בקרת AI. הפורטל מפיק רשימת נקודות בקרה ספציפית.

שאלות נפוצות

5 שאלות
האם תקנות אבטחת המידע חלות על מערכת AI?

כן, ברגע שהמערכת מעבדת מידע אישי שמהווה חלק ממאגר מידע רשום. אם הארגון מזין נתוני לקוחות לכלי AI חיצוני (ChatGPT, Claude, Copilot) לעיבוד — זו פעולת ׳מסירה לגורם חיצוני׳ ותחומה תחת התקנות.

מה זה ׳מאגר ברמת אבטחה גבוהה׳?

תקנה 1 מגדירה מאגר ברמת אבטחה גבוהה כמאגר שמעבד מידע על 100,000 אנשים או יותר, או שמטרת המאגר ׳כרוכה ברגישות מיוחדת׳ (מידע רפואי, מידע פיננסי על מצב כלכלי, נתוני מיקום, מידע על קטינים).

מה צריך לתעד לפי תקנה 13?

מסמך הגדרות מאגר, נוהל אבטחת מידע, רשימת מורשי גישה, רשימת ספקים חיצוניים, רישום אירועי אבטחת מידע, ודוחות ביקורת פנימית תקופתיים (לפחות אחת לשנתיים). בהקשר AI: גם רשימת מערכות AI שניגשות למאגר, וחוזי DPA עם הספקים.

האם כלי AI כמו ChatGPT הוא ׳מחזיק׳ של המאגר?

סביר להניח שכן, אם הארגון מזין אליו מידע אישי. החוק מבחין בין ׳בעל המאגר׳ (הארגון) ל-׳מחזיק׳ (גורם חיצוני שמעבד עבור הבעל). זה מחייב חוזה כתוב, סעיפי DPA, ובדיקת רמת אבטחת המידע אצל הספק.

מה הקנסות?

עד 2024 הקנסות היו מוגבלים יחסית, אבל תיקון 13 לחוק (שנכנס לתוקף ב-2026) מעלה אותם משמעותית — עד 5% מהמחזור השנתי או 3.2 מיליון ₪. ראו את המאמר על תיקון 13.

מוכנות מבוססת נתונים

מוכנים למפות את חשיפת ה-AI בארגון?

פורטל מובנה בעברית — שאלון 15 דקות, תוצאה מיידית של פערים ומפת דרכים.

פתחו ארגון חדש →חזרה לדף הבית

שאלות? צריכים ייעוץ?

מענה אנושי

צוות AliceSolutionsGroup זמין לליווי ארגונים במסלול מוכנות ל-ISO/IEC 42001, EU AI Act ותיקון 13 לחוק הגנת הפרטיות.

תמיכה בפורטל

[email protected]

ייעוץ ולקוחות

[email protected]

מפת נושאים

איך תקנה 13 + AI מתחבר לשאר המדריכים

קו מודגש = קשר ישיר. קו מקווקו = השתייכות לאותו אשכול.

תקנה 13 + AIISO/IEC 42001ISO 27001 ↔ 42001EU AI Actתיקון 13מאגרי מידע + AIGRC ל-AIהערכת סיכוני AI
רגולציהתקניםמסגרתתפעול

מאמר באשכול: רגולציה