מה התיקון 13 וכיצד הוא משפיע על משרדי עורכי דין?

תיקון 13 דורש מ-משרדים לדווח על דליפות מידע לרשות להגנת הפרטיות תוך 72 שעות. משרדי עורכי דין נמצאים בעמדה ייחודית מאחר שהם חייבים להשמור על חיסיון מקצועי בו זמנית בהם מחויבים לדווח על דליפות.

מהן דרישות האבטחה לרמה בינונית?

דרישות רמה בינונית כוללות: הצפנת קבצים במנוחה ובמעבר, הגבלת גישה לפי עו״ד, אימות דו-שלבי, לוגים אוטומטיים של גישה למשך 24 חודשים, הסכמי עיבוד מידע עם ספקים, ונוהל תגובה לאירוע מוגדר מראש.

האם שיתוף קבצים דרך WhatsApp או Google Drive אישי כשר לפי תיקון 13?

לא. שיתוף קבצים דרך WhatsApp, Google Drive אישי, או אימייל בלתי מאובטח מהווה הפרה של דרישות תיקון 13. יש להשתמש במערכת ניהול תיקים מאובטחת עם הצפנה ולוגים מלאים של גישה.

⚖️ תיקון 13 — ענף המשפט

משרדי עורכי דין ותיקון 13: החיסיון המקצועי פוגש את חובת הדיווח

תיקי לקוחות, גירושין, עסקאות נדל"ן, ייצוג פלילי — כולם מידע רגיש לפי החוק. דליפה אחת עלולה לעלות לכם בקנס, בביטול רישיון, ובאמון שנבנה שנים.

📅 מרץ 2026

⏱ ~7 דקות

✍️ VARNOXX

מדוע משרדי עורכי דין בסיכון מיוחד

משרדי עורכי דין הם גורם המחזיק בסודות מקצועיים מן הסוג הרגיש ביותר — זו ההגדרה עצמה של המקצוע. אך תיקון 13 יצר מתח חדש: עורכי דין חייבים להגן על חיסיון עורך הדין-לקוח, ובמקביל חייבים לדווח על דליפות מידע לרשות להגנת הפרטיות תוך 72 שעות. דיווח כזה עלול לחשוף את עצם קיום הייצוג — דבר שעורכי דין עשו כל שביכולתם למנוע.

רמת אבטחה נדרשת

בינונית

סוג מידע

רגיש בחוק

חובת דיווח

תוך 72 שעות

הסיכונים העיקריים:

תיקי גירושין — מידע משפחתי אישי, פיננסי, וחסוי לחלוטין
עסקאות נדל"ן — מידע פיננסי של חברות וקנייני בתים פרטיים
ייצוג פלילי — מידע על הרשעות, חקירות, ואסטרטגיות הגנה שלא פורסמו מעולם
הסכמים עסקיים — מידע רגיש על חברות שלעיתים עומדות בניגוד עניינים

הדילמה הייחודית של עורכי הדין

🔐 כאשר מתרחשת דליפת מידע — החוק מחייב לדווח לרשות להגנת הפרטיות תוך 72 שעות. אך דיווח עלול לחשוף את עצם קיום הייצוג. כיצד מתנהלים? ההגנה הטובה ביותר היא מניעה מוחלטת.

עורכי דין בישראל נתונים במלכודת: אם לא תדווחו — אתם מפרים את תיקון 13 ומסתכנים בקנסות כבדים. אם תדווחו — אתם עלולים לחשוף את הלקוח וליצור עדות חיצונית על קיום הייצוג. הפתרון היחיד הוא מניעה מוחלטת — לא להיות בעמדה של דליפה מלכתחילה.

זו הסיבה שמשרדים שמנהלים מידע תיקים בצורה מאובטחת לא רק שומרים על המשפט — הם שומרים גם על האמון של הלקוח שלהם.

מה תיקון 13 מחייב ממשרדכם

כדי לעמוד בדרישות תיקון 13, משרדי עורכי דין נדרשים למבנה אבטחה בסיסי אך יעיל. הנה הדרישות המרכזיות:

הצפנת כל תיקי הלקוחות במנוחה ובמעבר — כל מסד נתונים חייב להיות מוצפן. כל העברת קבצים בין מחשבים או לענן חייבת להשתמש בערוץ מוצפן (VPN / SSL).

הגבלת גישה לתיקים לפי עו"ד מטפל בלבד — רק העו"ד או מזכיר מורשה לתיק יוכלו לגשת לקובץ. אין גישה כללית לשרת.

אימות דו-שלבי (MFA) על כל גישה לתיקים — כל כניסה למערכת ניהול תיקים צריכה סיסמה + אפליקציית אימות (Authenticator). קוד SMS פחות מומלץ — ניתן ליירוט.

לוגים אוטומטיים של גישה לתיקי לקוחות — 24 חודשים — כל גישה תירשם (מי, מתי, מאיפה). זה מאפשר לכם לגלות מיד דליפה חשודה.

הסכם עיבוד מידע עם כל ספק צד שלישי — אם אתם משתמשים במזכירה חיצונית או בתוכנת ניהול תיקים, חייב להיות הסכם כתוב על עיבוד מידע בהתאם לתיקון 13.

נוהל תגובה לאירוע — הגדרה מוקדמת של מי מודיע למי, תוך כמה שעות יש לדווח לרשות להגנת הפרטיות, ומי אחראי על הדיווח בפועל.

הסיכון שרוב המשרדים לא חושבים עליו

הנטייה הנפוצה היום היא להשתמש בכל כלי זמין: WhatsApp, Google Drive אישי, Gmail רגיל, Dropbox ללא הגדרות ארגוניות. זו בדיוק הדרך לדליפה.

📋 תרחיש אמיתי — שלב אחר שלב:

עו"ד שולח מסמכי תיק ללקוח דרך WhatsApp — נוח, מהיר, רגיל לחלוטין.
הלקוח שומר את הקובץ ב-Google Drive האישי שלו: "בטוח שם..."
שנה וחצי לאחר מכן — ה-Google Drive של הלקוח נפרץ. מסמכי התיק דולפים.
המשרד לא ידע על הפריצה — לא היה שום לוג של מי קיבל את הקובץ.
התוצאה: לפי תיקון 13, העברת מידע רגיש דרך ערוץ לא מאובטח היא הפרה — גם אם הדליפה קרתה אצל הלקוח, לא במשרד. האחריות חלה על המשרד.

הגישה הנכונה: מערכת ניהול תיקים מאובטחת עם הצפנה, שבה כל שיתוף קובץ מתועד — מי קיבל, מה קיבל, ומתי. אם מידע ידלוף החוצה — תהיה לכם תיעוד מלא של מסלולו.

שאלות נפוצות

איך מתחילים עם הסכמי עיבוד מידע (DPA)? ﹢

VARNOXX ממפה את כל הספקים שנדרש עמם DPA — כמו עודכנית, Outlook וכלים נוספים שנזהה ביחד — מספקת תבנית סטנדרטית מוכנה לשימוש, ומלווה אתכם בתהליך. הניסוח הסופי והחתימה הם שלכם מול הספקים — אנחנו כאן כדי להפוך את זה לפשוט ומהיר.

האם שיתוף קבצים דרך WhatsApp או Google Drive אישי מותר לפי תיקון 13? ﹢

לא. שיתוף מסמכי תיקים דרך WhatsApp, Google Drive אישי, או אימייל רגיל מהווה הפרה של דרישות תיקון 13 — גם אם הדליפה קרתה אצל הצד השני. יש להשתמש במערכת ניהול תיקים מאובטחת עם הצפנה ולוגים מלאים.

מה קורה אם לא עמדנו בדרישות ונחשפנו לאירוע אבטחה? ﹢

חובה לדווח לרשות להגנת הפרטיות תוך 72 שעות. נטל ההוכחה עובר אליכם — אתם צריכים להראות שנקטתם בכל האמצעים הסבירים. ללא תיעוד מסודר, גם אירוע קטן יכול להפוך לקנס משמעותי.

בדקו את החשיפה של המשרד שלכם

VARNOXX עובדת עם משרדי עורכי דין ברחובות, ראשון לציון ובאזור השפלה. בדיקת החשיפה הראשונית כוללת מיפוי מלא של פרצות אבטחה ודו"ח מוכנות לעמידה בתקנות.

מיפוי פרצות אבטחה

בדיקת גישה לתיקים

דו"ח עמידה בתקנות

המלצות מעשיות ליישום

מחיר רגיל: 1,900 ₪ 1,500 ₪ בלבד

לקביעת בדיקת חשיפה ←

📞 058-634-0063

ראו גם — מדריכים לענפים אחרים:

📊 תיקון 13 למשרדי רואי חשבון ← 🏥 תיקון 13 למרפאות וקליניקות ← 🖥️ שירותי מחשוב מנוהלים לעסקים ← 💾 גיבוי ושחזור מידע לעסקים ←

← חזרה למדריך תיקון 13

⚖️ Amendment 13 — Legal Sector

Law Firms and Amendment 13: When Professional Privilege Meets Mandatory Reporting

Client files, divorce cases, real estate transactions, criminal representation — all classified as sensitive data under Israeli law. One breach could cost you fines, loss of license, and years of client trust.

📅 March 2026

⏱ ~7 minutes

✍️ VARNOXX

Why Law Firms Face Unique Risk

Law firms are custodians of secrets — that's the profession itself. But Amendment 13 created a new tension: attorneys must protect professional privilege, while simultaneously reporting data breaches to the Privacy Authority within 72 hours. That report could expose the very existence of representation — something lawyers have never wanted to disclose.

Security Level Required

Intermediate

Data Classification

Legally Sensitive

Reporting Timeline

72 Hours

Key Risk Areas:

Divorce cases — intimate family and financial data, completely confidential
Real estate transactions — financial information of companies and private buyers
Criminal representation — records of convictions, attempts, arguments never exposed publicly
Business agreements — information at the intersection of competing corporate interests

The Unique Dilemma of Legal Practice

🔐 When a data breach occurs — the law requires you to report to the Privacy Authority within 72 hours. But that report could expose the very existence of representation. How do you navigate this? The best defense is absolute prevention.

Israeli attorneys are caught in a bind: if you don't report, you violate Amendment 13 and face substantial fines. If you do report, you risk exposing your client and creating external evidence of representation. The only real solution is perfect prevention — never being in a position where a breach occurs in the first place.

This is why law firms that manage client data securely don't just comply with the law — they protect the trust their clients have placed in them.

What You Need — Intermediate Level

To comply with Amendment 13, law firms need to invest in a basic but effective security structure. Here are the key requirements:

Encrypt all client files at rest and in transit — Every database must be encrypted. Every file transfer between computers or to the cloud must use an encrypted channel (VPN / SSL).

Restrict access to files by assigned attorney only — Only the managing attorney or authorized staff can access that file. No general server access.

Multi-factor authentication (MFA) on all file access — Every login to the case management system requires password + SMS code or Authenticator app.

Automatic access logs for client files — 24 months retention — Every access is recorded (who, when, from where). This lets you spot a suspected breach immediately.

Data processing agreements with all third-party vendors — If you use external secretaries or case management software, there must be a written contract establishing them as a data processor under Amendment 13.

Incident response procedure — Define in advance who reports to whom, when reporting is mandatory, and how quickly notification reaches the Authority.

The Risk Most Firms Don't Think About

The temptation of today is to use whatever tool is convenient: WhatsApp groups, personal Google Drive, unencrypted Gmail, firm-wide Dropbox. That's exactly how breaches happen.

A common scenario: An attorney sends a case file to a colleague via WhatsApp. The colleague saves it to a personal Google Drive folder ("it's safe there..."). A year and a half later, that Google Drive gets compromised from somewhere. The firm never knew — there was no log. That's a breach caused by lack of controlled access.

What compliant file sharing looks like: A secure case management system (like Casepoint or LawLabs) with encryption, where every file share creates an audit trail. Who received what, when. If a file escapes the system, you have a written record.

Assess Your Firm's Exposure

VARNOXX works with law firms across the Shephelah region and greater Tel Aviv. An initial exposure assessment includes a complete audit of security gaps and a compliance readiness report.

Security Gap Mapping

File Access Audit

Compliance Report

Actionable Recommendations

Regular price: 1,900 ₪ 1,500 ₪ only

Schedule Your Assessment →

📞 058-634-0063

See also — guides for other industries:

📊 Amendment 13 for Accounting Firms → 🏥 Amendment 13 for Medical Clinics → 🖥️ Managed IT Services for Business → 💾 Business Data Backup & Recovery →

← Back to Amendment 13 Guide