מתי נכנס תיקון 13 לתוקף?

תיקון 13 לחוק הגנת הפרטיות נכנס לתוקף ב-14 באוגוסט 2025, כשנה לאחר אישורו בכנסת ב-5 באוגוסט 2024.

מה גובה הקנסות בתיקון 13?

הרשות להגנת הפרטיות יכולה להטיל קנסות מנהליים של מאות אלפי שקלים, ועד מיליוני שקלים בגין הפרות חמורות. הקנס המקסימלי עומד על 3.2 מיליון שקל לעבירה בארגון מסחרי.

האם משרד עורכי דין קטן צריך לעמוד בתיקון 13?

כן. כל עסק המחזיק מידע רגיש — כולל תיקי לקוחות, מידע רפואי, מידע פיננסי — נדרש לעמוד בתקנות. משרדים קטנים נכנסים לפחות לרמת אבטחה בסיסית עד בינונית לפי סוג המידע שברשותם.

מי חייב למנות ממונה הגנת פרטיות?

גופים ציבוריים, ארגונים העוסקים בסחר במידע עם מעל 10,000 אנשים, וגופים המעבדים מידע רגיש בהיקף נרחב. רוב המשרדים הפרטיים הקטנים אינם חייבים ממונה פרטיות, אך חייבים לעמוד בשאר הדרישות.

מה ההבדל בין רמות האבטחה השונות?

התקנות מגדירות 4 רמות: בסיסית א (עוסקים בודדים), בסיסית ב (עסקים קטנים-בינוניים), בינונית (עסקים עם מידע רגיש כמו משרדי עו"ד ורפואה), וגבוהה (גופים ציבוריים גדולים).

תיקון 13 לחוק הגנת הפרטיות — המדריך המלא לעסקים עם מידע רגיש

מה השתנה בתיקון 13?

עד אוגוסט 2025, רוב בעלי העסקים בישראל יכלו לראות באבטחת מידע כ"המלצה". הפרת חוק הגנת הפרטיות הובילה להליכים פליליים ממושכים שלעיתים נדירות בוצעו. זה השתנה. תיקון 13 העביר את ישראל ממשטר פלילי תיאורטי לאכיפה מנהלית מהירה עם קנסות כבדים — בדיוק כמו ה-GDPR האירופי.

תאריך כניסה לתוקף

14.8.2025

שנה לאחר אישורו בכנסת

קנס מקסימלי לעבירה

3.2M ₪

לארגון מסחרי בהפרה חמורה

הגוף האוכף

הרשות להגנת הפרטיות

ללא צורך בהליך פלילי בבית משפט

מי מושפע

כל בעל מאגר מידע

כולל עסקים קטנים ובינוניים

השינויים המרכזיים לעסקים

אכיפה מנהלית במקום פלילית: הרשות להגנת הפרטיות מטילה קנסות ישירות — ללא הליך בבית משפט. נטל ההוכחה עבר לעסק.
הגדרות מורחבות: "מידע אישי" ו"מידע רגיש" קיבלו הגדרות רחבות יותר — כוללות כעת מידע גנטי, ביומטרי, ומידע על העדפות מיניות.
חובות שקיפות: מדיניות פרטיות מעודכנת, הסכמי עיבוד מידע עם ספקי צד ג' נדרשים.
ביטול רישום מאגרים: חובת הרישום הפורמלית בוטלה לרוב העסקים, אך החובה לאבטח מידע נותרה ומחמירה.
דרישות ממונה פרטיות ממוקדות: ממונה הגנת פרטיות נדרש רק לגופים ציבוריים ולארגונים גדולים המעבדים מידע בהיקף נרחב מאוד.

קנסות ואכיפה מנהלית: המספרים האמיתיים

השינוי הגדול ביותר בתיקון 13 הוא המעבר מאכיפה פלילית (נדירה ומורכבת מבחינה משפטית) לאכיפה מנהלית מהירה עם השלכות כספיות כבדות.

⚠️ שינוי בנטל ההוכחה

בעבר, הרשות הייתה צריכה להוכיח שהפרתם את החוק. כיום, לאחר אירוע אבטחה, העסק צריך להוכיח שנקט בכל האמצעים הסבירים. אי-תיעוד = ראיה לרשלנות.

סולם הקנסות המנהליים

הפרות קלות (למשל: נהלים לא מתועדים) — עשרות אלפי שקלים.
הפרות בינוניות (למשל: מערכות לא מאובטחות, גישה לא מבוקרת) — מאות אלפי שקלים.
הפרות חמורות או נמשכות (למשל: דליפת מידע, אי-דיווח על אירוע אבטחה) — עד 3.2 מיליון ₪ לעבירה.

חשוב: הקנסות מצטברים. אירוע אחד יכול לגרור מספר הפרות — אי-אבטחה, אי-דיווח, ואי-תיעוד — כל אחת עם קנס נפרד.

4 רמות אבטחת המידע — באיזו רמה אתם?

תקנות אבטחת המידע מגדירות 4 רמות לפי סוג המידע והיקפו. רוב משרדי עורכי הדין, הרפואה ורואי החשבון נכנסים לרמה הבינונית — לא לבסיסית כפי שרבים חושבים.

רמה	מי נכנס לכאן	דרישות עיקריות
בסיסית א	עוסקים בודדים עם מידע אישי מינימלי	נהלים כתובים, סיסמאות בסיסיות
בסיסית ב	רוב העסקים הקטנים-בינוניים עם מידע שגרתי	בנוסף: הערכת סיכונים, בקרת גישה, תיעוד אירועים
בינונית ⬅ אתם כאן	עסקים עם מידע רגיש: רפואי, משפטי, פיננסי	בנוסף: אימות דו-שלבי, לוגים אוטומטיים לשמירה של 24 חודשים, בדיקות חדירה, הערכת סיכונים כל 18 חודשים
גבוהה	גופים ציבוריים גדולים, מאגרים מעל 100,000 איש	בנוסף: ממונה הגנת פרטיות חובה, ביקורות חיצוניות

חובות הדיווח החדשות — ה"סיוט התדמיתי"

כסף זה כואב; נזק תדמיתי זה קטסטרופה. תיקון 13 מהדק ומחריף את חובות הדיווח על "אירועי אבטחה חמורים".

מה נחשב "אירוע אבטחה חמור" שחייב דיווח?

גישה לא מורשית למידע של לקוחות (כולל ניסיון גישה שנחסם)
גניבה או אובדן מחשב נייד או טלפון המכיל מידע לקוחות
מתקפת כופרה שהצפינה תיקי לקוחות
עובד שהדליף מידע — בין אם בטעות ובין אם בכוונה
ספק או קבלן חיצוני שחשף מידע שמסרתם לו

⚠️ אחריות מול ספקי צד שלישי

אם שיתפתם מידע עם רואה חשבון, מזכירות, ספק תוכנה, או כל קבלן חיצוני — ואצלם אירעה דליפה — אתם עדיין אחראים. החוק מחייב לדאוג שגם ספקיכם עומדים בתקנות.

מה תיקון 13 מחייב מכם באופן מעשי

לעסקים המחזיקים מידע רגיש — עורכי דין, רופאים, רואי חשבון — הדרישות המינימליות כוללות:

נהלי אבטחה כתובים ומתועדים: לא מספיק "אנחנו יודעים מה לעשות". חייב להיות כתוב.
הערכת סיכונים כל 18 חודשים: מיפוי של כל המערכות, הנתונים, והסיכונים.
בקרת גישה לפי "צורך לדעת": עובד לא צריך לדעת מה שלא נחוץ לתפקידו.
אימות דו-שלבי: על כל מערכת המכילה מידע לקוחות.
לוגים אוטומטיים: תיעוד של מי גישה למה, לאיזה מידע, ומתי — לשמירה של 24 חודשים.
בדיקות חדירה: בדיקה חיצונית של פרצות אבטחה.
נוהל תגובה לאירועים: מה עושים בדקה הראשונה אחרי גילוי אירוע.
גיבויים מוצפנים ומנותקים: גיבוי שנמצא בתוך הרשת לא מגן מפני כופרה.
הסכמי עיבוד מידע עם ספקים: הסכם חתום עם כל ספק שיש לו גישה למידע שלכם.

לפי ענף: מה ייחודי לכם?

תיקון 13 חל על כולם — אך ההשלכות שונות לפי ענף. לחצו על הענף שלכם לדף מפורט:

⚖️

משרדי עורכי דין

חיסיון עורך דין-לקוח פוגש בחובות דיווח חדשות. תיקי גירושין, עסקאות נדל"ן, ייצוג פלילי — כולם ברמה בינונית לפחות. גם דליפה קטנה עלולה לפגוע באמון שנבנה שנים.

לדף המלא ←

🏥

מרפאות וקליניקות רפואיות

מידע רפואי נחשב למידע רגיש במיוחד בחוק. רשומות חולים, תוצאות בדיקות, אבחנות — כל אלה מחייבים הגנה ברמה הגבוהה ביותר שנדרשת ממרפאה פרטית.

לדף המלא ←

📊

משרדי רואי חשבון

גישה לדוחות כספיים, מס הכנסה, ומידע עסקי אסטרטגי של לקוחות מרובים. ספק חשבונאות הופך לאחד מנקודות החשיפה הגבוהות ביותר בתיקון 13.

לדף המלא ←

למה "איש ה-IT שלי אמר שהכל בסדר" לא מספיק

זוהי הטעות הנפוצה ביותר. רוב הטכנאים מצוינים בתיקון מדפסות ובהגדרת Outlook — אך הם חסרים את הכלים והידע לניהול אבטחת מידע רגולטורי.

תיקון 13 דורש הרבה יותר מאנטי-וירוס בסיסי. הוא דורש:

ניטור פעיל 24/7: מערכות זיהוי ותגובה לנקודות קצה שמזהות ניסיונות פריצה לפני שהנזק נגרם.
תיעוד ודיווח: לוגים שנשמרים 24 חודשים ומוכנים לביקורת.
הערכות סיכון מחייבות: בדיקה מובנית כל 18 חודשים — לא "בדיקה כשנרגיש".
ניהול ספקים: הסכמי עיבוד מידע עם כל ספק חיצוני שנוגע במידע שלכם.
נוהל תגובה לאירועים: מה עושים ב-24 השעות הראשונות — כולל הדיווח לרשות.

VARNOXX פועל כמנהל האבטחה של המשרד שלכם — לא רק כתמיכה טכנית. אנחנו מנהלים את המסגרת הטכנולוגית והרגולטורית כך שאתם תוכלו להתרכז בלקוחות.

רשימת תיוג — 8 שאלות שיגלו את החשיפה שלכם

לפני שהמבקר מגיע, שאלו את עצמכם. תשובה "לא" או "לא בטוח" מצביעה על סיכון ממשי:

האם מותקנת תוכנת הגנה מתקדמת המנוטרת 24/7?
לא מספיק אנטי-וירוס רגיל. דרושה מערכת שמזהה איומים לפני שהם גורמים נזק.
האם יש גיבויים מוצפנים בענן המנותקים מרשת המשרד?
גיבוי שמחובר לרשת ייפגע בהתקפת כופרה. צריך גיבוי מנותק ומוצפן.
האם שיניתם סיסמאות ברירת מחדל על ראוטרים ושרתים לאחרונה?
סיסמאות ברירת מחדל הן הכניסה הראשית של תוקפים. שינוי נדרש ומתועד.
האם אתם יודעים בדיוק אילו עובדים יש להם גישה למידע הרגיש ביותר?
חייב להיות תיעוד של מי מורשה לגשת למה — ולבצע ביקורת גישה תקופתית.
האם קיים נוהל תגובה לאירועי אבטחה כתוב ומתורגל?
מי מתריע? מי מדווח לרשות? בתוך כמה שעות? חייב להיות נוהל ולא השערה.
האם חתמתם על הסכמי עיבוד מידע עם כל ספקי הצד השלישי?
מזכירות חיצונית, תוכנת ניהול לקוחות, רואה חשבון — כולם דורשים הסכם בחוק.
האם מותקן אימות דו-שלבי על כל הגישות למייל ולמערכות המשרד?
דרישה מפורשת לרמה הבינונית. ללא אימות דו-שלבי — הפרה ישירה של התקנות.
האם בוצעה הערכת סיכונים מסודרת ב-18 החודשים האחרונים?
לא "אנחנו יודעים שהכל בסדר". הערכה מסודרת, מתועדת, עם ממצאים בכתב.

📚 מקורות רשמיים לאימות עצמאי

אל תחכו לביקורת מפתיעה

VARNOXX מציעה בדיקת חשיפה ראשונית לעסקים המחזיקים מידע רגיש. הבדיקה כוללת מיפוי פרצות אבטחה, בדיקת מוכנות גיבויים, ודו"ח מצב עמידה בתקנות החדשות.

✓ מיפוי מלא של פרצות אבטחה
✓ בדיקת מוכנות גיבויים
✓ דו"ח מצב עמידה בתקנות
✓ המלצות מעשיות לתיקון

מחיר רגיל: ~~1,900 ₪~~ 1,500 ₪ בלבד — הצעה לזמן מוגבל

לקביעת בדיקת חשיפה ←
או התקשרו: 058-634-0063

What Changed in Amendment 13?

Until August 2025, most Israeli business owners could treat information security as optional. Privacy law violations led to lengthy criminal proceedings that were rarely executed. That changed. Amendment 13 shifted Israel from a theoretical criminal regime to swift administrative enforcement with heavy fines — much like the European GDPR.

Enforcement Date

14.8.2025

One year after Knesset approval

Max Fine Per Violation

NIS 3.2M

For a commercial entity, serious violation

Enforcing Body

Privacy Protection Authority

No court proceedings required

Who Is Affected

Any data controller

Including small and medium businesses

The Key Changes for Businesses

Administrative instead of criminal enforcement: The Privacy Authority imposes fines directly — no court proceedings required. The burden of proof shifts to the business.
Expanded definitions: "Personal data" and "sensitive data" are now defined more broadly — including genetic, biometric data, and sexual preference information.
Transparency obligations: Updated privacy policies and data processing agreements with third-party vendors are required.
Database registration eliminated: Formal registration requirements removed for most businesses, but the obligation to secure data remains and has become stricter.
Focused DPO requirements: Data Protection Officers are only required for public bodies and large organizations processing data at significant scale.

Fines and Administrative Enforcement: The Real Numbers

The biggest change in Amendment 13 is the shift from criminal enforcement (rare and legally complex) to swift administrative enforcement with significant financial consequences.

⚠️ Shift in Burden of Proof

Previously, the Authority had to prove you violated the law. Today, after a security incident, the business must prove it took all reasonable measures. No documentation = evidence of negligence.

Administrative Fine Scale

Minor violations (e.g., undocumented procedures) — tens of thousands of shekels.
Moderate violations (e.g., unsecured systems, uncontrolled access) — hundreds of thousands of shekels.
Serious or persistent violations (e.g., data breach, failure to report a security incident) — up to NIS 3.2 million per violation.

Important: Fines accumulate. A single incident can trigger multiple violations — failure to secure, failure to report, failure to document — each with a separate fine.

The 4 Security Tiers — Which Level Are You?

The data security regulations define 4 tiers based on data type and volume. Most law firms, medical practices, and accounting offices fall into the Intermediate tier — not Basic, as many assume.

Tier	Who Falls Here	Key Requirements
Basic A	Sole proprietors with minimal personal data	Written procedures, basic passwords
Basic B	Most small-medium businesses with routine data	Plus: risk assessments, access control, incident logging
Intermediate ⬅ You are here	Businesses with sensitive data: medical, legal, financial	Plus: MFA, automated logs retained 24 months, penetration testing, risk assessments every 18 months
High	Large public bodies, databases over 100,000 people	Plus: mandatory DPO, external audits

New Reporting Obligations — The Reputational Nightmare

Money hurts; reputational damage is catastrophic. Amendment 13 tightens breach notification requirements for "serious security incidents."

What Counts as a "Serious Security Incident" Requiring Notification?

Unauthorized access to client data (including blocked attempts)
Theft or loss of a laptop or phone containing client data
Ransomware attack that encrypted client files
Employee data leak — whether accidental or intentional
Vendor or contractor who exposed data you shared with them

⚠️ Third-Party Vendor Liability

If you shared data with an accountant, secretary service, software vendor, or any external contractor — and a breach occurred on their end — you are still liable. The law requires ensuring your vendors also comply with the regulations.

What's Required in Practice — Intermediate Tier

For businesses at the Intermediate tier (lawyers, doctors, accountants), minimum requirements include:

Written and documented security procedures: "We know what to do" isn't enough. It must be in writing.
Risk assessments every 18 months: Mapping all systems, data, and risks.
Need-to-know access control: Employees shouldn't access what's not required for their role.
Multi-factor authentication (MFA): On every system containing client data.
Automated logging: Record who accessed what data and when — retained for 24 months.
Penetration testing: External testing for security vulnerabilities.
Incident response procedure: What to do in the first minute after discovering an incident.
Encrypted, isolated backups: Backups within your network don't protect against ransomware.
Data Processing Agreements with vendors: Signed DPA with every vendor who has access to your data.

By Industry: What's Unique to You?

Amendment 13 applies to all — but the implications differ by industry. Click your industry for a detailed page:

⚖️

Law Firms

Attorney-client privilege meets new reporting obligations. Divorce cases, real estate transactions, criminal representation — all at intermediate tier minimum. Even a small breach can destroy years of trust.

Full page →

🏥

Medical Clinics

Medical data is classified as especially sensitive under the law. Patient records, test results, diagnoses — all require the highest protection level required of a private clinic.

Full page →

📊

Accounting Firms

Access to financial statements, tax returns, and strategic business data of multiple clients. An accounting firm becomes one of the highest-exposure points under Amendment 13.

Full page →

Why "My IT Guy Said Everything's Fine" Isn't Enough

This is the most common mistake. Most technicians are excellent at fixing printers and configuring Outlook — but they lack the tools and expertise for regulatory information security management.

Amendment 13 requires far more than basic antivirus. It demands:

24/7 active monitoring: Endpoint detection and response systems that identify breach attempts before damage occurs.
Documentation and reporting: Logs retained for 24 months and audit-ready.
Mandatory risk assessments: Structured review every 18 months — not "when we feel like it."
Vendor management: Data processing agreements with every external vendor touching your data.
Incident response procedure: What to do in the first 24 hours — including reporting to the Authority.

VARNOXX acts as your office's security manager — not just technical support. We manage the technological and regulatory framework so you can focus on clients.

Compliance Checklist — 8 Questions That Reveal Your Exposure

Before the auditor arrives, ask yourselves. A "no" or "unsure" answer indicates real risk:

Is advanced protection software installed and monitored 24/7?
Regular antivirus isn't enough. You need a system that detects threats before they cause damage.
Do you have encrypted cloud backups isolated from your office network?
Network-connected backups will be hit in a ransomware attack. Isolated, encrypted backups are required.
Have default passwords on routers and servers been changed recently?
Default passwords are attackers' primary entry point. Changes must be made and documented.
Do you know exactly which employees have access to your most sensitive data?
There must be documentation of who is authorized to access what — with periodic access reviews.
Is there a written and practiced incident response procedure?
Who alerts? Who reports to the Authority? Within how many hours? Must be a procedure, not a guess.
Have you signed Data Processing Agreements with all third-party vendors?
External secretaries, CRM software, accountants — all legally require a signed agreement.
Is multi-factor authentication enabled on all email and office system access?
Explicit requirement for Intermediate tier. Without MFA — a direct regulatory violation.
Has a formal risk assessment been conducted in the past 18 months?
Not "we know everything's fine." A formal, documented assessment with written findings.

📚 Official Sources for Independent Verification

Don't Wait for a Surprise Audit

VARNOXX offers an initial exposure assessment for businesses holding sensitive data. The assessment includes mapping security vulnerabilities, checking backup readiness, and generating a compliance status report against the new regulations.

✓ Full security vulnerability mapping
✓ Backup readiness check
✓ Regulatory compliance status report
✓ Practical remediation recommendations

Regular price: ~~₪1,900~~ ₪1,500 only — limited time offer

Schedule an Assessment →
Or call: 058-634-0063

תיקון 13 לחוק הגנת הפרטיות
המדריך המלא לעסקים עם מידע רגיש

מה השתנה בתיקון 13?

השינויים המרכזיים לעסקים

קנסות ואכיפה מנהלית: המספרים האמיתיים

סולם הקנסות המנהליים

4 רמות אבטחת המידע — באיזו רמה אתם?

חובות הדיווח החדשות — ה"סיוט התדמיתי"

מה נחשב "אירוע אבטחה חמור" שחייב דיווח?

מה תיקון 13 מחייב מכם באופן מעשי

לפי ענף: מה ייחודי לכם?

משרדי עורכי דין

מרפאות וקליניקות רפואיות

משרדי רואי חשבון

למה "איש ה-IT שלי אמר שהכל בסדר" לא מספיק

רשימת תיוג — 8 שאלות שיגלו את החשיפה שלכם

📚 מקורות רשמיים לאימות עצמאי

אל תחכו לביקורת מפתיעה

Amendment 13 to Israel's Privacy Protection Law
The Complete Guide for Businesses with Sensitive Data

What Changed in Amendment 13?

The Key Changes for Businesses

Fines and Administrative Enforcement: The Real Numbers

Administrative Fine Scale

The 4 Security Tiers — Which Level Are You?

New Reporting Obligations — The Reputational Nightmare

What Counts as a "Serious Security Incident" Requiring Notification?

What's Required in Practice — Intermediate Tier

By Industry: What's Unique to You?

Law Firms

Medical Clinics

Accounting Firms

Why "My IT Guy Said Everything's Fine" Isn't Enough

Compliance Checklist — 8 Questions That Reveal Your Exposure

📚 Official Sources for Independent Verification

Don't Wait for a Surprise Audit