עדכון לקוחות – הנחיות חדשות בנוגע לעיבוד מידע רפואי

עדכון לקוחות – הנחיות חדשות בנוגע לעיבוד מידע רפואי

הרשות להגנת הפרטיות ("הרשות") פרסמה לאחרונה שני מסמכי טיוטה מנחים, שבשלב זה פתוחים להערות הציבור, אשר עוסקים בהיבטי הגנת הפרטיות בקשר לעיבוד מידע רפואי. היות ומידע רפואי מוגדר בחוק הגנת הפרטיות, התשמ"א-1981, כ"מידע רגיש", מפרטת הרשות על סיכוני פרטיות שאינהרנטיים לשימוש וניהול מידע זה, הן על ידי מוסדות רפואיים והן על ידי מקומות עבודה בקשר עם הליכי מיון וקבלה לעבודה, ומספקת המלצותיה בהקשרים אלו.

מידע רפואי, ושימוש במכשירים דיגיטליים ותוכנות לא ייעודיות 
לראשונה, הרשות פרסמה מסמך המלצות בנושא זה, העוסק בהגנה על פרטיות מטופלים בעת העברת מידע רפואי, באמצעות מכשירים דיגיטליים ותוכנות לא ייעודיות ("המסמך"). מעבר להתייחסותה להיבטים בהם שימוש בממשקים כאמור מהווה סיכון לפרטיות וסקירת המסגרת הנורמטיבית שמתייחסת למידע רפואי, הרשות מספקת הבהרות והמלצות לטובת גיבוש כללים מנחים, ביחס לשימוש במכשירים דיגיטליים ותוכנות לא ייעודיות להעברת מידע רפואי.

חובות החלות על ארגונים ומוסדות המספקים שירותי בריאות ורפואה
ככלל, על ארגונים מסוג זה חלה חובה לאבטח את המידע בעת העברתו מהמאגר. חובות אלו כוללות את החובות המנויות בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, לרבות חובת נקיטה באמצעי הגנה בעת שימוש בהתקנים ניידים, הטמעת אבטחת תקשורת בעת העברת המידע ברשת ציבורית וחובת דיווח על קרות אירוע אבטחה חמור. חשוב לציין, כי לפי הרשות, העברת מידע רגיש ממאגרי מידע של ארגון על ידי עובד הארגון אל מחוצה לו, ללא אישור או הרשאה מטעם הארגון, עשויה בנסיבות מסוימות להיחשב אירוע אבטחה חמור

באשר להמלצות להנהלות ארגונים ומוסדות המספקים שירותי בריאות ורפואה, הרשות ממליצה לפעול כדלקמן:

  1. יש לפעול להגברת המודעות של גורמי הרפואה הפועלים תחתיהם בדבר הסיכונים לפרטיות הכרוכים בשימוש במכשירים דיגיטליים ובתוכנות לא ייעודיות להעברת מידע, וכן להנחות אותם ביחס להתנהלות נכונה בהקשר זה.
  2. יש לפרסם מדיניות פנים ארגונית בדבר שמירת מידע רפואי במכשירים דיגיטליים שמתייחסת גם להיבטי העברת מידע זה במערכות שאינן ייעודיות. על מדיניות זו לכלול התייחסות לסוגיות השונות כגון: הסכמת המטופל להעברת המידע, מחיקת המידע, מדיניות שימוש בסיסמאות כניסה למכשירים, שליטה על הרשאות גישה ועוד. 
  3. כמו כן, על מדיניות כאמור לכלול התייחסות גם למצבי "סוף חיים" (EOL) של מכשירים מוסדיים בהם נשמר מידע רפואי, אשר תקבע, בין היתר, את הצורך לפרמט מכשירים אלו ולמחוק מידע רפואי השמור בהם, בטרם הם נמכרים, נזרקים או מועברים הלאה לגורמים שונים.
  4. יש לבחון אפשרות של אספקת מכשירים ייעודיים לעובדים וקידום הטמעה של מערכות "סגורות" ויעילות להעברת מידע רפואי המבטיחות רמת אבטחת מידע נאותה. לכל הפחות, הרשות ממליצה להשתמש במערכות לניהול התקנים ניידים (MDM).
  5. כחלק חלק מתפיסה רחבה יותר של "עיצוב לפרטיות", יש לשקול עריכת תסקיר השפעה על פרטיות בשלב מוקדם של תכנון מערכות המידע כדי למזער את הסיכון לפגיעה בפרטיות המטופלים.


באשר לחובות ספציפיות שנוגעות לשימוש במכשירים דיגיטליים ותוכנות לא ייעודיות:

  1. יש להימנע ככל האפשר, משימוש בתוכנות שאינן ייעודיות להעברת מידע רפואי. הרשות ממליצה גם להימנע מלשמור מידע רפואי במכשירים פרטיים. כאשר אין אפשרות אחרת מלבד העברת מידע רפואי באמצעים אלו, יש לעשות כל מאמץ שלא יועבר מידע אישי מזוהה ויש להשמיט מזהים ישירים כגון: שם, מספר תעודת זהות, תמונת פנים וכדומה. 
  2. בהתאם לעיקרון צמצום מידע עודף, מומלץ בעת שימוש במכשירים דיגיטליים ובתוכנות לא ייעודיות להעברת מידע, לשמור ולהעביר אך ורק את המידע הרפואי המינימלי הנדרש למטרת שמירתו והעברתו.
  3. לאחר השגת המטרה לשמה נשמר המידע במכשיר, מומלץ להעביר את המידע, בהקדם האפשרי, לשמירה במערכות הרפואיות הייעודיות שנועדו לכך, והכל בהתאם להנחיות משרד הבריאות והמוסד הרפואי.
  4. לאחר שמירת המידע במערכות הייעודיות, ווידוא כי המידע הועבר ונשמר כנדרש, מומלץ למחוק את המידע, הן מזיכרון המכשיר והן מזיכרון התוכנה הלא ייעודיות שבה הוא הועבר, אלא אם ניתן להצביע על סיבה מיוחדת לשמירת עותק מהמידע גם במכשיר.
  5. מומלץ כי מידע רפואי שנשמר במכשיר דיגיטלי ומועבר באמצעות תוכנות לא ייעודיות, לא יישמר במקביל גם בשירותי גיבוי ענן פרטיים ושאינם ייעודיים כגון Google Drive או Dropbox.
  6. יש להשתמש באמצעי אבטחה למכשירים ולתוכנות בהם נעשה שימוש להעברת מידע רפואי, כגון שימוש בסיסמת כניסה חזקה ומורכבת למכשירים, אימות דו-שלבי, זיהוי ביומטרי וכו'. בין השאר, מומלץ להקפיד שלא לעשות שימוש בסיסמה אחת למגוון של אמצעים ולהחליף את הסיסמאות באופן קבוע, לפחות אחת לשלושה חודשים.
  7. יש להשתמש בגרסאות מעודכנות של התוכנות המותקנות במכשירים הדיגיטליים.
  8. יש להימנע ככלל משימוש ברשתות Wi-Fi פתוחות ולהשתמש ברשת סלולרית או באמצעות רשת ווירטואלית פרטית ((VPN.
  9. בעת בחירת סוג וזהות התוכנה יש לתת עדיפות לתוכנות הפועלות לחיזוק פרטיות משתמשים ושליטתם במידע.
  10. בעת שימוש בתוכנות לא ייעודיות להעברת מידע, מומלץ להשתמש באפליקציות שמקורן בחנויות אפליקציות רשמיות. 
  11. יש לבחון ולנהל את ההרשאות המוגדרות באפליקציות, באופן שיצמצם איסוף מידע לא נדרש.
  12. על גורמי רפואה המשתמשים בתוכנות לא ייעודיות להעברת מידע רפואי, להתקין במכשיריהם תוכנות להגנה על מידע ולמניעת חדירה למכשירים, כגון תוכנות חומת אש ואנטי וירוס.


בשלב זה, המסמך אינו מחייב והינו זמין להתייחסות הציבור. הערות לגביו ניתנות להעברה לרשות עד לתאריך 6.12.22 בכתובת ppa@justice.gov.il.


היבטי פרטיות בוויתור על סודיות רפואית בתהליך קבלה לעבודה
מסמך הטיוטה השני ("מסמך היבטי פרטיות במקום העבודה") שפרסמה הרשות, מתמקד בהיבטי פרטיות בוויתור על סודיות רפואית וחשיפת מידע רפואי בתהליכי מיון וקבלה לעבודה. מסמך זה מתאר מתי איסוף מידע רפואי נדרש במסגרת תהליך הקבלה לעבודה, סוקר את הוראות הדין הקיימות בהקשר זה, מציג הבהרות ומציע המלצות ביחס לנושא.

מבחינת איסוף מידע, הרשות מכירה בכך כי לעיתים במסגרת הליך הקבלה לעבודה, נדרשים מועמדים לעבור בדיקות רפואיות, או למלא שאלונים רפואיים, ולשם כך גם נדרשים לחתימה על ויתור סודיות. הרשות מבהירה כי הצורך של מעסיקים לקבל פרטים מסוימים בדבר מצבו הרפואי של מועמד למשרה עשוי להיות לגיטימי ולנבוע מדרישות התפקיד. עם זאת, יש מצבים בהם בקשת מעסיק ממועמד לחשוף את מצבו הרפואי יכולה להוביל לפגיעה שאינה מוצדקת ואינה מידתית בפרטיותו.

ההמלצות המרכזיות שעולות ממסמך היבטי הפרטיות במקום העבודה הן כדלקמן:

  1. יש להבטיח שההסכמה לחשיפת מידע רפואי משקפת את רצונו החופשי של המועמד. מאחר שמועמד לעבודה נתפס "חלש" לעומת מעסיקים, הסכמה לחשוף מידע רפואי במסגרת הליך הגיוס לא תתפרש בהכרח כהסכמה מתוך רצונו החופשי. בהתאם, מנחה הרשות כי יש לוודא שאכן מדובר בהסכמה שמשקפת את רצונו החופשי של המועמד. ניתן ליישם זאת בפועל, באמצעות כך שהדרישה לוויתור על סודיות רפואית ולחשיפת המידע תידחה עד לאחר קבלת ההחלטה העקרונית בדבר התאמת המועמד למשרה. כמו כן, רצוי לכלול הסברים בדבר הצורך הענייני בקבלת המידע הרפואי, קרי לפרט על דרישות המשרה הקונקרטית והרלוונטיות שלה לאיסוף המידע, כדי לבסס הסכמה שמשקפת רצון חופשי של מועמד.
  2. יש להימנע מאיסוף מידע שאינו רלוונטי. איסוף מידע רפואי בהיקף נרחב, מעלה את החשש כי מעסיקים לא יקבלו מועמד למשרה מסוימת על רקע בעיות רפואיות אליהן הם נחשפו, ולמרות שאין בבעיות אלו כל רלוונטיות לתפקיד שאליו מתמיין המועמד. על מעסיקים להיות מסוגלים להצביע על הרלוונטיות הישירה של המידע למשרה האמורה ולשאלת ההתאמה אליה. במקרים בהם המשרה או התפקיד מחייבים קבלת מידע רפואי נרחב וכולל בדבר מצבו הבריאותי של המועמד, או כאשר צורך זה נובע מדרישה חוקית, על המעסיק גם ליידע ולהבהיר את הדברים בפני המועמד, לפני שהוא מספק את הסכמתו וחותם על מסמך ויתור הסודיות. בנוסף, במידה ובמסגרת תהליך איסוף המידע נחשף מידע רפואי עודף ורב מהנדרש – על מעסיקים להימנע מלהחזיק או להשתמש במידע זה לשם בחינת התאמת המועמד למשרה.
  3. יש להשתמש במידע רק למטרות שלשמן נאסף. על מעסיקים להקפיד להשתמש במידע רפואי שנאסף אך ורק לשם בדיקת ההתאמה של עובד למשרה הספציפית עליה הוא מתמודד. במידה ומעסיק מבקש להחזיק ולהשתמש במידע למטרות לגיטימיות אחרות, מחדדת הרשות כי יהיה עליו לקבל הסכמה נפרדת ומפורשת מהמועמד על כך.
  4. תקופת שמירת המידע וצמצום מידע עודף. ככל שמידע רפואי רגיש נשמר על ידי המעסיק לתקופה ארוכה מעבר לנדרש – כך גובר הסיכון כי מידע זה ידלוף או ייחשף. לכן, על מעסיקים לשמור מידע רפואי על עובדיהם ומועמדים שלא התקבלו לעבודה, רק לתקופה התואמת את מטרת איסוף המידע או מטרת המאגר בו שמור המידע. בנוסף, על מעסיקים לבחון, לפחות אחת לשנה, האם שמירת המידע נדרשת לשם מטרה לשמה נאסף. אם תוצאת הבחינה היא שהמידע אינו דרוש עוד למעסיק, מדובר במידע עודף שאין עוד הצדקה להמשך החזקתו.
  5. יש לאפשר למועמד לממש את זכויותיו לעיון במידע ותיקונו.
  6. הגבלה העברות מידע רפואי לצדדים שלישיים. יש לאפשר העברה של המידע רפואי לצדדים שלישיים רק בהסכמת המועמד או העובד, או כאשר העברה זו מחויבת על-פי הוראות הדין. משמעות הדבר היא שיש לספק למועמד או לעובד מידע על הצדדים השלישיים שעלולים להיחשף למידע הן במסגרת תהליך המיון והן במשך העסקת העובד.
  7. גיבוש כללים לאיסוף מידע רפואי ספציפי הנדרש לשם בחינת התאמתו של מועמד למשרה מסוימת. כשהמידע נאסף על ידי גורם מטפל, עליו לעבור אך ורק לרופא תעסוקתי, ולא למעסיק. על הרופא התעסוקתי לבחון את מצבו הרפואי של המועמד בהתאם לדרישות המשרה, ולהעביר למעסיק רק את חוות דעתו בדבר כשירותו של המועמד למשרה המסוימת, ללא פירוט נוסף בדבר מצבו הרפואי. לחילופין, ובהתאם לנסיבות הרלוונטיות, הרשות גם ממליצה למעסיקים לבקש ממועמדים שנמצאו מתאימים לעבודה, להמציא מסמך סיכום מידע רפואי והצהרה על מצבם הרפואי בהתאם לנסיבות המשרה. 

בשלב זה, גם מסמך היבטי פרטיות במקום העבודה אינו מחייב והינו זמין להתייחסות הציבור. הערות לגביו ניתנות להעברה לרשות עד לתאריך 20.12.22 בכתובת ppa@justice.gov.il

אנו מזמינים את לקוחותינו אשר נמנים על סוג הארגונים שאליהם מתייחסות ההמלצות המפורטות במסמך, או כאלו המספקים שירותים שבמסגרתם מקבלים גישה למידע רפואי, להכיר את המלצותיה של הרשות ולגבש מדיניות שעולה בקנה אחד עם עמדותיה בנושאים שפרטנו לעיל. נשמח לעמוד לרשותכם בכל שאלה או הבהרה בנושא.

בברכה,
מחלקת דיני עבודה ומחלקת סייבר, מידע ופרטיות,
שבלת ושות'

האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו בכל מקרה פרטני ללא ייעוץ משפטי נוסף.

חדשות נלוות