לקוחות וידידים.ות יקרים.ות,
ביום ה-5 במרץ, 2024 פרסמה הרשות להגנת הפרטיות נייר עמדה בעניין הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעים דיגיטליים ("ההנחיה"), במסגרתה מבקשת הרשות לספק המלצות בעניין בראי הגנת הפרטיות ולחדד את החובות המוטלות בהקשר זה על בעלי מאגרי המידע הרפואי.
לנוחותכם, להלן מובאים עיקרי הדברים העולים מההנחיה.
כללי
בשנים האחרונות מתפתחת תופעה לפיה גורמים המעניקים שירותי בריאות וטיפול רפואי ("גורמי רפואה") מעבירים מידע על אודות מטופלים הן באמצעות מכשירים דיגיטליים, פרטיים או בבעלות המוסד הרפואי, והן באמצעות תוכנות שאינן ייעודיות להעברת מידע רפואי דוגמת WhatsApp, Gmail, Telegram ו-Signal (בהתאמה: "המכשירים" ו-"תוכנות שאינן ייעודיות").
הרשות עומדת על ההיבטים המרכזיים לסיכון הקיים לפגיעה בפרטיות המטופלים כתוצאה מתופעה זו, כדלקמן:
- מידע רפואי שנשמר במכשירים ובמאגרי מידע ומועבר באופן מקוון, אשר אינם מאובטחים דיים, עלול לזלוג ולהיחשף כתוצאה מפריצה מכוונת אליהם או מכשל פנימי בהם.
- ערבוב השימוש היומיומי של גורמי הרפואה במכשירים, המשמשים לצרכי עבודה ולצרכים אישיים, מגביר את הסיכון לטעויות אנוש ולחשיפת מידע רגיש לגורמים שאינם מורשים.
- לגניבת מידע רגיש עשויות להיות השלכות קשות, הן ברמה האישית – על מטופל שמידע רפואי אודותיו נחשף ברבים והן ברמה הציבורית – לפגיעה באמון הציבור במוסדות הבריאות במדינה, ואף להביא לשיבוש המידע באופן העלול לשמש בסיס להחלטות רפואיות שגויות ולפגיעה בבריאות מטופלים.
- חברות מסחריות המספקות תשתיות להעברת המידע, בעיקר באמצעות תוכנות ואפליקציות "חינמיות", עלולות להשתמש במידע הרגיש לצרכיהן (או בחלקים ממנו).
- שימוש של גורמי רפואה במכשירים פרטיים ובתוכנות שאינן ייעודיות עשוי להיעשות שלא בידיעת המטופלים או בהסכמתם.
הדין החל
הרשות מפרטת את הוראות הדין החלות על העברת מידע רפואי במכשירים ותוכנות שאינן ייעודיות ומבקשת להבהיר, כי העברת מידע זה כפופה לחוק הגנת הפרטיות, התקנות שתוקנו מכוחו ולהנחיות משרד הבריאות בנושא רשומות רפואיות, שמירתן ואופן אבטחתן.
הרשות מבקשת להבהיר, כי אישור שנותן ארגון המספק שירותי בריאות ורפואה ("מוסד/ות רפואי/ים") להשתמש במכשירים ובתוכנות שאינן ייעודיות, מטיל על המוסד הרפואי חובות ספציפיות בנוגע לאבטחת המידע בשימוש במכשירים ובתוכנות האמורות.
קרי, המוסד הרפואי נושא באחריות לאבטחת המידע האישי על אודות מטופלים, שנאסף ומועבר במסגרת פעילותם, וחלה עליו החובה לוודא כי מידע זה אינו מועבר בניגוד להוראות הדין ואינו נחשף לגורמים שאינם מורשים.
הבהרות והמלצות להנהלות המוסדות הרפואיים
הרשות קוראת להנהלות המוסדות הרפואיים, המשמשים כבעלי מאגרי המידע הרפואיים, לפעול להגברת מודעות גורמי הרפואה בדבר הסיכונים לפרטיות הכרוכים בשימוש במכשירים ובתוכנות שאינן ייעודיות להעברת מידע ולהנחותם ביחס להתנהלות נכונה בהקשר זה.
רצוי לבחון את התוכנות הקיימות בשוק להעברת המידע ולהנחות את גורמי הרפואה להשתמש רק בתוכנות שיימצאו על-ידי המוסד הרפואי כראויות מבחינת אבטחת המידע (הצפנה מקצה לקצה, אפשרות למחיקת מידע וכו').
מוסד רפואי המתיר להשתמש בתוכנות שאינן ייעודיות להעברת מידע רפואי מזהה ייקבע מדיניות פנימית ברורה שתשוקף לגורמי הרפואה ולציבור הרחב.
הרשות ממליצה לבחון הספקת מכשירים ייעודיים לגורמי הרפואה והטמעת תוכנות סגורות להעברת מידע רגיש המבטיחות רמת אבטחה נאותה. לכל הפחות, מומלץ להשתמש במערכות לניהול התקנים ניידים (MDM) המאפשרות, בין היתר, פיקוח על פעילות המכשירים לשם יישום מדיניות אבטחת מידע.
בנוסף, מבקשת הרשות להדגיש את התועלת הרבה שבמינוי ממונה הגנת פרטיות בארגון, וכי עריכת תסקיר השפעה על פרטיות בשלב מוקדם של תכנון מערכות המידע היא הדרך היעילה והאפקטיבית למזעור הסיכון לפגיעה בפרטיות מטופלים.
הבהרות והמלצות לגורמי הרפואה
הרשות מנחה את גורמי הרפואה לפעול בנושא בהתאם להנחיות מעסיקיהם ומדגישה, כי העברת מידע רגיש ממאגרי הארגון אל מחוצה לו, ללא אישור, עשויה להיחשב אירוע אבטחה חמור בהתאם לדין, המחייב בעלי מאגרים לדווח לרשות באופן מיידי על האירוע. לעניין זה מבהירה הרשות, כי גם מקרה בו מטפל נתן לילדו גישה לטלפון הנייד שלו ותוך כך נחשף למידע רגיש – ייחשב אירוע אבטחה חמור (כתלות ברמת האבטחה שחלה על מאגר מידע זה).
במקרים בהם המוסד הרפואי מאשר לעובדיו להשתמש במכשירים ובתוכנות שאינן ייעודיות להעברת מידע רפואי מתווה הרשות, בין היתר, את דרכי הפעולה המפורטות להלן:
- יש לצמצם ככל האפשר את השימוש בתוכנות שאינן ייעודיות להעברת מידע מזוהה וכן להימנע מלשמור מידע כאמור על מכשירים פרטיים, ובכל מקרה יש לעשות כל מאמץ להשמיט מידע שעלול להביא לזיהוי המטופל (שם, ת.ז., תמונות וכו').
- העברת מידע רפואי תיעשה בהתאם לחוק זכויות החולה.
- יש להקפיד לשמור על פרטיות מטופלים ועל מידע הנוגע אליהם.
- יש לשמור ולהעביר את המידע הרפואי המינימלי הנדרש למטרת שמירתו והעברתו.
- לאחר השגת המטרה שלשמה נשמר, יש לשמור את המידע במערכות הרפואיות הייעודיות, ולאחר מכן למחוקו בהקדם האפשרי מזיכרון מכשירים ומזיכרון תוכנות שאינן ייעודית.
- יש להימנע משמירת המידע בשירותי גיבוי ענן פרטיים שאינם ייעודיים (כגון Google Drive או Dropbox) ולמחוקו בהקדם האפשרי, ככל שנשמר.
- יש להשתמש באמצעי אבטחה כגון שימוש בסיסמה חזקה ומורכבת למכשירים, אימות דו-שלבי, זיהוי ביומטרי. כמו כן, יש להקפיד שלא להשתמש בסיסמה אחת למגוון אמצעים ולהחליפן לפחות אחת לשישה חודשים.
- יש להשתמש בגרסאות מעודכנות של התוכנות המותקנות במכשירים ולוודא כי אלו עובדים בגרסת מערכת ההפעלה האחרונה ומעודכנים בעדכוני האבטחה האחרונים.
- יש להימנע משימוש ברשתות Wi-Fi פתוחות ולעבוד ברשת הסלולרית או ברשת ווירטואלית פרטית (VPN).
- יש להשתמש באפליקציות שמקורן בחנויות אפליקציות רשמיות.
- יש להתנות שימוש בתוכנות שאינן ייעודיות בהתקנת תוכנות להגנה על מידע ולמניעת חדירה למכשירים כגון אנטי וירוס.
- אין להשאיר מכשירים ללא השגה ויש לדווח מיידית לבעלי המאגר על כל חשש לחדירה, העתקה או דליפה של מידע, וכל עניין אחר שעלול להצביע על בעיית אבטחת מידע.
סיכום
הסכנות הטמונות בתופעה הנ"ל לפגיעה בפרטיות המטופלים מחייבות, בראש ובראשונה, את הנהלות המוסדות הרפואיים לביצוע ההתאמות הנדרשות במדיניות אבטחת המידע בארגון. התנהלות המנוגדת להנחיה זו של הרשות עשויה לעלות לכדי הפרה של הוראות הדין החלות על בעלי מאגרי המידע הרפואיים.
האתגרים בתחום הגנת הפרטיות, אבטחת המידע והסייבר בקרב גופי בריאות מתגברים עם הזמן והעובדה שמספר רגולטורים מעורבים באירועים הנוגעים לנושאים האמורים (לרבות הרשות להגנת הפרטיות, משרד הבריאות, משטרת ישראל, מערך הסייבר הלאומי, ועוד) מחזקת עוד יותר את חשיבות ההיערכות הארגונית ושמירה על ציות להוראות החוק.
נשמח לעמוד לרשותכם בכל שאלה וכן לסייע ביישום ההמלצות המפורטות.
בברכה,
פרקטיקת סייבר, מידע ופרטיות
שבלת ושות'
האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו בכל מקרה פרטני ללא ייעוץ משפטי נוסף.