נבקש לעדכנכם כי ביום 6.11.2022 פירסמה הרשות להגנת הפרטיות טיוטת מסמך להערות הציבור בנושא העברת מידע רפואי. המסמך עוסק בתופעה שהתפתחה בשנים האחרונות, לפיה גורמי רפואה מעבירים מידע אודות מטופלים באמצעות מכשירים דיגיטליים (טלפונים חכמים, מחשבים ניידים) ותוכנות שאינן ייעודיות להעברת מידע רפואי (כגון  Telegram, WhatsApp).

מידע רפואי הוא מידע רגיש המצוי בליבת הפרטיות; משכך, שמירת מידע רפואי על אודות מטופלים במכשירים פרטיים או מכשירים מוסדיים המשמשים לשימושים אישיים, וכן העברת מידע שכזה באמצעות מכשירים דיגיטליים אישיים, או באמצעות תוכנות לא ייעודיות, עלולות לסכן את פרטיות המטופלים, ולהביא לזליגה ולחשיפה של מידע רפואי, באופן שיהווה הפרה של הוראות חוק הגנת הפרטיות וחוק זכויות החולה.

ככלל, ארגונים ומוסדות המספקים שירותי בריאות ורפואה הם בעלי המאגרים בהם נשמר המידע הרפואי על אודות מטופלים המקבלים טיפול במסגרתם ועליהם חלה החובה להגן ולאבטח מידע רפואי אודות מטופלים.

אישור שנותן ארגון או מוסד המספק שירותי בריאות להשתמש במכשירים דיגיטליים (פרטיים או מוסדיים) ובתוכנות שאינן ייעודיות, מטיל על הארגון חובות ספציפיות בנוגע לאבטחת המידע, ביניהן גם חובת דיווח מיידי לרשות להגנת הפרטיות בעת קרות אירוע אבטחה חמור.

העברת מידע רגיש ממאגרי מידע של ארגון על-ידי עובד הארגון אל מחוצה לו, ללא הרשאה או אישור מהארגון, עשויה בנסיבות מסוימות להיחשב אירוע אבטחה חמור, ולעלות לכדי איסור פלילי (למשל, שליחה בטעות של סיכום טיפול הכולל פרטים אישיים לאדם שאינו מורשה לקבל את המסמך).

הרשות להגנת הפרטיות מפרסמת הבהרות והמלצות לגורמי רפואה; להלן העיקרים שבהן:

העברת מידע רגיש ממאגרי מידע של ארגון על-ידי עובד הארגון אל מחוצה לו, באישור הארגון:

• תיעשה בהתאם להוראות סעיף 20 לחוק זכויות החולה (בהסכמת המטופל/ באם יש חובה על פי דין למסור את המידע/ העברה למטפל אחר לצורך טיפול במטופל/ לצורך מחקר מדעי, ועוד).
• מומלץ לצמצם את השימוש בתוכנות שאינן ייעודיות להעברת מידע רפואי, ולהימנע מלשמור מידע רפואי על אודות מטופלים במכשירים פרטיים.

גם כאשר אין אפשרות אחרת אלא להעביר מידע רפואי באמצעים אלו, יש לעשות כל מאמץ שלא יועבר מידע אישי מזוהה, ולהשמיט מזהים ישירים כגון שם, מס' תעודת זהות, או תמונה המאפשרת לזהות את נושא המידע. מומלץ שבעת שימוש במכשירים דיגיטליים ובתוכנות לא ייעודיות להעברת מידע, יישמר ויועבר אך ורק המידע הרפואי המינימלי הנדרש למטרת שמירתו והעברתו.

• לאחר השגת המטרה לשמה נשמר המידע (למשל, לצורך התייעצות שהסתיימה) מומלץ להעביר את המידע בהקדם האפשרי לשמירה במערכות הרפואיות הייעודיות שנועדו לכך.
• לאחר שמירת המידע במערכות הייעודיות, ולאחר וידוא כי נשמר כנדרש, מומלץ למחוק את המידע, אלא אם יש סיבה מיוחדת לשמירת עותק במכשיר.
• מומלץ כי מידע רפואי שנשמר במכשיר דיגיטלי ומועבר באמצעות תוכנות לא ייעודיות, לא יישמר במקביל גם בשירותי גיבוי ענן פרטיים שאינם יעודיים, כגון Google Drive.
• יש להימנע ככלל משימוש ברשתות Wi-Fi פתוחות ולעבוד באמצעות הרשת הסלולרית או רשת ה-VPN. במידה ומתחברים מרשת ה-Wi-Fi יש לוודא כי הרשת פרטית ומוגדרת סיסמא מוקשחת.

בנוסף, מפרסמת הרשות להגנת הפרטיות המלצות להנהלות ארגונים ומוסדות המספקים שירותי בריאות ורפואה ("ההנהלות"):

• על ההנהלות לפעול להגברת המודעות של גורמי הרפואה הפועלים תחתיהם לסיכונים שסקרנו לעיל, ולהנחות אותם ביחס להתנהלות נכונה.
• מומלץ כי תפורסם מדיניות פנים ארגונית בדבר שמירת מידע רפואי על אודות מטופלים במכשירים דיגיטליים ובדבר העברת מידע זה במערכות שאינן ייעודיות, שתכלול התייחסות לסוגיות שפורטו לעיל.
• מומלץ לבחון אפשרות של הספקת מכשירים ייעודיים לעובדים, ולקדם הטמעת מערכות "סגורות" ויעילות להעברת מידע רפואי על אודות מטופלים, המבטיחות רמת אבטחת מידע נאותה, ולכל הפחות, להשתמש במערכות לניהול התקנים ניידים (MDM) שמאפשרות פיקוח לצורך אבטחת מידע.
• מומלץ לערוך תסקיר השפעה על פרטיות בשלב תכנון מערכת המידע, ולמנות ממונה הגנת פרטיות בארגון, אשר בסמכותו תכנון ובחינת הצעדים למזעור סיכון הפגיעה בפרטיות המטופלים.

הרשות מזמינה להעביר אליה התייחסויות למסמך עד לתאריך ה-6.12.22.

כאמור, מדובר בטיוטה בלבד, אך אנו ממליצים כי לקוחות המעניקים שירותי בריאות וטיפול רפואי, אשר במסגרתם מידע מועבר באמצעות מכשירים דיגיטליים ותוכנות שאינן ייעודיות, יהיו מודעים לסכנות הגלומות בפעולות אלה, ויפעלו בהתאם להמלצות הרשות, על מנת לצמצם את סכנות אלה ולשמור על פרטיות המטופלים.

אנו לרשותכם בכל שאלה, הבהרה והתייעצות בנושא.

הסקירה לעיל הינה בבחינת תמצית. המידע הכלול בה נמסר למטרות אינפורמטיביות בלבד ואין במידע כדי להוות ייעוץ משפטי.