ליקויים מדאיגים: הרשות להגנת הפרטיות פרסמה היום (שני) דוח שמפרט את ממצאי הפיקוח שנערך בקרב מכונים רפואיים ומעבדות רפואיות בישראל, זאת במסגרת סדרת דוחות לבדיקת האופן בו גופים ממגזרים שונים במשק מקיימים את הוראות החוק ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע להגנה על מידע אישי ואבטחתו.
מגזר המכונים הרפואיים והמעבדות הרפואיות נחשב למגזר בסיכון גבוה במיוחד לפגיעה אפשרית בזכות לפרטיות, הן בשל היקפי המידע והן בשל רמת הרגישות הגבוהה של המידע הבריאותי הנאסף ונשמר אודות ציבור המטופלים. כמו כן, במגזר זה נאסף מידע נפשי אודות מטופלים וכן מידע אודות קטינים הנוגע לטיפולים הניתנים, לדוגמה, במסגרת התפתחות הילד.
על פי הבדיקה שערכה הרשות, נמצא כי במגזר זה המטופלים אינם תמיד מודעים לאופן השימוש במידע על אודותיהם והאם הוא מועבר לידי גורמים אחרים. בנוסף, ניהול ואחזקת המידע אודות מצבם הבריאותי של המטופלים במגזר זה מבוצע בדרכים שונות ובהן ניהול המידע באופן ישיר על ידי המכונים עצמם, או באמצעות שימוש בשירותי מיקור חוץ ויש לכך השלכות בהיבטים של הגנה על המידע.
כחלק מפעילות הפיקוח, הרשות להגנת הפרטיות פנתה בדרישה ל- 23 גופים המנהלים מכונים רפואיים למילוי שאלוני ביקורת. מדובר בגופים בהיקפי פעילות שונים אשר חלקם מספקים שירותים לקופת חולים אחת או יותר, המנהלים כ-300 מכונים רפואיים ומעבדות רפואיות בפריסה ארצית. במסגרת שאלוני הביקורת, אשר עליהם נדרשו הגופים להשיב במסגרת הליך פיקוח הרוחב, נבחנו קריטריונים שונים בתחום הגנת הפרטיות.
עיקרי הממצאים
נמצאו פערים ברמות עמידה בהוראות החוק והתקנות בין מכונים רפואיים גדולים או כאלה המשויכים לבתי חולים וקופות חולים, לבין מכונים רפואיים בינוניים וקטנים. כך למשל, נמצא כי מרבית המכונים הרפואיים הגדולים מקיימים מסגרות ממוסדות של ממשל תאגידי. במסגרת כך, ממונים גורמים אשר אחראיים על ניהול אבטחת מידע וכן עולה כי קיימת מודעות ובהתאם עמידה גבוהה יחסית בתקנות הגנת הפרטיות (אבטחת מידע), זאת לעומת מכונים רפואיים קטנים בהם רמת המודעות, ובהתאם גם העמידה בהוראות התקנות נמוכה, גם במקרים בהם מוחזק על ידם מידע רב.
אבטחת המידע
60% מהמכונים הרפואיים והמעבדות הרפואיות עומדים ברמה גבוהה בהוראות החוק והתקנות בנוגע לאבטחת מידע, עם זאת, נמצאו ליקויים בניהול הרשאות הגישה למאגרי המידע אודות המטופלים וליקויים בשל היעדר הצפנה נאותה. כמו כן, נמצא כי יש מכונים של תיעדו אירועי אבטחת מידע.
עיבוד מידע אישי בהסתייעות בשירותים חיצוניים
מהדוח עלה כי 40% מהמכונים הרפואיים אשר עושים שימוש בשירותים חיצוניים לצורכי עיבוד מידע עומדים ברמה נמוכה בהוראות חוק הגנת הפרטיות והתקנות מכוחו. נמצא כי חלק מהמכונים לא נקטו צעדים מספקים להערכת מידת הסיכון הנשקפת למידע של המטופלים.
כמו כן, נמצא כי בקרב המכונים שרמת העמידה שלהם בהוראות חוק הגנת הפרטיות נמוכה, הם אף אינם מבצעים התקשרות עם ספק מיקור חוץ בהתאם להוראות תקנות הגנת הפרטיות ואבטחת מידע, לא בוחנים את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ ולא מבצעים פעולות בקרה ופיקוח נאותות על עמידתם בהוראות ההסכם והתקנות.
בקרה ארגונית וממשל תאגידי
מהדוח עלה כי 60% מהמכונים והמעבדות שנבדקו במסגרת הליך הפיקוח עומדים ברמה גבוהה בכל הנוגע להוראות החוק והתקנות בעניין בקרה ארגונית וממשל תאגידי. בגופים בהם נמצא כי רמת העמידה בינונית ומטה, נמצאו ליקויים באופן בו הם מגדירים את מאגרי המידע שברשותם ומטרותיהם וכן לא מונו בהם מנהלי מאגרים כנדרש בחוק.
בנוסף, מצאו ליקויים המצביעים על כך שגופים מסוימים לא ביצעו כלל בדיקות בהליכי המיון ושיבוצם של עובדים חדשים, בטרם ניתנו להם הרשאות גישה למאגר, כדי לברר שאין חשש כי הם אינם מתאימים לקבלת גישה למידע המצוי במאגר.
ניהול מאגרי מידע
נמצאו ליקויים ביישום הוראות חוק הגנת הפרטיות בכל הנוגע לשקיפות באשר למקור הסמכות לאיסוף המידע האישי ויידוע מטופלים בדבר זכויותיהם. במסגרת כך, מכונים לא הבהירו למטופלים כי קיימת להם זכות לעיין במידע שמוחזק אודותיהם במאגר המידע וכן נמצאו מכונים שלא אפשרו לציבור המטופלים לשנות או לתקן את המידע המוחזק אודותיהם כנדרש בחוק.
נוכח הממצאים שעלו מהליך פיקוח הרוחב, קיבלו כלל המכונים הרפואיים והמעבדות הרפואיות שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם וכן דרישה לספק תכנית מפורטת לתיקונם בליווי הצהרת נושא משרה לביצוע והשלמת התיקונים. כחלק מההליך מבצעת הרשות ביקורות מעקב על הגופים שנבדקו בכדי לוודא את יישום דרישות תיקון הליקויים.
עו"ד עלי קלדרון, מנהל מחלקת אכיפה ברשות להגנת הפרטיות, ציין כי: "פרסום דוחות ביקורת על מגזרים בהם ביצעה הרשות פיקוח רוחב הינו בעל חשיבות גבוהה לגופים המפוקחים וכן לכלל הגופים המשתייכים למגזר המפוקח. חשיבותו של הפיקוח היא באיתור וצמצום הפערים בין דרישות חוק הגנת הפרטיות והתקנות מכוחו לבין יישומן בפועל, יש בו כדי להגביר את המודעות של הגופים במשק להוראות חוק הגנת הפרטיות והוא אף תורם לחיזוק ההגנה על הפרטיות של הציבור בישראל. ממצאי הדו"ח מדגישים את חובתם של גופים לעמוד בהוראות חוק הגנת הפרטיות והתקנות מכוחו, במיוחד בקרב מי שאוסף מידע בריאותי רגיש על הציבור. בימים אלו, בו פועל כלל המשק במתכונת חירום מתחדד הצורך בשמירה על פרטיות המטופלים ועמידת המרפאות והמכונים הרפואיים בדרישות החוק והתקנות".