הרשות להגנת הפרטיות פרסמה לאחרונה (15.9.24) דוח פיקוח רוחב שערכה ב-28 בתי חולים בישראל, הכוללים גם מרכזים לטיפול יום ובתי חולים פרטיים.
בשנים האחרונות, חלה עלייה חדה באירועי אבטחת מידע בבתי החולים, מגמה שהחמירה בעקבות מלחמת "חרבות ברזל". במהלך תקופה זו נרשמה עלייה משמעותית בניסיונות פריצה ובאירועי אבטחת מידע חמורים במגוון רחב של ארגונים, כולל בתי החולים. בדיקה מקיפה שערכה הרשות להגנת הפרטיות העלתה ליקויים משמעותיים במגזר זה, שהצביעו על הצורך בנקיטת צעדים לשיפור הציות לחוק ותקנות אבטחת מידע.
בתי החולים מחזיקים מידע אישי רגיש על אלפי חולים, כולל רשומות רפואיות, פרטים דמוגרפיים, קשרים משפחתיים ומידע פיננסי. ריכוז כזה של מידע מהווה סיכון גבוה לפגיעה בפרטיות, כאשר הפרות אבטחת מידע במאגרים אלה עלולות לגרום לנזק חמור במיוחד. אחד מהחששות המרכזיים היא גישה נרחבת למידע בתוך בתי החולים והעברת נתונים בין גופים רפואיים, המעלה את הסיכון לשימוש לרעה במידע.
במהלך פיקוח הרוחב, הרשות להגנת הפרטיות בחנה ארבעה תחומים עיקריים: בקרה ארגונית וממשל תאגידי, אבטחת מידע, ניהול מאגרי מידע והעברת מידע בין גופים ציבוריים. מהדו"ח עלה כי בתחום אבטחת המידע, 71% מהגופים עמדו בדרישות החוק ברמה גבוהה וכ-20% נמצאים ברמת עמידה בינונית בדרישות החוק והתקנות. בקריטריון של ניהול מאגרי מידע שליש מהגופים נמצאים ברמת עמידה נמוכה וכשליש מן הגופים נמצאים ברמת עמידה בינונית. בקריטריון של בקרה ארגונית וממשל תאגידי נמצא כי מחצית מהגופים מצויים ברמת עמידה בינונית ונמוכה וכן בקריטריון של העברת מידע בין גופים ציבוריים נמצא על אי עמידה משמעותית בהוראות החוק והתקנות.
מעבר לכך, מממצאי הדוח שערכה הרשות עלה כי רובם המכריע של הגופים המפוקחים (78%) מוסרים מידע לגופים אחרים ללא ביצוע של רישום כנדרש או תוך ביצוע רישום חלקי בלבד.
כתוצאה מהממצאים שעלו, כל הגופים שנבדקו (28 במספר) קיבלו הנחיות ספציפיות לתיקון הליקויים שנמצאו. ביקורת מעקב שביצעה הרשות הראתה כי 57% מהליקויים שזוהו כבר טופלו.