מטופלים שמידע אודותיהם מוחזק במכונים רפואיים טומן בחובו אפשרות לאירועים אשר יפגעו בפרטיות. שימוש לא מורשה במידע, דליפה שלו ועוד שלל אירועים יכולים לפגוע בפרטיות מטופלים אלו. מסיבות אלו ואחרות נדרשה הרשות להגנת הפרטיות לנושא, בפיקוח רוחב שעשתה במהלך השנים 2018 ו-2019. עתה היא מפרסמת את ממצאיה (11.05.2020).
עיקר ממצאי הרשות מצביעים על ליקויים הנוגעים בעיקר בנוגע לעמידה בהוראות החוק בתחום עיבוד המידע האישי באמצעות מיקור חוץ, קיום הוראות החוק ותקנות אבטחת המידע ביחס לנהלי אבטחה, מבדקי חדירות ותוכנית עבודה שנתית.
במסגרת הדין וחשבון שלה מפרסמת הרשות ממצא נוסף לפיו חלק מהמכונים הרפואיים אינם מקפידים כנדרש ליידע את ציבור המטופלים בדבר זכויותיו על פי חוק הגנת הפרטיות, לרבות החובה להציג את מקור המידע, הזכות לעיין במידע והזכות לתקן את המידע המצוי במאגר המידע, ככל והוא שגוי. הרשות מביעה גם תקווה כי פרסום הדו"ח יוביל לכך, שהגופים בתחום ישכילו לנהל את המידע של מטופליהם בצורה מיטבית, תוך שמירה על זכויותיהם והגנה על פרטיותם.
ממצאי הליך פיקוח הרוחב עולה כי על-אף שמרבית המכונים הרפואיים הינם בעלי היכרות עם דרישות החוק והתקנות והטמיעו את עיקרי הדרישות, עדיין נמצאו ליקויים משמעותיים באופן יישום הוראות החוק והתקנות, והנחיית הרשות היא כי על הגופים המשתייכים למגזר זה ליישם את הנקודות הבאות:
- בקרה ארגונית וממשל תאגידי- הגופים נדרשים לוודא את רישום כלל מאגרי המידע שבבעלותם בהתאם להוראות החוק. בנוסף, על הגופים לוודא כי מונו כדין הגורמים הנדרשים בחוק ובתקנות, לרבות הוצאות כתב מינוי רשמי למנהל המאגר ולממונה אבטחת המידע. כמו כן, לוודא כי קיימים נהלי אבטחת מידע בארגון הכוללים התייחסות לנושאים כגון: אבטחה פיזית, הרשאות גישה וכו'. יש להכין תוכנית עבודה לנושא אבטחת מידע והגנת הפרטיות, ואף לערוך מיון עבור עובדים חדשים אשר מקבלים גישה למאגר.
- ניהול מאגרי מידע- על הגופים לקבל את הסכמת נושא המידע כנדרש בחוק עבור שמירת פרטיו במערכת הארגון, תוך מתן הודעה בעת איסוף המידע, הכוללת התייחסות לשאלה האם חלה חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו, וכן ציון המטרה אשר לשמה מבוקש המידע, למי יימסר המידע ומטרות המסירה. בנוסף, על הגופים האוספים מידע להקפיד על אופן השקיפות בפני המטופל בעת קבלת ההסכמה ומסירת המידע על ידו, ולהקפיד בכל פנייה בכתב, בדפוס או באמצעי אחר המהווה פניה בדיוור ישיר לפי החוק. כמו כן, על הגופים להקפיד ליידע ולאפשר לנושאי המידע לעיין במידע על אודותיהם, המוחזק במאגר מידע.
- אבטחת מידע- על הגופים לוודא בניית מנגנוני הרשאות במאגרי המידע של הארגון, בהתאם לתקנות הגנת הפרטיות שיבטיחו הפרדת סמכויות, ויאפשרו גישה של העובדים בעלי הגישה למידע לנתוני המאגר. בנוסף, הרשות ממליצה כי הגורמים הרלוונטיים בגופים יקיימו דיון אודות הצורך בחיבור אמצעים נתיקים. במקרים בהם יוגדר כי קיים צורך בשימוש באמצעים נתיקים, יש להצפין הנתונים באמצעות שיטות הצפנה מקובלות. מעבר לכך, יש לנקוט באמצעים מספקים בכדי למנוע חדירה למיקום הפיזי בו נשמרים השרתים והתשתיות המחזיקים את ו/או המאפשרים גישה אל מאגרי המידע, על פי תקנות הגנת הפרטיות.
- עיבוד מידע אישי במיקור חוץ- על הגופים המסתייעים בגורם חיצוני לצורך עיבוד מידע, לבחון, עוד בטרם ההתקשרות, את סיכוני אבטחת המידע הכרוכים בהתקשרות על הגופים, בעלי המאגר, לוודא עריכת הסכם מול כל גורם חיצוני שמחזיק במאגר, כאשר יש לקבוע במפורש בהסכם את כל הוראות תקנות הגנת הפרטיות.
הרשות להגנת הפרטיות קובעת לבסוף כי תמשיך לפעול לאכיפת מדיניותה בקרב בעלים ומחזיקים במאגרי מידע אישי באמצעות הליך פיקוחי הרוחב, לרבות באמצעות ביקורות חוזרות בגופים שהונחו לתקן ליקויים, וזאת לשם הגברת עמידתם בהוראות החוק והתקנות ועל מנת לחזק את ההגנה על זכות הציבור לפרטיות. ניכר, כי עצם קיום הליך פיקוח הרוחב עורר אצל המפוקחים תהליך בחינה עצמית והנעה לשיפור עצמי באופן הציות לחוק ולתקנות, כאשר בסיום ההליך כאמור, הגופים שבהתנהלותם נתגלו ליקויים, נדרשו להציג לרשות התחייבות נושא משרה ותוכנית מסודרת לתיקונם.
קישור למסמך שפרסמה הרשות מצורף בלינק הבא :
https://www.gov.il/BlobFolder/reports/medical_labs_privacy/he/medical_labs_privacy_repoet (1).pdf