בשנים האחרונות אנו עדים למגמת עלייה חדשה בשימוש באמצעים דיגיטליים לצורך הענקת שירותי בריאות וטיפול רפואי. בשל מגמה זו ורגישותו של מידע רפואי, פרסמה לאחרונה (06.11.2022) הרשות להגנת הפרטיות טיוטה להערות הציבור אשר מציגה את הסיכונים לפרטיות הנובעים מהשימוש בכלים אלו.
על פי הטיוטה, שימוש באמצעים דיגיטליים אשר אינם מיועדים לניהול מידע רפואי עלול להוות סיכון גבוה יותר לפרטיות המטופלים מאשר אמצעים דיגיטליים מיועדים, שכן נוטים להיות בעלי סיכון גבוה יותר לזליגה, לטעויות אנוש, שיבוש במידע, שימוש שאינו בידיעת או הסכמת המטופלים ועוד.
הטיוטה סוקרת את החובות השונות החלות על איסוף ועיבוד מידע רפואי וקובעת ששימוש בכל מכשיר, אף במכשירים שאינם מיועדים לניהול מידע רפואי, מטיל על הארגון את החובות הנובעות מתקנות אבטחת המידע וביניהן חובת הדיווח על קרות אירוע אבטחה חמור. על פי הרשות, העברת מידע רגיש על ידי עובד ארגון אל מחוצה לו, ללא אישורו של הארגון, עשויה להיחשב כאירוע אבטחה חמור בהתאם לדין.
משום הסיכונים, הרשות ממליצה לצמצם ככל הניתן את השימוש במכשירים ותוכנות שאינם ייעודיים להעברת מידע רפואי. ככל שמדובר באמצעי הכרחי, הרשות ממליצה להשמיט פרטים מזהים ישירים ככל הניתן, כגון שם, מספר תעודת זהות, תמונה ועוד, להימנע משירותי ענן אשר מגבים את המידע, להימנע משימוש ברשתות WI-FI פתוחות, להשתמש באמצעי אבטחה מתאימים ולמחוק את המידע הנשמר במכשיר לאחר העברתו, בהתאם לעיקרון צמצום המידע. הרשות ממליצה בנוסף להכין ולפרסם מדיניות פנים ארגונית הנוגעת לאופן האיסוף ועיבוד של מידע רפואי אישי במכשירים דיגיטליים ובחינת אפשרות הספקת מכשירים ייעודיים לעובדים.
