הרשות להגנת פרטיות: גילוי דעת על הגנת פרטיות מטופלים בשירותי רפואה מרחוק

מה קורה כאשר מתבקשים שרותי רפואה מרחוק לזכות המטופלים לפרטיות? הרשות להגנת הפרטיות מפרסמת גילוי דעת בנושא, במסגרת פרסום שנעשה לאחרונה (02.08.22).

גילוי הדעת מתייחס ל"שירותי רפואה מרחוק" ומכליל כל שירות אשר ניתן, בין מטפל למטופל מזוהים ואשר מתבצע במקום אחר זה מזה או בזמן אחר. שירותים אלו כוללים בין היתר הצגת מידע רפואי אודות המטופל, מפגש וירטואלי בין מטופל למטפל בזמן אמת או דרך התכתבות שאינה בזמן אמת, מעקב וניטור רפואי מתמשך באמצעות מכשירים לבישים או מושתלים ושירותי אבחון ראשוני מבוססים בינה מלאכותית.

בין הסיכונים שמציגה הרשות במהלך בשירותי רפואה מרחוק ניתן למנות: זליגת מידע אשר עשויה להיגרם מכשלי אבטחת מידע או התנהלות לקויה של המטפל או המטופל; העדר מודעות מטופלים לאיסוף מידע ולמטרות השימוש בו; חשיפת מידע עודף במסגרת מפגש וירטואלי כתוצאה מתיעוד סביבתו של המטופל וחשיפת מידע לגורמים בסביבת המטפל באמצעות האזנה, צפייה או נגישות למידע. סיכונים אלו חלים באופן מוגבר על מידע רפואי אישי אשר מטבעו בעל ערך כלכלי רב ובעל סיכון גבוה לאירועי אבטחת מידע חמורים.

בשל הסיכונים הנובעים משירותים אלו ולאור התרחבות השימוש בהם, מפרטת הרשות את הפעולות שנותני השירות נדרשים לבצע במתן שירותי רפואה מרחוק, וביניהן:

1. הרשות קובעת כי יש לקבל הסכמה נפרדת לטובת שימוש במידע שנתקבל מעבר לנדרש מבחינה מינימלית לצורך טיפול (כגון: לצורך מחקר, פרסום או ייעול שירותים) ולהבטיח כי למטופלים האפשרות לקבל את השירותים מבלי שיהיו מחויבים להסכים לשימוש במידע החורג ממטרות הטיפול.

2. כאשר מתבצע איסוף נתונים למטרה של אבחון רפואי מבוסס אלגוריתם בינה מלאכותית, יש לכלול פירוט נוסף להסכמה הכולל את סוגי המידע הנאספים, מטרת האיסוף, אופן ניתוח המידע, ומה ייעשה עם המידע לאחר סיום האבחון. 

3. הרשות מבקשת לראות מכשירים רפואיים מקוונים הכוללים חיבור מרחוק למאגרי המידע כ-"מערכות מאגר" על כל המשתמע מבחינת אימות זיהוי המטופלים המשתמשים בהם וחובות האבטחה המוטלות על מערכות אלו לפי תקנות אבטחת מידע.

4. על מטפלים להקפיד על כללי אבטחת המידע בתוכנות ובמכשירים הטכנולוגיים המשמשים למפגש הווירטואלי ולוודא כי מופעלים אמצעים למנוע חדירה וכניסה אליהם ללא הרשעה כגון שמירתם במקום מוגן ותחת סיסמה.

5. הרשות ממליצה לפעול לחיזוק כישוריהם הטכנולוגיים של המטפלים לשליטה במערכות למפגש ווירטואלי ולפקח על התנהלותם מול המערכות.