לקוחות ועמיתים יקרים,

ביום 5 במרץ, 2024, פרסמה הרשות להגנת הפרטיות ("הרשות") מסמך מדיניות בנושא ההגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעים דיגיטליים. המסמך סוקר את התופעה ואת הוראות הדין הרלוונטיות לה, ומציג הבהרות והמלצות שמטרתן לחדד את החובות המוטלות בהקשר זה על בעלי מאגרי המידע הרפואי, הנובעות, בעיקרן, מהוראות חוק הגנת הפרטיות, התשמ"א–1981 ("החוק") והתקנות שהותקנו מכוחו.

המסמך נועד לתת מענה וטיפול לתופעה ההולכת ומתגברת בשנים האחרונות, במסגרתה גורמי רפואה רבים, המעניקים שירותי בריאות וטיפול רפואי, מעבירים מידע רפואי על אודות מטופלים באמצעות תוכנות שאינן ייעודיות (לדוגמה: WhatsApp, תוכנות דוא"ל חינמיות, שירותי "ענן"), המותקנות במכשירים דיגיטליים, בין אם אישיים-פרטיים ובין אם בבעלות הארגון או המוסד הרפואי, בין היתר, כחלק מתקשורת של גורמי רפואה עם גורמי רפואה אחרים או עם מטופלים.

לדעת הרשות, העברת המידע הרפואי באופן האמור, עלולה לגרום לכך שמידע רגיש יישמר במכשירים דיגיטליים (פרטיים או מוסדיים) ובמספר רב של מאגרי מידע, כולל במאגרי מידע של חברות מסחריות שמספקות את התשתית להעברת המידע (לרבות בשירותי "ענן"). כל האמור, מהווה סיכון לפרטיות המטופלים שעלול להתבטא, בין היתר, בזליגתו או בחשיפתו של מידע רפואי, בגניבתו, בשיבושו ואף בשימוש בו לצרכים מסחריים או אחרים. הרשות גם הדגישה כי העברת המידע הרפואי על ידי גורמי רפואה באמצעות תוכנות לא ייעודיות או באמצעות מכשירים פרטיים, עשוי להיעשות שלא בידיעתם או בהסכמתם של המטופלים.

כמענה לתופעה ולסיכונים הטמונים בה, הרשות פרסמה את ההבהרות וההמלצות הבאות:

• יש לצמצם את השימוש של גורמי הרפואה במכשירים פרטיים או בתוכנות שאינן ייעודיות להעברת מידע רפואי מזוהה. גם מקום בו הותר השימוש, יש לפעול להשמטת פרטיו המזהים של המטופל, לפעול להעברת המידע לתוכנה ייעודית ואף למחוק את המידע מהמכשיר לאחר מכן.

• העברת מידע רפואי ושמירתו בתוכנות לא ייעודיות או במכשירים פרטיים תיעשה באופן המינימלי הנדרש למטרת העברת המידע ושמירתו.

• יש להימנע משמירה של מידע רפואי במקביל גם בשירותי גיבוי פרטיים שאינם ייעודיים (ואם נשמר – למחוק את המידע בהקדם האפשרי).

• על ארגון שמאפשר שימוש במכשירים פרטיים או בתוכנות שאינן ייעודיות, מוטלות חובות ספציפיות בנוגע לאבטחת המידע בשימוש במכשירים ובמערכות האמורות, כמפורט בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז–2017. האמור כולל גם התקנת תוכנות להגנה על מידע ולמניעת חדירה למכשירים.

• יש להשתמש באפליקציות שמקורן בחנויות אפליקציות רשמיות ולבחון את ההרשאות המוגדרות באפליקציות (באופן שיצמצם איסוף מידע לא נדרש).

• על גורמי הרפואה לפעול בהתאם להנחיות מעסיקיהם. העברת מידע רגיש ממאגרי המידע של הארגון (על ידי עובד הארגון) אל מחוצה לו, בניגוד להנחיות וללא אישור, עשויה בנסיבות מסוימות להיחשב אירוע אבטחה חמור, וזאת בהתאם לקבוע בהוראות הדין.

• מידע רפואי אודות מטופלים הנשמר במכשירים דיגיטליים או המועבר באמצעות תוכנות להעברת מידע, עשוי להיחשב כ"רשומה רפואית" ממוחשבת, ולכן שמירת והעברת המידע כפופות גם להנחיות משרד הבריאות בנושא רשומות רפואיות, שמירתן ואופן אבטחתן, מעבר לחובות אבטחת המידע החלות על מידע רגיש תחת החוק והתקנות.
• יש לקבוע מדיניות פנים ארגונית ברורה בדבר שמירת מידע רפואי על אודות מטופלים במכשירים דיגיטליים ובדבר העברת מידע רפואי בתוכנות לא ייעודיות.
• יש לבצע בחינה של הספקת מכשירים ייעודיים לעובדים ולקדם הטמעה של מערכות סגורות להעברת מידע רפואי המבטיחות רמת אבטחת מידע נאותה.

הרשות הדגישה כי היא אינה מבקשת למנוע את העברת המידע הרפואי באמצעות מכשירים דיגיטליים פרטיים או באמצעות תוכנות שאינן ייעודיות, אלא לספק המלצות והבהרות ביחס לחובות המוטלות על פי דין. אך עם זאת, עקב פוטנציאל הנזק שעלול להיגרם כתוצאה מחשיפת המידע הרפואי ולאור רגישותו, הרשות לא תהסס להפעיל את סמכויותיה על פי דין אם תופרנה הוראות החוק והתקנות מכוחו.

על גורמי הרפואה, לרבות ארגונים ומוסדות המספקים שירותי בריאות וטיפול רפואי, האחראים לשמור על פרטיות המידע האישי על אודות מטופליהם ולאבטח אותו, לוודא שהם פועלים בהתאם להוראות החוק והתקנות ולהסדיר (במידת הצורך) את אופן פעולתם. אנו ממליצים לפנות אלינו לצורך ייעוץ פרטני בנושא.

לקישור למסמך – לחצו כאן

בברכה,

המחלקה המסחרית

הרצוג פוקס נאמן