הרשות להגנת הפרטיות בניהולה של דר’ שלומית ווגמן, ממלאת מקום ראש הרשות להגנת הפרטיות, מפרסמת הבוקר (יום שני, י”ז אייר ה’תש”פ, ה-11 במאי 2020) את הדין וחשבון בנושא ממצאי פיקוח רוחב שנערך בקרב ‘מכונים רפואיים ומעבדות רפואיות בישראל’ זאת במסגרת סדרת דוחות לבדיקת האופן בו גופים ממגזרים שונים במשק, מקיימים את הוראות החוק ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע להגנה על מידע אישי ואבטחתו.
■ רוצים עוד עדכונים? הצטרפו אל ’כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ ב’פייסבוק’ או ב’טוויטר’.
מגזר המכונים הרפואיים והמעבדות הרפואיות, נחשב למגזר בסיכון גבוה במיוחד לפגיעה אפשרית בזכות לפרטיות, הן בשל היקפי המידע והן בשל רמת הרגישות הגבוהה של המידע הבריאותי הנאסף ונשמר אודות ציבור המטופלים.
המכונים והמעבדות שנבדקו במסגרת הליך הפיקוח שערכה הרשות מחזיקים במידע אישי רב ורגיש. בין היתר, כולל, מידע רפואי הנוגע לבדיקות מסוגים שונים דוגמת בדיקות הדמיה, כגון; ממוגרפיה, אבחוני שמיעה וכן, טיפולים שונים, כגון; פיזיותרפיה.
כמו כן, במגזר זה, נאסף מידע נפשי אודות מטופלים וכן מידע אודות קטינים הנוגע לטיפולים הניתנים, לדוגמה, במסגרת התפתחות הילד.
על פי הבדיקה שערכה הרשות, נמצא, כי במגזר זה, המטופלים אינם תמיד מודעים לאופן השימוש במידע על אודותיהם והאם הוא מועבר לידי גורמים אחרים.
בנוסף, ניהול ואחזקת המידע אודות מצבם הבריאותי של המטופלים במגזר זה, מבוצע בדרכים שונות ובהן ניהול המידע באופן ישיר על ידי המכונים עצמם, או באמצעות שימוש בשירותי מיקור חוץ ויש לכך, השלכות בהיבטים של הגנה על המידע.
כחלק מפעילות הליך פיקוח הרוחב, הרשות להגנת הפרטיות, פנתה בדרישה ל- 23 גופים המנהלים מכונים רפואיים למילוי שאלוני ביקורת.
מדובר בגופים בהיקפי פעילות שונים אשר חלקם מספקים שירותים לקופת חולים אחת או יותר, המנהלים כ-300 מכונים רפואיים ומעבדות רפואיות בפריסה ארצית.
במסגרת שאלוני הביקורת, אשר עליהם נדרשו הגופים להשיב במסגרת הליך פיקוח הרוחב, נבחנו 4 קריטריונים בתחום הגנת הפרטיות;
- בקרה ארגונית וממשל תאגידי – בוחן קיומה של תכנית בתחום הגנת הפרטיות, לרבות אבטחת המידע ואת מינויים של גורמים בעלי אחריות בתחום.
- ניהול מאגרי מידע – בוחן את אופן קבלת ההסכמה לשימוש במידע אישי, השימוש במידע בהתאם למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר ושירותי דיוור ישיר.
- אבטחת מידע – בחינת עמידת הגופים בהוראות תקנות הגנת הפרטיות (אבטחת מידע), ביחס להגנה על המידע האישי שבבעלותם או בהחזקתם.
- שירותי מיקור חוץ – בחינת ההתקשרויות של בעלי מאגרי המידע עם גורמים חיצוניים המחזיקים במידע ומעבדים אותו עבורם והאופן בו הם מבטיחים הגנה על המידע.
בהתאם למענה שניתן על-ידי הגופים ביחס לכל אחד מהקריטריונים, נקבעה רמת עמידתם בהוראות חוק הגנת הפרטיות והתקנות מכוחו, כמתואר בגרף הבא בהתאם לשקלול רמות העמידה של הגופים:
- עמידה של בין 80%-100% בקריטריונים, מוגדרת כרמת עמידה גבוהה;
- עמידה של בין 50%-80% מוגדרת כרמת עמידה בינונית/חלקית;
- עמידה של מתחת ל-50% מוגדרת כרמת עמידה נמוכה.
█ להלן עיקרי הממצאים בתחומים השונים שנבדקו;
נמצאו פערים משמעותיים ברמות עמידה בהוראות החוק והתקנות בין מכונים רפואיים גדולים או כאלה המשויכים לבתי חולים וקופות חולים, לבין מכונים רפואיים בינוניים וקטנים.
כך למשל, נמצא, כי מרבית המכונים הרפואיים הגדולים מקיימים מסגרות ממוסדות של ממשל תאגידי.
במסגרת כך, ממונים גורמים אשר אחראיים על ניהול אבטחת מידע וכן עולה, כי קיימת מודעות ובהתאם עמידה גבוהה יחסית בתקנות הגנת הפרטיות (אבטחת מידע).
זאת לעומת מכונים רפואיים קטנים בהם רמת המודעות ובהתאם גם העמידה בהוראות התקנות נמוּכה, גם במקרים בהם מוחזק על ידם מידע רב.
▼אבטחת המידע
- 60% מהמכונים הרפואיים והמעבדות הרפואיות עומדים ברמה גבוהה בהוראות החוק והתקנות בנוגע לאבטחת מידע.
- נמצאו ליקויים בניהול הרשאות הגישה למאגרי המידע אודות המטופלים, כך למשל לא ניתנו הרשאות תוך ביצוע הפרדה בין בעלי תפקידים ואף לא בהתאם לעקרון הצורך לדעת בלבד (רק לבעל הרשאה המורשה לכך).
- נמצאו ליקויים רבים בנושא אבטחת מידע בשימוש באמצעים נתיקים בין אם בהעדר הגבלות על שימוש באמצעים אלו ובין אם בהעדר הצפנה נאותה.
- בנוסף, מהממצאים עולה כי יש מכונים אשר לא נקטו באמצעים מספקים בכדי למנוע חדירה למיקום הפיזי בו מצויים השרתים והתשתיות בהם מאוחסנים מאגרי המידע, מה שעשוי לאפשר גישה למידע בהעדר הרשאה.
כמו כן, נמצאו מכונים אשר לא ביצעו מעקב ותיעוד של אירועי אבטחת מידע.
▼עיבוד מידע אישי בהסתייעות בשירותים חיצוניים (מיקור חוץ)
- 40% מהמכונים הרפואיים אשר עושים שימוש בשירותים חיצוניים (שירותי מיקור חוץ) לצורכי עיבוד מידע עומדים ברמה נמוכה בהוראות חוק הגנת הפרטיות והתקנות מכוחו.
- גם במקרים בהם מכונים הטמיעו מנגנוני בקרה נאותים פנים ארגוניים, עדיין נמצאו ליקויים ביישום הדרישות מחברות חיצוניות המעניקות שירותי עיבוד מידע אישי במיקור חוץ.
- במסגרת כך, חלק מהמכונים לא נקטו צעדים מספקים על מנת להעריך את מידת הסיכון הנשקפת למידע ולפגיעה אגב כך בזכותם לפרטיות של המטופלים.
- כמו כן, נמצא כי בקרב המכונים שרמת העמידה שלהם בהוראות חוק הגנת הפרטיות נמוכה, הם אף אינם מבצעים התקשרות עם ספק מיקור חוץ בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע), לא בוחנים את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ ולא מבצעים פעולות בקרה ופיקוח נאותות על עמידתם בהוראות ההסכם והתקנות.
▼בקרה ארגונית וממשל תאגידי
- 60% מהמכונים והמעבדות שנבדקו במסגרת הליך הפיקוח עומדים ברמה גבוהה בכל הנוגע להוראות החוק והתקנות בעניין בקרה ארגונית וממשל תאגידי. בגופים בהם נמצא כי רמת העמידה בינונית ומטה, נמצאו ליקויים באופן בו הם מגדירים את מאגרי המידע שברשותם ומטרותיהם וכן לא מונו בהם מנהלי מאגרים כנדרש בחוק.
- נמצאו מכונים ומעבדות שלא מחזיקים בנהלי אבטחת מידע ובתכנית עבודה שנתית לבקרה שוטפת על העמידה בדרישות התקנות, או שבידם נהלים שאינם מספיק איכותיים ומקיפים.
- נמצאו ליקויים המצביעים על כך שגופים מסוימים לא ביצעו כלל בדיקות בהליכי המיון ושיבוצם של עובדים חדשים, בטרם ניתנו להם הרשאות גישה למאגר, כדי לברר שאין חשש כי הם אינם מתאימים לקבלת גישה למידע המצוי במאגר.
▼ניהול מאגרי מידע
- נמצאו ליקויים ביישום הוראות חוק הגנת הפרטיות בכל הנוגע לשקיפות באשר למקור הסמכות לאיסוף המידע האישי ויידוע מטופלים בדבר זכויותיהם. במסגרת כך, מכונים לא הבהירו למטופלים, כי קיימת להם זכות לעיין במידע שמוחזק אודותיהם במאגר המידע וכן נמצאו מכונים שלא אפשרו לציבור המטופלים לשנות או לתקן את המידע המוחזק אודותיהם כנדרש בחוק.
- 65% מהמכונים והמעבדות שנבדקו במסגרת הליך הפיקוח, עומדים בקריטריון זה ברמה גבוהה, 20% ברמה הבינונית ו – 15% ברמה נמוכה כשמתוך הקבוצה האחרונה, ישנם גופים שכלל לא עמדו בדרישות החוק בכל הנוגע לרישום מאגרי מידע.
נוכח הממצאים שעלו מהליך פיקוח הרוחב, קיבלו כלל המכונים הרפואיים והמעבדות הרפואיות שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם וכן דרישה לספק תכנית מפורטת לתיקונם בליווי הצהרת נושא משרה לביצוע והשלמת התיקונים.
כחלק מההליך מבצעת הרשות ביקורות מעקב על הגופים שנבדקו בכדי לוודא את יישום דרישות תיקון הליקויים.
█ הרשות להגנת הפרטיות; “תקופה זו, מחדדת את הצורך בשמירה על פרטיות המטופלים ועמידת המרפאות והמכונים הרפואיים…”.
דוברת היחידות המקצועיות באגף דוברות הסברה ותקשורת של משרד המשפטים, הגב’ כרמית אורפז-ימין, מסרה לאתר כאן ישראל | כאן נעים | אתר החדשות המקומיות הוותיק של כל המדינה’ כי הדוח, שפרסמה הרשוּת להגנת הפרטיות מרכז הן את ממצאי תהליך פיקוח הרוחב המגזרי.
כמו-כן את ריכוז הליקויים המגזריים וההנחיות באשר לצעדים שעל הגופים במגזר זה לנקוט, בכדי לקיים את דרישות החוק והתקנות.
מנהל מחלקת אכיפה ברשות להגנת הפרטיות, עורך דין עלי קלדרון, ציין, כי; “פרסום דוחות ביקורת על מגזרים בהם ביצעה הרשוּת את פיקוח רוחב, הינו בעל חשיבות גבוהה לגופים המפוקחים וכן לכלל הגופים המשתייכים למגזר המפוקח.
חשיבותו של הפיקוח היא באיתור וצמצום הפערים בין דרישות חוק הגנת הפרטיות והתקנות מכוחו לבין יישומן בפועל, יש בו כדי להגביר את המודעות של הגופים במשק להוראות חוק הגנת הפרטיות.
כמו כן הוא אף תורם לחיזוק ההגנה על הפרטיות של הציבור בישראל.
ממצאי הדוח, מדגישים את חובתם של גופים לעמוד בהוראות חוק הגנת הפרטיות והתקנות מכוחו, במיוחד בקרב מי שאוסף מידע בריאותי רגיש על הציבור.
הרשות להגנת הפרטיות בטוחה שפרסום דוח זה, עשוי להוות כלי עבודה לכלל הגופים המנהלים מידע רפואי אודות מטוּפלים ויגביר את המודעות לדרישות חוק הגנת הפרטיות בקרב גופים אלה.
בימים אלו בו פועל כלל המשק במתכונת חירום, אנו עדים לשימושים הולכים וגוברים בתעבורת מידע רפואי באמצעים אלקטרוניים, המסייעים לנו לקבל שירותים רפואיים באמצעות תקשורת מרחוק וללא צורך להגיע למרפאה או למכון הרפואי.
תקופה זו, מחדדת את הצורך בשמירה על פרטיות המטופלים ועמידת המרפאות והמכונים הרפואיים בדרישות החוק והתקנות“.
◄ לחץ והורד כאן אל; דוח פיקוח רוחב 2018-2019 – מכונים רפואיים.
