ליקויי הגנת פרטיות נמצאו במרפאות לבריאות הנפש

29מרבית המרפאות לבריאות הנפש עומדות ברמה בינונית-גבוהה בהוראות חוק הגנת הפרטיות, אולם ישנה רמת עמידה נמוכה בהוראות החוק לגבי עיבוד מידע אישי בשימוש במיקור-חוץ. 50% מהמרפאות שעושות שימוש בשירותי מיקור-חוץ עומדות ברמה נמוכה בהוראות חוק הגנת הפרטיות ו-28% מהן ברמת עמידה בינונית – כך לפי דו"ח חדש של הרשות להגנת הפרטיות במשרד המשפטים, שמתפרסם הבוקר (ג').

הדו"ח מעלה ממצאים מדאיגים בכל הנוגע לעמידה בהוראות החוק בתחום עיבוד המידע האישי באמצעות מיקור-חוץ, אין ועדה להעברת מידע בין גופים ציבוריים, יש עמידה חלקית בהוראות החוק בכל הנוגע למינויים של ממונה אבטחת מידע וקיימים פערים ברמת האבטחה הקיימת ביחס לניהול הרשאות גישה למאגרי מידע. כמו כן, נמצא כי חלק מהגופים המשתייכים למגזר זה לא מקפידים ליידע את ציבור המטופלים בדבר זכויותיהם לפי החוק, שבין היתר כוללות את החובה להציג את מקור המידע ואת הזכות לעיין בו.

על פי הדו"ח, "בקרב מרפאות שמקבלות שירותי מחשוב במיקור-חוץ נמצאו מרפאות שבהן לא נערכים הסכמים עם ספקי השירותים בהתאם להוראות החוק, לא נשמרים נהלי אבטחת מידע והן אף לא מדווחות באופן שנתי על קיומם של אירועי אבטחה. ממצא זה מעלה את החשש מדליפת מידע באמצעות מתן גישה למידע לגופים שלישיים, בין אם על ידי ספקי מיקור-החוץ או עובדי קופות חולים בעלי נגישות שוטפת לנתונים רפואיים במאגרי המידע של המרפאות".

בקריטריון הנוגע לבקרה ארגונית וממשל תאגידי נמצא כי 61% מהגופים עמדו ברמה גבוהה בהוראות החוק, בין היתר בשל כפיפותם לבתי חולים כלליים או בתי חולים לבריאות הנפש, שמהם הם מקבלים את שירותי המחשוב. בגופים שבהם נמצאה רמת עמידה בינונית (33%) או נמוכה (6%) נתגלו פערים שנבעו מאופן ההתנהלות של מערך המחשוב של בית החולים לו כפופה המרפאה. זאת, בשל ביצוע בדיקות התאמה לעובדים חדשים בעלי גישה למאגר, ריכוז תפקידים ותחומי אחריות בידי גורם יחיד, באופן שעלול להעמיד אותו במצב של ניגוד עניינים, או אי מינוי מנהל מאגר.

מה בנוגע לאבטחת המידע?

לגבי אבטחת המידע, נמצא כי 76% מהמרפאות עומדות ברמה גבוהה בהוראות החוק בעוד שב-24% מהן רמת העמידה היא בינונית או נמוכה. במרבית המרפאות שנבדקו נעשה שימוש בשירותי המחשוב של המוסד הרפואי שאליו הן משויכות, מה שעשוי להסביר את רמת עמידתן הגבוהה בתחום.

במסגרת בחינת אופן ניהול מאגרי המידע על ידי המרפאות נמצא כי 63% מהן עמדו ברמה גבוהה בהוראות החוק, בעוד שב-37% נמצאה רמת עמידה נמוכה או בינונית. הליקויים שעלו הם אי קבלת הרשאת המטופלים לאיסוף ושמירה של מידע רפואי שלהם, ואי שמירה או תיעוד של אופן קבלת הסכמת המטופלים למסירת מידע ויידועם בדבר הזכויות המוקנות להם על פי חוק.

לדברי עו"ד רביד פטל, הממונה על מערך פיקוחי הרוחב ברשות, "במגזר בריאות הנפש מנוהל מידע רב, מזוהה ורגיש אודות ציבור המטופלים. יש סכנה לפגיעה בפרטיות המטופלים ונדרשת הקפדה על קיום הוראות החוק והתקנות, ופעילות בשקיפות מול המטופלים. זאת, קל וחומר כשמדובר במטופלים שלעתים ובנסיבות מסוימות לא יכולים – בשל מצבם הרפואי – לתת את הסכמתם למסירת מידע רגיש אודות מצבם הבריאותי והנפשי, או במקרים שבהם המידע נאסף תוך כדי הטיפול בהם."