רק כמחצית מחברות הסיעוד עומדות בהוראות חוק הגנת הפרטיות

כך עולה מפיקוח רוחב של הרשות להגנת הפרטיות על 40 חברות סיעוד בישראל ● האכיפה כנגד חברות הסיעוד שלא עמדו בהוראות החוק ולא תיקנו באופן מיידי את הליקויים כנדרש, תהיה מחמירה יותר

חובה לפי חוק. שמירת המידע על המטופלים של חברות סיעוד. אילוסטרציה.

חברות הסיעוד הפועלות בארץ מחזיקות במידע אישי רגיש (רפואי וכלכלי) בהיקף רחב על אזרחי מדינת ישראל התלויים בשירותיהן. 

במסגרת פיקוח רוחבי שערכה הרשות להגנת הפרטיות על מגזר חברות הסיעוד, לבחינת עמידתן בהוראות חוק הגנת הפרטיות והתקנות מכוחו, נמצא כי 52% בלבד מהחברות שנבדקו הציגו רמה גבוהה של עמידה בהוראות החוק. 18% מהחברות שנבדקו הציגו רמת עמידה בינונית, ו-30% מהן הציגו רמה עמידה נמוכה.

40 חברות הסיעוד שנבדקו, שחלקן בעלות מספר סניפים ברחבי הארץ, משרתות אלפי לקוחות ומחזיקות במאגרי מידע בהיקפים עצומים. מאגרי המידע שלהן כוללים מידע רגיש על מצבם הבריאותי של מאות אלפי מטופלים, המתקבל ממספר רב של גורמים מדווחים (מטופלים/ות, בני משפחתם, המוסד לביטוח לאומי ועוד), וכן אלפי רשומות עם מידע אישי אודות מטפלות ומטפלים המועסקים דרכן. בנוסף, במגזר זה קיימים פערי כוחות משמעותיים בין בעלי המאגרים לבין המטופלים משום שבחלק גדול מהמקרים נושאי המידע הם בעלי תפקוד פיזי או קוגניטיבי נמוך, העלול להתאפיין גם במודעות נמוכה לפרטיות, לסיכונים הנובעים משימוש במידע עליהם, או לזכויות המוקנות להם.

לאור היקפי המידע ורגישותו הרבה, הרשות זיהתה כי מגזר זה הינו בעל מאפיינים ייחודיים בהיבטי פרטיות וראוי לבחינה רוחבית.

ככלל, מטרת פיקוח הרוחב הייתה בחינת דרכי האיסוף, השימוש, העיבוד ואבטחת המידע האישי המוחזק במאגרי המידע של חברות הסיעוד.

מהרשות נמסר כי חשיבות הפיקוח הרוחבי מתחדד במיוחד לנוכח אירועי אבטחת המידע שהתרחשו בעת האחרונה, המדגישים את החובה לוודא כי המידע נאסף, נשמר ומאובטח כדין.

זכות המטופלים לפרטיות מלאה ולשמירה קפדנית עליהן. רשומות רפואיות. אילוסטרציה.

זכות המטופלים לפרטיות מלאה ולשמירה קפדנית עליהן. רשומות רפואיות. אילוסטרציה. צילום: BigStock

65% המשתמשות במיקור חוץ לעיבוד מידע – לא עמדו בהוראות

במסגרת הליך הפיקוח נבדקו מספר קריטריונים: קריטריון הבקרה הארגונית, הבוחן קיומה של תכנית שנתית בתחום אבטחת המידע והגנת הפרטיות, ואת מינויים של גורמים בעלי אחריות בתחום. מהפיקוח עלה, כי 43% בלבד מכלל הגופים נמצאו ברמת עמידה גבוהה במדד זה.

מדד נוסף שנבחן הוא אופן ניהול מאגרי המידע, הבוחן את אופן קבלת ההסכמה לשימוש במידע אישי, רמת התאמת השימוש במידע למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר, ואיסוף של מידע ביומטרי. ממצאי הפיקוח הצביעו על כך שקיימת רמת עמידה גבוהה של 64% מהגופים בקריטריון זה, כאשר ב-10% מהגופים נמצאה רמת עמידה בינונית וב-26% מהם נמצאה רמת עמידה נמוכה.

מהליך הפיקוח עלה כי מעל מחצית מהגופים שנבדקו (54%), עמדו בהוראות החוק והתקנות ברמת גבוהה במדד של אבטחת מידע, הבוחן את עמידת הגופים בהוראות התקנות, בהתייחס לניהול המידע האישי שבבעלותם ובהחזקתם. 17% מהגופים עמדו ברמה בינונית במדד זה, וכשליש (29%) מהגופים הציגו רמת עמידה נמוכה בו.

רמת עמידה נמוכה במיוחד נמצאה בבדיקת מדד עיבוד מידע אישי במיקור חוץ, הבוחן בין היתר את אופן ההתקשרויות של בעלי מאגרי המידע עם צדדים שלישיים המחזיקים במידע ומעבדים אותו, ואת האופן שבו הם מבטיחים הגנה על המידע. 65% מהחברות שדיווחו כי הן משתמשות בשירותי מיקור חוץ לעיבוד מידע, לא עמדו כלל בהוראות התקנות, בכל הקשור לעיבוד מידע אישי במיקור חוץ, וב-13% מהחברות רמת העמידה הייתה חלקית. נוכח הממצאים שעלו מהליך פיקוח הרוחב, כל החברות שנבדקו קיבלו הנחיות מדויקות לתיקון הליקויים שנמצאו אצלן.

עקב הפרת פרטיות בעבר: קנסות של מאות אלפי שקלים

הרשות רואה מגזר זה כבעל פוטנציאל סיכון לפרטיות, בהתחשב במאפיינים הייחודיים לו ובפערי הכוחות, שאף הביאו בעבר לחקירה פלילית שביצעה הרשות. החקירה הפלילית חשפה מספר חברות סיעוד בצפון הארץ, שנהגו לרכוש באופן שיטתי מידע רגיש אודות קשישים מאושפזים. המידע נרכש מעובדים ועובדות בקופת חולים ובית חולים, כשהוא מועבר באמצעות מתווכים. המידע כלל את פרטיו המלאים של המאושפז, פרטי הניתוח שעבר, המחלקה בה הוא מאושפז באותה עת, מספר הטלפון שלו ושל הקרוב המטפל בו. בעקבות החקירה הוטלו על חברות הסיעוד הללו קנסות בגובה מאות אלפי שקלים ועובדי המערכת הרפואית נשפטו ואף פוטרו מעבודתם.

עו"ד רביד פטל, הממונה על פיקוח הרוחב ברשות להגנת הפרטיות: "כשמדובר בפיקוח על חברות המטפלות באוכלוסייה במצב סיעודי, הרשות רואה לנגד עיניה את פערי הכוחות והאתגרים של אוכלוסייה זו בעמידה על זכויותיה, ובהתאם פועלת בתוקף כדי להבטיח מימוש והגנה על פרטיותם. הרשות תמשיך לפעול לאכיפת מדיניותה בקרב בעלים ומחזיקים במאגרי מידע אישי, באמצעות הליך פיקוחי הרוחב, לרבות באמצעות ביקורות חוזרות בגופים שהונחו לתקן ליקויים, וזאת לשם הגברת עמידתם בהוראות החוק והתקנות, ועל מנת לחזק את ההגנה על זכות הציבור לפרטיות".

עו"ד פטל הוסיף כי "לאחרונה החלה הרשות בסדרת פיקוחי רוחב במגזרים נוספים, לרבות מגזר התיירות (בתי מלון, סוכנויות וחברות תעופה), חינוך (השכלה גבוהה, מוסדות חינוך פרטיים ואפליקציות לימודיות), מחזיקים (חברות אחסון ועיבוד מידע), משרדי חקירות וחברות ממשלתיות. הנחיית הרשות הינה ברורה: גופים אשר לא יעמדו בהוראות החוק ולא יפעלו באופן מיידי לתקן את הליקויים, עלולים להימצא במצב בו יפתחו כנגדם הליכי אכיפה מחמירים אף יותר".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים