"חשש לדליפת מידע מהמכונים הרפואיים והמרפאות"

קיים חשש לדליפת מידע בקרב מכונים רפואיים ומעבדות רפואיות באמצעות העברת המידע לגופים שלישיים, כגון ספקי מיקור החוץ, או עובדי המכונים, או מוסדות אחרים בעלי נגישות שוטפת למידע הרפואי במאגרי המידע של המרפאות – כך עולה מדו"ח ביקורת של הרשות להגנת הפרטיות, המתפרסם הבוקר (ב').

בשנים 2018-2019 ערכה הרשות להגנת הפרטיות הליך פיקוח רוחבי ב-23 מכונים ומעבדות רפואיות. ב-20 מהם נמצאו ליקויים הדורשים תיקון.

הרשות הגדירה את מגזר המכונים והמעבדות הרפואיות בישראל כ"אחד מיעדי פיקוח הרוחב המשמעותיים" בשל מאפייניו הייחודיים של מגזר זה: אופי היחסים בין הגוף המטפל והמטופל, שבמסגרתם נדרש המטופל למסור מידע על מצבו הבריאותי, או מידע הנאסף תוך כדי הטיפול, הכולל מידע על מצבו הבריאותי של אדם, שמוגדר בחוק כמידע רגיש. מדובר, בין היתר, במידע רפואי דוגמת אבחוני שמיעה, קלינאות תקשורת, הדמיה ופיזיותרפיה, פוריות, ממוגרפיה, דיאליזה, התפתחות הילד ומידע על מצב נפשי. "המטופל אינו תמיד מודע לאופן השימוש במידע זה ולהעברתו לגורמים אחרים", ציינו ברשות, "בנוסף, ניהול ואחזקת המידע על מצבם הבריאותי של המטופלים במגזר זה מבוצע באופנים שונים – באמצעות מיקור חוץ, או באופן ישיר ובאמצעות מאגרי קופות החולים, בהיקפי מידע גדולים וברמת רגישות גבוהה".

מכונים גדולים מול קטנים

"נמצאו פערים משמעותיים ברמות העמידה בהוראות החוק והתקנות בקרב מכונים רפואיים גדולים, או אלה השייכים לבתי חולים וקופות חולים – לבין מכונים רפואיים בינוניים וקטנים", נכתב בדו"ח. כך נמצא, לדוגמה, כי "מרבית המכונים הרפואיים הגדולים מקיימים מסגרות ממוסדות של ממשל תאגידי בהיבטים של מינוי גורמים בעלי אחריות בתחום ניהול אבטחת מידע ורמת מודעותם לתקנות הגנת הפרטיות ואבטחת המידע, ובהתאמה – עמידתם בהן הינה גבוהה. לעומתם, במכונים רפואיים קטנים, גם כאלה המחזיקים מידע רב, רמת המודעות והעמידה בהוראות התקנות – נמוכה. הליקויים שנמצאו מעלים חשש לדליפת מידע".

עוד נמצא, כי "על אף רמת העמידה הגבוהה יחסית בקרב המכונים הרפואיים הגדולים בהוראות חוק הגנת הפרטיות ובתקנות, נמצאו רמות עמידה נמוכות יחסית באופן עיבוד המידע האישי במיקור חוץ".

במרבית הגופים (60%) נמצאה רמת עמידה גבוהה יחסית בנוגע לבקרה הארגונית וממשל תאגידי. ב-40% מהגופים שנמצאה בהם רמת עמידה בינונית ומטה בדרישות הממשל התאגידי נמצאו ליקויים בהגדרת מאגר המידע ומטרותיו ואי מילוי הדרישה למינוי של מנהלי מאגרים. נמצאו פערים בנושא ביצוע בדיקת התאמה לעובדים חדשים בעלי גישה למאגר.

עוד עלה, כי נמצאו גופים אשר אין להם תיעוד מסודר לנוהלי אבטחת מידע ולתוכנית עבודה שנתית לבקרה שוטפת על העמידה בדרישות התקנות, או שהנהלים אינם איכותיים דיים ואינם מקיפים את כלל הדרישות בהוראות התקנות.

נמצאו גופים בעלי מאגרי מידע שחלה עליהם רמת אבטחה גבוהה, אשר נדרשו לבצע מבדקי חדירות, ולא ביצעו אותם כנדרש – או לא ביצעו כלל.

בתחום ניהול מאגרי מידע, 65% מהגופים עמדו בדרישות ברמה הגבוהה, 20% ברמת הבינונית ו-15% ברמה נמוכה. בגופים שנמצאה בהם רמת עמידה נמוכה היו כאלו אשר כמעט ולא עמדו בדרישות החוק בכל הנוגע לרישום מאגרי המידע. נמצאו ליקויים ביישום הוראות החוק בכל הנוגע לשקיפות בדבר מקור הסמכות לאיסוף המידע האישי ויידוע האנשים שעליהם מוחזק המידע בדבר זכויותיהם בנוגע למאגר המידע הרפואי שבו נשמרים פרטיהם.

אבטחת מידע

במרבית הגופים (60%) נמצאה רמת עמידה גבוהה בהוראות החוק בנוגע לאבטחת מידע. נמצאו ליקויים בניהול הרשאות הגישה למאגרים. עוד נמצאו ליקויים רבים בנושא אבטחת אמצעים נתיקים בין אם בהעדר הגבלות על שימוש באמצעים אלו, או בהעדר הצפנה נאותה. בנוסף, נמצאו גופים אשר לא נקטו אמצעים מספקים כדי למנוע חדירה למיקום הפיזי שבו נשמרים השרתים והתשתיות המחזיקים את מאגרי המידע. נמצאו גופים אשר לא ביצעו מעקב ותיעוד של אירועי אבטחת מידע.

בין הגופים שעושים שימוש במיקור חוץ לצורכי עיבוד מידע, 40% מהם נמצאו ברמת עמידה נמוכה. "גם במקרים שבהם הגופים הטמיעו מנגנוני בקרה נאותים בתוך הארגון, קיים עדיין ליקוי ביישום הדרישות מחברות צד ג', המעניקות שירותי עיבוד מידע אישי במיקור חוץ. חלק מהגופים לא נקטו צעדים מספקים על מנת להעריך את מידת הסיכון הנשקפת למידע… מבין הגופים העושים שימוש במיקור חוץ לעיבוד מידע, נמצא כי הם אינם מבצעים התקשרות עם ספק מיקור חוץ לפי ההוראות, לא בוחנים את איכות ניהול אבטחת המידע ואת אופן תפעול מאגרי המידע אצל ספקי מיקור החוץ, ולא מבצעים פעולות בקרה ופיקוח נאותות".

"הגם שמרבית המכונים הרפואיים הם בעלי היכרות עם דרישות החוק והתקנות, עדיין נמצאו ליקויים משמעותיים באופן יישום הוראות החוק והתקנות", סיכמו עורכי הדו"ח. "קיימים סיכונים לא מעטים לפרטיות המטופלים, שמידע על אודותיהם מוחזק במכונים רפואיים. מכונים אלה מחזיקים ומנהלים מידע רב, מזוהה ורגיש. כל אלה דורשים הקפדה יתרה על קיום הוראות חוק הגנת הפרטיות, אבטחת המידע, שקיפות מול המטופל ומילוי החובות החלות משירותי הדיוור הישיר בחוק".