© כל הזכויות שמורות לברנע ג'פה לנדה משרד עורכי דין

Together is powerful

המלצות חדשות להגנה על פרטיות מטופלים בהעברה דיגיטלית של מידע רפואי

הרשות להגנת הפרטיות פרסמה לאחרונה מסמך להתייעצות עם הציבור בנושא "הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעות מכשירים דיגיטליים ותוכנות לא ייעודיות".

 

מדובר במסמך המלצות ביחס לאחריות של גורמים המעניקים שירותי בריאות או אנשי רפואה לשימוש במכשירים דיגיטליים מגוונים (טלפונים חכמים, מחשבי יד, מחשבים ניידים ועוד) וזאת על ידי שימוש בתוכנות כגון ג'ימייל, ווטסאפ ועוד, להעברת מידע רפואי, אשר נחשב למידע רגיש אודות מטופלים.

 

הרשות מציינת במסמך כי האחריות לשמירת המידע הרפואי חלה על המוסד הרפואי כבעל המאגר. הרשות מביעה חששות לאפשרות של פגיעה בפרטיות המטופלים מהשימוש הגובר בתוכנות כגון Gmail WhatsApp, Telegram ועוד, כמו גם שימוש בטלפונים ניידים אישיים של אנשי רפואה לצילום ולתיעוד מידע רפואי והעברתו בין גורמים שונים.

 

העברת המידע יכולה להתבצע בשלושה אופנים:

 

א. העברת מידע באמצעות תוכנות ייעודיות להעברת מידע רפואי המותקנות במכשירים דיגיטליים פרטיים של גורמי רפואה;

 

ב. העברת מידע באמצעות תוכנות לא ייעודיות המותקנות במכשירים דיגיטליים שבבעלות ארגון או מוסד רפואי;

 

ג. העברת מידע באמצעות תוכנות לא ייעודיות המותקנות במכשירים פרטיים של גורמי רפואה.

 

תרחישים אפשריים של העברת מידע הינם, למשל, העברת תמונות של מטופל בין גורמי רפואה לצורך התייעצות, או העברת סיכום רפואי מטלפון נייד של רופא למייל הפרטי של המטופל. מדובר גם במצבים בהם עשויה להיות הצדקה להעברת המידע – כמו השיתוף בין הגורמים המטפלים עצמם או עם מטופלים.

 

החששות נוגעים לחשיפת מידע אישי הן מסיבות של טעות אנוש (למשל, שליחת תמונה של מטופל לרופא אחר מבלי לדעת האם אותו מכשיר מגובה לענן) או זליגת מידע עקב אי-התאמת הכלים לשמירת מידע רפואי רגיש.

 

לצד זה, הרשות מביעה חשש מהעברת המידע הרפואי באמצעים דיגיטליים ללא ידיעת או הסכמת המטופל ומשימוש במידע הרפואי שלו על-ידי החברות הפרטיות עצמן לצרכיהן.

 

לגישת הרשות המידע במכשירים האישיים ובכלים אלה עשויים להוות רשומה רפואית ממוחשבת. מידע כזה כפוף להנחיות משרד הבריאות לעניין שמירה על רשומה רפואית. שימוש בכלים אלה מטיל חובת אבטחת מידע מוגברת ביחס למערכות ויש לבצע את התהליך המלא הנוגע לביקורת ספקים גם ביחס אליהם.

 

הרשות גם סבורה כי שימוש של אנשי רפואה במכשירים פרטיים ללא אישור או היתר מהארגון או גניבת מכשיר פרטי המכיל מידע רפואי עשויה להוות בנסיבות מסוימות אירוע אבטחה חמור, הטעון דיווח לרשות. בהתאם, הארגונים הרפואיים יידרשו לחידוד נהלים ומדיניות גם ביחס לאנשי הרפואה המועסקים.

 

המלצות ביצועיות

 

המסמך לא אוסר באופן גורף שימוש בתוכנות מסרים באמצעים דיגיטליים להעברת מידע רפואי. משכך, הוא כולל גם מספר המלצות ביצועיות להעברת מידע רפואי הן לאנשי הרפואה והן לארגונים.

 

כך, גופים שמבקשים לאפשר לעובדיהם לעשות שימוש במכשירים אישיים או ארגונים ובתוכנות לא ייעודיות נדרשים לשורה של צעדים בתחום אבטחת מידע, ובין היתר:

 

– מינימיזציה של מידע (למשל מחיקה מיד לאחר המשלוח מזיכרון התוכנה והמכשיר).

– אי-שימוש בגיבויי ענן שונים.

– הגברת אמצעי אבטחה, ועוד.

 

בנוסף, ישנה המלצה לארגונים לספק מכשירים ייעודיים ולהשתמש במערכות ניהול התקנים מקובלות כדי לצמצם זליגת מידע.

 

הרשות ממליצה עוד על ביצוע תסקיר השפעה על פרטיות טרם הטמעת מערכות ופתרונות חדשים. כמו כן, הרשות מציינת את התועלת שבמינוי ממונה על הגנת הפרטיות בארגוני בריאות, מינוי שעודנו בגדר המלצה.

 

הקליקו כאן למסמך ההמלצות.

 

המסמך פורסם להערות הציבור עד ליום ה-6.12.22 בשעה 12:00.

 

***

 

מחלקת הרגולציה במשרדנו זמינה לכל שאלה או הבהרה בנושא ובסוגיות אחרות של אבטחת מידע.

תגיות: מידע רפואי | פרטיות ואבטחת מידע