היום (ב', 11.5.20) הרשות להגנת הפרטיות מפרסמת דוח ממצאי פיקוח רוחב, שנערך בקרב מכונים רפואיים ומעבדות רפואיות בישראל, זאת במסגרת סדרת דוחות לבדיקת האופן בו גופים ממגזרים שונים במשק מקיימים את הוראות החוק ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע להגנה על מידע אישי ואבטחתו.
מגזר המכונים הרפואיים והמעבדות הרפואיות נחשב למגזר בסיכון גבוה במיוחד לפגיעה אפשרית בזכות לפרטיות, הן בשל היקפי המידע והן בשל רמת הרגישות הגבוהה של המידע הבריאותי הנאסף ונשמר אודות ציבור המטופלים. המכונים והמעבדות שנבדקו במסגרת הליך הפיקוח שערכה הרשות, מחזיקים במידע אישי רב ורגיש, הכולל, בין היתר, מידע רפואי הנוגע לבדיקות מסוגים שונים דוגמת בדיקות הדמיה כגון ממוגרפיה, אבחוני שמיעה וכן טיפולים שונים כגון פיזיותרפיה.
כמו-כן, במגזר זה נאסף מידע נפשי אודות מטופלים וכן מידע על-אודות קטינים הנוגע לטיפולים הניתנים, לדוגמה, במסגרת התפתחות הילד. כמו-כן, על-פי הבדיקה שערכה הרשות, נמצא כי במגזר זה המטופלים אינם תמיד מודעים לאופן השימוש במידע על אודותיהם והאם הוא מועבר לידי גורמים אחרים. בנוסף, ניהול ואחזקת המידע על-אודות מצבם הבריאותי של המטופלים במגזר זה מבוצע בדרכים שונות ובהן ניהול המידע באופן ישיר על-ידי המכונים עצמם, או באמצעות שימוש בשירותי מיקור חוץ ויש לכך השלכות בהיבטים של הגנה על המידע.
כחלק מפעילות הליך פיקוח הרוחב, הרשות להגנת הפרטיות פנתה בדרישה ל-23 גופים המנהלים מכונים רפואיים למילוי שאלוני ביקורת. מדובר בגופים בהיקפי פעילות שונים אשר חלקם מספקים שירותים לקופת חולים אחת או יותר, המנהלים כ-300 מכונים רפואיים ומעבדות רפואיות בפריסה ארצית.
במסגרת שאלוני הביקורת, אשר עליהם נדרשו הגופים להשיב במסגרת הליך פיקוח הרוחב, נבחנו ארבעה קריטריונים בתחום הגנת הפרטיות:
- בקרה ארגונית וממשל תאגידי - בוחן קיומה של תוכנית בתחום הגנת הפרטיות, לרבות אבטחת המידע ואת מינויים של גורמים בעלי אחריות בתחום.
- ניהול מאגרי מידע - בוחן את אופן קבלת ההסכמה לשימוש במידע אישי, השימוש במידע בהתאם למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר ושירותי דיוור ישיר.
- אבטחת מידע - בחינת עמידת הגופים בהוראות תקנות הגנת הפרטיות (אבטחת מידע), ביחס להגנה על המידע האישי שבבעלותם או בהחזקתם.
- שירותי מיקור חוץ - בחינת ההתקשרויות של בעלי מאגרי המידע עם גורמים חיצוניים המחזיקים במידע ומעבדים אותו עבורם והאופן בו הם מבטיחים הגנה על המידע.
בהתאם למענה שניתן על-ידי הגופים ביחס לכל אחד מהקריטריונים, נקבעה רמת עמידתם בהוראות חוק הגנת הפרטיות והתקנות מכוחו, כמתואר בגרף הבא בהתאם לשקלול רמות העמידה של הגופים:
- עמידה של בין 80%-100% בקריטריונים, מוגדרת כרמת עמידה גבוהה;
- עמידה של בין 50%-80% מוגדרת כרמת עמידה בינונית/חלקית;
- עמידה של מתחת ל-50% מוגדרת כרמת עמידה נמוכה.
להלן עיקרי הממצאים בתחומים השונים שנבדקו:
- נמצאו פערים משמעותיים ברמות עמידה בהוראות החוק והתקנות בין מכונים רפואיים גדולים או כאלה המשויכים לבתי חולים וקופות חולים, לבין מכונים רפואיים בינוניים וקטנים. כך למשל, נמצא כי מרבית המכונים הרפואיים הגדולים מקיימים מסגרות ממוסדות של ממשל תאגידי. במסגרת כך, ממונים גורמים אשר אחראיים על ניהול אבטחת מידע וכן עולה כי קיימת מודעות ובהתאם עמידה גבוהה יחסית בתקנות הגנת הפרטיות (אבטחת מידע), זאת לעומת מכונים רפואיים קטנים בהם רמת המודעות, ובהתאם גם העמידה בהוראות התקנות נמוכה, גם במקרים בהם מוחזק על ידם מידע רב.
אבטחת המידע
- 60% מהמכונים הרפואיים והמעבדות הרפואיות עומדים ברמה גבוהה בהוראות החוק והתקנות בנוגע לאבטחת מידע.
- נמצאו ליקויים בניהול הרשאות הגישה למאגרי המידע על-אודות המטופלים. כך למשל לא ניתנו הרשאות תוך ביצוע הפרדה בין בעלי תפקידים ואף לא בהתאם לעקרון הצורך לדעת בלבד (רק לבעל הרשאה המורשה לכך).
- נמצאו ליקויים רבים בנושא אבטחת מידע בשימוש באמצעים נתיקים בין אם בהעדר הגבלות על שימוש באמצעים אלו ובין אם בהעדר הצפנה נאותה.
- בנוסף, מהממצאים עולה כי יש מכונים אשר לא נקטו אמצעים מספקים בכדי למנוע חדירה למיקום הפיזי בו מצויים השרתים והתשתיות בהם מאוחסנים מאגרי המידע, מה שעשוי לאפשר גישה למידע בהעדר הרשאה.
כמו-כן, נמצאו מכונים אשר לא ביצעו מעקב ותיעוד של אירועי אבטחת מידע.
עיבוד מידע אישי בהסתייעות בשירותים חיצוניים (מיקור חוץ)
- 40% מהמכונים הרפואיים אשר עושים שימוש בשירותים חיצוניים (שירותי מיקור חוץ) לצורכי עיבוד מידע עומדים ברמה נמוכה בהוראות חוק הגנת הפרטיות והתקנות מכוחו.
- גם במקרים בהם מכונים הטמיעו מנגנוני בקרה נאותים פנים ארגוניים, עדיין נמצאו ליקויים ביישום הדרישות מחברות חיצוניות המעניקות שירותי עיבוד מידע אישי במיקור חוץ.
- במסגרת כך, חלק מהמכונים לא נקטו צעדים מספקים על-מנת להעריך את מידת הסיכון הנשקפת למידע ולפגיעה אגב כך בזכותם לפרטיות של המטופלים.
- כמו-כן, נמצא כי בקרב המכונים שרמת העמידה שלהם בהוראות חוק הגנת הפרטיות נמוכה, הם אף אינם מבצעים התקשרות עם ספק מיקור חוץ בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע), לא בוחנים את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ ולא מבצעים פעולות בקרה ופיקוח נאותות על עמידתם בהוראות ההסכם והתקנות.
בקרה ארגונית וממשל תאגידי
- 60% מהמכונים והמעבדות שנבדקו במסגרת הליך הפיקוח עומדים ברמה גבוהה בכל הנוגע להוראות החוק והתקנות בעניין בקרה ארגונית וממשל תאגידי. בגופים בהם נמצא כי רמת העמידה בינונית ומטה, נמצאו ליקויים באופן בו הם מגדירים את מאגרי המידע שברשותם ומטרותיהם וכן לא מונו בהם מנהלי מאגרים כנדרש בחוק.
- נמצאו מכונים ומעבדות שלא מחזיקים בנהלי אבטחת מידע ובתוכנית עבודה שנתית לבקרה שוטפת על העמידה בדרישות התקנות, או שבידם נהלים שאינם מספיק איכותיים ומקיפים.
- נמצאו ליקויים המצביעים על כך שגופים מסוימים לא ביצעו כלל בדיקות בהליכי המיון ושיבוצם של עובדים חדשים, בטרם ניתנו להם הרשאות גישה למאגר, כדי לברר שאין חשש כי הם אינם מתאימים לקבלת גישה למידע המצוי במאגר.
ניהול מאגרי מידע
- נמצאו ליקויים ביישום הוראות חוק הגנת הפרטיות בכל הנוגע לשקיפות באשר למקור הסמכות לאיסוף המידע האישי ויידוע מטופלים בדבר זכויותיהם. במסגרת כך, מכונים לא הבהירו למטופלים כי קיימת להם זכות לעיין במידע שמוחזק אודותיהם במאגר המידע וכן נמצאו מכונים שלא אפשרו לציבור המטופלים לשנות או לתקן את המידע המוחזק אודותיהם כנדרש בחוק.
- 65% מהמכונים והמעבדות שנבדקו במסגרת הליך הפיקוח עומדים בקריטריון זה ברמה גבוהה, 20% ברמה הבינונית ו-15% ברמה נמוכה כשמתוך הקבוצה האחרונה, ישנם גופים שכלל לא עמדו בדרישות החוק בכל הנוגע לרישום מאגרי מידע.
נוכח הממצאים שעלו מהליך פיקוח הרוחב, קיבלו כלל המכונים הרפואיים והמעבדות הרפואיות שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם וכן דרישה לספק תוכנית מפורטת לתיקונם בליווי הצהרת נושא משרה לביצוע והשלמת התיקונים. כחלק מההליך מבצעת הרשות ביקורות מעקב על הגופים שנבדקו בכדי לוודא את יישום דרישות תיקון הליקויים.
הדוח שפרסמה הרשות מרכז הן את ממצאי תהליך פיקוח הרוחב המגזרי והן את ריכוז הליקויים המגזריים וההנחיות באשר לצעדים שעל הגופים במגזר זה לנקוט, בכדי לקיים את דרישות החוק והתקנות.
עו"ד עלי קלדרון, מנהל מחלקת אכיפה ברשות להגנת הפרטיות, ציין כי: "פרסום דוחות ביקורת על מגזרים בהם ביצעה הרשות פיקוח רוחב הינו בעל חשיבות גבוהה לגופים המפוקחים וכן לכלל הגופים המשתייכים למגזר המפוקח. חשיבותו של הפיקוח היא באיתור וצמצום הפערים בין דרישות חוק הגנת הפרטיות והתקנות מכוחו לבין יישומן בפועל, יש בו כדי להגביר את המודעות של הגופים במשק להוראות חוק הגנת הפרטיות והוא אף תורם לחיזוק ההגנה על הפרטיות של הציבור בישראל.
ממצאי הדוח מדגישים את חובתם של גופים לעמוד בהוראות חוק הגנת הפרטיות והתקנות מכוחו, במיוחד בקרב מי שאוסף מידע בריאותי רגיש על הציבור. הרשות להגנת הפרטיות בטוחה שפרסום דוח זה, עשוי להוות כלי עבודה לכלל הגופים המנהלים מידע רפואי אודות מטופלים ויגביר את המודעות לדרישות חוק הגנת הפרטיות בקרב גופים אלה. בימים אלו בו פועל כלל המשק במתכונת חירום, אנו עדים לשימושים הולכים וגוברים בתעבורת מידע רפואי באמצעים אלקטרוניים המסייעים לנו לקבל שירותים רפואיים באמצעות תקשורת מרחוק וללא צורך להגיע למרפאה או למכון הרפואי. תקופה זו מחדדת את הצורך בשמירה על פרטיות המטופלים ועמידת המרפאות והמכונים הרפואיים בדרישות החוק והתקנות".