הרשות להגנת הפרטיות מפרסמת דו”ח ממצאי פיקוח רוחב לשנים 2018-2019 שנערך בקרב מכונים רפואיים ומעבדות רפואיות בישראל

הרשות להגנת הפרטיות במשרד המשפטים מפרסמת (11.5.2020) דו”ח ממצאי פיקוח רוחב לשנים 2018-2019 שנערך בקרב מכונים רפואיים ומעבדות רפואיות בישראל.

בפתח הדו”ח נאמר כי “מערך פיקוח הרוחב ברשות להגנת הפרטיות מופקד על עריכת פיקוחי רוחב מגזריים או נושאיים לבחינת יישום הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע), במטרה לאתר הפרות של החוק, להגברת מודעות המשק להוראות החוק, להגברת האכיפה היוזמת של הרשות, לאיתור כשלים ענפיים הדורשים התייחסות והבהרות ולקבלת תמונת מצב מגזרית לגבי עמידה בהוראות החוק”.

לדברי הדו”ח החדש, “במסגרת הליך פיקוח הרוחב ביצעה הרשות 233 הליכי פיקוח רוחב, לבדיקת היבטי הגנת הפרטיות ואבטחת המידע בקרב תשעה המגזרים הבאים: 30 מרפאות לבריאות הנפש, 23 מכונים ומעבדות רפואיות, 54 חברות המנהלות מאגרי מידע של מועדוני לקוחות בהיקפים של יותר ממאה אלף איש, 38 גופים המנהלים אתרים ואפליקציות לימודיות וחינוכיות המיועדות לקטינים ו- 36 חברות המספקות שירותי אחסון ועיבוד מאגרי מידע.

“בנוסף, הרשות ערכה 54 פיקוחי רוחב ייעודיים לבדיקת רמת אבטחת המידע במגזרי התיירות, בעמותות ואיגודים, מוסדות חינוך ובחברות טכנולוגיה המספקות שירותים טכנולוגיים בתחומי הבחירות”.

באשר ל’ליקויים, מסקנות והמלצות עיקריות’ קובע הדו”ח:

“במגזר מכונים ומעבדות רפואיות נמצאו פערים משמעותיים ברמות עמידה בהוראות החוק והתקנות בקרב מכונים רפואיים גדולים או כאלו המשוייכים לבתי-חולים וקופות חולים, לבין מכונים רפואיים בינוניים וקטנים.

“כך לדוגמה, נמצא כי מרבית המכונים הרפואיים הגדולים מקיימים מסגרות ממוסדות של ממשל תאגידי בהיבטים של מינוי גורמים בעלי אחריות בתחום וניהול אבטחת מידע, ורמת מודעותם לתקנות הגנת הפרטיות אבטחת מידע ובהתאמה עמידתם בהן, הינה גבוהה, כשלעומתם במכונים רפואיים קטנים, גם אם מחזיקים מידע רב, רמת המודעות ומכאן גם העמידה בהוראות התקנות נמוכה.

“מהליך פיקוח הרוחב עולה, כי הליקויים שנמצאו מעלים חשש לדליפת מידע דרך העברת המידע לגופים שלישיים, כגון ספקי מיקור-החוץ או עובדי המכונים או מוסדות אחרים בעלי נגישות שוטפת למידע הרפואי במאגרי המידע של המרפאות.

“על אף רמת העמידה הגבוהה יחסית בקרב המכונים הרפואיים הגדולים? בהוראות חוק הגנת הפרטיות ובתקנות, נמצאו רמות עמידה נמוכות יחסית בקריטריון הבוחן את אופן עיבוד המידע האישי במיקור-חוץ.

“נוכח הממצאים שעלו מהליך פיקוח הרוחב, קיבלו כלל הגופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם, כאשר אחד הגופים המפוקחים סיים את פעילותו, קיבל הנחיות מתאימות בנוגע לאופן מחיקת רישום מאגר המידע שברשותו.

“לאור בחינת הליקויים שנתגלו במגזר זה, הרשות להגנת הפרטיות רואה חשיבות בפרסום דו”ח זה, על מנת שיהווה כלי עבודה מנחה, ויאפשר לגופים נוספים המנהלים מידע רפואי לבצע הערכה עצמית ואף יגביר את המודעות לדרישות חוק הגנת הפרטיות בקרב גופים אלה. כך יוכלו הגופים בתחום לנהל את המידע של מטופליהם בצורה מיטבית, תוך שמירה על זכויותיהם והגנה על פרטיותם”.

בסיכום הדו”ח נאמר:

“כאמור, קיימים סיכונים לא מעטים לפרטיות המטופלים שמידע אודותיהם מוחזק במכונים רפואיים. מכונים אלה מחזיקים ומנהלים מידע רב, מזוהה ורגיש, וניהול הקשר עם נושאי המידע באמצעות הגופים ובאמצעות מיקור-חוץ. כל אלה דורשים הקפדה יתרה על קיום הוראות חוק הגנת הפרטיות, הוראות תקנות הגנת הפרטיות (אבטחת המידע), שקיפות מול המטופל, ומילוי החובות החלות מכח פרק הדיוור הישיר ושירותי הדיוור הישיר בחוק.

“ממצאי הליך פיקוח הרוחב במגזר מכונים רפואיים העלה ממצאים המצביעים על ליקויים בעיקר בנוגע לעמידה בהוראות החוק בתחום עיבוד המידע האישי באמצעות מיקור-חוץ ופערים בעיקר בנוגע לקיום הוראות החוק בתחום נהלי אבטחה, מבדקי חדירות ותוכנית עבודה שנתית.

“בנוסף נמצא כי חלק מהגופים המשתייכים למגזר זה אינם מקפידים דיים ליידע את ציבור המטופלים בדבר זכויותיו על פי חוק הגנת הפרטיות, הכוללות בין היתר את החובה להציג את מקור המידע, הזכות לעיין במידע והזכות להימחק ממאגר המידע.

“ניכר, כי עצם קיום הליך פיקוח הרוחב עורר אצל המפוקחים תהליך בחינה עצמית והנעה לשיפור עצמי באופן הציות לחוק ולתקנות, כאשר בסיום ההליך כאמור, הגופים שבהתנהלותם נתגלו ליקויים, נדרשו להציג לרשות התחייבות נושא משרה ותוכנית מסודרת לתיקונם.

“הרשות להגנת הפרטיות תמשיך לפעול לאכיפת מדיניותה בקרב בעלים ומחזיקים במאגרי מידע אישי באמצעות הליך פיקוחי הרוחב, לרבות באמצעות ביקורות חוזרות בגופים שהונחו לתקן ליקויים, וזאת לשם הגברת עמידתם בהוראות החוק והתקנות ועל מנת לחזק את ההגנה על זכות הציבור לפרטיות”.