הרשות להגנת הפרטיות פירסמה להערות הציבור מסמך המלצות לגבי הגנה על פרטיות מטופלים בעת העברת מידע רפואי באמצעות מכשירים דיגיטליים ותוכנות לא ייעודיות

הרשות להגנת הפרטיות במשרד המשפטים פירסמה להערות והתייחסויות הציבור מסמך המלצות לגבי הגנה על פרטיות מטופלים בעת העברת מידע רפואי באמצעות מכשירים דיגיטליים ותוכנות לא ייעודיות. הרשות מזמינה להעביר אליה התייחסויות למסמך עד ל- 6 בדצמבר 2022.

לדברי הרשות, “בשנים האחרונות מתפתחת תופעה לפיה גורמים המעניקים שירותי בריאות וטיפול רפואי, מעבירים מידע על אודות מטופלים באמצעות מכשירים דיגיטליים (טלפונים חכמים, מחשבי כף יד, מחשבים ניידים) ותוכנות שאינן ייעודיות להעברת מידע רפואי (כגון WhatsApp; Telegram; Signal; Gmail ) וכל זאת באופן העלול לפגוע בפרטיות מטופלים.

“תופעה זו – הנמצאת בליבת המסמך – מיוחסת להעברת מידע רפואי על-ידי גורמי רפואה בשלושה אופנים:

+ העברת מידע באמצעות תוכנות ייעודיות להעברת מידע רפואי המותקנות במכשירים דיגיטליים אישיים-פרטיים של גורמי רפואה;

+ העברת מידע באמצעות תוכנות לא ייעודיות המותקנות במכשירים דיגיטליים שבבעלות הארגון או המוסד הרפואי, ושנמצאים בשימוש, לרבות שימוש אישי, של גורמי רפואה;

+ העברת מידע באמצעות תוכנות לא ייעודיות המותקנות במכשירים פרטיים של גורמי הרפוה.

“העברת המידע נעשית, בין היתר, כחלק מתקשורת של גורמי רפואה עם מטופלים וגורמי רפואה אחרים.

“הרשות להגנת הפרטיות מפרסמת מסמך המלצות בנושא הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעות מכשירים דיגיטליים ותוכנות לא ייעודיות, מטרת המסמך היא להציב זרקור על התופעה, לסקור את הוראות הדין הרלוונטיות לה, ולהציג מספר הבהרות והמלצות ביחס אליה. התמקדות המסמך בהעברת מידע רפואי נובעת מרגישותו של מידע זה. יובהר כי המסמך אינו מבקש למנוע את העברת המידע באמצעות מכשירים דיגיטליים )פרטיים או מוסדיים) או בתוכנות לא ייעודיות, אלא לספק המלצות בעניין זה בראי הגנת פרטיות המטופלים, ולחדד את החובות המוטלות בהקשר זה על בעלי מאגרי המידע הרפואי.

“[…] הרשות להגנת הפרטיות מבקשת להבהיר כי מידע רפואי על אודות מטופלים )או חלק ממידע זה), הנשמר במכשירים דיגיטליים או המועבר באמצעות תוכנות להעברת מידע, מעבר להיותו מידע רגיש על פי חוק הגנת הפרטיות, עשוי להיחשב גם חלק מ”רשומה רפואית” ממוחשבת. כפועל יוצא מכך, שמירת והעברת המידע האמור כפופות לא רק לחובות אבטחת המידע החלות על מידע רגיש, אלא גם להנחיות משרד הבריאות בנושא רשומות רפואיות, שמירתן ואופן אבטחתן”.

בסיכום המסמך נאמר כי “מידע רפואי הוא מידע רגיש המצוי בליבת הפרטיות. מידע זה יש לאבטח כנדרש ולצמצם, ככל האפשר, את חשיפתו.

“שמירת מידע רפואי על אודות מטופלים במכשירים פרטיים או מכשירים מוסדיים המשמשים גם לשימושים אישיים, וכן העברתו של מידע שכזה באמצעות תוכנות לא ייעודיות, עלולות לסכן את פרטיותם של מטופלים. שימוש באמצעים האמורים עלול להביא לזליגה ולחשיפה של מידע רפואי הנוגע למטופלים, באופן שיהווה הפרה של הוראות חוק הגנת הפרטיות וחוק זכויות החולה.

“במסגרת המסמך סקרה הרשות את הוראות הדין הרלבנטיות והציגה המלצות להתנהלות גורמי רפואה בהקשרים אלו. ככלל, הרשות ממליצה להימנע מלשמור מידע רפואי במכשירים פרטיים, ומלהשתמש בתוכנות לא ייעודיות להעברת מידע רפואי. היה ושימוש שכזה נעשה – יש לפעול בזהירות ותוך הקפדה על שמירה על פרטיות המטופלים ועל המידע הנוגע אליהם, לרבות אימוץ עיקרון צמצום המידע שאינו נדרש.

“לאור רגישותו של מידע רפואי ופוטנציאל הנזק שעלול להיגרם כתוצאה מחשיפתו, הרשות לא תהסס להפעיל את הסמכויות העומדות לה על-פי דין במקרים של הפרה של הוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו, בין השאר כמפורט במסמך זה”.

[הערה: כל ההדגשות בידיעה זו מופיעות כך במקור].