ייצוגית נגד 2 קופ”ח, איכילוב ואסותא בשל “עוולות חמורות שמבצעים המשיבים, גופים רפואיים מרכזיים בישראל, המשתפים, חושפים ומעבירים לצדדי ג’ מידע רפואי רגיש ביותר, פרטי, אישי, חסוי וסודי של לקוחותיהם – המטופלים – ללא הסכמתם”

לבית-המשפט המחוזי בתל אביב הוגשה ב- 19.8.2021 תביעה (ובקשה לאשרה כתובענה ייצוגית לפי חוק להגשת הצרכן) נגד קופת חולים מאוחדת, לאומית שירותי בריאות, מרכז רפואי תל אביב (מרת”א) ע”ש סוראסקי/איכילוב ואסותא מרכזים רפואיים.

“הנתבעים הם גופים רפואיים, קופות חולים, מרכז רפואי ובית חולים מרכזיים בישראל. כל הנתבעים, ללא יוצא מן הכלל, הם גופים רפואיים הפועלים תחת רגולציית רישוי קפדנית של משרד הבריאות, תוך שהם מחוייבים לתקן אבטחה מחמיר ביותר (ת”י 27799), בהתאם לחוזר מנכ”ל 12/18 [העוסק בהגנה על מידע ממערכות ממוחשבות במערכת הבריאות], אשר מיום 1.1.2014, מהווה תנאי לחידוש הרישיון […] הנתבעים כולם הם גופים מפוקחים הנתונים לפיקוח רגולטורי של משרד הבריאות, שחלק מתפקידו הוא גם לקבוע אמות מידע להגנה על המידע. ואכן הרגולטור נתן דעתו באשר לאופן שמירת המידע הפרטי של מטופלי הנתבעים, הוציא קוד אתי וחוזר מנכ”ל כדי להבטיח את שמירת המידע הפרטי המוחזק בידי הגופים המפוקחים”.

התובעים בתיק זה הם פבל גורביץ, מירי שבתאי אוסר, מיכל דורית לובלין ספיבק ושירי הולנדר.

בכתב הטענות נאמר בין היתר כי “עניינה של הבקשה ב”עוולות חמורות שמבצעים המשיבים, גופים רפואיים מרכזיים בישראל, המשתפים, חושפים ומעבירים לצדדים שלישיים מידע רפואי רגיש ביותר, פרטי, אישי, חסוי וסודי של לקוחותיהם – המטופלים – ללא הסכמתם. זאת, תוך פגיעה קשה וחסרת תקדים בזכות המטופלים לפרטיות ולסודיות רפואית”.

התובעים הם מטופלים של הנתבעים אשר עשו שימוש בשירותים הדיגיטליים באתרי האינטרנט וביישומונים שמפעילים הנתבעים. כך, מפעם לפעם נדרשים התובעים להיכנס לחשבון ו/או לאיזור האישי שלהם באתרי האינטרנט וביישומונים של הנתבעים לצורך נקיטת פעולות מסויימות, כגון התכתבות עם רופא ו/או לשם בירור וקבלת מידע רפואי אישי כגון תוצאות בדיקות, המצוי בחשבון האישי”.

“הגישה לחשבון האי/שי מתאפשרת רק לאחר הקלדת שם משתמש וסיסמא אישיים וסודיים הניתנים/מופקים באופן דיסקרטי לבעל החשבון הרלבנטי בלבד ו/או לאחר נקיטת אמצעי אבטחה שנקבעו ע”י הנתבעים (למשל, קוד סודי באמצעות הנייד, טביעת אצבע וכו’). הטעם לכך ברור – מדובר בחשבונות המכילים מידע רפואי פרטי, רגיש ביותר, אישי, סודי וחסוי, המחייב רמת אבטחה גבוהה לאור הפגיעות האפשריות בשל זליגת מידע שכזה לגורמים לא מורשים וללא הסכמה”.

“ואומנם, לתובעים נודע כי בעת הגלישה באיזור האישי, הכולל כאמור מידע רפואי, עובר מידע שכזה לצדדים שלישיים שהם גופים מסחריים פרטיים, ללא הסכמה מפורשת של המטופלים. להיפך, למטופלים ברור כי המידע הרפואי נשמר היטב ע”י סטנדרט אבטחה גבוה לו מחוייבים הנתבעים”.

“בירור מעמיק של העניין בסיוע המומחה פרופ’ אמיר הרצברג העלה תמונה עגומה במיוחד. מידע פרטי של מטופלי הנתבעים, ובהם התובעים, מועבר ע”י הנתבעים לצדדים שלישיים, ובפרט לחברת גוגל ולשירות הפרסומות שלה. זאת, בין היתר, במסגרת השימוש שעושים הנתבעים בשירות האנליזה של גוגל – Google Analytics [שירות חינמי לניתוח פעילות לקוחות באתרי אינטרנט] – ואף לחברת מיקרוסופט, במסגרת שימוש שעושים הנתבעים בשירות Clarity של חברת מיקרוסופט [שירות חינמי לניתוח פעילות לקוחות באתרי אינטרנט מבית מיקרוסופט], לחברת פייסבוק ועוד”.

“הממצאים, כפי שעולים בחוות הדעת מטעם פרופ’ הרצברג המצורפת לבקשת האישור, מקוממים במיוחד משום שמסתבר כי הנתבעים, במטרה ברורה לחסוך בעלויות הקמה ו/או רכישה של תוכנות פילוח סטטיסטיות שאינו מאפשר העברה של המידע הפרטי לצדדים שלישיים, בוחרים לעשות שימוש בשירות חינמי, לרבות גוגל אנליטיקס וקלריטי, שמאפשר ניתוח פעילות לקוחות בחשבון האישי באתרי האינטרנט וביישומונים שלהם, כאשר בתמורה מוכנים הנתבעים ‘לחלוק’ במידע פרטי אודות מטופליהם הגולשים והמשתמשים באתרי האינטרנט וביישומונים, ולכל הפחות עוצמים עיניים ביחס לעובדה זו”.

“[…] המטופלים ובכלל זה התובעים לא מעלים בדעתם כי גם מידע רפואי הנוגע לפניותיהם לרופאים, לתוצאות בדיקות רפואיות ורגישות ביותר וכדומה, המצויות בחשבון שלהם באיזור האישי, עובר לצדדים שלישיים חיצוניים לצורך שימוש מסחרי“.

בהמשך כתב הטענות נאמר כי “[…] ככלל, מידע רפואי רב, לרבות מידע אישי, נאגר ונשמר ע”י גופים רפואיים. יחד עם זאת, הגופים הרפואיים כפופים לרמת אבטחה הגבוהה (ת”י 27799). העברת מידע אפשרית אך ורק לפי בהתאם לחוקים החלים על גופים רפואיים תוך כפיפות לעקרונות כגון הסכמת הלקוח והיצמדות למטרה לשמה נמסר המידע הרפואי. בהתאם לכך, לא קיימת אפשרות חוקית להעברת מידע מהחשבון האישי של הלקוחות לחברות מסחריות דוגמת גוגל, מיקרוסופט ופייסבוק“.

“לצערנו, החיבור בין הנתבעים בענייננו כאן לבין חברת גוגל, מיקרוסופט ו/או גופים אחרים אליהם מועבר מידע פרטי, נוצר על רקע ניסיון של הנתבעים לחסוך בהוצאות ולהשתמש בשירותים חינמיים, תוך עצימת עיניים למידע של המטופלים, שמוקרב אגב כך”.

התביעה הוגשה באמצעות עו”ד שמוליק קסוטו ושחר קפושה ממשרד עו”ד קסוטו ושות’ + ועו”ד אורי רונן ואריה שטרן ממשרד מישר ושות’ עורכי דין.

[כל ההדגשות המופיעות בידיעה זו מופיעות כך במקור].

הערות עורך Read IT Now:

+ ידיעות אחרות שהתפרסמו באתר זה והכוללות התייחסות לחוות דעת מקצועיות של פרופ’ הרצברג ניתן למצוא כאן, בצורה מרוכזת.

+ ב- 18.4.2021 פירסמתי כאן באתר ידיעה לגבי ייצוגית שהוגשה באמצעות עו”ד שמוליק קסוטו ועו”ד אורי רונן [שניים מבאי הכוח בתביעה הנוכחית] תחת הכותרת: ייצוגית: 10 תובעים נגד 4 בנקים, 7 חב’ ביטוח ו- 4 חב’ אשראי [“הגופים הפיננסיים החזקים במשק”]: העברה לכאורה של מידע פרטי, אישי וסודי של הלקוחות ללא הסכמתם – לצדדי ג’. אחד מהתובעים באותה תביעה [שהיא בעלת היבטים דומים לתביעה נוכחית] הוא עו”ד אריה שטרן, ב”כ בתביעה כאן.