רשות הגנת הפרטיות: אין להעביר מידע רפואי בטלגרם, וואטסאפ או Gmail

פרטיות וסייבר רגולציה וממשל
מאת‏ עו"ד אור כהן

חבר בקבוצת הסייבר, הפרטיות וזכויות היוצרים במשרד פרל כהן צדק לצר ברץ

אולי יעניין אותך גם

זמן קריאה: דקה אחת
שמור ב"תכנים שלי"

צמצום השימוש בתוכנות לא ייעודיות להעברת מידע רפואי, השמטת מידע רפואי, אבטחה נאותה וקביעת מדיניות ארגונית ברורה - אלו הן רק חלק מההמלצות החדשות של הרשות להגנת הפרטיות במסמך מדיניות - הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעים דיגיטליים המיועד בעיקר עבור ארגונים, גורמי רפואה ומוסדות המספקים שירותי בריאות.

במסמך ההמלצות, מבהירה הרשות לגורמי רפואה שהעברת מידע רגיש ממאגרי מידע של ארגון על -ידי עובד הארגון אל מחוצה לו, ללא אישור או הרשאה מטעם הארגון, עשויה בנסיבות מסוימות להיחשב אירוע אבטחה חמור. הרשות סבורה כי על גורמי רפואה לצמצם את השימוש של עובדיהם בתוכנות שאינן ייעודיות להעברת מידע רפואי מזוהה (כמו טלגרם, וואטסאפ, Gmail ו-Signal) ולהימנע משמירתו במכשיריהם הפרטיים. גם כאשר אין ברירה אלא מלהשתמש באמצעים אלו, יש להשמיט מזהים ישירים כגון: שם, מס' תעודת זהות, תמונת פנים או תמונה אחרת המאפשרת לזהות את נושא המידע. בנוסף, מומלץ לשמור ולהעביר רק את המידע הרפואי המינימלי הנדרש, ולאחר שהושגה המטרה לשמה נשמר המידע במכשיר יש להעבירו בהקדם האפשרי למערכות הרפואיות הייעודיות לכך, ולמחוקו בהקדם האפשרי. הרשות גם קוראת שלא לשמור במקביל מידע רפואי גם בשירותי גיבוי ענן פרטיים שאינם ייעודיים, כגון Google Drive או Dropbox, להשתמש באמצעי אבטחה למכשירים ולתוכנות בהם נעשה שימוש להעברת מידע רפואי, להימנע ככלל משימוש ברשתות Wi-Fi פתוחות.

כמו כן, מבהירה הרשות כי על ארגונים ומוסדות המספקים שירותי בריאות ורפואה חלות חובות ספציפיות בנוגע לאבטחת המידע בשימוש במכשירים דיגיטליים (פרטיים או מוסדיים) ובתוכנות שאינן ייעודיות, כמו החובה לאבטח את המידע בעת העברתו מהמאגר, ועליהם לוודא כי מידע שכזה אינו מועבר בניגוד להוראות הדין ואינו נחשף לגורמים שאינם רלוונטיים. הרשות גם קוראת לארגונים ולמוסדות לפעול להגברת המודעות של גורמי הרפואה הפועלים תחתיהם, לבחון את מגוון התוכנות הלא ייעודיות להעברת מידע רפואי, לקבוע מדיניות פנים ארגונים ברורה בדבר שמירת מידע רפואי במכשירים דיגיטליים והעברתו למערכות לא ייעודיות, לבחון הספקת מכשירים ייעודיים לעובדיהם, הטמעת מערכות סגורות ועריכת תסקיר השפעה על פרטיות בשלב מוקדם ככל האפשר של תכנון מערכות המידע.

למרות שהמסמך מוגדר כ"מסמך המלצות" בלבד, מבהירה הרשות כי לאור רגישותו של המידע הרפואי, לא תהסס להפעיל את הסמכויות העומדות לה על -פי דין במקרים של הפרה של הוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו, בין השאר כעולה ממסמך ההמלצות.