ציות נמוך להוראות חוק הגנת הפרטיות ותקנות אבטחת מידע בעניין עיבוד מידע אישי ומיקור חוץ בקרב גופים המנהלים מרפאות לבריאות הנפש - כך קובעת הרשות להגנת הפרטיות ב"דוח פיקוח רוחב - ממצאי הליך פיקוח הרוחב בקרב מגזר מרפאות בריאות הנפש בישראל". הכשל נפוץ במרפאות אשר אינן מסונפות לבתי חולים ציבוריים ואינן כפופות לניהולם. הדוח כולל ממצאים על לליקויים במערך ההגנה על המידע האישי של מרפאות בריאות הנפש והמלצות לתיקונם. 

הרשות מסרה כי משנת 2018, שאז החלה בביצוע פיקוחי רוחב, היא ביצעה קרוב ל- 500 הליכים במגזרים שונים שנבחרו, בהתאם לרמת הסיכון לפרטיות, היקפי המידע ורגישותו, לרבות מכונים ומעבדות רפואיות, חברות המנהלות מאגרי מידע של מועדוני לקוחות, גופים המנהלים אתרים ואפליקציות לימודיות. בימים אלה, ממשיכה הרשות בביצוע הליך פיקוחי הרוחב ובכוונתה לערוך כ- 200 הליכי פיקוח בקרב מגזרים נוספים ובכלל זה חברות קמעונאות מזון ודלק, חברות כח אדם והשמה, מרפאות וגופים המעניקים שירותי כירורגיה וקוסמטיקה רפואית וקרנות ביטוח וגמל ייעודיות. בנוסף, בכוונת הרשות לבצע מעקב על אופן תיקון הליקויים ויישום ההנחיות בגופים שנבדקו במסגרת פיקוחי רוחב קודמים שערכה.

במסגרת פעולת הפיקוח במרפאות לבריאות הנפש פנתה הרשות ל-30 גופים המנהלים מרפאות לבריאות הנפש, ביניהם בתי חולים לבריאות הנפש, בתי חולים כלליים ומרכזים לבריאות הנפש. למעט כשלים בעיבוד המידע האישי כאמור, נמצאה מידת ציות נמוכה גם להוראות ניהול מאגרי המידע; מידת ציות בינונית להוראות בקרה ארגונית וממשל תאגידי, ולהוראות אבטחת מידע, אבל יש גם אור בקצה המינהרה - מידת הציות להוראות הנוגעות להעברת מידע בין גופים ציבוריים היא גבוהה.

הרשות ממליצה בדו"ח, בין השאר, לוודא כי קיימים במרפאות לבריאות הנפש נהלי אבטחת מידע בארגון הכוללים התייחסות לנושאים כגון אבטחה פיזית, הרשאות גישה, תיאור אמצעי ההגנה, הוראות למורשי גישה וניהול סיכונים.

המוסדות נדרשים לבצע מיפוי לכל מאגרי המידע הקיימים אצלם, ועל בסיס מיפוי זה לרשום מאגרי מידע שאינם רשומים, או לעדכן את מאגרי המידע הקיימים בפנקס מאגרי המידע (law.co.il מעיר שאפשר היה לצפות שחובה ארכאית זו לא תעניין יותר את הרשות וחבל שהיא מקבלת תשומת לב כלשהי). הרשות דורשת עוד להקפיד על כך שלנושאי המידע – במילים אחרות, המטופלים במרפאות - תהיה אפשרות לעיין במידע אודותיהם, לרבות שיחות טלפוניות, תכתובות צ'אט ושיחות וידאו מוקלטות בהן השתתפו (law.co.il מעיר שוב שבחוק הגנת הפרטיות נקבע כי "בעל המאגר רשאי שלא למסור למבקש מידע המתייחס למצבו הרפואי או הנפשי אם לדעתו עלול המידע לגרום נזק חמור לבריאותו הגופנית או הנפשית של המבקש או לסכן את חייו". כמדומה שחריג זה הולם חלק מהמטופלים במרפאות לבריאות הנפש).

אשר לאבטחת מידע, הומלץ לגופים לוודא בניית מנגנוני הרשאות במאגרי המידע של הארגון אשר יבטיחו הפרדת סמכויות ויאפשרו גישה לנתוני המאגר אך ורק במידה הנדרשת לביצוע התפקיד של העובדים בעלי הגישה למידע. בנוסף, על הגופים לנקוט באמצעים מספקים בכדי למנוע חדירה למיקום הפיזי בו נשמרים השרתים והתשתיות של מאגרי המידע. עוד ממליצה הרשות כי במאגרים בעלי רמת אבטחה גבוהה, יש לבצע מבדקי חדירה אחת ל- -18 חודשים. 

הרשות קובעת כי על הגופים בעלי המאגר לוודא עריכת הסכם מול כל גורם חיצוני שמחזיק במאגר המידע שברשותם ובו יקבעו החובות השונות על פי תקנות אבטחת מידע. עוד נדרשים הגופים לנקוט אמצעי בקרה ופיקוח נאותים על ציות כל ספק חיצוני כזה להוראות הסכם השירותים והתקנות.