הרשות להגנת הפרטיות פרסמה מסמך מדיניות המיועד בעיקר עבור ארגונים, גורמי רפואה ומוסדות המספקים שירותי בריאות, והוא מבהיר את החובות החלות עליהם לצד הנחיות והמלצות בקשר להעברת מידע רפואי באמצעים דיגיטליים.
מסמך המדיניות, שפורסם ביום 5 במרץ 2024, מתייחס לאתגרי השמירה על פרטיות ואבטחת המידע בהעברת מידע באמצעים דיגיטליים, ובפרט באמצעות תוכנות ומכשירים שאינם מיועדים להעברת מידע רפואי רגיש, כגון: באמצעות דואר אלקטרוני פרטי או הודעות וואטסאפ. הסיכונים בהעברת מידע רפואי באמצעים דיגיטליים אלה כוללים, בין היתר, סיכון לדליפות נתונים, חשיפה בשוגג של המידע עקב טעות אנוש, גניבה של מידע רגיש, וכן סיכון לשימוש לרעה על ידי חברות מסחריות המספקות תשתיות להעברת מידע. תוקף המסמך מיום פרסומו.
סוגי העברות מידע שרלוונטיים לצורך יישום מסמך המדיניות:
1. העברת מידע רפואי באמצעות תוכנות ייעודיות (שהיא ייעודית לצורך מידע רפואי) המותקנות במכשירים דיגיטליים אישיים -פרטיים של גורמי רפואה;
2. העברת מידע באמצעות תוכנות לא ייעודיות המותקנות במכשירים דיגיטליים שבבעלות הארגון או המוסד הרפואי, ושנמצאים בשימוש, לרבות שימוש אישי, של גורמי רפואה;
3. העברת מידע באמצעות תוכנות לא ייעודיות המותקנות במכשירים פרטיים של גורמי הרפואה.
כדי לצמצם את סיכוני הפרטיות ואבטחת המידע, חיוני שהגורמים הרלוונטיים במגזר הבריאות יעשו שימוש בפלטפורמות טכנולוגיות המיועדות להעברת מידע רגיש ומאובטחות בהתאם, ויאמצו שיטות עבודה ששומרות על פרטיות המטופלים והמטופלות.
הרשות מבהירה במסמך המדיניות את החובות החלות על הגורמים הרלוונטיים במגזר הבריאות, לצד שורת הנחיות והמלצות. חובות מרכזיות מתוך מסמך המדיניות:
1. צמצום השימוש בתוכנות לא ייעודיות - על הצוות הרפואי לצמצם ככל האפשר את השימוש בתוכנות שאינן מיועדות להעברת מידע רפואי ולהימנע משמירת מידע כזה במכשירים האישיים.
2. שמירה על חיסיון זהות המטופלים - אם נעשה שימוש בתוכנות שאינן מיועדות להעברת מידע רפואי, יש להשתדל להשמיט כל סוג מידע שעלול להביא לזיהוי המטופל, ולהעביר רק את הפרטים הרפואיים המינימליים הדרושים.
3. אבטחה נאותה - אם נעשה שימוש בתוכנות שאינן מיועדות להעברת מידע רפואי, יש לאפשר זאת רק לאחר התקנת תוכנות להגנה על מידע ולמניעת חדירה למכשירים, כגון תוכנות חומת אש ואנטי-וירוס. בנוסף, יש לשפר את אבטחת המכשיר באמצעות שימוש בסיסמת כניסה חזקה ומורכבת למכשיר, אימות דו-שלבי וכדומה.
4. העברה מהירה לתוכנות ייעודיות - לאחר השגת המטרה שלשמה נועדה העברת המידע, מומלץ להעביר בהקדם את המידע רפואי למערכות הרפואיות הייעודיות לכך, בהתאם להנחיות משרד הבריאות והמוסד הרפואי. לאחר מכן, מומלץ למחוק אותו מהמכשיר, מזיכרון התוכנה שאינה מיועדת להעברת מידע רפואי, ולוודא שהוא לא נשמר בשירותי גיבוי ענן פרטיים.
5. קביעת מדיניות ארגונית ברורה - אם ארגון רפואי מתיר שימוש בתוכנות שלא מיועדות להעברת מידע רפואי, מדיניות שימוש בסיסמאות כניסה למכשירים, שליטה על הרשאות גישה למידע ועוד.
לעיון במסמך המדיניות - לחצו כאן
נכתב על ידי: עו"ד נועם לב, סניור מנג'ר, מחלקת רגולציה, KPMG ישראל
מחלקת רגולציה וניהול סיכונים מתמחה במתן שירותים רגולטוריים, לרבות שרותי ניטור ועדכונים רגולטורים בארץ ובעולם.
לכל שאלה ולפרטים נוספים, ניתן לפנות ליבגניה קרמר