תחום הרפואה היה מאז ומעולם בקדמת הטכנולוגיה, והשימוש בהעברת מידע רפואי באמצעים דיגיטליים הפך בשנים האחרונות לתופעה מוכרת ושכיחה. הביקוש העולה של גורמי הרפואה בהעברת מידע אודות מטופלים באמצעות מערכות ופלטפורמות דיגיטליות מובן לחלוטין משיקולי זמינות, נגישות וצמצום זמן מענה למטופל. עם זאת, השימוש בטכנולוגיה מביא עמו מורכבויות בהיבטי הגנת הפרטיות.
ביום 5/3/24 פרסמה הרשות להגנת הפרטיות מסמך "הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעים דיגיטליים" בו פורטו התרחישים השכיחים להעברת מידע אודות מטופלים באמצעים דיגיטליים:
- 1. העברת מידע ממכשיר הטלפון הפרטי של המטפל באמצעות תוכנה שלא אושרה על ידי המוסד הרפואי לשימוש. לדוג': העברת סיכום טיפול הכולל מידע אישי (שם, מספר ת.ז., הטיפול שניתן והמלצות להמשך) מהטלפון האישי של המטפל באמצעות Gmail למטופל עצמו.
- 2. העברת מידע ממכשיר הטלפון של המוסד הרפואי של המטפל באמצעות תוכנה שלא אושרה על ידי המוסד הרפואי לשימוש. לדוג': העברת צילום רנטגן הכולל מידע אישי (שם, מספר ת.ז. וכתובת אי מייל של המטופל) באמצעות WhatsApp להתייעצות עם מטפל נוסף.
- 3. העברת מידע באמצעות תוכנה שאושרה על ידי המוסד הרפואי המותקנת במכשיר הפרטי של הגורם המטפל. לדוג': העברת חוות דעת רפואית הכוללת מידע אישי (שם, מספר ת.ז., פירוט אודות מצבו הרפואי של המטופל) באמצעות ה Outlook הארגוני אך מהטלפון הפרטי של המטפל.
האתגר לפגיעה בפרטיות שמייצר השימוש באמצעיים דיגיטליים
העברת מידע רפואי באמצעים דיגיטליים לא מאושרים, עלול לפגוע באופן קשה בשמירה על פרטיות המטופלים. הנה כמה סיכונים שעלולים להתממש:
1. "האיום מבחוץ" - שימוש באמצעים דיגיטליים שאינם מאושרים בהיבטי אבטחת מידע יכול להוביל להתקפות סייבר, אירועי כופרה, גניבה וזליגה של מידע הרפואי הרגיש. בהקשר זה נדגיש כי בשנה האחרונה היינו עדים למתקפות סייבר רוחביות על מוסדות רפואיים אשר הובילו לפגיעה במוניטין של המוסדות ולאובדן של מידע רפואי וחשיפתו למי שאינו מורשה לכך.
2. "האיום מבפנים" - שימוש בניידים פרטיים של מטפלים לצורך העברת מידע רפואי יכול להוביל לערבוב המידע הרפואי הרגיש עם המידע האישי של המטפל ובכך קיים סיכון להעברת המידע הרגיש למי שאינו נדרש לכך. בהקשר זה יצוין כי בהתאם לעמדת הרשות להגנת הפרטיות, כפי שפורסמה במסמך "הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעים דיגיטליים" היא שהעברת מידע רגיש ממאגר המידע של המוסד הרפואי ללא אישור או הרשאה, עשויה בנסיבות מסוימות להיחשב כאירוע אבטחה חמור, עליו נדרש לדווח לרשות להגנת הפרטיות באופן מידי. כך לדוגמה - חשיפה של בן משפחה של המטפל למסמך רפואי של מטופל אשר נמצא בטלפון האישי של המטפל עשוי להיחשב כ"אירוע אבטחה חמור" כהגדרתו בתקנות הגנת הפרטיות (אבטחת מידע) עליו נדרש לדווח כאמור לרשות להגנת הפרטיות.
3. חשיפת מידע לצדדי ג' - שימוש בטכנולוגיות לא מאושרות עשויה לחשוף את המידע הרפואי לחברות שמספקות את התשתית לטכנולוגיה וזאת מבלי לקבל את ההסכמה הנדרשת לכך מהמטופל בהתאם לרגולציה.
4. פגיעה באמון - אחת מאבני היסוד של מתן טיפול רפואי נעוץ בידיעה של המטופל כי מידע אודותיו ישמר בסודיות ולא ייחשף למי שאינו נדרש לכך במפורש. העברת מידע באמצעים דיגיטליים שאינם מאושרים על ידי המוסד הרפואי עלולים לפגוע באמון זה ולערער את יחסי האמון שבין הצדדים.
השימוש באמצעים טכנולוגיים מצריך ממוסדות רפואיים לנהוג באחריות בעת איסוף, שימוש והעברת מידע רפואי.
השימוש באמצעים טכנולוגיים מצריך ממוסדות רפואיים לנהוג באחריות בעת איסוף, שימוש והעברת מידע רפואי.
אז מה ניתן לעשות כדי להכשיר את השימוש באמצעים דיגיטליים?
אין ספק שהשימוש באמצעים דיגיטליים השונים ילך ויתגבר בשנים הבאות, ומעטים מאוד יהיו הארגונים שלא יעשו בו שימוש כלשהו. כאן המקום להבהיר שהרשות להגנת הפרטיות, אינה מבקשת למנוע שימוש באמצעים אלו, אלא כוונתה לשים זרקור אודות התופעה ועל הרגולציה הקיימת. בין היתר מציינת הרשות להגנת הפרטיות כי בעת תכנון השימוש באמצעיים דיגיטליים יש לכלול את ההנחיות הקבועות בחוק הגנת הפרטיות, התשמ"א - 1981 והתקנות שהותקנו מכוחו, חוק זכויות החולה והנחיות משרד הבריאות אשר מסדירות תחום זה ומהוות את המטריה המשפטית הנדרשת.
כדי להתמודד עם התופעה, מוסדות רפואיים צריכים לנקוט בצעדים אקטיביים
- 1. מיפוי האמצעיים הדיגיטליים בהם עושים שימוש במוסד הרפואי וקבלת האישורים הנדרשים לשימוש בהם מאת ממונה הגנת הפרטיות וממונה אבטחת המידע של הארגון.
- 2. פיתוח תשתיות בדמות של מדיניות ונהלים, שיהוו מפת דרכים למוסד הרפואי ויסייעו לו להתמודד ולהכיל את התופעה של השימוש באמצעים דיגיטליים.
- 3. הנחלת תרבות ארגונית שכוללת הדרכות והעלאת המודעות של העובדים והמנהלים לתחום הגנת הפרטיות ואבטחת המידע.
- 4. מחיקת מידע שאינו נדרש - בעת העברת מידע רפואי מוצע למחוק פרטים אישים אודות המטופל (ככל ואין בהם צורך) ובכך לשמור על פרטיותו.
- 5. דרך נוספת ומומלצת לצמצם את הסיכון הינה לבצע תסקיר השפעה על פרטיות בטרם הטמעת האמצעים הדיגיטליים במוסד הרפואי. מדובר בתהליך פנים ארגוני, אשר נועד לסייע באיתור, הערכה וניהול של סיכונים לפרטיות במערכות, פרויקטים או פעילויות עסקיות וארגוניות הכוללות עיבוד של מידע אישי.
- 6. מינוי ממונה הגנת פרטיות, אשר יסייע למוסד הרפואי לעמוד בכל הדרישות הרגולטוריות הנדרשות מעצם איסוף, שימוש והעברת מידע רפואי.
- 7. ביצוע בקרות וסקרי סיכונים אשר יבטיחו את עמידת המוסד הרפואי ברגולציה ובמדיניות שנקבעה.
לסיכום, אין ספק שלא ניתן למנוע את השימוש באמצעים טכנולוגיים, עם זאת ולנוכח המידע הרפואי הרגיש שמעבדים מוסדות רפואיים, קיימת חובה רגולטורית לשמור על המידע בכלל ועל פרטיות המטופלים בפרט.
הכותבת היא מנהלת תחום הגנת הפרטיות במרכז הסייבר של BDO