דוח הרשות להגנת הפרטיות: מרבית הגופים הפועלים במרפאות לבריאות הנפש עומדים ברמה בינונית-גבוהה

מרפאות בריאות הנפש מחזיקות במידע רפואי רגיש ביותר על מצב המטופלים ועל כן מגזר זה עלול להפוך ליעד תקיפה "אטרקטיבי" עבור פצחנים, אולם הדוח חושף כי דווקא שם לא נשמרים נהלי אבטחת מידע ואירועי אבטחה לא מדווחים תדיר
גילי סיוון-כהן |
יעד אטרקטיבי להאקרים?
אילוסטרציה

הרשות להגנת הפרטיות במשרד המשפטים, פרסמה דוח שכלל ממצאי פיקוח הרוחב שערכה בקרב מגזר מרפאות לבריאות הנפש. זאת, כחלק מסדרת דוחות לבדיקת האופן בו גופים ממגזרים שונים במשק מקיימים את הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע). מהדו"ח עלה כי באופן כללי, מרבית הגופים הפועלים במגזר מרפאות לבריאות הנפש עומדים ברמה בינונית-גבוהה בהוראות חוק הגנת הפרטיות.

החל משנת 2018, השנה בו החלה הרשות בעריכת פיקוחי הרוחב, ועד היום, ביצעה הרשות קרוב ל-500 הליכים במגזרים שונים שנבחרו, בהתאם לרמת הסיכון לפרטיות, היקפי המידע ורגישותו. מגזר מרפאות בריאות הנפש, אשר נבחן במסגרת דוח זה כולל מרפאות שמעניקות שירותי טיפול נפשי בבתי חולים כלליים, בתי חולים לבריאות הנפש ומרכזים ייעודיים לבריאות הנפש. מרפאות בריאות הנפש מחזיקות במידע רפואי רגיש ביותר על מצב נפשי של מטופלים ובהיקפים גדולים.

כמו כן, במגזר זה קיים אופי יחסים ייחודי בין הגופים המטפלים לבין ציבור המטופלים אשר לעיתים, בשל מצבם הרפואי, אין ביכולתם להעניק את הסכמתם למסירת מידע אודותיהם או שהוא נאסף תוך כדי הטיפול בהם. אופן הניהול ואחזקת המידע אודות מצבם הבריאותי של מטופלים מתבצע באופן שונה בקרב המרפאות השונות. יש שמנהלות את המידע באופן עצמאי ויש המסתייעות בשירותי מיקור חוץ.

על פי הרשות להגנת הפרטיות, מאפייניו של מגזר זה עלולים להפוך אותו ליעד תקיפה "אטרקטיבי" לאירועי אבטחת מידע, בין אם על ידי בעלי הרשאות לגישה למאגר המידע ובין אם על ידי פצחנים (האקרים) העלולים לבצע שימוש לרעה במידע ואף להשתמש בו כאמצעי סחיטה.

דוגמה למקרה סחיטה מסוג זה פורסם לאחרונה בתקשורת, בעניין אירוע אבטחה שהתרחש בפינלנד, כשהאקרים פרצו למחשבים של רשת מרפאות פסיכיאטריות המעניקה שירותים למערכת הבריאות הפינית כספקית משנה, הורידו לרשת האפלה עשרות אלפי רשומות אודות מטופלים, לרבות רשומות רפואיות ופרטי מטפלים, והשתמשו במידע לדרישת כופר מהמטופלים ומהמרכז הרפואי. בהתאם לפרסומים, משטרת פינלנד דיווחה כי קיבלה כ-25 אלף דיווחים אודות הפריצה, ולשכת החקירות הממשלתית פתחה בחקירת האירוע אשר קיבל עדיפות לאומית ונדון בסדר היום של הממשלה.

כחלק מפעילות הליך פיקוח הרוחב פנתה הרשות בדרישה למילוי שאלוני ביקורת ל-30 גופים המנהלים מרפאות לבריאות הנפש. הליך הפיקוח התמקד ב- 18 גופים, זאת מאחר וחלק מהגופים העבירו מענה מרוכז אחד בשל פעילות מאוחדת או ניהול משותף של מאגר מידע או עקב קיומה של תשתית טכנולוגית משותפת.

מהדוח עלה כי באופן כללי, מרבית הגופים הפועלים במגזר מרפאות לבריאות הנפש עומדים ברמה בינונית-גבוהה בהוראות חוק הגנת הפרטיות. הליקוי העיקרי המצביע על רמת עמידה נמוכה בהוראות החוק היה בקריטריון של עיבוד מידע אישי בשימוש במיקור חוץ. במסגרת כך, נמצא כי 50% מהמרפאות העושות שימוש בשירותי מיקור חוץ עומדות ברמה נמוכה בהוראות חוק הגנת הפרטיות ו-28% ברמת עמידה בינונית.

הדבר מתבטא בכך שבקרב מרפאות שמקבלות שירותי מחשוב במיקור חוץ, נמצאו מרפאות בהן לא נערכים הסכמים עם ספקי השירותים בהתאם להוראות החוק, לא נשמרים נהלי אבטחת מידע והן אף לא מדווחות באופן שנתי על קיומם של אירועי אבטחה.

ממצא זה, כך על פי הדוח, מעלה את "החשש מדליפת מידע באמצעות מתן גישה למידע לגופים שלישיים בין אם על ידי ספקי מיקור החוץ או עובדי קופ"ח בעלי נגישות שוטפת למידע רפואי במאגרי המידע של המרפאות".

בקריטריון הנוגע לבקרה ארגונית וממשל תאגידי, נמצא כי 61% מהגופים עמדו ברמה גבוהה בהוראות החוק, בין היתר, בשל כפיפותם לבתי חולים כלליים או בתי חולים לבריאות הנפש מהם הם מקבלים את שירותי המחשוב. בגופים בהם נמצאה רמת עמידה בינונית (33%) או נמוכה ( 6%) נתגלו פערים שנבעו, בין היתר, מאופן התנהלות של מערך המחשוב של בית החולים לו כפופה המרפאה, בנושא ביצוע בדיקות התאמה לעובדים חדשים בעלי גישה למאגר, ריכוז תפקידים ותחומי אחריות בידי גורם יחיד באופן העלול להעמידו במצב של ניגוד עניינים ואי מינוי מנהל מאגר.

בקריטריון שבוחן את אבטחת המידע נמצא כי 76% מהמרפאות עומדות ברמה גבוהה בהוראות החוק בעוד שב- 24% מהן רמת העמידה היא בינונית ונמוכה. במרבית המרפאות שנבדקו במסגרת פיקוח הרוחב נעשה שימוש בשירותי המחשוב של המוסד הרפואי אליו הם משויכות והן למעשה מהוות חלק ארגוני של אותו מוסד, מה שמעלה את ההשערה שהדבר קשור לרמת עמידתן הגבוהה בהוראות החוק בנושא זה.

במסגרת בחינת אופן ניהול מאגרי המידע על ידי המרפאות, נמצא כי 63% מהן עמדו ברמה גבוהה בהוראות החוק בעוד שב-37% נמצאה רמת עמידה נמוכה – בינונית בהוראות החוק והתקנות. במסגרת כך הליקויים שעלו הם אי קבלת הרשאת המטופלים לאיסוף ושמירה של מידע רפואי שלהם ואי שמירה או תיעוד של אופן קבלת הסכמת המטופלים למסירת מידע ויידועם בדבר הזכויות המוקנות להם על פי חוק.

לאור הממצאים שעלו מהליך פיקוח הרוחב, הועברו ל-18 הגופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם

שתף את הכתבה ב:
רוצים להשאר מעודכנים בכל מה שחם בעולם המשפט?
הורידו את אפליקציית אוביטר:

אפליקציית אוביטר לאנדרואיד https://bit.ly/31H6hrk

אפליקצית אוביטר לאייפון https://apple.co/31GhGHV

לדף הפייסבוק שלנו https://bit.ly/32LKr5E

להצטרפות לאחת מקבוצות הוואטסאפ שלנו https://obiter.co.il/ask-lawyer

אתר החדשות המשפטיות obiter.co.il עושה כל מאמץ לאתר זכויות על תמונות וסרטונים המתפרסמים בו. אולם לעיתים התמונות והסרטונים מופצים ברחבי הרשת ולא מתאפשרת הגעה למקור החומר הויזאולי, לכן בהתאם לסעיף 27א' לחוק זכויות היוצרים כל אדם הרואה עצמו נפגע עקב בעלות על זכויות היוצרים של תמונה או סרטון מוזמן לפנות להנהלת האתר office@obiter.co.il

צרו איתנו קשר בנוגע לכתבה:

    נגישות