בדוח פיקוח רוחב המתפרסם היום (יום ג') והעוסק במגזר נותני שירות סיוע במימוש זכויות רפואיות, נמצא כי חלק מהארגונים אינם מיישמים באופן מלא מדיניות אשר תואמת את דרישות החוק והתקנות בכל הקשור לנושאי אבטחת מידע. בכל הגופים שנבדקו נמצאו ליקויים הדורשים תיקון.
- הרשות להגנת הפרטיות ממליצה: “צמצמו את איסוף המידע”
- בעקבות הפריצה לשירביט: המלצה למנות ממונה על הגנת הפרטיות בארגונים
הרשות להגנת הפרטיות במשרד המשפטים פרסמה את ממצאי הדוח שערכה בקרב מגזר העוסקים בשירותי סיוע במימוש זכויות רפואיות, אשר אותר כאחד מיעדי פיקוח הרוחב המשמעותיים. מגזר זה מעניק שירותי סיוע במימוש זכויות רפואיות אל מול רשויות מדינה שונות עבור לקוחותיו, ובמסגרת זו מקבל לידיו מידע רב ורגיש, הנחשב כבעל מאפיינים ייחודיים המהווים סיכון בהיבטי הפרטיות.
מאפיינים אלו באים לידי ביטוי ביחסים ייחודיים ופערי כוחות מובנים בין נותן השירות ומוסר המידע, אשר מוסר מידע רגיש, לרבות מידע אודות מצבו הבריאותי, הנפשי הכלכלי וכד', ואף מעניק הרשאות רחבות לגישה ושימוש במידע על אודותיו, מבלי שיהיה מודע בהכרח לאופן השימוש במידע ולהעברתו לגורמים אחרים. מאפיין נוסף של מגזר זה, הוא עצם ניהול והחזקת כמויות גדולות של מידע רפואי רגיש בידי גופים פרטיים.
הרשות להגנת הפרטיות הדגישה, כי מדובר בחלק מסדרת דוחות שמפרסמת הרשות, במטרה לבחון את האופן בו גופים ממגזרים שונים במשק מקיימים את הוראות החוק ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע להגנה על מידע אישי ואבטחתו. הרשות להגנת הפרטיות שמה לה למטרה לבחון את מידת הציות להוראות החוק במגזרים שונים לשם הגברת מודעות המשק להוראות החוק, הגברת האכיפה היזומה של הרשות, לאיתור כשלים ענפיים הדורשים התייחסות והבהרות ולקבלת תמונת מצב מגזרית לגבי עמידה בהוראות החוק.
הרשות להגנת הפרטיות פנתה בדרישה למילוי שאלוני ביקורת ל-10 גופים המעניקים סיוע במימוש זכויות רפואיות, כאשר במסגרת בחירת הגופים נלקחו בחשבון היקף המידע, כמות הלקוחות ורגישות המידע במסגרת השירותים הניתנים ללקוחות. מתוך 10 גופים, בוצע הליך פיקוח ב- 7 גופים, שכן היו גופים שהשיבו מענה מאוחד בשל קיום פעילות עסקית מאוחדת או ניהול שימוש במאגר או תשתית טכנולוגית משותפת.
שאלוני הביקורת בחנו חמישה קריטריונים עיקריים בתחום הגנת הפרטיות: בקרה ארגונית וממשל תאגידי, ניהול מאגרי מידע, העברת מידע בין גופים ציבוריים, אבטחת מידע ושימוש בשירותי מיקור חוץ. הציונים ניתנו לגופים בהתאם למענה ולמסמכים שסופקו על ידם ואשר נבחנו על ידי הרשות, בהתאם לרמת עמידתם בהוראות חוק הגנת הפרטיות והתקנות מכוחו.
על פי תוצאות פיקוח הרוחב, נמצא כי קיימת רמת עמידה בינונית בכל הקשור בבקרה ארגונית וממשל תאגידי, שבאה לידי ביטוי בעיקר באי מינויים של מנהלי מאגר מידע ועדכון הרשות להגנת הפרטיות בעניין כנדרש, קביעה חלקית של נהלי אבטחת מידע והליך מיון עובדים שאינו בהתאם לדרישות התקנות. נמצאה רמת עמידה בינונית-גבוהה בהוראות חוק הגנת הפרטיות והתקנות מכוחו בכל הקשור בניהול מאגרי מידע, כאשר הליקויים העיקריים נבעו מאי רישום מאגרים אלו בפנקס המאגרים, אי מתן הודעה לנושא המידע בעת איסוף המידע בהתאם לחוק, ושימוש במאגרי המידע למטרות נוספת מעבר למטרה שלשמה נאסף.
כמו כן, כך לפי הדוח, נמצאה רמת עמידה בינונית-נמוכה בכל הקשור לעיבוד מידע אישי בהסתייעות בשירותי מיקור חוץ ובמיוחד בנוגע לשלבי ההיערכות להתקשרות עם צד ג' למתן שירותי עיבוד מידע אישי בחברה, לאופן עיבוד המידע האישי במיקור חוץ עם ספקי מיקור חוץ בחברה, וכן בנושא נקיטת פעולות בכדי לוודא שצד ג' נוקט באמצעים הנדרשים כדי להגן על מאגרי המידע.
מפיקוח הרוחב עולה גם, כי חלק מהארגונים אינם מיישמים באופן מלא מדיניות אשר תואמת את דרישות החוק והתקנות בכל הקשור לנושאי אבטחת מידע. נמצאו מקרים בהם לא באו לידי ביטוי האמצעים בהם נוקט הארגון בכל הקשור להרשאות, אמצעי ההגנה, ואופן אמצעי הזיהוי והשימוש בשיטות הצפנה.
לאור הממצאים שעלו מהליך פיקוח הרוחב, קיבלו 7 גופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם, כאשר שני גופים מפוקחים מכלל הגופים שנבדקו ואשר סיימו את פעילותם, קיבלו הנחיות מתאימות בנוגע לאופן מחיקת רישום מאגרי המידע שברשותם.