"מכבי העבירה מידע רפואי אישי לנמענים לא נכונים"

אירוע אבטחה חמור של קופ"ח נבדק בעקבות תלונה של מבוטח שקיבל מסרון שגוי שהכיל את פרטיו הרפואיים של אדם אחר. מכבי לא דיווחה על המקרה כנדרש

אייל חן | 09/11/21, 12:16

בעקבות אירוע אבטחה חמור במכבי שירותי בריאות, אשר כלל מקרה בו נשלחו מסרונים שהכילו מידע אישי ורפואי לנמענים לא נכונים, הרשות להגנת הפרטיות קבעה כי מכבי הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בהמשך לממצאי הליך האכיפה שביצעה, קבעה הרשות כי מכבי לא דיווחה לרשות באופן מיידי על אירוע האבטחה החמור כנדרש

הליך האכיפה המנהלי במכבי שרותי בריאות, שביצעה הרשות להגנת הפרטיות, נפתח בעקבות תלונה שהתקבלה אצלה, לפיה שלחה מכבי בחודש אפריל 2020, באמצעות ספק חיצוני שהתקשרה איתו מסרון לנמען שגוי שהכיל שם ומידע רפואי של אדם אחר. המתלונן קיבל מסרון מטעם "צוות סוכרת מכבי שירותי בריאות מחוז השרון", שהכיל שם מלא של מבוטחת אחרת של מכבי, וקישור לשאלון והנחיות לנושא מחלת הסוכרת בתקופת הקורונה.

מדובר על מסרון שנשלח במסגרת הליך של שליחת הודעות שהיו מיועדות לקבוצה מפולחת של אלפי מבוטחי מכבי, המוגדרים כחולי סוכרת והמשויכים לקבוצת גיל מסוימת ומתגוררים באזור מסוים. המתלונן, כמו נמענים נוספים, קיבלו מסרון שהכיל שם של מבוטח/ת אחר ובו הפניה לשאלון המיועד לחולי סכרת, ובאופן זה נחשפו למידע אישי ורגיש של אנשים אחרים.

הונחתה לתקן הליקויים

במקרה זה, שימוש באמצעים מקובלים פשוטים, כגון דרישה לזיהויו של הנמען טרם מסירת הפרטים הרגישים, היה יכול למנוע את האירוע או להפחית משמעותית את עוצמת הפגיעה בפרטיות. עוד יודגש, כי הקפדה על צמצום המידע שנעשה בו שימוש מתוך המאגר לטובת יצירת קשר עם לקוחות מכבי, באופן שיבטיח שיעשה שימוש רק בשדה השם הפרטי בלבד, במקום השם המלא, היה מצמצם את הנזק שנגרם, ולמעשה מנטרל אותו.

מממצאי ההליך שביצעה הרשות, עולה כי שדות המידע שהיו אמורים להילקח מהמאגר, לצורך שליחת המסרון, היו אמורים לכלול רק את השם הפרטי של המבוטח, אך בפועל נעשה שימוש במידע גם על שם המשפחה, ומידע עודף זה הועבר לספק החיצוני שעסק בשליחת המסרונים, וממנו לנמענים השגויים. כאמור, משלוח השאלון לאזור האישי של המבוטחים היה עשוי למנוע גם הוא את הפגיעה בפרטיות.

מאגר המידע של מכבי מסווג כמאגר בו נדרשת, על פי תקנות הגנת הפרטיות (אבטחת מידע), רמת אבטחת המידע הגבוהה ביותר. אירוע שנעשה בו שימוש במידע ממאגר שחלה עליו רמת האבטחה הגבוהה, בלא הרשאה או בחריגה מהרשאה מוגדר בתקנות הגנת הפרטיות (אבטחת מידע) כאירוע אבטחה חמור וככזה, מחייב דיווח מיידי לרשות להגנת הפרטיות. מכבי הפרה את הוראות התקנות, גם משלא דיווחה כנדרש לרשות על האירוע.

בעקבות ממצאי הליך הפיקוח קבעה הרשות להגנת הפרטיות כי מכבי שירותי בריאות הפרה את הוראות חוק הגנת הפרטיות ותקנותיו והנחתה את מכבי לתקן את הליקויים שנמצאו במסגרת הליך הפיקוח.

______________________________________________________________________

עו"ד חנה בן יהודה

שתף את הכתבה ב:

חזור לכתבות בנושאי: חדשות, נזיקין, צרכנות

חייגו עכשיו לעו"ד

לחץ להתייעצות עם עו"ד חנה בן יהודה ישירות באמצעות וואצאפ

* עורך הדין מנוי באתר

רוצים להשאר מעודכנים בכל מה שחם בעולם המשפט?
הורידו את אפליקציית אוביטר:

אפליקציית אוביטר לאנדרואיד https://bit.ly/31H6hrk

אפליקצית אוביטר לאייפון https://apple.co/31GhGHV

לדף הפייסבוק שלנו https://bit.ly/32LKr5E

להצטרפות לאחת מקבוצות הוואטסאפ שלנו https://obiter.co.il/ask-lawyer

אתר החדשות המשפטיות obiter.co.il עושה כל מאמץ לאתר זכויות על תמונות וסרטונים המתפרסמים בו. אולם לעיתים התמונות והסרטונים מופצים ברחבי הרשת ולא מתאפשרת הגעה למקור החומר הויזאולי, לכן בהתאם לסעיף 27א' לחוק זכויות היוצרים כל אדם הרואה עצמו נפגע עקב בעלות על זכויות היוצרים של תמונה או סרטון מוזמן לפנות להנהלת האתר office@obiter.co.il