הרשות להגנת הפרטיות פרסמה מסמך, ראשון מסוגו, בנושא הגנה על פרטיות בשירותי רפואה מרחוק. המסמך מציב זרקור על אתגרי הפרטיות הכרוכים בשימוש בשירותי רפואה מרחוק. במסגרת המסמך מציגה הרשות המלצות מרכזיות ביחס לשימוש בשירותי רפואה מרחוק ומחדדת את החובות המוטלות על ספקי שירות (ארגוני בריאות ורפואה, קופות החולים), על ספקים חיצוניים ועל המטפלים עצמם.
בשנים האחרונות אנו עדים להתפתחות והתגברות התופעה של מתן שירותי רפואה מרחוק (באופן מקוון). שירותים אלו כוללים, בין היתר, הצגת מידע רפואי וביצוע פעילות מרחוק, מפגש וירטואלי בין מטופל למטפל בזמן אמת, בדיקה עצמית במכשיר רפואי מקוון לשם התייעצות, אבחון או טיפול במועד מאוחר יותר, מעקב וניטור רפואי מתמשך באמצעות מכשירים לבישים או מושתלים ושירות אבחון ראשוני מבוסס בינה מלאכותית.
המסמך שמפרסמת הרשות, ממפה את הסוגים העיקריים של שירותי רפואה מרחוק, סוקר את הוראות הדין הרלוונטיות למתן שירותים אלו, מציג את הסיכונים לפרטיות הגלומים בהם (כגון חשש לזליגת מידע רפואי והעדר מודעות מטופלים לאופן השימוש בו) וכולל המלצות מרכזיות לשמירה על הפרטיות בעת שימוש בשירותים אלה.
מידע רגיש בדרך
המסמך אף מפרט את החובות המוטלות על ספקי השירות, ספקים חיצוניים ועל מטפלים. המסמך מבהיר, כי מידע רפואי הינו מידע אישי רגיש ולזליגתו עשויות להיות השלכות קשות, הן ברמת המטופל, והן ברמת אמון הציבור במוסדות הבריאות במדינה. אי-אבטחת המידע כנדרש עלולה גם להביא לשיבושו, באופן העלול לשמש בסיס להחלטות רפואיות שגויות, ומכאן אף לפגוע בבריאות מטופלים.
מטרת המסמך אינה להגביל את השימוש בשירותי הרפואה מרחוק אלא להבטיח כי שימוש זה ייעשה תוך מתן התייחסות הולמת לסוגיית ההגנה על פרטיותם של מטופלים. הרשות להגנת פרטיות הבהירה, בין היתר, כי על כל הגורמים האוספים מידע רפואי על אודות מטופלים, כתוצאה מהסכמתם לקבלת שירותי רפואה מרחוק, להקפיד לאסוף את המידע ולהשתמש בו אך ורק למטרות להן העניק המטופל את הסכמתו. כמו כן, מוטלת עליהם החובה לפעול לאבטחת המידע הרפואי שנאסף על ידם בהתאם להוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו.
בהתאם לאמור במסמך, על כל גורם המבקש הסכמת מטופלים לאיסוף מידע אישי על אודותיהם, לשם מתן שירותי רפואה מרחוק, לציין את כלל המידע המהותי הרלוונטי הנדרש לשם קבלת ההסכמה, כגון: איזה מידע ייאסף כתוצאה מקבלת ההסכמה, אילו שימושים ייעשו בו, למי הוא עשוי להיות מועבר ולשם איזו מטרה. המסמך מחדד כי על ספקי השירות, כגון קופות החולים, להבטיח כי למטופלים תעמוד האפשרות לקבל שירותי רפואה מרחוק מבלי שהם יהיו מחויבים, למעשה, להסכים גם לשימוש של ספקים חיצוניים (חברות הפועלות בשם ספקי השירות לשם מתן שירות רפואי מרחוק) במידע על אודותיהם למטרות אחרות ממטרת הטיפול.
לעמדת הרשות, בעל מאגר מידע מחויב לבדוק, אחת לשנה, האם במאגר המידע שבבעלותו נשמר מידע עודף שאינו נדרש. בנסיבות בהן מגיע בעל מאגר למסקנה כי מידע מסוים השמור במאגר הוא עודף, ואינו פועל לצמצום מידע זה, התנהלות זו עשויה להוות הפרה של הוראות החוק ותקנות הגנת הפרטיות (אבטחת מידע).
המלצות חשובות
המסמך מדגיש גם, כי התנערות ספק שירות מאחריות בכל הנוגע להתנהלות הספק החיצוני בהיבטים של איסוף, שימוש, עיבוד ומסירת מידע על אודות מטופלים, עומדת בסתירה להוראות תקנה 15 לתקנות אבטחת מידע, ולחובות החלות מכוחה. הרשות ממליצה, כי ספקי השירות והספקים החיצוניים יקבעו נהלים לאבטחת מידע במועד הפסקת השימוש במכשירים הרפואיים המקוונים וגריעתם, לרבות נהלים להשמדת המידע השמור בהם.
המסמך מתייחס גם לחובות החלות על מטפלים בשירותי רפואה מרחוק. המסמך מציין, כי על מטפלים להיות מודעים לכך שסרטון הווידאו של המפגש, והמידע הנחשף במסגרתו, עלולים לזלוג ולהיחשף, ולפיכך עליהם לנקוט משנה זהירות ולהימנע מלנקוט פעולות העלולות לחשוף את מטופליהם, מעבר לנדרש במסגרת הטיפול הרפואי. כמו כן, על מטפלים להקפיד על כללי אבטחת המידע בתוכנות ובמכשירים הטכנולוגיים בהם הם משתמשים במסגרת המפגש הווירטואלי.
הרשות ממליצה גם, כי בעת מפגש וירטואלי לא ייעשה שימוש ברשתות Wi-Fi ציבוריות, אלא ברשת פרטית המוגנת בסיסמה ובתוכנות הגנה כגון אנטי-וירוסים וחומת אש. עוד מומלץ כי מטפלים יסבו את תשומת לב מטופליהם כאשר אלו חושפים את עצמם, או את בני-ביתם, שלא לצורך. בנוסף, חשוב שמטפלים יפעלו לחיזוק כישוריהם הטכנולוגיים בכל הנוגע לשליטה במערכות המשמשות את המפגש הווירטואלי.
________________________________________________________