חברות הסיעוד בישראל מחזיקות במידע אישי רגיש (רפואי וכלכלי) בהיקף רחב על אזרחי מדינת ישראל התלויים בשירותיהן. מטרת פיקוח הרוחב היא בחינת דרכי האיסוף, השימוש, העיבוד ואבטחת המידע האישי המוחזק במאגרי המידע של חברות הסיעוד. חשיבות הפיקוח הרוחבי מתחדד במיוחד, נוכח אירועי אבטחת המידע שהתרחשו בעת האחרונה, המדגישים את החובה לוודא כי המידע נאסף, נשמר ומאובטח כדין.
מפיקוח רוחב של הרשות להגנת הפרטיות על 40 חברות סיעוד בישראל, עולה כי רק 52% מחברות הסיעוד עומדות ברף הגבוה של הוראות חוק הגנת הפרטיות ובתקנות מכוחו, האכיפה כנגד חברות הסיעוד שלא עמדו בהוראות החוק ולא תיקנו באופן מיידי את הליקויים כנדרש, תהיה מחמירה יותר.
כשליש מהחברות, 29%, עמדו ברמה נמוכה בהוראות חוק הגנת הפרטיות בנוגע לאבטחת מידע. כשני שליש, 65%, מהחברות, שדיווחו כי הן משתמשות בשירותי מיקור חוץ לעיבוד מידע, לא עמדו כלל בהוראות התקנות המתייחסות לחובות החלות על החברות במקרים של עיבוד מידע אישי, באמצעות מיקור חוץ.
מאגרי מידע עצומים
במסגרת פיקוח רוחבי שערכה הרשות להגנת הפרטיות על מגזר חברות הסיעוד, לבחינת עמידתן בהוראות חוק הגנת הפרטיות והתקנות מכוחו, נמצא כי 52% בלבד מהחברות שנבדקו הציגו רמה גבוהה של עמידה בהוראות החוק. 18% מהחברות שנבדקו הציגו רמת עמידה בינונית ו- 30% מהן הציגו רמה עמידה נמוכה.
40 חברות הסיעוד שנבדקו, שחלקן בעלות מספר סניפים ברחבי הארץ, משרתות אלפי לקוחות ומחזיקות במאגרי מידע בהיקפים עצומים. מאגרי המידע שלהן כוללים מידע רגיש על מצבם הבריאותי של מאות אלפי מטופלים, המתקבל ממספר רב של גורמים מדווחים (מטופלים/ות, בני משפחתם, המוסד לביטוח לאומי וכדו'), וכן אלפי רשומות עם מידע אישי אודות מטפלות ומטפלים המועסקים דרכן.
בנוסף, יש לזכור, כי במגזר זה פערי כוחות משמעותיים בין בעלי המאגרים לבין המטופלים. כך למשל, בחלק גדול מהמקרים נושאי המידע הם בעלי תפקוד פיזי או קוגניטיבי נמוך, העלול להתאפיין גם במודעות נמוכה לפרטיות, לסיכונים הנובעים משימוש במידע עליהם או לזכויות המוקנות להם.
לאור היקפי המידע ורגישותו הרבה, הרשות זיהתה כי מגזר זה הינו בעל מאפיינים ייחודיים בהיבטי פרטיות וראוי לבחינה רוחבית. במסגרת הליך הפיקוח נבדקו מספר קריטריונים: קריטריון הבקרה הארגונית, הבוחן קיומה של תכנית שנתית בתחום אבטחת המידע והגנת הפרטיות ואת מינויים של גורמים בעלי אחריות בתחום. מהפיקוח עלה, כי 43% בלבד מכלל הגופים נמצאו ברמת עמידה גבוהה במדד זה.
מיקור חוץ
מדד נוסף שנבחן הוא אופן ניהול מאגרי המידע, הבוחן את אופן קבלת ההסכמה לשימוש במידע אישי, רמת התאמת השימוש במידע למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר, ואיסוף של מידע ביומטרי. ממצאי הפיקוח הצביעו על כך שקיימת רמת עמידה גבוהה של 64% מהגופים בקריטריון זה, כאשר ב-10% מהגופים נמצאה רמת עמידה בינונית וב-26% מהם נמצאה רמת עמידה נמוכה.
מהליך הפיקוח עלה, כי מעל מחצית מהגופים שנבדקו, 54%, עמדו בהוראות החוק והתקנות ברמת גבוהה במדד של אבטחת מידע הבוחן את עמידת הגופים בהוראות התקנות, בהתייחס לניהול המידע האישי שבבעלותם ובהחזקתם. 17% מהגופים עמדו ברמה בינונית במדד זה, וכשליש, 29%, מהגופים הציגו רמת עמידה נמוכה.
רמת עמידה נמוכה במיוחד נמצאה בבדיקת מדד עיבוד מידע אישי במיקור חוץ, הבוחן בין היתר את אופן ההתקשרויות של בעלי מאגרי המידע עם צדדים שלישיים המחזיקים במידע ומעבדים אותו, ואת האופן בו הם מבטיחים הגנה על המידע. 65% מהחברות שדיווחו כי משתמשות בשירותי מיקור חוץ לעיבוד מידע, לא עמדו כלל בהוראות התקנות בכל הקשור לעיבוד מידע אישי במיקור חוץ וב-13% מהחברות רמת העמידה הייתה חלקית. נוכח הממצאים שעלו מהליך פיקוח הרוחב, כל החברות שנבדקו קיבלו הנחיות מדויקות לתיקון הליקויים שנמצאו אצלן.
הרשות רואה מגזר זה כבעל פוטנציאל סיכון לפרטיות, בהתחשב במאפיינים הייחודיים לו ובפערי הכוחות, שאף הביאו בעבר לחקירה פלילית שביצעה הרשות. החקירה הפלילית חשפה מספר חברות סיעוד בצפון הארץ, שנהגו לרכוש באופן שיטתי מידע רגיש אודות קשישים מאושפזים.
המידע נרכש מעובדים ועובדות בקופת חולים ובית חולים, כשהוא מועבר באמצעות מתווכים. המידע כלל את פרטיו המלאים של המאושפז, פרטי הניתוח שעבר, המחלקה בה הוא מאושפז באותה עת, מספר הטלפון שלו ושל הקרוב המטפל בו. בעקבות החקירה הוטלו על חברות הסיעוד הללו קנסות בגובה מאות אלפי שקלים ועובדי המערכת הרפואית נשפטו ואף פוטרו מעבודתם.
_________________________________________________
