פיקוח רוחב של הרשות להגנת הפרטיות בקרב 31 בתי אבות והוסטלים מעלה כי קיימת רמת עמידה נמוכה במרבית הקריטריונים הבוחנים את אופן הגנת המידע והגנת הפרטיות, בעיקר בתחומי שימוש בשירותי מיקור חוץ ובקרה ארגונית.
בנוסף, רמת העמידה בדרישות אבטחת המידע נמוכה באופן מובהק בקרב מוסדות בתי האבות וההוסטלים הפרטיים, המטפלים בקבוצת מטופלים מצומצמת, בהשוואה לרשתות הגדולות.
בהתייחס למידע האישי שבבעלות בתי האבות וההוסטלים ובהחזקתם, נמצא כי הגופים במגזר לרוב אינם מודעים לחובות החלות עליהם כאשר הם מתקשרים עם צדדים שלישיים המחזיקים או מעבדים עבורם מידע אישי.
מגזר בתי האבות וההוסטלים מתאפיין בסוגי פעילות שונים, הכוללים רשתות בעלות סניפים הפרוסים ברחבי הארץ, מרכזים בעלי סניף אחד בלבד וחברות קשורות המעניקות שירותי בתי אבות והוסטלים לצד שירותים סיעודיים.
הגופים המשתייכים למגזר זה מעניקים ללקוחותיהם שירותי סיעוד וטיפול, ובמסגרת זו מקבלים לידיהם מידע רגיש על מצבם הרפואי של הדיירים.
מטבע הדברים, קיימים פערי כוחות משמעותיים בין הגופים בעלי המאגרים לבין הדיירים, שחלקם בעלי תפקוד פיזי או קוגניטיבי נמוך, העלול להתאפיין גם במודעות נמוכה לפרטיות, לסיכונים הנובעים משימוש במידע עליהם, או לזכויות המוקנות להם.
כחלק מהליך פיקוח הרוחב, הרשות בחנה ארבעה קריטריונים בתחום הגנת הפרטיות:
בקרה ארגונית, ניהול מאגרי מידע, אבטחת מידע ושימוש בשירותי מיקור חוץ.
במגזר בתי אבות והוסטלים נמצאה רמת עמידה נמוכה במרבית הקריטריונים, בעיקר בתחומי שימוש בשירותי מיקור חוץ ובקרה ארגונית.
ללא נוהל עבודה מסודר
ממצאי הליך הפיקוח העלו כי רמת העמידה בדרישות הדין בתחום אבטחת המידע נמוכה באופן מובהק בקרב בתי האבות וההוסטלים הפרטיים, בהשוואה לרשתות הגדולות.
עוד עלה, כי רק 16% מהגופים עמדו בקריטריונים בנוגע לבקרה ארגונית, רק 23% מהגופים עמדו ברמה גבוהה בדרישות אבטחת המידע, ב- 97% מהגופים נהלי אבטחת מידע לא כללו את כל הדרישות המתחייבות מהתקנות, ב- 74% מהגופים לא נמצא תיעוד על הדרכות לעובדים בעלי גישה למאגרי מידע או למערכות המאגר, ב-84% מהגופים לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע, ב-74% מהגופים לא נקבע בנוהל אבטחה אופן הגישה למאגרי המידע באמצעות שימוש בסיסמאות חזקות.
נוכח הממצאים שעלו מהליך פיקוח הרוחב, המפורטים בממצאי דוח זה, נשלחו הנחיות לכלל הגופים הפועלים במגזר לתיקון הליקויים שנמצאו אצלם, ובאשר לצעדים שעליהם לנקוט כדי לעמוד בדרישות החוק והתקנות.
חלק מהגופים המפוקחים נוהגים לשמור מידע עודף אודות דיירים שהלכו לעולמם או דיירים שעזבו, דבר העשוי ליצור סיכוני אבטחת מידע והפרה של הוראות חוק הגנת הפרטיות. במרבית הארגונים שנבדקו לא נמצא תיעוד לעריכת בחינה האם הגוף מחזיק מידע עודף שאינו נחוץ לו עוד, כנדרש לפי התקנות. על פי הדין, יש לערוך בחינה זו אחת לשנה לכל הפחות, והיא משמעותית במיוחד בכל הקשור לשמירת מידע על נפטרים, כחלק ממדיניות צמצום מידע עודף, שאינו נדרש עוד למטרות המאגר.
