קיבלתם מידע רפואי בווטסאפ או במייל? הרשות להגנת הפרטיות פרסמה מסמך מדיניות ראשון מסוגו בנושא הגנה על פרטיות מטופלים בהעברת מידע רפואי, באמצעות מכשירים דיגיטליים ותוכנות לא ייעודיות כגון WhatsApp ו- Gmail.
מגזר הבריאות אימץ בשנים האחרונות פתרונות דיגיטליים במטרה לשפר ולייעל את הליך העברת מידע על מטופלים. משליחת תמונות בוואטסאפ לשם אבחון רפואי, ועד העברת צילום של טופס הפניה או תוצאות של בדיקה רפואית לכתובת הדוא"ל הפרטית שלנו – הטכנולוגיה חוללה מהפכה בדרך שבה אנו מקבלים טיפול רפואי.
לצד הנוחות שהאמצעים הללו מספקים, העברת מידע רפואי ושמירתו באמצעות תוכנות ומכשירים שאינם ייעודיים לכך, מהווה אתגר משמעותי בכל הנוגע לשמירה על פרטיות מטופלים, ומעוררת, בין היתר, חששות ביחס לאבטחת המידע. מסמך המדיניות מבהיר בעניין זה כי מידע רפואי הוא מידע רגיש המצוי בליבת הפרטיות, ולאור רגישותו ופוטנציאל הנזק שעלול להיגרם כתוצאה מחשיפתו, יש לאבטח מידע זה כנדרש ולצמצם ככל האפשר את אפשרות חשיפתו.
המסמך מציין כי העברת מידע רפואי, באמצעים שאינם ייעודיים, טומנת בחובה סיכונים שונים לפרטיות. אלה כוללים למשל אפשרות של דליפות נתונים, חשיפה בשוגג של המידע עקב טעות אנוש, גניבה אפשרית של מידע רגיש, וסיכון לשימוש לרעה על ידי חברות מסחריות המספקות תשתיות להעברת מידע.
עשה ואל תעשה
הרשות להגנת הפרטיות מפרסמת מסמך מדיניות בנושא, המבהיר לארגונים ומוסדות המספקים שירותי בריאות ולגורמי רפואה מה החובות החלות עליהם בעניין, וכיצד מומלץ להם לנהוג. על גורמי רפואה לצמצם, ככל האפשר, את השימוש של עובדיהם בתוכנות שאינן ייעודיות (כגון WhatsApp ו-Gmail) להעברת מידע רפואי מזוהה. בתוך כך, ראוי גם להימנע מלשמור מידע רפואי מזוהה על אודות מטופלים במכשירים פרטיים.
במקרים בהם ארגון בריאות או מוסד רפואי מאשר לעובדיו להשתמש במכשירים ובתוכנות לא ייעודיות להעברת מידע רפואי על מטופלים – יש לעשות כל מאמץ להשמיט סוגי מידע שעלולים להביא לזיהוי המטופלים. בכלל זה יש להשמיט מזהים ישירים כגון: שם, מס' תעודת זהות, תמונת פנים או תמונה אחרת המאפשרת לזהות את המטופל, וכיוצא באלה.
על גורמי רפואה להתנות שימוש עובדיהם בתוכנות לא ייעודיות להעברת מידע רפואי בהתקנת תוכנות להגנה על המידע ולמניעת חדירה למכשירים, כגון תוכנות חומת אש ואנטי-וירוס (Anti-Virus).
מומלץ שבזמן שימוש במכשירים דיגיטליים (פרטיים או מוסדיים) ובתוכנות לא ייעודיות להעברת מידע, יישמר ויועבר אך ורק המידע הרפואי המינימלי הנדרש למטרת שמירתו והעברתו.
אבטחת מידע
לאחר השגת המטרה לשמה נשמר המידע במכשיר (לדוגמה, אם מידע נשמר בטלפון לצורך התייעצות מקצועית שהסתיימה) מומלץ להעביר את המידע, בהקדם האפשרי, לשמירה במערכות הרפואיות הייעודיות שנועדו לכך (בהתאם להנחיות משרד הבריאות והמוסד הרפואי), וכן למחוק את המידע, הן מזיכרון המכשיר והן מזיכרון התוכנה הלא ייעודית שבה הוא הועבר.
מומלץ כי מידע רפואי על אודות מטופלים, שנשמר במכשיר דיגיטלי ומועבר באמצעות תוכנות לא ייעודיות, לא יישמר במקביל גם בשירותי גיבוי ענן פרטיים ושאינם ייעודיים, כגון Google Drive או Dropbox. היה והמידע נשמר במקביל גם בשירותי ענן שאינם ייעודיים – מומלץ למחוק את המידע משירותים אלו בהקדם האפשרי.
יש להשתמש באמצעי אבטחה למכשירים ולתוכנות בהם נעשה שימוש להעברת מידע רפואי, כגון שימוש בסיסמת כניסה חזקה ומורכבת למכשירים, אימות דו-שלבי, זיהוי ביומטרי וכו'.
על ארגון המתיר לעובדיו להשתמש בתוכנות לא ייעודיות להעברת מידע רפואי מזוהה, לקבוע מדיניות פנים ארגונית ברורה בדבר שמירת המידע הרפואי במכשירים דיגיטליים ובדבר העברת מידע זה במערכות שאינן ייעודיות, אשר תכלול התייחסות לסוגיות השונות המתוארות במסמך המדיניות, כגון: מחיקת המידע, מדיניות שימוש בסיסמאות כניסה למכשירים, שליטה על הרשאות גישה למידע וכדומה.