עו”ד שירלי גינזבורג – הגנת הפרטיות במרפאות פרטיות- החוק והרגולציה

רפואה משפטית

הגנת הפרטיות במרפאות פרטיות – סנקציות אזרחיות ופליליות

מה בין פייסבוק אשר חבה בפיצוי של 650 מיליון דולר עקב הפרת פרטיות לקוחותיה, דליפת מידע מפיקוד העורף על חולי קורונה לבין מרפאות עצמאיות ?

במאמר זה נדון “ממעוף הציפור” בחובת רישום מאגר המידע והתנהלות מול ספקים חיצוניים.

חוק הגנת הפרטיות שנחקק בשנת 1981 והתקנות שהותקנו מכוחו מטילים על עסקים וארגונים, ובכלל זה חברות/מרפאות המספקות שירותי רפואה, מכלול חובות בכל הנוגע לאיסוף, שמירה, עיבוד ושימוש במידע אישי של לקוחותיהם וזאת בנוסף לשורה של חובות החלות על בעל “מאגר מידע”, מי שמנהל אותו, מחזיק בו, מעבד אותו – והכל במטרה להגן על פרטיות נושאי המידע (מטופלים/לקוחות) ולצמצם את הסיכונים לפגיעה בפרטיותם.

חריגה מהחובות בחוק עלולה לגרור קנסות גבוהים, תביעות משפטיות, הליכי חקירה פליליים והטלת אחריות ישירה על נושאי משרה בכירים בארגון בנוסף לפגיעה קשה במוניטין במקרה של אירוע אבטחת מידע.

חובת רישום מאגר מידע על ידי בעל המאגר

החוק קובע כי על בעל המאגר (הרופא העצמאי/מרפאה עצמאית) חלה חובת רישום מאגר המידע במשרד המשפטים – הרשות להגנת הפרטיות, במספר מצבים ובינהם, כאשר קיים במאגר “מידע רגיש” המוגדר כך: “נתונים על אישיותו של אדם, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו”. בענייננו, מצבו הבריאותי של אדם רלוונטי למאמר זה.

על מנת להגן על המטופלים/לקוחות אשר מוסרים למטפלים מידע על מצב בריאותם, ולעיתים אף מידע בריאותי על קרוביהם, (בתשאול גנטי למשל) אזי כאן נכנסת מערכת החוק ומטילה חובת רישום מאגר המידע, דרישות לרמת אבטחת המידע, אופן ניהול ויישום אבטחת המידע במישור הטכנולוגי,המשפטי והארגוני.ובינהם, סטנדרט התנהלות במקרה שלחברה קיימים ספקים/גורמים חיצוניים אשר להם גישה למאגר המידע הממוחשב .

מיהו “מחזיק” המאגר ומהן חובות שלו כלפי המרפאה?

בעל המאגר הוא מי שבידיו אוסף נתוני מידע, (נתונים כלכליים/רפואיים על לקוחותיו למשל) המוחזק באמצעי מגנטי או אופטי בשעה שמחזיק המאגר נחשב מי שיש לו גישה דרך קבע למאגר המידע.

מחזיקי מאגר יכולים להיות צוות המרפאה בפורמט של נותן שירות עצמאי ולא כשכיר ושירותי מיקור חוץ למיניהם ( Outcourcing) .

דוגמא בולטת נוספת למחזיקי מאגר הינם חברות המספקות תוכנת שירות לקוחות  (CRM), חברות תשתית, חברות ענן המעניקות שירותי אכסון ועיבוד ואשר שומרות ומגבות את הנתונים, בתחום הרפואי קיימות מספר חברות המספקות שירותי תוכנת ניהול לקוחות.

החוק מחייב: הסכם בכתב בין בעל המאגר לבין ספק השירות החיצוני

תקנות הגנת הפרטיות קובעות באופן מפורש כי יש לערוך “הסכם” בין בעל המאגר לבין הגורם החיצוני מעניק השירות, אשר לו קיימת גישה למאגר המידע. במסגרת ההסכם יש לעגן, בין היתר, את נושא השירות, האחריות ואבטחת המידע.

כך למשל, יש לקבוע בהסכם את הרשאות הספק לעיבוד המידע, השבת המידע לבעל המאגר בסיום ההתקשרות, חובות הספק בעניין אבטחת מידע, חובת דיווח של הספק לבעל המאגר אחת לשנה, אמצעי הפיקוח והבקרה על הספק והכל במטרה להגן על המידע המוגן.

“גורם חיצוני” הינו כל מי שאיננו נמנה על עובדי העסק/המרפאה ואשר יש לו גישה למאגר המידע הממוחשב (רשומות רפואיות לדוגמא). פועל יוצא מכך, “גורם חיצוני” הינו, בין היתר, הנהלת חשבונות חיצונית, צוות רפואי/פארא רפואי שמועסק בפורמט של קבלן משנה, חברות ציוד רפואי ובמיוחד – כל חברות התשתית המיחשובית/חברות הענן המספקות שירותי תוכנה ואכסון של הנתונים.

עמדת רשם מאגרי המידע במשרד המשפטים לעניין ספקים

החוק מטיל אחריות למניעת שימוש לרעה במידע, דליפה או גניבת המידע על ידי כל מי שאוסף את המידע אודות המטופלים וכן מי שמספק שירותים למרפאות.

עמדת משרד המשפטים הינה כי בעת שימוש בשירותים הניתנים לעסק/מרפאה שלא על ידי העובדים, אלא על ידי כל גורם חיצוני באשר הוא, החובות המוטלים על בעל מאגר המידע (בעל המרפאה לדוגמא) ממשיכים לחול עליו “כאילו הוא מבצע את הפעילות בעצמו” ! , גם כשנותן השירות הינו גורם חיצוני.

וכדי להגן על המידע הרגיש, משרד המשפטים היתווה הנחיות ברורות ובכללן:

  • איפיון והיקף המידע שמועבר לגורם החיצוני;
  • הגדרת הרשאות הגישה למאגר המידע ומתן עדיפות להרשאות מצומצמות ולא מתן גישה חופשית לכל המאגר.
  • בחירה זהירה “בגורם החיצוני” תוך שימת דגש על ניגוד עניינים קיים או שיכול להתהוות בעתיד.

משרד המשפטים מבהיר בעמדתו כי יש לפעול בכפוף לחוק ולערוך הסכם בכתב עם הגורם החיצוני, לרבות הסדרת נושא הסודיות והתייחסות לבטוחות, בקרה וביטוח אחריות מקצועית של הגורם החיצוני.

 הנחיות משרד הבריאות – הגנה על מידע במערכות ממוחשבות במערכת הבריאות

משרד הבריאות רואה באבטחת המידע הרפואי כנושא בעל חשיבות גבוהה במיוחד והוא מתייחס לא רק לכשלים באבטחת המידע וגניבת מידע, אלא לשיבוש המידע הרפואי אשר עלול להביא את הרופאים המטפלים להחלטות שגויות, על כל המשתמע !

משרד הבריאות קובע כי באחריות כל מנהל מוסד רפואי/מרפאה לוודא עמידתו של כל ספק חיצוני בסטנדרטים לאבטחת המידע ונושא זה נבדק בביקורות שמבצע משרד הבריאות.

ההנחיה היא כי החל מיום 1.1.2016 יש להתקשר עם ספקים אשר עומדים בתקני אבטחת מידע  (ISO) מוגדרים.

 ל ס י כ ו ם

חוקים שונים משתלבים יחדיו על מנת להגן על המידע הרגיש של הלקוחות הרפואיים. בינהם ניתן למנות את חוק זכויות החולה התשנ”ן-1996, חוק מידע גנטי תשס”א-2000, חוק הגנת הפרטיות תשמ”א-1981 והתקנות מתוכו, ולא בכדי.

זכותם של המטופלים המגיעים למוסדות /מרפאות לקבלת טיפול רפואי להיות מוגנים מחשיפת המידע הרגיש אודותם והגורמים המטפלים אמורים לפעול בכפוף לחוק, לתקנות ולחוזרים על מנת לממש הגנה זו למטופלים, המהווה ערך חשוב ומוגן במדינת ישראל.

רשות הגנת הפרטיות כיום מבצעת ביקורות רוחביות, כולל במערכת הבריאות. כך למשל, נעשתה ביקורת במרפאות לבריאות הנפש ובמרפאות כירורגיות מסוימות.

הרשות מוסמכת לנקוט בהליכים מנהליים שונים, ואף בהליכים פליליים במקרים מסוימים, לצורך אכיפת הוראות החוק וקיומם על ידי גופים שונים הפועלים במשק הישראלי.

לפיכך, ייטיבו מוסדות הבריאות, המרפאות, כל מי שמעניק טיפולים רפואיים/פארא רפואיים וכל אלו אשר מקבלים מלקוחותיהם מידע רגיש, לבחון בעזרת עו”ד העוסק בתחום את החובות המוטלות עליו- וליישם אותם.

כמו תמיד, ההמלצה הינה לפעול במישור המניעתי ולא לטפל בתוצאה העגומה שעלולה לגרום לפגיעה בפרטיות המטופל, לנזק כספי ותדמיתי לגורם המטפל, כולל חשיפה אישית לנושאי המשרה בגוף הרפואי והליכים אזרחיים ופליליים.

*האמור לעיל הינו מידע כללי וחלקי בלבד המיועד כשירות לציבור הקהילה הרפואית בישראל והוא איננו מהווה תחליף לייעוץ משפטי  פרטני. המסתמך על מאמר זה בלבד הינו על אחריותו הבלעדית של המסתמך.

** המאמר עשוי להיחשב כפרסומת מבחינת כללי האתיקה החלים על עורכי הדין בישראל.

===

עורכת-דין שירלי גינזבורג (LL.B, LL.M) – שירותים משפטיים מדיקולגליים לקהילה הרפואית בישראל. משפט רפואי, הסכמים בין גורמים רפואיים, ייעוץ משפטי בביטוח אחריות מקצועית רפואית, ניהול סיכונים, הגנת הפרטיות וסייבר.

–       עורכת דין,  בוגרת תואר ראשון ותואר שני במשפטים ובעלת משרד עצמאי המעניק שירותים משפטיים-מדיקולגליים לקהילה הרפואית בישראל.

–      בוגרת מסלול ניהול סיכונים ברפואה מטעם אוניברסיטת תל-אבי ובעלת כל רישיונות הביטוח ממשרד האוצר

–       יועצת משפטית למוסדות רפואיים, בתי חולים, מעבדות, חברות ציוד רפואי, מרפאות ורופאים פרטיים בתחומי הרשלנות הרפואית, ניהול סיכונים, ייעוץ משפטי בביטוח אחריות מקצועית רפואי הגנת הפרטיות וסייבר.

–       מנחה סדנאות משפטיות לרופאים,  מרצה בפורומים רפואיים וביטוחיים.

 0544-552213, 03-5714001, Medisafe@zahav.net.il , ShirLaw.co.il
פייסבוק: עורכת-דין שירלי גינזבורג
משרד: בית הרופאים – הברזל 11 A רמת החייל תל – אביב

** המידע המשפטי המוגש לעיל נכתב ונערך ע”י עו”ד שירלי גינזבורג במסגרת הרצאה משפטית לרופאים והוא מהווה מידע כללי וחלקי בלבד. השימוש במידע אינו מהווה תחליף לקבלת חוות דעת ו/או ייעוץ משפטי פרטני והמסתמך על מאמר זה בלבד ללא ייעוץ אישי עושה זאת על אחריותו הבלעדית.

Facebook
Twitter
LinkedIn
WhatsApp
Email
Print