הרשות להגנת הפרטיות במשרד המשפטים מפרסמת (יום ג', 20.4.21) את ממצאי דוח פיקוח הרוחב, שערכה בקרב מגזר העוסקים בשירותי סיוע במימוש זכויות רפואיות, אשר אותר כאחד מיעדי פיקוח הרוחב המשמעותיים. מגזר זה מעניק שירותי סיוע במימוש זכויות רפואיות אל מול רשויות מדינה שונות עבור לקוחותיו, ובמסגרת זו מקבל לידיו מידע רב ורגיש, הנחשב כבעל מאפיינים ייחודיים המהווים סיכון בהיבטי הפרטיות. מאפיינים אלו באים לידי ביטוי ביחסים ייחודיים ופערי כוחות מובנים בין נותן השירות ומוסר המידע, אשר מוסר מידע רגיש, לרבות מידע על-אודות מצבו הבריאותי, הנפשי הכלכלי וכד', ואף מעניק הרשאות רחבות לגישה ושימוש במידע על-אודותיו, מבלי שיהיה מודע בהכרח לאופן השימוש במידע ולהעברתו לגורמים אחרים. מאפיין נוסף של מגזר זה, הוא עצם ניהול והחזקת כמויות גדולות של מידע רפואי רגיש בידי גופים פרטיים.
מדובר בחלק מסדרת דוחות שמפרסמת הרשות, במטרה לבחון את האופן בו גופים ממגזרים שונים במשק מקיימים את הוראות החוק ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע להגנה על מידע אישי ואבטחתו.
על-פי תוצאות פיקוח הרוחב, נמצא כי קיימת רמת עמידה בינונית בכל הקשור בבקרה ארגונית וממשל תאגידי, שבאה לידי ביטוי בעיקר באי מינויים של מנהלי מאגר מידע ועידכון הרשות להגנת הפרטיות בעניין כנדרש, קביעה חלקית של נהלי אבטחת מידע והליך מיון עובדים שאינו בהתאם לדרישות התקנות. נמצאה רמת עמידה בינונית-גבוהה בהוראות חוק הגנת הפרטיות והתקנות מכוחו בכל הקשור בניהול מאגרי מידע, כאשר הליקויים העיקריים נבעו מאי רישום מאגרים אלו בפנקס המאגרים, אי-מתן הודעה לנושא המידע בעת איסוף המידע בהתאם לחוק, ושימוש במאגרי המידע למטרות נוספת מעבר למטרה שלשמה נאסף.
כמו-כן, נמצאה רמת עמידה בינונית-נמוכה בכל הקשור לעיבוד מידע אישי בהסתייעות בשירותי מיקור חוץ ובמיוחד בנוגע לשלבי ההיערכות להתקשרות עם צד ג' למתן שירותי עיבוד מידע אישי בחברה, לאופן עיבוד המידע האישי במיקור חוץ עם ספקי מיקור חוץ בחברה, וכן בנושא נקיטת פעולות בכדי לוודא שצד ג' נוקט באמצעים הנדרשים כדי להגן על מאגרי המידע.
מפיקוח הרוחב עולה גם, כי חלק מהארגונים אינם מיישמים באופן מלא מדיניות אשר תואמת את דרישות החוק והתקנות בכל הקשור לנושאי אבטחת מידע. נמצאו מקרים בהם לא באו לידי ביטוי האמצעים בהם נוקט הארגון בכל הקשור להרשאות, אמצעי ההגנה, ואופן אמצעי הזיהוי והשימוש בשיטות הצפנה.
לאור הממצאים שעלו מהליך פיקוח הרוחב, קיבלו 7 גופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם, כאשר שני גופים מפוקחים מכלל הגופים שנבדקו ואשר סיימו את פעילותם, קיבלו הנחיות מתאימות בנוגע לאופן מחיקת רישום מאגרי המידע שברשותם. לאור בחינת הליקויים שאותרו במגזר, דוח זה כולל ריכוז של ההנחיות העיקריות לתיקון הליקויים שנשלחו לגופים.
שלב איסוף הממצאים לצורך איסוף הממצאים, הרשות להגנת הפרטיות פנתה בדרישה למילוי שאלוני ביקורת ל-10 גופים המעניקים סיוע במימוש זכויות רפואיות, כאשר במסגרת בחירת הגופים נלקחו בחשבון היקף המידע, כמות הלקוחות ורגישות המידע במסגרת השירותים הניתנים ללקוחות. מתוך 10 גופים, בוצע הליך פיקוח ב-7 גופים, שכן היו גופים שהשיבו מענה מאוחד בשל קיום פעילות עסקית מאוחדת או ניהול שימוש במאגר או תשתית טכנולוגית משותפת.
שאלוני הביקורת בחנו חמישה קריטריונים עיקריים בתחום הגנת הפרטיות: בקרה ארגונית וממשל תאגידי, ניהול מאגרי מידע, העברת מידע בין גופים ציבוריים, אבטחת מידע ושימוש בשירותי מיקור חוץ. הציונים ניתנו לגופים בהתאם למענה ולמסמכים שסופקו על ידם ואשר נבחנו על-ידי הרשות, בהתאם לרמת עמידתם בהוראות חוק הגנת הפרטיות והתקנות מכוחו.
עו"ד רביד פטל, הממונה על מערך פיקוחי הרוחב ברשות, אמר כי "ארגונים וגופים העוסקים בשירותי סיוע במימוש זכויות רפואיות מקבלים לידיהם מידע רב ורגיש הנוגע לציבור. ניהול מידע רב, מזוהה ורגיש וניהול קשר ישיר עם ציבור הלקוחות מחייבים הקפדה על קיום הוראות החוק והתקנות ופעילות בשקיפות מלאה אל מול הלקוחות. כמו-כן, אנו רואים חשיבות רבה בעידכון ציבור המטופלים בדבר זכויותיהם על-פי חוק בקשר לפניות המועברות אליהם בדיוור ישיר לרבות הצגת מקור המידע לפרטיהם האישיים".
