ליקויים חמורים במכונים רפואיים ומעבדות רפואיות בישראל

פערים משמעותיים בין מכונים רפואיים גדולים או כאלה המשויכים לבתי חולים וקופות חולים, לבין מכונים רפואיים בינוניים וקטנים

הרשות להגנת הפרטיות מפרסמת דו"ח ממצאי פיקוח רוחב שנערך בקרב מכונים רפואיים ומעבדות רפואיות בישראל, זאת במסגרת סדרת דוחות לבדיקת האופן בו גופים ממגזרים שונים במשק מקיימים את הוראות החוק ותקנות הגנת הפרטיות (אבטחת מידע) בנוגע להגנה על מידע אישי ואבטחתו.

מגזר המכונים הרפואיים והמעבדות הרפואיות נחשב למגזר בסיכון גבוה במיוחד לפגיעה אפשרית בזכות לפרטיות, הן בשל היקפי המידע והן בשל רמת הרגישות הגבוהה של המידע הבריאותי הנאסף ונשמר אודות ציבור המטופלים.

המכונים והמעבדות שנבדקו במסגרת הליך הפיקוח שערכה הרשות מחזיקים במידע אישי רב ורגיש, הכולל, בין היתר, מידע רפואי הנוגע לבדיקות מסוגים שונים דוגמת בדיקות הדמיה כגון ממוגרפיה, אבחוני שמיעה וכן טיפולים שונים כגון פיזיותרפיה. כמו כן, במגזר זה נאסף מידע נפשי אודות מטופלים וכן מידע אודות קטינים הנוגע לטיפולים הניתנים, לדוגמה, במסגרת התפתחות הילד.

נמצאו פערים משמעותיים ברמות עמידה בהוראות החוק והתקנות בין מכונים רפואיים גדולים או כאלה המשויכים לבתי חולים וקופות חולים, לבין מכונים רפואיים בינוניים וקטנים. כך למשל, נמצא כי מרבית המכונים הרפואיים הגדולים מקיימים מסגרות ממוסדות של ממשל תאגידי.

במסגרת כך, ממונים גורמים אשר אחראיים על ניהול אבטחת מידע וכן עולה כי קיימת מודעות ובהתאם עמידה גבוהה יחסית בתקנות הגנת הפרטיות (אבטחת מידע), זאת לעומת מכונים רפואיים קטנים בהם רמת המודעות, ובהתאם גם העמידה בהוראות התקנות נמוכה, גם במקרים בהם מוחזק על ידם מידע רב.

אבטחת המידע

60% מהמכונים הרפואיים והמעבדות הרפואיות עומדים ברמה גבוהה בהוראות החוק והתקנות בנוגע לאבטחת מידע.
נמצאו ליקויים בניהול הרשאות הגישה למאגרי המידע אודות המטופלים, כך למשל לא ניתנו הרשאות תוך ביצוע הפרדה בין בעלי תפקידים ואף לא בהתאם לעקרון הצורך לדעת בלבד (רק לבעל הרשאה המורשה לכך).
נמצאו ליקויים רבים בנושא אבטחת מידע בשימוש באמצעים נתיקים בין אם בהעדר הגבלות על שימוש באמצעים אלו ובין אם בהעדר הצפנה נאותה.
בנוסף, מהממצאים עולה כי יש מכונים אשר לא נקטו באמצעים מספקים בכדי למנוע חדירה למיקום הפיזי בו מצויים השרתים והתשתיות בהם מאוחסנים מאגרי המידע, מה שעשוי לאפשר גישה למידע בהעדר הרשאה.
כמו כן, נמצאו מכונים אשר לא ביצעו מעקב ותיעוד של אירועי אבטחת מידע.
עיבוד מידע אישי בהסתייעות בשירותים חיצוניים (מיקור חוץ)

40% מהמכונים הרפואיים אשר עושים שימוש בשירותים חיצוניים (שירותי מיקור חוץ) לצורכי עיבוד מידע עומדים ברמה נמוכה בהוראות חוק הגנת הפרטיות והתקנות מכוחו.
גם במקרים בהם מכונים הטמיעו מנגנוני בקרה נאותים פנים ארגוניים, עדיין נמצאו ליקויים ביישום הדרישות מחברות חיצוניות המעניקות שירותי עיבוד מידע אישי במיקור חוץ.
במסגרת כך, חלק מהמכונים לא נקטו צעדים מספקים על מנת להעריך את מידת הסיכון הנשקפת למידע ולפגיעה אגב כך בזכותם לפרטיות של המטופלים.
כמו כן, נמצא כי בקרב המכונים שרמת העמידה שלהם בהוראות חוק הגנת הפרטיות נמוכה, הם אף אינם מבצעים התקשרות עם ספק מיקור חוץ בהתאם להוראות תקנות הגנת הפרטיות (אבטחת מידע), לא בוחנים את איכות ניהול אבטחת המידע ואופן תפעול מאגרי המידע אצל ספקי מיקור החוץ ולא מבצעים פעולות בקרה ופיקוח נאותות על עמידתם בהוראות ההסכם והתקנות.

בקרה ארגונית וממשל תאגידי

60% מהמכונים והמעבדות שנבדקו במסגרת הליך הפיקוח עומדים ברמה גבוהה בכל הנוגע להוראות החוק והתקנות בעניין בקרה ארגונית וממשל תאגידי. בגופים בהם נמצא כי רמת העמידה בינונית ומטה, נמצאו ליקויים באופן בו הם מגדירים את מאגרי המידע שברשותם ומטרותיהם וכן לא מונו בהם מנהלי מאגרים כנדרש בחוק.
נמצאו מכונים ומעבדות שלא מחזיקים בנהלי אבטחת מידע ובתכנית עבודה שנתית לבקרה שוטפת על העמידה בדרישות התקנות, או שבידם נהלים שאינם מספיק איכותיים ומקיפים.
נמצאו ליקויים המצביעים על כך שגופים מסוימים לא ביצעו כלל בדיקות בהליכי המיון ושיבוצם של עובדים חדשים, בטרם ניתנו להם הרשאות גישה למאגר, כדי לברר שאין חשש כי הם אינם מתאימים לקבלת גישה למידע המצוי במאגר.

ניהול מאגרי מידע

נמצאו ליקויים ביישום הוראות חוק הגנת הפרטיות בכל הנוגע לשקיפות באשר למקור הסמכות לאיסוף המידע האישי ויידוע מטופלים בדבר זכויותיהם. במסגרת כך, מכונים לא הבהירו למטופלים כי קיימת להם זכות לעיין במידע שמוחזק אודותיהם במאגר המידע וכן נמצאו מכונים שלא אפשרו לציבור המטופלים לשנות או לתקן את המידע המוחזק אודותיהם כנדרש בחוק.
65% מהמכונים והמעבדות שנבדקו במסגרת הליך הפיקוח עומדים בקריטריון זה ברמה גבוהה, 20% ברמה הבינונית ו – 15% ברמה נמוכה כשמתוך הקבוצה האחרונה, ישנם גופים שכלל לא עמדו בדרישות החוק בכל הנוגע לרישום מאגרי מידע.
נוכח הממצאים שעלו מהליך פיקוח הרוחב, קיבלו כלל המכונים הרפואיים והמעבדות הרפואיות שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם וכן דרישה לספק תכנית מפורטת לתיקונם בליווי הצהרת נושא משרה לביצוע והשלמת התיקונים. כחלק מההליך מבצעת הרשות ביקורות מעקב על הגופים שנבדקו בכדי לוודא את יישום דרישות תיקון הליקויים.

הדו"ח שפרסמה הרשות מרכז הן את ממצאי תהליך פיקוח הרוחב המגזרי והן את ריכוז הליקויים המגזריים וההנחיות באשר לצעדים שעל הגופים במגזר זה לנקוט, בכדי לקיים את דרישות החוק והתקנות.

תגובות

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *