דו"ח: השמירה על הפרטיות והמידע בבתי אבות – נמוכה

חלק ניכר מבתי האבות וההוסטלים כושלים בשמירה על המידע והפרטיות של הקשישים ששוהים בהם, כולל סיעודיים – כך עולה מבדיקה שערכה הרשות להגנת הפרטיות ב-31 מהם. הדו"ח של הרשות, שפורסם היום (ג'), מעלה תמונה מדאיגה.

הרשות גילתה שקיימת בבתי האבות ובהוסטלים שאותם היא בדקה רמת עמידה נמוכה במרבית הקריטריונים הבוחנים את אופן הגנת המידע והגנת הפרטיות, בעיקר בשימוש בשירותי מיקור-חוץ ובקרה ארגונית. בנוסף, רמת העמידה בדרישות אבטחת המידע נמוכה באופן מובהק בבתי האבות ובהוסטלים הפרטיים, שמטפלים בקבוצת מטופלים מצומצמת, בהשוואה לרשתות הגדולות.

הדו"ח מעלה שיש בעיה של חוסר מודעות של ההנהלות והצוותים במוסדות אלה באשר לחובות שחלות עליהם כשהם מתקשרים עם צדדים שלישיים שמחזיקים או מעבדים עבורם מידע אישי.

רמת אבטחת מידע גבוהה – רק ב-23% מהגופים שנבדקו

מגזר בתי האבות וההוסטלים מתאפיין בסוגי פעילות שונים, והוא כולל רשתות בעלות סניפים הפרוסים ברחבי הארץ, מרכזים בעלי סניף אחד בלבד וחברות קשורות שמעניקות שירותי בתי אבות והוסטלים לצד שירותים סיעודיים. הגופים המשתייכים למגזר זה מעניקים ללקוחותיהם שירותי סיעוד וטיפול, ובמסגרת זו הם מקבלים לידיהם מידע רגיש על מצבם הרפואי של הדיירים. מטבע הדברים, קיימים פערי כוחות משמעותיים בין הגופים בעלי המאגרים לבין הדיירים, שחלקם בעלי תפקוד פיזי או קוגניטיבי נמוך, שעלול להתאפיין גם במודעות נמוכה לפרטיות, לסיכונים הנובעים משימוש במידע עליהם ולזכויות המוקנות להם.

כחלק מהליך הפיקוח, הרשות בחנה ארבעה קריטריונים בתחום הגנת הפרטיות: בקרה ארגונית, ניהול מאגרי מידע, אבטחת מידע ושימוש בשירותי מיקור-חוץ. הממצאים העלו כי רמת העמידה בדרישות הדין בתחום אבטחת המידע נמוכה באופן כללי, ונמוכה באופן מובהק בבתי האבות וההוסטלים הפרטיים, בהשוואה לרשתות הגדולות.

הממצאים שעלו מהבדיקה הם: רק 16% מהגופים עמדו בקריטריונים בנוגע לבקרה ארגונית; רק ב-23% מהגופים יש רמה גבוהה של אבטחת מידע; כמעט בכל הגופים – ב-97% מהם – נהלי אבטחת המידע לא כללו את כל הדרישות המתחייבות מהתקנות; ב-74% מהגופים שנבדקו לא נמצא תיעוד על הדרכות לעובדים בעלי גישה למאגרי מידע או למערכות שעל גביהן נמצאים המאגרים; ב-84% מהם לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע; וב-74% מאלה שבהם יש נוהל כזה, לא נקבע בו שנדרשות סיסמאות חזקות כדי לגשת למאגרי המידע.

הדייר נפטר? המידע שלו לא תמיד נמחק

עוד עולה מהדו"ח שחלק מהגופים המפוקחים נוהגים לשמור מידע עודף אודות דיירים שהלכו לעולמם או כאלה שעזבו – דבר שעלול ליצור סיכוני אבטחת מידע והפרה של הוראות חוק הגנת הפרטיות. ככלל, במרבית הגופים שנבדקו לא נמצא תיעוד לעריכת בחינה האם הם מחזיקים מידע עודף שאינו נחוץ להם עוד, כנדרש לפי התקנות. על פי הדין, יש לערוך בחינה זו אחת לשנה לכל הפחות, והיא משמעותית במיוחד בכל הקשור לשמירת מידע על נפטרים.

נוכח הממצאים שעלו מהליך הפיקוח, הרשות שלחה הנחיות לגופים הפועלים במגזר בתי האבות וההוסטלים לתיקון הליקויים שנמצאו אצלם, ומסמך שמפרט אילו צעדים עליהם לנקוט כדי לעמוד בדרישות החוק והתקנות. בביקורת חוזרת שביצעה הרשות בחלק מהגופים שנכללו בהליך, לצורך בדיקת יישום ההנחיות, נמצא כי חל שיפור משמעותי ברמת העמידה בתקנות, וכי מרבית הליקויים יושמו וטופלו. הדבר מלמד על כך שעצם קיום הליך הפיקוח מהווה תמריץ לגופים השונים לבצע הליך בחינה באשר לאופן הציות לחוק ולתקנות. הרשות מסרה כי היא תשקול לשוב ולבחון את עמידתם של גופים אלה וגופים אחרים שפועלים במגזר זה בהוראות החוק ותקנותיו ובד בבד, תחמיר את האכיפה נגד אלה מהם שלא ימלאו אחר ההנחיות לתיקון ליקויים.

עו"ד רביד פטל, הממונה על פיקוח הרוחב ברשות להגנת הפרטיות, אמר כי "בפיקוח הרוחב על פעילות מגזר בתי האבות וההוסטלים הרשות רואה לנגד עיניה את הסיכונים לפרטיות הדיירים – הן נוכח היקפי המידע ורגישותו, והן נוכח פערי הכוחות והאתגרים של אוכלוסייה זו בעמידה על זכויותיה. בהתאם, פועלת הרשות בתוקף כדי להבטיח מימוש והגנה על פרטיותה של אוכלוסייה זו".