הרשות להגנת הפרטיות ממליצה: לא להעביר מידע רפואי בסמארטפון

הרשות להגנת הפרטיות קוראת לרופאים, אנשי צוות רפואי והנהלות ארגוני הבריאות שלא להעביר מידע רפואי באמצעים דיגיטליים, כגון ווטסאפ, טלגרם או ג'ימייל, ולא לשמור אותו בשירותי ענן פרטיים כגון גוגל דרייב או דרופבוקס. כמו כן, היא קוראת לארגוני הבריאות לפעול להגברת המודעות של גורמי הרפואה הפועלים תחתיהם, ולוודא שהם לא פוגעים בפרטיות של המטופלים ובסודיות הרפואית שלהם.

הדברים עולים מנייר עמדה שהרשות פרסמה אתמול (ג'), שבו היא מפרטת מהם הסיכונים שקיימים בהעברת מידע רפואי דרך שירותים אלה. בנוסף, היא מזהירה כי "לאור רגישותו של המידע הרפואי ופוטנציאל הנזק שעלול להיגרם כתוצאה מחשיפתו, הרשות לא תהסס להפעיל את הסמכויות העומדות לה על פי דין במקרים של הפרה של הוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו".

חלק מתעבורת המידע הרפואי ,שעובר מארגוני הבריאות ללקוחותיהם, נעשה באמצעות טלפונים פרטיים של עובדים, כשאין בקרה על רמת האבטחה של מכשירים אלה. הרשות ממליצה לארגונים לרכוש עבור אותם עובדים שמורשים להעביר מידע דרך ערוצים דיגיטליים טלפונים ניידים.

אחד הסיכונים להפרת פרטיות במקרים כגון אלה הוא בכך שהמידע שמועבר דרך סמארטפונים יישמר במספר רב של מאגרי מידע, שחלקם נמצאים מחוץ לארגון הבריאות. מידע זה, שלא לומר מאגרים אלה, עלולים להגיע לידיים של חברות מסחריות או של גורמים שלא מורשים לראות אותו.

הרשות מחדדת במסמך את החובה לקבל אישור מהמטופל להעביר מידע רפואי אישי שלו לגורם אחר, ומציינת ש-"יש לוודא שתוכן המסמכים שיועברו יכלול רק את המידע החיוני לצורך אותו תהליך, תוך הגנה עליהם". הרשות מבהירה כי האחריות למידע הרפואי ושמירת סודיותו חלה על הארגון שממנו הוא נשלח, וחלות עליו הנחיות משרד הבריאות לאבטחת המידע ותקנות המשרד לניהול רשומות רפואיות. במסמך מודגש כי "אישור שנותן ארגון או מוסד המספק שירותי בריאות ורפואה להשתמש במכשירים דיגיטליים לצורך העברת מידע על מטופלים, מטיל עליו חובות ספציפיות בנוגע לאבטחת המידע בשימוש במכשירים".

המלצה נוספת

הרשות ממליצה, לאחר הטיפול, ובמקרים שבהם מידע נשמר במכשיר טלפון של גורם כלשהו כדי לתת את הטיפול, לשמור את המידע במערכות הייעודיות של הארגון, ובמקביל למחוק אותו מזיכרון המכשיר.

לסיכום, מודגש במסמך כי ארגוני הבריאות צריכים להשקיע בהגדלת המודעות אצל העובדים, קביעת נהלים ברורים וחידודם, ותרגולים שוטפים. "התהליכים הדיגיטליים שמשפרים את הקשר בין המטופל לרופא הם מבורכים, אבל עלולים לפגוע בפרטיות של כל אחד ואחד מאיתנו", נכתב במסמך.