מגזר בתי האבות וההוסטלים מעניק ללקוחותיו שירותי סיעוד וטיפול, ובמסגרת זו מקבל לידיו מידע רגיש על מצבם הרפואי. על כן הינו מגזר בעל מאפיינים ייחודיים בהיבטי פרטיות: ריכוז מידע רפואי-סיעודי אודות דיירים נוכחים וקודמים ונתונים אודות דיירים שנפטרו. מאפיין נוסף הוא פערי כוחות משמעותיים בין בעלי המאגרים לבין הדיירים, הנובעים מהעובדה שלחלק מנושאי המידע תפקוד פיזי או קוגניטיבי נמוך, העלול להתאפיין גם במודעות נמוכה לפרטיות, לסיכונים הנובעים משימוש במידע עליהם, או לזכויות המוקנות להם. הרשות להגנת הפרטיות ערכה בחודש ינואר 2023 הליך פיקוח רוחב בקרב בתי אבות והוסטלים בישראל, לשם בחינת עמידתם בהוראות חוק הגנת הפרטיות ותקנות אבטחת המידע. סקירת הממצאים והמסקנות – והמלצות כיצד יש להיערך לתיקון 13 לחוק הגנת הפרטיות.
הקריטריונים ועיקרי הממצאים
בקרה ארגונית
קריטריון זה בוחן קיומה של תכנית שנתית בתחום אבטחת המידע והגנת הפרטיות, ואת מינויים של גורמים בעלי אחריות בתחום. במסגרת בחינת קריטריון זה, נמצא כי רק 16% מהגופים עמדו ברמה גבוהה בהוראות החוק בנוגע לבקרה ארגונית, בעוד ש-84% נמצאו כבעלות רמת עמידה בינונית ונמוכה בהוראות החוק . ב-97% מהגופים לא נמצא תיעוד מסודר לנהלי אבטחת מידע, או שהנהלים אינם מספקים כיוון שאינם מתייחסים לכלל ההיבטים הנדרשים לפי התקנות. ב-74% מהגופים לא נמצא תיעוד על הדרכות לעובדים בעלי גישה למאגרי מידע או למערכות המאגר, או שתדירות ההדרכות פחותה מאחת לשנתיים או שההדרכות אינן כוללות בצורה מספקת את פירוט החובות המוטלות לפי החוק והתקנות.
ניהול מאגרי מידע
קריטריון זה בוחן את אופן קבלת ההסכמה לשימוש במידע אישי, רמת התאמת השימוש במידע למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר, ואיסוף של מידע ביומטרי.
במסגרת בחינת קריטריון זה, נמצא כי 52% מהגופים עמדו ברמה גבוהה בהוראות החוק בנוגע לבקרה ארגונית, בעוד ש-48% מהגופים נמצאו ברמת עמידה בינונית או נמוכה בהוראות החוק כאמור. 68% מהגופים אינם מקפידים על קיום הוראות סעיף 11 לחוק, המחייב להודיע לאדם שנאסף ממנו מידע אישי האם חלה עליו חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו (“הסכמה מדעת“), וכן ציון המטרה אשר לשמה מבוקש המידע, למי יימסר המידע ומטרות המסירה (עקרון “צמידות המטרה”).
אבטחת מידע
בחינת עמידת הגופים בהוראות תקנות הגנת הפרטיות (אבטחת מידע), בהתייחס לניהול המידע האישי שבבעלותם ובהחזקתו. במסגרת בחינת קריטריון זה, מצאה הרשות כי נמצא כי רק 23% מהגופים עמדו ברמה גבוהה בהוראות
החוק והתקנות בנוגע לקריטריון אבטחת המידע, בעוד ש-77% נמצאו ברמת עמידה בינונית או נמוכה בהוראות החוק והתקנות.
ב-84% מהגופים לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע כנדרש בתקנה 11(ב) לתקנות אבטחת מידע. ב-74% מהגופים נמצאו ליקויים רבים בנושא אבטחת אמצעים נתיקים, כנדרש בתקנה 12 לתקנות, בין אם בהעדר הגבלות על שימוש באמצעים אלו, או בהעדר הצפנה נאותה. ב-81% מהגופים שמאגר המידע שלהם מוגדר ברמת אבטחת מידע בינונית ומעלה לא קוימו הוראות התקנות בנוגע לזיהוי ואימות בעלי הרשאה. כך, לא נעשה שימוש באמצעי פיזי הנתון לשליטתו הבלעדית של המורשה, ולא קוים מנגנון הרשאות גישה המבוסס על “הצורך לדעת”, התואם לכל תפקיד.
עיבוד מידע אישי במיקור חוץ
בחינת ההתקשרויות של בעלי מאגרי המידע עם צדדים ג’ המחזיקים במידע ומעבדים אותו, והאופן בו הם מבטיחים הגנה על המידע. במסגרת בחינת קריטריון זה, נמצא כי רק 6% מהגופים עמדו ברמה גבוהה בהוראות החוק בנוגע לעיבוד מידע אישי במיקור חוץ, בעוד ש-94% נמצאו ברמת עמידה בינונית ונמוכה בהוראות החוק כאמור.
ב-88% מהגופים שביצעו התקשרות עם ספקי מיקור חוץ, לא בוצעו כלל הפעולות הנדרשות בהתאם לתקנה 15, לא יושמה הנחיית רשם מאגרי המידע מס’ 2/2011 (“שימוש בשירותי מיקור חוץ לעיבוד מידע אישי”). הרשות מצאה כי בתי אבות והוסטלים רבים לא נקטו באמצעי בקרה ופיקוח נאותים על עמידת הגורם החיצוני בהוראות ההסכם והתקנות, או שלא נכללו התייחסויות במסמך ההתקשרות לחובותיו ואחריותו של הספק, בניגוד להוראות התקנות.
בשורה התחתונה: הפרות נרחבות, חמורות ומהותיות של הוראות החוק
ממצאי הליך פיקוח הרוחב בקרב מגזר בתי אבות והוסטלים (וכאן קישור) העלו כי רמת העמידה בהוראות החוק והתקנות במגזר זה נמוכה ברוב הקריטריונים. רק 16% מהגופים עמדו בדרישות הבקרה הארגונית, ורק 23% עמדו ברמה גבוהה בדרישות אבטחת המידע. בנוסף, נמצא כי 97% מהגופים אינם מחזיקים בנהלי אבטחת מידע העומדים בדרישות התקנות, וב-84% מהם לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע. כמו כן, 74% מהגופים לא קיימו תיעוד להדרכות עובדים בעלי גישה למאגרי מידע, ולא קבעו נהלי שימוש בסיסמאות חזקות.
הגנת פרטיות בתחום הכספי של דיירים בבתי אבות והוסטלים
המלצות הרשות להגנת הפרטיות התייחסו לפרטיות ביחס למצב הרפואי של הלקוחות, אולם לא התייחסו להיבט נוסף בתחום דיני הפרטיות, והוא המידע הפיננסי של הלקוחות. בתי אבות, הוסטלים ומסגרות טיפוליות דומות מקבלים לעיתים לידיהם מידע כלכלי נרחב על דייריהם. לדוגמה – פרטי בנק, פירוט הכנסות, קצבאות ביטוח לאומי, רנטות, אמצעי תשלום (המחאות, כסף מזומן, כרטיסי אשראי), ערבויות, הוראות קבע לתשלום, הרשאות לחיוב וכיוצ”ב. אלו נתונים רגישים במיוחד, אשר ניהול לא אחראי שלהם עלול להוביל לפגיעה חמורה בפרטיות הדייר, לניצול, ואף לחשיפה משפטית נרחבת של המוסד עצמו.
נוכח הוראות הדין, כמו גם מפערי הכוחות שבין הדייר לבין המוסד, נגזר הצורך בהגנה מוגברת על פרטיותם הכלכלית. חלק מהדיירים אינם מודעים למידת השליטה של המוסד בכספם, לסיכונים הטמונים בכך, או לזכויותיהם לפי החוק. מאחר שמדובר ב״מידע אישי רגיש״ כהגדרתו בחוק הגנת הפרטיות, חלה על המוסד חובה חוקית לעבד את המידע הכספי של הדייר רק בהתאם לעקרונות החוק והתקנות, ובראשם עקרונות ההסכמה, צמידות המטרה, שקיפות, מינימיזציה של מידע, והגנה טכנולוגית הולמת.
על כן, מומלץ לכל מוסד לגבש נהלים ברורים לניהול מידע כספי, לעגן מדיניות פרטיות כתובה הכוללת לוחות זמנים לשמירה ומחיקה, ולוודא שקיימת הסכמה מדעת, ברורה ופרטנית, מהדייר או מטעמו, לכל פעולה הקשורה בניהול כספו. מומלץ גם להפריד בין מערכות המידע הפיננסי לבין המערכות התפעוליות והאדמיניסטרטיביות של המוסד, לערוך בקרות באופן יזום את אופן הגישה למידע זה, לרבות באמצעות אמצעי הזדהות חזקים, הרשאות לפי תפקיד, והצפנה של מסמכים.
המלצות
במענה לממצאים שעלו מהליך הפיקוח, מספר המלצות אופרטיביות לבתי אבות ולהוסטלים, לצורך חיזוק ממשקי ההגנה על מידע אישי ורגיש, צמצום חשיפה משפטית, והתאמה לדיני הגנת הפרטיות בישראל.
1. עדכון נהלים והתאמתם להוראות הדין והתקנות
על המוסדות לוודא קיומם של נהלים ארגוניים מקיפים, ברורים ומעודכנים, המסדירים את ניהול המידע האישי (לרבות אופן איסופו, שמירתו, עיבודו, מסירתו והשמדתו). יש להטמיע נוהל פרטני המתייחס למידע רגיש, כגון מידע רפואי או פסיכיאטרי, ולהבטיח הבחנה בנהלים בין סוגי המידע בהתאם לרמת הסיכון והרגישות. על הנהלים לשקף את הוראות חוק הגנת הפרטיות ותקנות אבטחת מידע, ובפרט את עקרונות ההגבלה למטרות, ההסכמה, צמצום המידע, והאחריותיות.
2. הגדרת מדיניות שימור ומחיקה של מידע אישי
יש לגבש מדיניות בכתב, מוגדרת וברורה, לשמירה ומחיקה של מידע אישי. מדיניות זו צריכה לכלול לוחות זמנים ברורים לשימור המידע, אבחנה בין מידע חיוני לבין מידע שניתן למחיקה, וסיווג סוגי מידע לפי רמת הרגישות. יש לבסס מנגנונים קבועים למחיקת מידע אישי שאינו נדרש עוד, לרבות מידע על דיירים לשעבר או שנפטרו, תוך תיעוד פעולת המחיקה.
3. הטמעת מנגנוני אבטחת מידע
על המוסדות להטמיע מערך טכנולוגי מתקדם להגנה על המידע, בהתאם לרמות האבטחה הנדרשות לפי החוק והתקנות. יש ליישם אמצעים הכוללים בין היתר: סיסמאות מורכבות, בקרת הרשאות לפי תפקיד, רישום וניטור של גישה למערכות, הפרדה בין סביבות עבודה (לדוגמה סביבת ניהול מול סביבת טיפול), גיבוי מאובטח, הצפנת מידע רגיש ועוד.
4. הסדרת התקשרויות עם ספקים חיצוניים והסכמי עיבוד מידע
כל מוסד המטמיע שירותים טכנולוגיים, שירותי ענן, ניהול תוכנה או כל פעילות המעורבת בעיבוד מידע אישי על ידי צדדים שלישיים – נדרש להסדיר את ההתקשרות בהסכם עיבוד מידע (DPA) בהתאם לדרישות הדין. הסכם זה חייב לכלול סעיפים מהותיים על אחריות הספק, רמת האבטחה הנדרשת, מגבלות עיבוד, התחייבות לסודיות, חובות מחיקה, וקיומה של זכות לפיקוח מצד המוסד.
5. מינוי ממונה על הגנת הפרטיות (DPO)
בהתאם לתיקון 13 לחוק הגנת הפרטיות, גופים ציבוריים, וכן גופים פרטיים המנהלים מאגרי מידע רגישים או רחבי היקף, מחויבים במינוי ממונה על הגנת הפרטיות (DPO). על הממונה ליהנות ממעמד עצמאי, סמכות מקצועית, ונגישות ישירה להנהלת המוסד. תפקידו יכלול פיקוח על יישום הדין, הדרכה שוטפת, מתן מענה לפניות נושאי מידע, מתן חוות דעת פנים-ארגונית, והכנת דיווחים תקופתיים.
6. עריכת הדרכות תקופתיות והעלאת המודעות הארגונית
יש לקיים הדרכות שוטפות לצוותי ההנהלה והעובדים בנוגע לחובות הארגון והזכויות של נושאי המידע. הדרכות אלו יסייעו בהטמעת התרבות הארגונית הדרושה לקיומה של פרטיות מוסדית – ויבטיחו שכל בעלי התפקידים מודעים למשמעות החוקית של פעולתם, למגבלות ולחובות ההגנה.
7. הקמת מנגנון בקרה ודיווח פנימי
יש לגבש מסגרת של בקרה שוטפת, שתכלול בדיקה עצמית של עמידה בנהלים, קיום רישום של הפרות אפשריות ודיווח פנימי להנהלה הבכירה. מנגנון זה ישמש גם כמענה לתקלות ולדליפות מידע, ויאפשר תגובה מהירה בהתאם לנהלים קיימים.
