מגזר בתי האבות וההוסטלים מעניק ללקוחותיו שירותי סיעוד וטיפול, ובמסגרת זו מקבל לידיו מידע רגיש על מצבם הרפואי. על כן הינו מגזר בעל מאפיינים ייחודיים בהיבטי פרטיות: ריכוז מידע רפואי-סיעודי אודות דיירים נוכחים וקודמים ונתונים אודות דיירים שנפטרו. מאפיין נוסף הוא פערי כוחות משמעותיים בין בעלי המאגרים לבין הדיירים, הנובעים מהעובדה שלחלק מנושאי המידע תפקוד פיזי או קוגניטיבי נמוך, העלול להתאפיין גם במודעות נמוכה לפרטיות, לסיכונים הנובעים משימוש במידע עליהם, או לזכויות המוקנות להם. הרשות להגנת הפרטיות ערכה בחודש ינואר 2023 הליך פיקוח רוחב בקרב בתי אבות והוסטלים בישראל, לשם בחינת עמידתם בהוראות חוק הגנת הפרטיות ותקנות אבטחת המידע. סקירת הממצאים והמסקנות – והמלצות כיצד יש להיערך לתיקון 13 לחוק הגנת הפרטיות.
הקריטריונים ועיקרי הממצאים
בקרה ארגונית
קריטריון זה בוחן קיומה של תכנית שנתית בתחום אבטחת המידע והגנת הפרטיות, ואת מינויים של גורמים בעלי אחריות בתחום. במסגרת בחינת קריטריון זה, נמצא כי רק 16% מהגופים עמדו ברמה גבוהה בהוראות החוק בנוגע לבקרה ארגונית, בעוד ש-84% נמצאו כבעלות רמת עמידה בינונית ונמוכה בהוראות החוק . ב-97% מהגופים לא נמצא תיעוד מסודר לנהלי אבטחת מידע, או שהנהלים אינם מספקים כיוון שאינם מתייחסים לכלל ההיבטים הנדרשים לפי התקנות. ב-74% מהגופים לא נמצא תיעוד על הדרכות לעובדים בעלי גישה למאגרי מידע או למערכות המאגר, או שתדירות ההדרכות פחותה מאחת לשנתיים או שההדרכות אינן כוללות בצורה מספקת את פירוט החובות המוטלות לפי החוק והתקנות.
ניהול מאגרי מידע
קריטריון זה בוחן את אופן קבלת ההסכמה לשימוש במידע אישי, רמת התאמת השימוש במידע למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר, ואיסוף של מידע ביומטרי.
במסגרת בחינת קריטריון זה, נמצא כי 52% מהגופים עמדו ברמה גבוהה בהוראות החוק בנוגע לבקרה ארגונית, בעוד ש-48% מהגופים נמצאו ברמת עמידה בינונית או נמוכה בהוראות החוק כאמור. 68% מהגופים אינם מקפידים על קיום הוראות סעיף 11 לחוק, המחייב להודיע לאדם שנאסף ממנו מידע אישי האם חלה עליו חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו (“הסכמה מדעת“), וכן ציון המטרה אשר לשמה מבוקש המידע, למי יימסר המידע ומטרות המסירה (עקרון “צמידות המטרה”).
אבטחת מידע
בחינת עמידת הגופים בהוראות תקנות הגנת הפרטיות (אבטחת מידע), בהתייחס לניהול המידע האישי שבבעלותם ובהחזקתו. במסגרת בחינת קריטריון זה, מצאה הרשות כי נמצא כי רק 23% מהגופים עמדו ברמה גבוהה בהוראות החוק והתקנות בנוגע לקריטריון אבטחת המידע, בעוד ש-77% נמצאו ברמת עמידה בינונית או נמוכה בהוראות החוק והתקנות.
84% מהגופים לא גיבשו נוהל עבודה לטיפול באירועי אבטחת מידע בהתאם לתקנה 11(ב) לתקנות אבטחת מידע. ב-74% מהגופים נמצאו ליקויים רבים בנושא אבטחת אמצעים נתיקים, כנדרש בתקנה 12 לתקנות, בין אם בהעדר הגבלות על שימוש באמצעים אלו, או בהעדר הצפנה נאותה. ב-81% מהגופים שמאגר המידע שלהם מוגדר ברמת אבטחת מידע בינונית ומעלה לא קוימו הוראות התקנות בנוגע לזיהוי ואימות בעלי הרשאה. כך, לא נעשה שימוש באמצעי פיזי הנתון לשליטתו הבלעדית של המורשה, ולא קוים מנגנון הרשאות גישה המבוסס על “הצורך לדעת”, התואם לכל תפקיד.
עיבוד מידע אישי במיקור חוץ
בחינת ההתקשרויות של בעלי מאגרי המידע עם צדדים ג’ המחזיקים במידע ומעבדים אותו, והאופן בו הם מבטיחים הגנה על המידע. במסגרת בחינת קריטריון זה, נמצא כי רק 6% מהגופים עמדו ברמה גבוהה בהוראות החוק בנוגע לעיבוד מידע אישי במיקור חוץ, בעוד ש-94% נמצאו ברמת עמידה בינונית ונמוכה בהוראות החוק כאמור.
ב-88% מהגופים שביצעו התקשרות עם ספקי מיקור חוץ, לא בוצעו כלל הפעולות הנדרשות בהתאם לתקנה 15, לא יושמה הנחיית רשם מאגרי המידע מס’ 2/2011 (“שימוש בשירותי מיקור חוץ לעיבוד מידע אישי”). הרשות מצאה כי בתי אבות והוסטלים רבים לא נקטו באמצעי בקרה ופיקוח נאותים על עמידת הגורם החיצוני בהוראות ההסכם והתקנות, או שלא נכללו התייחסויות במסמך ההתקשרות לחובותיו ואחריותו של הספק, בניגוד להוראות התקנות.
בשורה התחתונה: הפרות נרחבות, חמורות ומהותיות של הוראות החוק
ממצאי הליך פיקוח הרוחב בקרב מגזר בתי אבות והוסטלים (וכאן קישור) העלו כי רמת העמידה בהוראות החוק והתקנות במגזר זה נמוכה ברוב הקריטריונים. רק 16% מהגופים עמדו בדרישות הבקרה הארגונית, ורק 23% עמדו ברמה גבוהה בדרישות אבטחת המידע. בנוסף, נמצא כי 97% מהגופים אינם מחזיקים בנהלי אבטחת מידע העומדים בדרישות התקנות, וב-84% מהם לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע. כמו כן, 74% מהגופים לא קיימו תיעוד להדרכות עובדים בעלי גישה למאגרי מידע, ולא קבעו נהלי שימוש בסיסמאות חזקות.
הגנת פרטיות בתחום הכספי של דיירים בבתי אבות והוסטלים
המלצות הרשות להגנת הפרטיות התייחסו לפרטיות ביחס למצב הרפואי של הלקוחות, אולם לא התייחסו להיבט נוסף בתחום דיני הפרטיות, והוא המידע הפיננסי של הלקוחות. בתי אבות, הוסטלים ומסגרות טיפוליות דומות מקבלים לעיתים לידיהם מידע כלכלי נרחב על דייריהם. לדוגמה – פרטי בנק, פירוט הכנסות, קצבאות ביטוח לאומי, רנטות, אמצעי תשלום (המחאות, כסף מזומן, כרטיסי אשראי), ערבויות, הוראות קבע לתשלום, הרשאות לחיוב וכיוצ”ב. אלו נתונים רגישים במיוחד, אשר ניהול לא אחראי שלהם עלול להוביל לפגיעה חמורה בפרטיות הדייר, לניצול, ואף לחשיפה משפטית נרחבת של המוסד עצמו.
נוכח הוראות הדין, כמו גם מפערי הכוחות שבין הדייר לבין המוסד, נגזר הצורך בהגנה מוגברת על פרטיותם הכלכלית. חלק מהדיירים אינם מודעים למידת השליטה של המוסד בכספם, לסיכונים הטמונים בכך, או לזכויותיהם לפי החוק. מאחר שמדובר ב״מידע אישי רגיש״ כהגדרתו בחוק הגנת הפרטיות, חלה על המוסד חובה חוקית לעבד את המידע הכספי של הדייר רק בהתאם לעקרונות החוק והתקנות, ובראשם עקרונות ההסכמה, צמידות המטרה, שקיפות, מינימיזציה של מידע, והגנה טכנולוגית הולמת.
על כן, מומלץ לכל מוסד לגבש נהלים ברורים לניהול מידע כספי, לעגן מדיניות פרטיות כתובה הכוללת לוחות זמנים לשמירה ומחיקה, ולוודא שקיימת הסכמה מדעת, ברורה ופרטנית, מהדייר או מטעמו, לכל פעולה הקשורה בניהול כספו. מומלץ גם להפריד בין מערכות המידע הפיננסי לבין המערכות התפעוליות והאדמיניסטרטיביות של המוסד, לערוך בקרות באופן יזום את אופן הגישה למידע זה, לרבות באמצעות אמצעי הזדהות חזקים, הרשאות לפי תפקיד, והצפנה של מסמכים.
הצבה ושימוש במצלמות בבתי אבות והוסטלים
בתי אבות והוסטלים, כמסגרות טיפוליות הפועלות מול אוכלוסייה רגישה ותלויה, נדרשים לאזן בין החובה להבטיח רמת בטיחות ואבטחה נאותה לבין החובה להגן על הזכות החוקתית לפרטיות. מימוש האיזון האמור מורכב במיוחד נוכח רגישותם של המרחבים המצולמים והמאפיינים האישיים של הדיירים, אשר לעיתים רבות מצויים במצב קוגניטיבי או פיזי ירוד ואינם יכולים לממש באופן מלא את זכויותיהם.
לעניין מיקום הצבת המצלמות, בתי האבות מחויבים להפעיל שיקול דעת זהיר, תוך ביצוע הערכת חלופות. אין להציב מצלמות באופן גורף העלול להקים מצב של פיקוח מתמיד בחללים המיועדים לפרטיות (כגון חדרי מגורים פרטיים, שירותים או מקלחות), אלא לאחר יידוע והסכמה מלאה ומדעת. היידוע וההסכמה נדרשים להיות שלמים, ברורים ומפורשים. המוסד נדרש להביא לידיעת הדיירים, האפוטרופוסים ובני משפחתם מידע מפורט על מטרות השימוש במצלמות, אופן הפעלתן, פרקי זמן השמירה של ההקלטות, זהות בעל המאגר ואופן מימוש זכויות העיון והתיקון. כאשר מדובר בדייר שאינו מסוגל להביע הסכמה מדעת בשל מצבו הבריאותי או המשפטי, נדרש פניה לאפוטרופוס הממונה כדין והבטחת מימוש אינטרס הדייר. חובת היידוע חלה גם כלפי עובדים, מבקרים ובני משפחה הנכנסים לתחומי המוסד.
בהיבט הפרוצדורלי, מאגר המידע הנובע מהפעלת מערך המצלמות הינו בגדר “מאגר מידע” כהגדרתו בסעיף 7 לחוק הגנת הפרטיות. לפיכך, הוא כפוף לחובות רישום בהתאם לפרק ב׳ לחוק, לרבות ציון מטרות המאגר, סוגי המידע הנכללים בו, זהות מחזיקי המידע וההרשאות.
אם השירות מבוצע באמצעות צדדים שלישיים (למשל חברת מוקד חיצונית או שירותי ענן לניהול הצילומים והקלטות), נדרש הסכם עיבוד מידע (Data Processing Agreement – DPA), בהתאם להוראות תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע״ז–2017. הסכם זה חייב לכלול הוראות מהותיות לרבות חובת שמירה על סודיות, עמידה ברמות אבטחה מתאימות, מגבלות על השימוש במידע, הגבלות על העברתו לצדדים שלישיים נוספים, ותנאים ברורים באשר למחיקה והשמדה של המידע בתום ההתקשרות.
יתר על כן, בהיבט אבטחת המידע ישנה חובה לאמץ אמצעים טכנולוגיים עדכניים ותקינים, אשר יבטיחו כי המידע המצולם מוגן בפני גישה בלתי מורשית, זליגה או ניצול לרעה. בכלל זה, המוסד מחויב לקיים בקרה על הרשאות גישה לצילומים, ליישם מנגנוני זיהוי ואימות נאותים עבור מורשי הגישה, לנהל רישום של הגישות והצפייה בתיעוד המצולם, ולהבטיח כי המידע נשמר רק לתקופה הדרושה למימוש המטרות הלגיטימיות שהוגדרו מראש.
לבסוף, מן הראוי לציין כי לאור תיקון 13 לחוק הגנת הפרטיות, נכנסו לתוקפן הוראות אכיפה מחמירות, לרבות סמכויות פיקוח רחבות יותר בידי הרשות להגנת הפרטיות, קביעת סנקציות מנהליות משמעותיות, ואף אחריות אישית מוגברת למנהלים הבכירים בגופים מחזיקי מידע רגיש ורחב היקף. לכן, בתי האבות והוסטלים נדרשים להיערך בהתאם, בין היתר על ידי מינוי ממונה על הגנת הפרטיות (DPO) אשר יופקד על תכנון, יישום, בקרת מדיניות פרטיות ומעקב אחר תקינות הפעלת מצלמות המעקב, וזאת כחלק בלתי נפרד ממערך הציות הארגוני.
הגנה על פרטיות מבקרים ובני משפחה
בתי אבות, הוסטלים ומוסדות סיעודיים משמשים מסגרת טיפולית ותומכת אשר מקיימת ממשק רציף עם בני משפחתם של הדיירים ומבקריהם. מטבע הדברים, במסגרת אינטראקציות אלה נאסף, נרשם ומעובד מידע אישי רגיש גם ביחס למבקרים עצמם. לדוגמה, רישום פרטים מזהים בלובי, תיעוד כניסות ויציאות, אמצעי קשר, ובמקרים מסוימים אף מידע אישי הנוגע לסטטוס המשפטי או הכלכלי של המבקר (כגון מסירת ייפוי כוח, מסמכי אפוטרופסות וכדומה). בנוסף, מבקרים מצולמים בכניסה, באמצעות מצלמות אבטחה. מידע זה, מהווה מידע אישי, ולפיכך הוא כפוף להוראות החוק והתקנות מכוחו, לרבות עקרונות יסוד כגון עקרון המידתיות, עקרון צמידות המטרה, עקרון ההסכמה ועקרון השקיפות.
אנחנו ממליצים לקבוע מדיניות וליישם אותה באמצעות נוהל פנימי, המתייחס לאיסוף, שמירה ועיבוד מידע על מבקרים ובני משפחה. נוהל זה חייב לקבוע, בין היתר, מהם סוגי המידע הנאסף, מהן מטרות האיסוף, מהו הבסיס המשפטי המעגן את פעולת העיבוד, מהו פרק הזמן בו יישמר המידע, מי רשאי לעיין בו, ובאילו נסיבות יועבר מידע זה לצדדים שלישיים. עוד נמליץ ליידע באופן יזום ומפורש את המבקרים ובני המשפחה, כבר עם כניסתם למתחם המוסד, בדבר עצם איסוף המידע, מטרותיו, זהות בעל המאגר, פרטי יצירת הקשר עם הממונה על הגנת הפרטיות (DPO) וזכויותיהם למימוש זכויות עיון ותיקון בהתאם לחוק.
שמירת נתונים רפואיים היסטוריים
סוגיה מהותית נוגעת לאופן שמירת רשומות רפואיות היסטוריות של דיירים שכבר אינם במוסד (עזבו או נפטרו). בהתאם לדין הקיים, ובהיעדר הוראת חוק ייחודית המסדירה באופן מפורט את תקופות שמירת הרשומות במוסדות סיעודיים פרטיים, נדרש המוסד לפעול בהתאם לעקרונות יסוד בדיני הגנת המידע והפרטיות, ובראשם עקרון צמידות המטרה. עקרון זה קובע כי מידע אישי יוחזק רק כל עוד הדבר דרוש לשם מימוש המטרות שלשמן נאסף, והחל ממועד שבו אינו נחוץ עוד תקום חובה למחוק אותו או לאיינו, תוך נקיטת אמצעי בקרה, תיעוד והבטחת מחיקה אפקטיבית ומלאה.
בהקשר זה, עולות מספר שאלות פרקטיות ומשפטיות מהותיות:
-
קיומה של מדיניות ברורה ומוגדרת לעניין משך השמירה. האם המוסד גיבש מדיניות כתובה המגדירה במדויק מהן התקופות בהן יוחזק המידע אודות דיירים לשעבר, תוך הבחנה בין סוגי המידע השונים.
-
הבחנה בין מידע חיוני לבין מידע מיותר או לא רלוונטי.
-
מדיניות צמצום מידע עודף (Data Minimization). אחד מעקרונות היסוד בדיני הגנת הפרטיות מחייב את המוסד לאסוף ולעבד רק את המידע ההכרחי והפרופורציונלי לצורך מימוש המטרות הייעודיות. עקרון זה מחייב גם בחינה שוטפת האם המידע שנשמר בארכיונים כולל מידע עודף שאינו דרוש עוד לתכלית המקורית, ובמקרה כזה יש לנקוט פעולות אופרטיביות למחיקתו. להרחבה בנושא צמצום מידע עודף, קראו כאן.
-
חובות אבטחת מידע ביחס לארכיון. על המוסד להבטיח קיום אמצעי אבטחה פיזיים וטכנולוגיים על הארכיון, במיוחד על מידע בעל רגישות מיוחדת. בין היתר יש לוודא כי הגישה לרשומות מוגבלת למורשים בלבד, מתועדת באופן מלא, ומוגנת באמצעים טכנולוגיים כגון בקרות הרשאה וזיהוי, הצפנה של המידע הרלוונטי והפרדה בינו לבין מערכות מידע אחרות.
-
שקיפות והיידוע כלפי נושאי המידע או נציגיהם החוקיים. המוסד נדרש ליידע את הדיירים ו/או את נציגיהם בדבר מדיניות השימור והמחיקה, ולאפשר מימוש זכויותיהם לפי החוק לרבות עיון ותיקון.
המלצות
במענה לממצאים שעלו מהליך הפיקוח, מספר המלצות אופרטיביות לבתי אבות ולהוסטלים, לצורך חיזוק ממשקי ההגנה על מידע אישי ורגיש, צמצום חשיפה משפטית, והתאמה לדיני הגנת הפרטיות בישראל.
1. עדכון נהלים והתאמתם להוראות הדין והתקנות
על המוסדות לוודא קיומם של נהלים ארגוניים מקיפים, ברורים ומעודכנים, המסדירים את ניהול המידע האישי (לרבות אופן איסופו, שמירתו, עיבודו, מסירתו והשמדתו). יש להטמיע נוהל פרטני המתייחס למידע רגיש, כגון מידע רפואי או פסיכיאטרי, ולהבטיח הבחנה בנהלים בין סוגי המידע בהתאם לרמת הסיכון והרגישות. על הנהלים לשקף את הוראות חוק הגנת הפרטיות ותקנות אבטחת מידע, ובפרט את עקרונות ההגבלה למטרות, ההסכמה, צמצום המידע, ועוד.
בבתי אבות ובהוסטלים, יש לתת את הדעת להגנה על פרטיות דיירים שמונה להם אפוטרופוס. למי נמסר המידע? כיצד מתקיימת הסכמה מדעת בשם הדייר? כיצד מתועדים האישורים והעדכונים שמתקבלים מהאפוטרופוס? ועוד סוגיות.
2. קבלת הסכמה מדעת לאיסוף ולשימוש במידע (ולא לצרכים שיווקיים, שירותים נוספים וכו’)
יש לוודא שאיסוף המידע, והשימוש במידע נעשה לאחר קבלת הסכמה מדעת. קיימת מגמה במוסדות להציע לדיירים שירותים נלווים (כגון פעילות תרבות, פיננסים, תיווך מול ספקים חיצוניים). שימוש במידע אישי לצרכים אלו מחייב זהירות מיוחדת, שקיפות, הסכמה מדעת ותיחום המידע רק למטרה שהוגדרה מראש.
3. הגדרת מדיניות שימור ומחיקה של מידע אישי
יש לגבש מדיניות בכתב, מוגדרת וברורה, לשמירה ומחיקה של מידע אישי. מדיניות זו צריכה לכלול לוחות זמנים ברורים לשימור המידע, אבחנה בין מידע חיוני לבין מידע שניתן למחיקה, וסיווג סוגי מידע לפי רמת הרגישות. יש לבסס מנגנונים קבועים למחיקת מידע אישי שאינו נדרש עוד, לרבות מידע על דיירים לשעבר או שנפטרו, תוך תיעוד פעולת המחיקה.
העברת מידע בין מוסדות: בעת מעבר דייר ממוסד למוסד, מתקיימת לעיתים העברת תיקו הרפואי והאישי של הדייר. יש לוודא שהעברות אלו מבוצעות בהתאם לעקרונות חוק הגנת הפרטיות.
4. הטמעת מנגנוני אבטחת מידע
על המוסדות להטמיע מערך טכנולוגי מתקדם להגנה על המידע, בהתאם לרמות האבטחה הנדרשות לפי החוק והתקנות. יש ליישם אמצעים הכוללים בין היתר: סיסמאות מורכבות, בקרת הרשאות לפי תפקיד, רישום וניטור של גישה למערכות, הפרדה בין סביבות עבודה (לדוגמה סביבת ניהול מול סביבת טיפול), גיבוי מאובטח, הצפנת מידע רגיש ועוד.
5. הסדרת התקשרויות עם ספקים חיצוניים והסכמי עיבוד מידע
ייתכן שימוש נרחב בתוכנות ניהול מוסדיות, מערכות CRM ומערכות בריאות דיגיטליות (כגון מערכת לניהול תרופות). כל פעילות המעורבת בעיבוד מידע אישי על ידי צדדים שלישיים חייבת בהסדרה בהסכם עיבוד מידע (DPA). הסכם זה חייב לכלול סעיפים מהותיים על אחריות הספק, רמת האבטחה הנדרשת, מגבלות עיבוד, התחייבות לסודיות, חובות מחיקה, וקיומה של זכות לפיקוח מצד המוסד.
6. מינוי ממונה על הגנת הפרטיות (DPO)
בהתאם לתיקון 13 לחוק הגנת הפרטיות, גופים ציבוריים, וכן גופים פרטיים המנהלים מאגרי מידע רגישים או רחבי היקף, מחויבים במינוי ממונה על הגנת הפרטיות (DPO). על הממונה ליהנות ממעמד עצמאי, סמכות מקצועית, ונגישות ישירה להנהלת המוסד. תפקידו יכלול פיקוח על יישום הדין, הדרכה שוטפת, מתן מענה לפניות נושאי מידע, מתן חוות דעת פנים-ארגונית, והכנת דיווחים תקופתיים.
7. עריכת הדרכות תקופתיות והעלאת המודעות הארגונית
יש לקיים הדרכות שוטפות לצוותי ההנהלה והעובדים בנוגע לחובות הארגון והזכויות של נושאי המידע. הדרכות אלו יסייעו בהטמעת התרבות הארגונית הדרושה לקיומה של פרטיות מוסדית – ויבטיחו שכל בעלי התפקידים מודעים למשמעות החוקית של פעולתם, למגבלות ולחובות ההגנה.
8. הקמת מנגנון בקרה ודיווח פנימי
יש לגבש מסגרת של בקרה שוטפת, שתכלול בדיקה עצמית של עמידה בנהלים, קיום רישום של הפרות אפשריות ודיווח פנימי להנהלה הבכירה. מנגנון זה ישמש גם כמענה לתקלות ולדליפות מידע, ויאפשר תגובה מהירה בהתאם לנהלים קיימים.
