הגנת הפרטיות במגזר הרפואי הפרטי

מידע רפואי רגיש: מקרים נפוצים של הפרת פרטיות בקליניקות ומרפאות פרטיות

מכיוון שמידע רפואי מוגדר כ”מידע רגיש” ברמת הסיכון הגבוהה ביותר לפי החוק, החשיפה המשפטית והרגולטורית של גופי בריאות היא כעת חסרת תקדים. להלן הרחבה ופירוט על מקרים נפוצים של כשל בציות לתיקון 13 לחוק הגנת הפרטיות במגזר הרפואי הפרטי:

כשלים בתקשורת דיגיטלית לא מאושרת: WhatsApp, דוא”ל והתייעצות עם קולגות

רופא ששולח סיכום מידע רפואי, תוצאות בדיקה או מרשם דרך אפליקציית מסרים מיידיים לא מאושרת (כגון קבוצת וואטסאפ פנימית או דוא”ל פרטי של עובד), או מתייעץ עם קולגות על תוצאות בדיקות, ללא אמצעי הצפנה מתאימים – מפר את הוראות אבטחת המידע וחורג ממטרת העיבוד. יתר על כן, יש לוודא כי המידע הרפואי לא נשמר בשירותי גיבוי ענן פרטיים (כגון Google Drive ,Dropbox, iCloud). על פי תיקון 13, הפרה כזו עלולה להוביל לעיצום כספי משמעותי ולתביעה אזרחית ללא הוכחת נזק מצד המטופל.

כשל בקבלת מטופל וזיהוי/ מסירת מידע רפואי

• מסירת מידע רפואי רגיש בטלפון ללא זיהוי חד-חד ערכי: מסירת תוצאות בדיקה או סיכום מחלה בטלפון לאדם שמתקשר, מבלי שבוצע זיהוי חד-חד ערכי של המטופל (לדוגמה, זיהוי דו-שלבי באמצעות קוד שנשלח לטלפון), היא הפרה חמורה. החוק מחייב נהלי זיהוי הדוקים במיוחד בעת מסירת מידע רגיש.

• שליחת מידע רפואי לבן משפחה ללא הסכמה מתועדת: שליחת מידע רפואי לבן/בת זוג או בן משפחה אחר, ללא קבלת הסכמה מפורשת ומתועדת מראש מהמטופל עצמו, מהווה הפרה של זכות המטופל לסודיות רפואית. ההסכמה צריכה להיות ספציפית ומפורטת.

טעות בשליחת דוא”ל למטופל

טעות אנוש בחשיפת פרטי מטופל: חשיפת רשימת תפוצה (למשל, כאשר שולחים מייל להזכיר תור ומטפלים רבים חשופים בשורת ה-‘To’ או ה-‘Cc’ במקום ה-‘Bcc’), או שליחת תיק רפואי למטופל שגוי – עלולה להצמיח תביעה אזרחית בה ייפסקו לטובת המטופל פיצויים ללא הוכחת נזק בסכומים משמעותיים, כפי שמאפשר החוק.

רשלנות בניהול ספקים

האחריות המשפטית למידע הרפואי אינה ניתנת להעברה.

• היעדר הסכם עיבוד מידע (DPA): מרפאה שמתקשרת עם ספק תוכנה (למשל, מערכת לניהול קליניקה), שירותי ענן, או גוף גבייה/סליקה, המאחסן את התיקים הרפואיים של המטופלים, מבלי לחתום על הסכם עיבוד מידע (DPA) מפורט ומחייב, עלולה לשאת באחריות ישירה להפרת פרטיות שבוצעה על ידי אותו ספק.

• חובת בדיקת נאותות (Due Diligence): חובה לבדוק ולתעד כי הספק החיצוני עומד בדרישות אבטחת מידע תואמות לתקנות הישראליות (במיוחד בטיפול במידע רפואי).

מצלמות אבטחה המוצבות במרפאה

הצבת מצלמות אבטחה בחדרי המתנה או באזורים פתוחים מותרת, ככלל, אך מחייבת שילוט ברור ובולט המיידע את המטופלים והעובדים על עצם הצילום ומטרתו. אסור בתכלית האיסור לצלם חדרים בהם מתבצע טיפול רפואי, שיחות אינטימיות או אזורים פרטיים (כגון שירותים או מלתחות).

אי ניהול הרשאות גישה

פקידת קבלה שנותרה לה גישה מלאה לכלל התיקים הרפואיים בקליניקה, אף לאחר שינוי תפקיד או עזיבה – הפרה של עקרון המידתיות וצמצום הגישה. החוק דורש ניהול הרשאות קפדני (Access Control), כך שלכל עובד תהיה גישה רק למינימום המידע הנדרש לו לביצוע תפקידו. כשל זה עלול להוות בסיס לקנס מנהלי או לתביעה במקרה של ניצול לרעה או חשיפה לא מורשית.

אי-מחיקה מאובטחת של מידע ישן וחומר ארכיוני

חוק זכויות החולה בישראל מורה, כי כל מטפל רפואי או עובד מוסד רפואי ישמרו בסוד כל מידע הנוגע למטופל, שהגיע אליהם תוך כדי מילוי תפקידם או במהלך עבודתם. יש לבחון את קיומם של תיקים רפואיים, סיכומי טיפולים ותיעוד סליקה, בהיקף שמעבר לנדרש בדין, וללא צורך.

הפן הכלכלי: כיצד אי-ציות לתיקון 13 עולה מיליוני שקלים?

ההתייחסות להגנת הפרטיות כאל השקעה אסטרטגית, ולא כנטל רגולטורי, מתבססת גם על נתונים כלכליים. דליפת מידע רפואי רגיש אינה רק אירוע משפטי, אלא אירוע כספי קטסטרופלי בעל השלכות תפעוליות ארוכות טווח. סקרים ומחקרי עומק גלובליים (כדוגמת דוחות IBM Security) קובעים כי מגזר הבריאות נושא בעלות הדליפה הגבוהה ביותר:

• עלות דליפה ממוצעת: מחקרי עומק גלובליים קובעים כי עלות ממוצעת של אירוע דליפת מידע במגזר הבריאות עומדת על כ-$10.93 מיליון דולר (כ-35 מיליון ש”ח).

• קנסות רגולטוריים (עיצומים): הרשות מוסמכת להטיל עיצומים כספיים מנהליים שיכולים להגיע למיליוני שקלים, בהתאם לחומרת ההפרה ולגודל הגוף המפר.

• עיצומים אינם מבוטחים: קנסות רגולטוריים לרוב אינם ניתנים לכיסוי על ידי פוליסות ביטוח רגילות. ההוצאה משולמת באופן ישיר על ידי הגוף המפר (המרפאה או המכון הרפואי).

• עלויות שיקום וליווי: מעבר לקנסות, ההוצאות הנלוות כוללות תשלום למומחי סייבר לחקירה, ליווי משפטי צמוד לצורך דיווח לרשות, ועלות שדרוג תשתיות אבטחת מידע – כולן פוגעות בשורה התחתונה.

עיקרי השינויים וחובות מוסדות רפואיים

1. סמכויות אכיפה מנהליות מורחבות של הרשות להגנת הפרטיות

תיקון 13 מעניק לרשות להגנת הפרטיות סמכויות פיקוח ואכיפה רחבות היקף, לרבות ביצוע ביקורות יזומות, דרישת מסמכים, חקירות והטלת עיצומים כספיים. סמכויות אלו חלות גם כלפי גופים פרטיים, לרבות קליניקות עצמאיות.

2. עיצומים כספיים – ללא הליך שיפוטי

החוק מסמיך את הרשות להטיל עיצומים כספיים מנהליים בסכומים ניכרים, אשר עשויים להגיע למיליוני ש”ח, בהתאם להיקף ההפרה, רגישות המידע, גודל הגוף המפר והשלכות ההפרה. גם הפרות שנעשו בתום לב (דוגמת העברת מידע רפואי באמצעי דיגיטלי לא מאושר) עלולות להיחשב כהפרה מנהלית ולהוביל לסנקציה כספית.

3. תביעות אזרחיות ללא הוכחת נזק

התיקון מעצים את כוחם של המטופלים ומאפשר הגשת תביעות נזיקין בגין פגיעה בפרטיות גם אם המטופל לא נדרש להוכיח נזק ממשי. עצם ההפרה – חשיפת מידע, דליפה, או שימוש לא מורשה – מקנה עילת תביעה. בתי המשפט מוסמכים לפסוק פיצויים משמעותיים, לרבות פיצויים עונשיים, מה שמגביר דרמטית את החשיפה המשפטית של גופים רפואיים פרטיים.

4. חובת מינוי ממונה הגנת פרטיות (DPO)

גופים המעבדים מידע רפואי רגיש בהיקף משמעותי מחויבים למנות קצין הגנת פרטיות (Data Protection Officer). תפקידו לוודא עמידה בהוראות החוק, להטמיע מדיניות פרטיות, להדריך את הצוות, לשמש כתובת לפניות הציבור ולתפקד כגורם מקשר מול הרשות. מינוי DPO אינו בגדר המלצה – אלא חובה משפטית.

5. אבטחת מידע כדרישה משפטית מחייבת

החוק קובע כי אבטחת מידע אינה עניין טכנולוגי בלבד, אלא חובה משפטית מהותית. נדרשת הטמעה של אמצעים מתקדמים: הצפנה, ניהול הרשאות גישה, זיהוי רב־שלבי, גיבויים מאובטחים, ניטור מתמשך ותגובה לאירועי אבטחה. בנוסף, קיימת חובה לוודא כי כל ספק חיצוני (לרבות ספקי תוכנה, שירותי ענן, מוקד ומערכות CRM) עומד בדרישות החוק וחתום על הסכם עיבוד מידע (DPA).

6. חובות שקיפות ודיווח

החוק מחייב את הגופים לפרט לציבור את מטרות העיבוד, זהות בעל המאגר, דרכי התקשרות וזכויות המטופלים. במקרה של אירוע אבטחת מידע, קמה חובה לדווח לרשות ולמטופלים שנפגעו, תוך עמידה בלוחות זמנים קבועים ובאופן המפורט בתקנות.

7. אחריות אישית ופלילית של נושאי משרה

תיקון 13 מטיל אחריות אישית ישירה על נושאי משרה בכירים, ובראשם המנכ”ל, במקרה של הפרות חמורות של החוק. האחריות עלולה להיות לא רק מנהלית (קנסות), אלא אף פלילית. נושאי המשרה נדרשים לפעול בשקידה סבירה לוודא הטמעה וציות מלא של הארגון לכללי הגנת הפרטיות. חשיפה זו מגבירה את הצורך בליווי משפטי צמוד ובמינוי DPO מיומן.

⚕️דגשי חובה למנהלי מוסדות רפואיים (תיקון 13)

רישום מאגרי מידע

כל מאגר מידע אישי חייב להיות רשום כדין. חובה להגדיר את מטרות העיבוד, זהות בעל המאגר, מנהל המאגר ודרכי התקשרות. שימוש במידע מעבר למטרה שהוגדרה, מהווה חריגה העלולה להיחשב כהפרה מנהלית ואף אזרחית.

הטמעת נהלים והדרכות צוות

נדרשת הכשרה שוטפת לכלל הצוות – רופאים, פסיכולוגים, מזכירות, אנשי IT. יש להטמיע נהלים ברורים: קבלת מטופל, שמירת מסמכים, שליחת מכתבים, שימוש בענן, גישה לתיקים, זיהוי חד-חד ערכי, ועוד. כל עובד חייב להבין את חובותיו המשפטיות ואת הסיכון האישי הכרוך בהפרתן.

הערכת סיכונים (DPIA)

בעת עיבוד נרחב של מידע רפואי רגיש, חובה לערוך תסקיר השפעה על פרטיות (DPIA – Data Protection Impact Assessment). זהו מסמך הבוחן את הסיכונים, דרכי המניעה והאמצעים הנדרשים לצמצום הפגיעה. תסקיר זה מהווה כלי ניהולי ומשפטי חיוני, אשר עשוי לשמש גם כהגנה משפטית במקרה של הפרה.

פיקוח על ספקים וקבלני משנה

חובה לוודא כי כל ספק חיצוני עומד בדרישות החוק. יש לחתום עמו על הסכם עיבוד מידע, לוודא אבטחת מידע תקינה ולבצע בדיקות תקופתיות. בפרט יש לבדוק את ההסכמים מול ספק ה-EMR (תיק רפואי ממוחשב). רשלנות בבחירת ספק עלולה להוביל לאחריות ישירה של הקליניקה, לרבות חשיפה לעיצומים ולתביעות.

ניהול אירועי אבטחה

יש להחזיק בנוהל תגובה מסודר: זיהוי האירוע, תיעוד, הערכת היקף, נקיטת צעדים לעצירת הדליפה, דיווח לרשות ולמטופלים, והפקת לקחים. התנהלות נכונה עשויה לצמצם את גובה הקנס ואף למנוע אחריות פלילית.

משרד עו”ד וולר ושות’: ליווי בתחום הגנת הפרטיות למגזר הרפואי הפרטי

משרדנו מתמחה בליווי משפטי של מכונים רפואיים, מרפאות, קליניקות פרטיות, מוסדות סיעודיים ועוד, ומעניק שירותים מקיפים:

מיפוי משפטי ורגולטורי

אנו מבצעים ניתוח פרטני של כלל תהליכי העבודה במכון הרפואי, תוך זיהוי מדוקדק של נקודות המגע עם מידע אישי, לרבות מידע רפואי רגיש. הבדיקה כוללת את אופן איסוף המידע, עיבודו, שמירתו, העברתו לצדדים שלישיים, השימוש בו לצרכים קליניים, אדמיניסטרטיביים ושיווקיים, וכן את ממשקי העבודה עם ספקים חיצוניים. המיפוי מאפשר לנו להעריך את רמת החשיפה של הארגון, לזהות פערים ביחס להוראות החוק והתקנות, ולהמליץ על צעדים מתקנים. תוצרי המיפוי משמשים בסיס לתכנון אסטרטגי של מדיניות פרטיות, אבטחת מידע וניהול סיכונים.

כתיבת נהלי עבודה מותאמים

בהתאם לתוצאות המיפוי, אנו מנסחים עבור לקוחותינו מהמגזר הרפואי הפרטי, מערך נהלים משפטיים וארגוניים המותאמים לפעילותם הקלינית והטכנולוגית. נהלים אלו כוללים בין היתר:

• מסמכי מדיניות פרטיות המיועדים למטופלים ולצוות.
• טפסי הסכמה מדעת לעיבוד מידע אישי, לרבות הסכמה לשימוש בטכנולוגיות דיגיטליות.
• הסכמים משפטיים עם מטופלים הכוללים סעיפי פרטיות, סודיות ואבטחת מידע.
• מדיניות פרטיות לאתר האינטרנט.
• שגרות עבודה פנימיות בנושאים כגון גישה לתיקים רפואיים, שליחת מסמכים, שימוש בדוא”ל ובאמצעי תקשורת מיידיים (כגון WhatsApp), ניהול הרשאות גישה, שמירת תיעוד קליני ועוד.

מינוי ממונה הגנת הפרטיות במיקור חוץ

תיקון 13 קובע כי גופים המעבדים מידע רפואי רגיש בהיקף משמעותי מחויבים למנות ממונה הגנת פרטיות. משרדנו בוחן את הצורך המשפטי במינוי DPO בהתאם להיקף המידע, סוגו ומאפייני העיבוד. עורכי הדין במשרדנו מעניקים שירותי DPO חיצוני במיקור חוץ, הכוללים פיקוח שוטף, ייעוץ רגולטורי, ניהול קשר עם הרשות להגנת הפרטיות, הדרכת צוותים והובלת תהליכי התאמה.

עריכת הסכמי עיבוד מידע עם ספקים

גופים רפואיים עושים שימוש נרחב בשירותי תוכנה, אחסון, אבטחת מידע ותשתיות ענן. תיקון 13 מחייב התקשרות חוזית עם כל ספק המעבד מידע אישי בשם המכון, תוך עמידה בדרישות החוק והתקנות.

הדרכות צוותים

הטמעת רגולציה אפקטיבית מחייבת חינוך ארגוני והעלאת מודעות בקרב כלל העובדים בנושאים דוגמת עקרונות הגנת פרטיות ואבטחת מידע; חובות סודיות ואתיקה מקצועית; שימוש בטכנולוגיות דיגיטליות באופן בטוח; מניעת טעויות אנוש והשלכות משפטיות של הפרות.

תגובה לאירועי אבטחת מידע

אירועי אבטחה, לרבות דליפת מידע, פריצה למערכות, שימוש בלתי מורשה או חשיפה שגויה, מחייבים תגובה משפטית מיידית, מדויקת ומתועדת. משרדנו מעניק ללקוחותיו ליווי משפטי דחוף הכולל:

• ניתוח ראשוני של האירוע והערכת היקפו.
• ניסוח הודעות דיווח לרשות להגנת הפרטיות ולמטופלים שנפגעו.
• ניהול הקשר מול הרשות, לרבות מענה לדרישות מידע, השתתפות בביקורות והגשת תסקירים.
• ייצוג בהליכים משפטיים, אזרחיים או מנהליים, ככל שיידרש.
• הפקת לקחים והמלצות לתיקון נהלים ומערכות.

התנהלות נכונה בשעת משבר עשויה לצמצם את החשיפה המשפטית, להפחית את גובה הקנס ואף למנוע אחריות פלילית או אזרחית.

ליווי משפטי אסטרטגי: משרד עו”ד וולר ושות’

הבחירה בליווי משפטי בתחום הגנת הפרטיות היא החלטה ניהולית-אסטרטגית בעלת השפעה ישירה על יציבות הארגון. משרד עו”ד וולר ושות’ מציע יתרון ייחודי המשלב מומחיות משפטית ורגולטורית עם הבנה טכנולוגית מעשית. אנו מכירים בכך שציות מלא לתיקון 13 דורש הבנה עמוקה של מערכות מידע רפואיות, אבטחת נתונים וסיכונים ארגוניים יומיומיים.

הניסיון הנרחב של המשרד בליווי מכונים רפואיים, מרפאות, ומוסדות סיעודיים מבטיח פתרונות אפקטיביים, ישימים ומותאמים במדויק לצרכים ולמבנה של המגזר הרפואי הפרטי.

שירותי הליווי הממוקדים שלנו: עמידה מלאה בתיקון 13

• מינוי DPO במיקור חוץ (Outsourced DPO): משרדנו משמש כממונה הגנת הפרטיות החיצוני של המרפאה, ומספק פתרון משפטי וטכנולוגי מלא. שירות זה מאפשר עמידה מלאה בחובת המינוי הרגולטורית הנדרשת על ידי החוק, תוך חיסכון בעלויות ובמורכבות הכרוכה בגיוס עובד פנימי.

• תגובה וניהול משברים (Incident Response): אנו מעניקים ליווי משפטי דחוף ומיידי מרגע גילוי אירוע סייבר או דליפת מידע רפואי. הליווי כולל ניהול התגובה הראשונית, ניסוח הדיווחים המחייבים לרשות להגנת הפרטיות, וטיפול בממשק מול הרשויות והמטופלים שנפגעו.

• מיפוי ורגולציה מותאמת: ביצוע סקרי ציות (PIA), רישום מאגרי מידע, וניסוח נהלי עבודה מותאמים אישית (כולל מדיניות שימוש נכון באמצעי תקשורת דיגיטליים ונהלי זיהוי מטופל דו-שלביים).

• הסכמים עם ספקים (DPA): עריכת הסכמי עיבוד מידע (DPA) מפורטים ומחייבים עם כל ספקי התוכנה, שירותי הענן והסליקה החיצוניים של המרפאה. הסכמים אלה נועדו להבטיח שהספקים עומדים בדרישות החוק ולצמצם את האחריות המשפטית הישירה של המרפאה.

• הדרכות והטמעה ארגונית: הכשרות שוטפות לצוות הרפואי, המזכירות והמנהלים, על מנת להבטיח מודעות מלאה לנושא הסודיות הרפואית ולצמצם את סיכון האחריות האישית של נושאי המשרה הבכירים.

{
“@context”: “https://schema.org”,
“@type”: “LegalService”,
“name”: “וולר ושות’ משרד עורכי דין”,
“image”: “https://weller-law-office.com/wp-content/uploads/2021/01/logo-weller.png”,
“id”: “https://weller-law-office.com/”,
“url”: “https://weller-law-office.com/”,
“telephone”: “+972-4-866-1537”,
“address”: {
“@type”: “PostalAddress”,
“streetAddress”: “דרך העצמאות 15”,
“addressLocality”: “חיפה”,
“postalCode”: “3133801”,
“addressCountry”: “IL”
},
“geo”: {
“@type”: “GeoCoordinates”,
“latitude”: 32.817737,
“longitude”: 35.001767
},
“openingHoursSpecification”: [
{
“@type”: “OpeningHoursSpecification”,
“dayOfWeek”: [
“Sunday”,
“Monday”,
“Tuesday”,
“Wednesday”,
“Thursday”
],
“opens”: “07:30”,
“closes”: “17:30”
}
],
“sameAs”: [
“https://www.facebook.com/wellerlawoffice/”,
“https://il.linkedin.com/company/weller-law-office”
]
}