המערכת הרפואית בישראל, לרבות מכונים רפואיים, מרפאות פרטיות וקליניקות של רופאים, פסיכולוגים ומטפלים אחרים, מתבססת במידה רבה על עיבוד מידע אישי רגיש: נתונים רפואיים, חוות דעת מקצועיות, מסמכים רפואיים, תיעוד טיפולים, סליקה ותשלומים, ועוד. תיקון 13 לחוק הגנת הפרטיות, התשמ”א-1981, אשר נכנס לתוקף בחודש אוגוסט 2025, שינה באופן דרמטי את מערך החובות המוטלות על המגזר הרפואי הפרטי. זהו שינוי המחייב היערכות משפטית, טכנולוגית וארגונית מקיפה.
מכיוון שהמידע הרפואי מוגדר כ”מידע רגיש” לפי החוק, הרי שהחשיפה המשפטית והרגולטורית של גופים בתחום הבריאות גבוהה במיוחד. הפרות, גם אם לא נגרמו בזדון, עלולות להוביל לקנסות מנהליים בסכומי עתק, תביעות אזרחיות מצד מטופלים ללא צורך בהוכחת נזק, וכן פגיעה אנושה באמון הציבור. למי שתוהה, לא סתם האקרים מחפשים פרצות במוסדות הרפואיים הגדולים בישראל.
עיקרי השינויים וחובות מוסדות רפואיים
1. סמכויות אכיפה מנהליות מורחבות
תיקון 13 מעניק לרשות להגנת הפרטיות סמכויות פיקוח ואכיפה רחבות היקף, לרבות ביצוע ביקורות יזומות, דרישת מסמכים, חקירות והטלת עיצומים כספיים. סמכויות אלו חלות גם כלפי גופים פרטיים, לרבות קליניקות עצמאיות.
2. עיצומים כספיים ללא צורך בהליך שיפוטי
החוק מסמיך את הרשות להטיל עיצומים כספיים מנהליים בסכומים ניכרים, אשר עשויים להגיע למיליוני ש”ח, בהתאם להיקף ההפרה, רגישות המידע, גודל הגוף המפר והשלכות ההפרה. גם הפרות שנעשו בתום לב (דוגמת העברת מידע רפואי באמצעי דיגיטלי לא מאושר) עלולות להיחשב כהפרה מנהלית ולהוביל לסנקציה כספית.
3. תביעות אזרחיות ללא הוכחת נזק
התיקון מאפשר הגשת תביעות אזרחיות בגין פגיעה בפרטיות, גם בהיעדר נזק מוכח. די בעצם ההפרה – חשיפת מידע, דליפה או שימוש בלתי מורשה – כדי להצמיח עילת תביעה. בתי המשפט מוסמכים לפסוק פיצויים ללא צורך בהוכחת נזק, לרבות פיצויים עונשיים, דבר המגביר את החשיפה המשפטית של גופים רפואיים פרטיים.
4. חובת מינוי ממונה הגנת פרטיות (DPO)
גופים המעבדים מידע רפואי רגיש בהיקף משמעותי מחויבים למנות קצין הגנת פרטיות (Data Protection Officer). תפקידו לוודא עמידה בהוראות החוק, להטמיע מדיניות פרטיות, להדריך את הצוות, לשמש כתובת לפניות הציבור ולתפקד כגורם מקשר מול הרשות. מינוי DPO אינו בגדר המלצה – אלא חובה משפטית.
5. אבטחת מידע כדרישה משפטית מחייבת
החוק קובע כי אבטחת מידע אינה עניין טכנולוגי בלבד, אלא חובה משפטית מהותית. נדרשת הטמעה של אמצעים מתקדמים: הצפנה, ניהול הרשאות גישה, זיהוי רב־שלבי, גיבויים מאובטחים, ניטור מתמשך ותגובה לאירועי אבטחה. בנוסף, קיימת חובה לוודא כי כל ספק חיצוני (לרבות ספקי תוכנה, שירותי ענן, מוקד ומערכות CRM) עומד בדרישות החוק וחתום על הסכם עיבוד מידע (DPA).
6. חובות שקיפות ודיווח
החוק מחייב את הגופים לפרט לציבור את מטרות העיבוד, זהות בעל המאגר, דרכי התקשרות וזכויות המטופלים. במקרה של אירוע אבטחת מידע, קמה חובה לדווח לרשות ולמטופלים שנפגעו, תוך עמידה בלוחות זמנים קבועים ובאופן המפורט בתקנות.
השלכות יישומיות על גופים רפואיים פרטיים
רישום מאגרי מידע
כל מאגר מידע אישי חייב להיות רשום כדין. חובה להגדיר את מטרות העיבוד, זהות בעל המאגר, מנהל המאגר ודרכי התקשרות. שימוש במידע מעבר למטרה שהוגדרה, מהווה חריגה העלולה להיחשב כהפרה מנהלית ואף אזרחית.
הטמעת נהלים והדרכות צוות
נדרשת הכשרה שוטפת לכלל הצוות – רופאים, פסיכולוגים, מזכירות, אנשי IT. יש להטמיע נהלים ברורים: קבלת מטופל, שמירת מסמכים, שליחת מכתבים, שימוש בענן, גישה לתיקים, זיהוי חד-חד ערכי, ועוד. כל עובד חייב להבין את חובותיו המשפטיות ואת הסיכון האישי הכרוך בהפרתן.
הערכת סיכונים (DPIA)
בעת עיבוד נרחב של מידע רפואי רגיש, חובה לערוך תסקיר השפעה על פרטיות ( DPIA – Data Protection Impact Assessment) – מסמך הבוחן את הסיכונים, דרכי המניעה והאמצעים הנדרשים לצמצום הפגיעה. תסקיר זה מהווה כלי ניהולי ומשפטי חיוני, אשר עשוי לשמש גם כהגנה משפטית במקרה של הפרה.
פיקוח על ספקים וקבלני משנה
חובה לוודא כי כל ספק חיצוני עומד בדרישות החוק. יש לחתום עמו על הסכם עיבוד מידע, לוודא אבטחת מידע תקינה ולבצע בדיקות תקופתיות. רשלנות בבחירת ספק עלולה להוביל לאחריות ישירה של הקליניקה, לרבות חשיפה לעיצומים ולתביעות.
ניהול אירועי אבטחה
יש להחזיק בנוהל תגובה מסודר: זיהוי האירוע, תיעוד, הערכת היקף, נקיטת צעדים לעצירת הדליפה, דיווח לרשות ולמטופלים, והפקת לקחים. התנהלות נכונה עשויה לצמצם את גובה הקנס ואף למנוע אחריות פלילית.
משרד עו”ד וולר ושות’: ליווי בתחום הגנת הפרטיות למגזר הרפואי הפרטי
משרדנו מתמחה בליווי משפטי של מכונים רפואיים, מרפאות, קליניקות פרטיות, מוסדות סיעודיים ועוד, ומעניק שירותים מקיפים:
מיפוי משפטי ורגולטורי
אנו מבצעים ניתוח פרטני של כלל תהליכי העבודה במכון הרפואי, תוך זיהוי מדוקדק של נקודות המגע עם מידע אישי, לרבות מידע רפואי רגיש. הבדיקה כוללת את אופן איסוף המידע, עיבודו, שמירתו, העברתו לצדדים שלישיים, השימוש בו לצרכים קליניים, אדמיניסטרטיביים ושיווקיים, וכן את ממשקי העבודה עם ספקים חיצוניים. המיפוי מאפשר לנו להעריך את רמת החשיפה של הארגון, לזהות פערים ביחס להוראות החוק והתקנות, ולהמליץ על צעדים מתקנים. תוצרי המיפוי משמשים בסיס לתכנון אסטרטגי של מדיניות פרטיות, אבטחת מידע וניהול סיכונים.
כתיבת נהלי עבודה מותאמים
בהתאם לתוצאות המיפוי, אנו מנסחים עבור לקוחותינו מהמגזר הרפואי הפרטי, מערך נהלים משפטיים וארגוניים המותאמים לפעילותם הקלינית והטכנולוגית. נהלים אלו כוללים בין היתר:
- מסמכי מדיניות פרטיות המיועדים למטופלים ולצוות.
- טפסי הסכמה מדעת לעיבוד מידע אישי, לרבות הסכמה לשימוש בטכנולוגיות דיגיטליות.
- הסכמים משפטיים עם מטופלים הכוללים סעיפי פרטיות, סודיות ואבטחת מידע.
- מדיניות פרטיות לאתר האינטרנט.
- שגרות עבודה פנימיות בנושאים כגון גישה לתיקים רפואיים, שליחת מסמכים, שימוש בדוא”ל ובאמצעי תקשורת מיידיים (כגון WhatsApp), ניהול הרשאות גישה, שמירת תיעוד קליני ועוד.
מינוי ממונה הגנת הפרטיות במיקור חוץ
תיקון 13 קובע כי גופים המעבדים מידע רפואי רגיש בהיקף משמעותי מחויבים למנות ממונה הגנת פרטיות. משרדנו בוחן את הצורך המשפטי במינוי DPO בהתאם להיקף המידע, סוגו ומאפייני העיבוד. עורכי הדין במשרדנו מעניקים שירותי DPO חיצוני במיקור חוץ, הכוללים פיקוח שוטף, ייעוץ רגולטורי, ניהול קשר עם הרשות להגנת הפרטיות, הדרכת צוותים והובלת תהליכי התאמה.
עריכת הסכמי עיבוד מידע עם ספקים
גופים רפואיים עושים שימוש נרחב בשירותי תוכנה, אחסון, אבטחת מידע ותשתיות ענן. תיקון 13 מחייב התקשרות חוזית עם כל ספק המעבד מידע אישי בשם המכון, תוך עמידה בדרישות החוק והתקנות.
הדרכות צוותים
הטמעת רגולציה אפקטיבית מחייבת חינוך ארגוני והעלאת מודעות בקרב כלל העובדים בנושאים דוגמת עקרונות הגנת פרטיות ואבטחת מידע; חובות סודיות ואתיקה מקצועית; שימוש בטכנולוגיות דיגיטליות באופן בטוח; מניעת טעויות אנוש והשלכות משפטיות של הפרות.
תגובה לאירועי אבטחת מידע
אירועי אבטחה, לרבות דליפת מידע, פריצה למערכות, שימוש בלתי מורשה או חשיפה שגויה, מחייבים תגובה משפטית מיידית, מדויקת ומתועדת. משרדנו מעניק ללקוחותיו ליווי משפטי דחוף הכולל:
- ניתוח ראשוני של האירוע והערכת היקפו.
- ניסוח הודעות דיווח לרשות להגנת הפרטיות ולמטופלים שנפגעו.
- ניהול הקשר מול הרשות, לרבות מענה לדרישות מידע, השתתפות בביקורות והגשת תסקירים.
- ייצוג בהליכים משפטיים, אזרחיים או מנהליים, ככל שיידרש.
- הפקת לקחים והמלצות לתיקון נהלים ומערכות.
התנהלות נכונה בשעת משבר עשויה לצמצם את החשיפה המשפטית, להפחית את גובה הקנס ואף למנוע אחריות פלילית או אזרחית.
למה לבחור במשרד עו”ד וולר ושות’?
בחירה בליווי משפטי מתאים בתחום הגנת הפרטיות למגזר הרפואי הפרטי היא מהלך ניהולי-אסטרטגי. משרד עו”ד וולר ושות’ מציע מענה ייחודי הנסמך על מומחיות משפטית ממוקדת, ניסיון ניהולי רב־תחומי והיכרות מעמיקה עם אתגרי עולם הבריאות. ייחודו של המשרד מתבטא ביכולת לשלב בין משפט וטכנולוגיה: אנו מבינים כי הגנת הפרטיות אינה מסתכמת בנוסח חוקי או בתקנות בלבד, אלא מצריכה הבנה מעשית של מערכות מידע, של תהליכי אבטחת נתונים, של סיכונים טכנולוגיים וארגוניים יומיומיים. שילוב זה מאפשר לנו להעניק פתרונות אפקטיביים וישימים, המותאמים במדויק לאופן שבו פועלים מכונים רפואיים, מרפאות וקליניקות פרטיות. הניסיון הרב שצברנו בליווי גופים ציבוריים, רשויות מקומיות, תאגידים ועמותות, מקנה לנו יתרון ייחודי ביכולת לספק ייעוץ רחב ומקיף. בסופו של יום, בחירה במשרד וולר ושות’ היא בחירה בביטחון, ביציבות ובשקט. צרו קשר עכשיו.
פורסם: 9/10/2025.
נכתב על ידי עו״ד רועי וולר, שותף בכיר במשרד עורכי דין וולר ושות׳. מתמחה בדיני הגנת הפרטיות, ניהול סיכוני מידע וציות רגולטורי, ומנהל סיכונים ראשי (CRO). עו״ד רועי וולר מלווה רשויות מקומיות, תאגידים ציבוריים ועמותות ביישום תיקון 13 לחוק הגנת הפרטיות, במינוי ממוני פרטיות (DPO) ובהטמעת תהליכי ציות, אבטחת מידע וניהול סיכונים ארגוניים. לשעבר מנכ״ל רשות מקומית, ראש מטה שר ויועץ בכיר ליו״ר ועדת הכספים בכנסת, בעל ניסיון עשיר בממשק שבין משפט, טכנולוגיה וניהול ציבורי. עו״ד וולר מרצה ומפרסם מאמרים מקצועיים בתחומי הגנת פרטיות, סייבר, ניהול סיכונים וציות רגולטורי.
תחום: הגנת הפרטיות ואבטחת מידע.
