top image

הגנת הפרטיות בבתי אבות ובהוסטלים

הגנת הפרטיות בבתי אבות והוסטלים

מגזר בתי האבות וההוסטלים מעניק ללקוחותיו שירותי סיעוד וטיפול, ובמסגרת זו מקבל לידיו מידע רגיש על מצבם הרפואי. זהו מגזר בעל מאפיינים ייחודיים בהיבטי פרטיות: ריכוז מידע רפואי-סיעודי אודות דיירים נוכחים וקודמים ונתונים אודות דיירים שנפטרו. מאפיין נוסף הוא פערי כוחות משמעותיים בין בעלי המאגרים לבין הדיירים, הנובעים מהעובדה שלחלק מנושאי המידע תפקוד פיזי או קוגניטיבי נמוך, העלול להתאפיין גם במודעות נמוכה לפרטיות, לסיכונים הנובעים משימוש במידע עליהם, או לזכויות המוקנות להם. הרשות להגנת הפרטיות ערכה בחודש ינואר 2023 הליך פיקוח רוחב בקרב בתי אבות והוסטלים, לשם בחינת עמידתם בהוראות הדין. סקירת הממצאים והמסקנות – ובעיקר המלצות מפורטות כיצד להיערך לתיקון 13 לחוק הגנת הפרטיות, להימנע מקנסות אישיים ועיצומים מינהליים.

 

מאפיינים ייחודיים נוספים

מעבר לריכוז המידע הרפואי-סיעודי שבידי המוסדות, ומעבר לפערי הכוחות שבין הצדדים, למגזר בתי האבות וההוסטלים מאפיינים ייחודיים נוספים מבחינת הגנת הפרטיות:

1️⃣ משך הזמן הארוך של החזקת המידע

בתי אבות והוסטלים מחזיקים מידע אישי ורגיש של דייריהם במשך פרקי זמן ממושכים, לעיתים גם שנים ארוכות לאחר סיום שהות הדייר ולעיתים לאחר פטירתו. המידע עשוי לכלול פרטים רפואיים, סוציאליים, פסיכולוגיים ונתונים נוספים המצויים בתיקים רפואיים ובמאגרי מידע ניהוליים. האחסון הארוך של מידע כזה מעורר סוגיות של צמידות המטרה ושל הנחיצות בשמירת המידע.

2️⃣ היקף רחב של גורמים הנחשפים למידע

אחד המאפיינים המרכזיים של המגזר הוא מערך השירותים הרחב הכרוך בהפעלת בתי האבות וההוסטלים. לשם הדוגמה, צוותים רפואיים, עובדים סוציאליים, מטפלים סיעודיים (מישראל או מחו”ל), אנשי תחזוקה, ניקיון, ביטחון ועוד. בנוסף לכך, ספקי שירות חיצוניים: קבלני כוח אדם, מט”ב, חברות מחשוב, מצלמות אבטחה, חברות סליקת תשלומים, ספקי מזון, נותני שירותי בדיקות מעבדה וכו’. מעבר לכך, במוסדות אלו נמצאים לא רק הדיירים, אלא גם בני משפחה, אפוטרופוסים, ולעיתים מבקרים שונים במוסד.

כל אלו עלולים להיחשף למידע אישי רגיש של דיירים. ניהול המידע מחייב מדיניות הרשאות מוקפדת, הגדרת עקרון המידתיות בגישה, ועריכת הסכמים מתאימים (DPA) עם ספקים ונותני שירות חיצוניים, בהתאם לתיקון 13 לחוק הגנת הפרטיות.

3️⃣ שילוב מערכות מידע מיושנות לצד טכנולוגיות חדשות

אחד המאפיינים של המגזר הוא שילוב של מערכות מידע ותיעוד ותיקות, שלא תמיד עומדות בתקנים עדכניים לאבטחת מידע. במקביל, ישנה נטייה גוברת להטמיע מערכות חדשות, כגון מערכות מחשוב ענן לניהול תיקים רפואיים; אפליקציות לניהול מעקב סיעודי; ובשנים האחרונות, טכנולוגיות IoT לניטור מצבי דיירים בזמן אמת.

השילוב הזה יוצר מורכבות תפעולית וחשיפה לסיכוני אבטחה, כגון פרצות אבטחה, העדר סטנדרטיזציה, חוסר תאימות בין מערכות, והיעדר הצפנה נאותה של כלל מאגרי המידע.

4️⃣ מידע ביומטרי ותיעוד חזותי

בתי אבות עושים שימוש נרחב במצלמות במעגל סגור (CCTV) למטרות ביטחון, מניעת אלימות ופיקוח על תקינות השירות. לעיתים המצלמות מותקנות גם באזורים רגישים דוגמת מסדרונות, חדרי אוכל, בריכה, כניסה לשירותים ציבוריים, שטחים משותפים, ולעיתים אף בכניסה לחדרי הדיירים עצמם. במקרים מסויימים, מאפשר המוסד לדיירים להציב מצלמות גם בחדרים עצמם.

אלא שתיעוד כזה מהווה מחייב זהירות מיוחדת: ביסוס חוקי ברור לשימוש בו (בסיס חוקי מתאים או הסכמה מדעת); הגבלת השימוש אך ורק למטרות לגיטימיות, מוגדרות מראש; ופרסום מדיניות ברורה והצבת שילוט בולט לציבור המבקרים והדיירים.

5️⃣ מעורבות בני משפחה ואפוטרופוסים

רבים מהדיירים בבתי האבות נמצאים במצב של פגיעה באוטונומיה האישית, מצב רפואי או קוגניטיבי ירוד, או כאלה שנמצאים תחת אפוטרופסות משפטית. כתוצאה מכך, קיימת מעורבות הדוקה של בני משפחה, אפוטרופוסים, עורכי דין ונציגים חיצוניים, המבקשים לקבל גישה למידע רפואי ואישי של הדיירים.

מצבים אלו מאתגרים מבחינת דיני הגנת הפרטיות. לדוגמה, כיצד לאמת את זהות הפונה? מהי סמכותו המשפטית? באילו מקרים ניתן לחשוף מידע, ובאילו מקרים יש להגן על פרטיות הדייר?

כל אלה מחייבים נהלים ברורים לזיהוי ובקרה של זכויות הגישה.

6️⃣ רגישות מוסרית ואתית

המוסדות במגזר זה מטפלים באוכלוסייה הפגיעה ביותר בחברה: קשישים, חולים, בעלי מוגבלויות. החשיפה של פרטיהם האישיים, או טיפול רשלני במידע רגיש, אינה רק סוגיה משפטית, אלא גם סוגיה מוסרית ואתית ראשונה במעלה. לכן, לצד החובות המשפטיות, נדרשת תרבות ארגונית מבוססת ערכי פרטיות, שתטמיע בקרב כלל העובדים והמנהלים מודעות לחשיבות ההגנה על מידע אישי ורגיש של דיירים.

 

דו”ח הרשות להגנת הפרטיות: עיקרי הממצאים

בקרה ארגונית

קריטריון זה בוחן קיומה של תכנית שנתית בתחום אבטחת המידע והגנת הפרטיות, ואת מינויים של גורמים בעלי אחריות בתחום. במסגרת בחינת קריטריון זה, נמצא כי רק 16% מהגופים עמדו ברמה גבוהה בהוראות החוק בנוגע לבקרה ארגונית, בעוד ש-84% נמצאו כבעלות רמת עמידה בינונית ונמוכה בהוראות החוק . ב-97% מהגופים לא נמצא תיעוד מסודר לנהלי אבטחת מידע, או שהנהלים אינם מספקים כיוון שאינם מתייחסים לכלל ההיבטים הנדרשים לפי התקנות. ב-74% מהגופים לא נמצא תיעוד על הדרכות לעובדים בעלי גישה למאגרי מידע או למערכות המאגר, או שתדירות ההדרכות פחותה מאחת לשנתיים או שההדרכות אינן כוללות בצורה מספקת את פירוט החובות המוטלות לפי החוק והתקנות.

ניהול מאגרי מידע

קריטריון זה בוחן את אופן קבלת ההסכמה לשימוש במידע אישי, רמת התאמת השימוש במידע למטרה שלשמה נאסף, מתן זכות העיון במידע, עמידה בהוראות החוק בעניין דיוור ישיר, ואיסוף של מידע ביומטרי.

במסגרת בחינת קריטריון זה, נמצא כי 52% מהגופים עמדו ברמה גבוהה בהוראות החוק בנוגע לבקרה ארגונית, בעוד ש-48% מהגופים נמצאו ברמת עמידה בינונית או נמוכה בהוראות החוק כאמור. 68% מהגופים אינם מקפידים על קיום הוראות סעיף 11 לחוק, המחייב להודיע לאדם שנאסף ממנו מידע אישי האם חלה עליו חובה חוקית למסור את המידע, או שמסירת המידע תלויה ברצונו ובהסכמתו (“הסכמה מדעת“), וכן ציון המטרה אשר לשמה מבוקש המידע, למי יימסר המידע ומטרות המסירה (עקרון “צמידות המטרה”).

אבטחת מידע

בחינת עמידת הגופים בהוראות תקנות הגנת הפרטיות (אבטחת מידע), בהתייחס לניהול המידע האישי שבבעלותם ובהחזקתו. במסגרת בחינת קריטריון זה, מצאה הרשות כי נמצא כי רק 23% מהגופים עמדו ברמה גבוהה בהוראות החוק והתקנות בנוגע לקריטריון אבטחת המידע, בעוד ש-77% נמצאו ברמת עמידה בינונית או נמוכה בהוראות החוק והתקנות.

84% מהגופים לא גיבשו נוהל עבודה לטיפול באירועי אבטחת מידע בהתאם לתקנה 11(ב) לתקנות אבטחת מידע. ב-74% מהגופים נמצאו ליקויים רבים בנושא אבטחת אמצעים נתיקים, כנדרש בתקנה 12 לתקנות, בין אם בהעדר הגבלות על שימוש באמצעים אלו, או בהעדר הצפנה נאותה. ב-81% מהגופים שמאגר המידע שלהם מוגדר ברמת אבטחת מידע בינונית ומעלה לא קוימו הוראות התקנות בנוגע לזיהוי ואימות בעלי הרשאה. כך, לא נעשה שימוש באמצעי פיזי הנתון לשליטתו הבלעדית של המורשה, ולא קוים מנגנון הרשאות גישה המבוסס על “הצורך לדעת”, התואם לכל תפקיד.

עיבוד מידע אישי במיקור חוץ

בחינת ההתקשרויות של בעלי מאגרי המידע עם צדדים ג’ המחזיקים במידע ומעבדים אותו, והאופן בו הם מבטיחים הגנה על המידע. במסגרת בחינת קריטריון זה, נמצא כי רק 6% מהגופים עמדו ברמה גבוהה בהוראות החוק בנוגע לעיבוד מידע אישי במיקור חוץ, בעוד ש-94% נמצאו ברמת עמידה בינונית ונמוכה בהוראות החוק כאמור.

ב-88% מהגופים שביצעו התקשרות עם ספקי מיקור חוץ, לא בוצעו כלל הפעולות הנדרשות בהתאם לתקנה 15, לא יושמה הנחיית רשם מאגרי המידע מס’ 2/2011 (“שימוש בשירותי מיקור חוץ לעיבוד מידע אישי”). הרשות מצאה כי בתי אבות והוסטלים רבים לא נקטו באמצעי בקרה ופיקוח נאותים על עמידת הגורם החיצוני בהוראות ההסכם והתקנות, או שלא נכללו התייחסויות במסמך ההתקשרות לחובותיו ואחריותו של הספק, בניגוד להוראות התקנות.

 

בשורה התחתונה: הפרות נרחבות, חמורות ומהותיות של הוראות החוק

ממצאי הליך פיקוח הרוחב בקרב מגזר בתי אבות והוסטלים (וכאן קישור) העלו כי רמת העמידה בהוראות החוק והתקנות במגזר זה נמוכה ברוב הקריטריונים. רק 16% מהגופים עמדו בדרישות הבקרה הארגונית, ורק 23% עמדו ברמה גבוהה בדרישות אבטחת המידע. בנוסף, נמצא כי 97% מהגופים אינם מחזיקים בנהלי אבטחת מידע העומדים בדרישות התקנות, וב-84% מהם לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע. כמו כן, 74% מהגופים לא קיימו תיעוד להדרכות עובדים בעלי גישה למאגרי מידע, ולא קבעו נהלי שימוש בסיסמאות חזקות.

 

הגנת פרטיות בתחום הכספי של דיירים בבתי אבות והוסטלים

המלצות הרשות להגנת הפרטיות התייחסו לפרטיות ביחס למצב הרפואי של הלקוחות, אולם לא התייחסו להיבט נוסף בתחום דיני הפרטיות, והוא המידע הפיננסי של הלקוחות. בתי אבות, הוסטלים ומסגרות טיפוליות דומות מקבלים לעיתים לידיהם מידע כלכלי נרחב על דייריהם. לדוגמה – פרטי בנק, פירוט הכנסות, קצבאות ביטוח לאומי, רנטות, אמצעי תשלום (המחאות, כסף מזומן, כרטיסי אשראי), ערבויות, הוראות קבע לתשלום, הרשאות לחיוב וכיוצ”ב. אלו נתונים רגישים במיוחד, אשר ניהול לא אחראי שלהם עלול להוביל לפגיעה חמורה בפרטיות הדייר, לניצול, ואף לחשיפה משפטית נרחבת של המוסד עצמו.

נוכח הוראות הדין, כמו גם מפערי הכוחות שבין הדייר לבין המוסד, נגזר הצורך בהגנה מוגברת על פרטיותם הכלכלית. חלק מהדיירים אינם מודעים למידת השליטה של המוסד בכספם, לסיכונים הטמונים בכך, או לזכויותיהם לפי החוק. מאחר שמדובר ב״מידע אישי רגיש״ כהגדרתו בחוק הגנת הפרטיות, חלה על המוסד חובה חוקית לעבד את המידע הכספי של הדייר רק בהתאם לעקרונות החוק והתקנות, ובראשם עקרונות ההסכמה, צמידות המטרה, שקיפות, מינימיזציה של מידע, והגנה טכנולוגית הולמת.

על כן, מומלץ לכל מוסד לגבש נהלים ברורים לניהול מידע כספי, לעגן מדיניות פרטיות כתובה הכוללת לוחות זמנים לשמירה ומחיקה, ולוודא שקיימת הסכמה מדעת, ברורה ופרטנית, מהדייר או מטעמו, לכל פעולה הקשורה בניהול כספו. מומלץ גם להפריד בין מערכות המידע הפיננסי לבין המערכות התפעוליות והאדמיניסטרטיביות של המוסד, לערוך בקרות באופן יזום את אופן הגישה למידע זה, לרבות באמצעות אמצעי הזדהות חזקים, הרשאות לפי תפקיד, והצפנה של מסמכים.

 

הצבה ושימוש במצלמות בבתי אבות והוסטלים

בתי אבות והוסטלים, כמסגרות טיפוליות הפועלות מול אוכלוסייה רגישה ותלויה, נדרשים לאזן בין החובה להבטיח רמת בטיחות ואבטחה נאותה לבין החובה להגן על הזכות החוקתית לפרטיות. מימוש האיזון האמור מורכב במיוחד נוכח רגישותם של המרחבים המצולמים והמאפיינים האישיים של הדיירים, אשר לעיתים רבות מצויים במצב קוגניטיבי או פיזי ירוד ואינם יכולים לממש באופן מלא את זכויותיהם.

לעניין מיקום הצבת המצלמות, בתי האבות מחויבים להפעיל שיקול דעת זהיר, תוך ביצוע הערכת חלופות. אין להציב מצלמות באופן גורף העלול להקים מצב של פיקוח מתמיד בחללים המיועדים לפרטיות (כגון חדרי מגורים פרטיים, שירותים או מקלחות), אלא לאחר יידוע והסכמה מלאה ומדעת. היידוע וההסכמה נדרשים להיות שלמים, ברורים ומפורשים. המוסד נדרש להביא לידיעת הדיירים, האפוטרופוסים ובני משפחתם מידע מפורט על מטרות השימוש במצלמות, אופן הפעלתן, פרקי זמן השמירה של ההקלטות, זהות בעל המאגר ואופן מימוש זכויות העיון והתיקון. כאשר מדובר בדייר שאינו מסוגל להביע הסכמה מדעת בשל מצבו הבריאותי או המשפטי, נדרש פניה לאפוטרופוס הממונה כדין והבטחת מימוש אינטרס הדייר. חובת היידוע חלה גם כלפי עובדים, מבקרים ובני משפחה הנכנסים לתחומי המוסד.

בהיבט הפרוצדורלי, מאגר המידע הנובע מהפעלת מערך המצלמות הינו בגדר “מאגר מידע” כהגדרתו בסעיף 7 לחוק הגנת הפרטיות. לפיכך, הוא כפוף לחובות רישום בהתאם לפרק ב׳ לחוק, לרבות ציון מטרות המאגר, סוגי המידע הנכללים בו, זהות מחזיקי המידע וההרשאות.

אם השירות מבוצע באמצעות צדדים שלישיים (למשל חברת מוקד חיצונית או שירותי ענן לניהול הצילומים והקלטות), נדרש הסכם עיבוד מידע (Data Processing Agreement – DPA), בהתאם להוראות תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע״ז–2017. הסכם זה חייב לכלול הוראות מהותיות לרבות חובת שמירה על סודיות, עמידה ברמות אבטחה מתאימות, מגבלות על השימוש במידע, הגבלות על העברתו לצדדים שלישיים נוספים, ותנאים ברורים באשר למחיקה והשמדה של המידע בתום ההתקשרות.

יתר על כן, בהיבט אבטחת המידע ישנה חובה לאמץ אמצעים טכנולוגיים עדכניים ותקינים, אשר יבטיחו כי המידע המצולם מוגן בפני גישה בלתי מורשית, זליגה או ניצול לרעה. בכלל זה, המוסד מחויב לקיים בקרה על הרשאות גישה לצילומים, ליישם מנגנוני זיהוי ואימות נאותים עבור מורשי הגישה, לנהל רישום של הגישות והצפייה בתיעוד המצולם, ולהבטיח כי המידע נשמר רק לתקופה הדרושה למימוש המטרות הלגיטימיות שהוגדרו מראש.

לבסוף, מן הראוי לציין כי לאור תיקון 13 לחוק הגנת הפרטיות, נכנסו לתוקפן הוראות אכיפה מחמירות, לרבות סמכויות פיקוח רחבות יותר בידי הרשות להגנת הפרטיות, קביעת סנקציות מנהליות משמעותיות, ואף אחריות אישית מוגברת למנהלים הבכירים בגופים מחזיקי מידע רגיש ורחב היקף. לכן, בתי האבות והוסטלים נדרשים להיערך בהתאם, בין היתר על ידי מינוי ממונה על הגנת הפרטיות (DPO) אשר יופקד על תכנון, יישום, בקרת מדיניות פרטיות ומעקב אחר תקינות הפעלת מצלמות המעקב, וזאת כחלק בלתי נפרד ממערך הציות הארגוני.

 

הגנה על פרטיות מבקרים ובני משפחה

בתי אבות, הוסטלים ומוסדות סיעודיים משמשים מסגרת טיפולית ותומכת אשר מקיימת ממשק רציף עם בני משפחתם של הדיירים ומבקריהם. מטבע הדברים, במסגרת אינטראקציות אלה נאסף, נרשם ומעובד מידע אישי רגיש גם ביחס למבקרים עצמם. לדוגמה, רישום פרטים מזהים בלובי, תיעוד כניסות ויציאות, אמצעי קשר, ובמקרים מסוימים אף מידע אישי הנוגע לסטטוס המשפטי או הכלכלי של המבקר (כגון מסירת ייפוי כוח, מסמכי אפוטרופסות וכדומה). בנוסף, מבקרים מצולמים בכניסה, באמצעות מצלמות אבטחה. מידע זה, מהווה מידע אישי, ולפיכך הוא כפוף להוראות החוק והתקנות מכוחו, לרבות עקרונות יסוד כגון עקרון המידתיות, עקרון צמידות המטרה, עקרון ההסכמה ועקרון השקיפות.

אנחנו ממליצים לקבוע מדיניות וליישם אותה באמצעות נוהל פנימי, המתייחס לאיסוף, שמירה ועיבוד מידע על מבקרים ובני משפחה. נוהל זה חייב לקבוע, בין היתר, מהם סוגי המידע הנאסף, מהן מטרות האיסוף, מהו הבסיס המשפטי המעגן את פעולת העיבוד, מהו פרק הזמן בו יישמר המידע, מי רשאי לעיין בו, ובאילו נסיבות יועבר מידע זה לצדדים שלישיים. עוד נמליץ ליידע באופן יזום ומפורש את המבקרים ובני המשפחה, כבר עם כניסתם למתחם המוסד, בדבר עצם איסוף המידע, מטרותיו, זהות בעל המאגר, פרטי יצירת הקשר עם הממונה על הגנת הפרטיות (DPO) וזכויותיהם למימוש זכויות עיון ותיקון בהתאם לחוק.

 

נתונים רפואיים

שמירת נתונים רפואיים היסטוריים

סוגיה מהותית נוגעת לאופן שמירת רשומות רפואיות היסטוריות של דיירים שכבר אינם במוסד (עזבו או נפטרו). בהתאם לדין הקיים, ובהיעדר הוראת חוק ייחודית המסדירה באופן מפורט את תקופות שמירת הרשומות במוסדות סיעודיים פרטיים, נדרש המוסד לפעול בהתאם לעקרונות יסוד בדיני הגנת המידע והפרטיות, ובראשם עקרון צמידות המטרה. עקרון זה קובע כי מידע אישי יוחזק רק כל עוד הדבר דרוש לשם מימוש המטרות שלשמן נאסף, והחל ממועד שבו אינו נחוץ עוד תקום חובה למחוק אותו או לאיינו, תוך נקיטת אמצעי בקרה, תיעוד והבטחת מחיקה אפקטיבית ומלאה.

בהקשר זה, עולות מספר שאלות פרקטיות ומשפטיות מהותיות:

  • קיומה של מדיניות ברורה ומוגדרת לעניין משך השמירה. האם המוסד גיבש מדיניות כתובה המגדירה במדויק מהן התקופות בהן יוחזק המידע אודות דיירים לשעבר, תוך הבחנה בין סוגי המידע השונים.

  • הבחנה בין מידע חיוני לבין מידע מיותר או לא רלוונטי.

  • מדיניות צמצום מידע עודף (Data Minimization). אחד מעקרונות היסוד בדיני הגנת הפרטיות מחייב את המוסד לאסוף ולעבד רק את המידע ההכרחי והפרופורציונלי לצורך מימוש המטרות הייעודיות. עקרון זה מחייב גם בחינה שוטפת האם המידע שנשמר בארכיונים כולל מידע עודף שאינו דרוש עוד לתכלית המקורית, ובמקרה כזה יש לנקוט פעולות אופרטיביות למחיקתו. להרחבה בנושא צמצום מידע עודף, קראו כאן.

  • חובות אבטחת מידע ביחס לארכיון. על המוסד להבטיח קיום אמצעי אבטחה פיזיים וטכנולוגיים על הארכיון, במיוחד על מידע בעל רגישות מיוחדת. בין היתר יש לוודא כי הגישה לרשומות מוגבלת למורשים בלבד, מתועדת באופן מלא, ומוגנת באמצעים טכנולוגיים כגון בקרות הרשאה וזיהוי, הצפנה של המידע הרלוונטי והפרדה בינו לבין מערכות מידע אחרות.

  • שקיפות והיידוע כלפי נושאי המידע או נציגיהם החוקיים. המוסד נדרש ליידע את הדיירים ו/או את נציגיהם בדבר מדיניות השימור והמחיקה, ולאפשר מימוש זכויותיהם לפי החוק לרבות עיון ותיקון.

העברת נתונים רפואיים בין מוסדות

הוראות החוק

סעיף 20(א)(1) לחוק זכויות החולה קובע כי מטפל או מוסד רפואי רשאים למסור מידע רפואי על אודות מטופל על יסוד הסכמתו לכך.
סעיף 20(א)(3) קובע כי ניתן למסור מידע רפואי גם ללא הסכמת המטופל, אם מדובר במסירה למטפל אחר ולצורך טיפול במטופל – אם כי הסעיף אינו עוסק באופן ההעברה עצמו.
סעיף 20(ב) מחדד כי מסירת המידע תיעשה רק במידה הנדרשת, תוך הימנעות מירבית מחשיפת זהות המטופל.

מה לעשות?

על מנת לקיים את חובת קבלת ההסכמה מדעת של המטופל על ההסכמה להיות ברורה ומפורשת, תוך ציון מראש, בין היתר, את –

מטרת ההעברה (לדוגמה: המשך טיפול, התייעצות רפואית, בירור מול גורמים חיצוניים); המקור החוקי להעברה (הוראת חוק, צו בית משפט או הסכם); הנסיבות להעברת המידע (שגרה או חירום); הגורם מקבל המידע; זכותו של המטופל לחזור בו מההסכמה בכל עת; וההשלכות במקרה של סירוב. הסכמה מדעת חייבת להינתן באופן מתועד בכתב: אנחנו ממליצים להקפיד על טופס הסכמה אחיד, מותאם וברור.

נזכיר כי ניתן להעביר מידע רפואי בין מטפלים לצורך המשך טיפול רפואי, גם ללא הסכמה מפורשת ומקדימה של המטופל. זאת, לשם שמירה על רצף טיפולי ומניעת סיכונים. ואולם, החוק אינו מפרט כיצד על המוסדות לבצע העברה זו בפועל, דבר שעלול ליצור פרצות משפטיות. לפיכך, נמליץ למוסדות לקבוע נוהל פנימי ברור ומפורט להעברת מידע במקרים אלו, תוך תיעוד קפדני של כל העברה והגבלת המידע המועבר למינימום ההכרחי. היינו, יש להעביר מידע רפואי שנדרש באופן ממשי לצורך הטיפול או המטרה שלשמה הוא נמסר. מידע מזהה אישי שאינו נחוץ – לא יועבר.

בנוסף לחוק זכויות החולה, המוסדות כפופים לתקנות הגנת הפרטיות (אבטחת מידע), התשע”ז–2017, אשר מגדירות חובה מפורשת על המוסדות הרפואיים לאבטח את המידע הרפואי שהם מחזיקים.

אירוע אבטחת מידע חמור, כגון שליחת מידע רפואי לגורם שאינו מוסמך, דליפת מידע או חשיפה בטעות, מחייב דיווח מיידי לרשות להגנת הפרטיות.

הגנת הפרטיות במוסדות דיור מוגן

רקע כללי

בית דיור מוגן הוא מקבץ דירות המיועד למגורי דיירים בני 60 ובני זוגם, הבנוי במבנה אחד או בכמה מבנים סמוכים, ומוצעים בו לדיירים (תמורת תשלום מצדם) שירותים בנוסף לשירותי אחזקה, ניקיון או שמירה. המגורים בדיור מוגן מאפשר לדיירים לחיות את חייהם ולקיים את שגרת יומם הרגילה, בתוך מסגרת המספקת להם חיי קהילה, לצד שירותי אבטחה, ניקיון, אחזקה, שירותי עזרה ראשונה ועוד.

חובת הגנת הפרטיות במוסדות דיור מוגן

בדומה לבתי אבות והוסטלים, גם מוסדות דיור מוגן אוספים ועושים שימוש במידע אישי רב על דיירים, מבקרים ובני משפחה. אף כי הדיירים בדיור מוגן צעירים יותר, ועצמאיים יותר, והם נמצאים בכשרות משפטית מלאה, הנהלת הדיור המוגן עדיין מחזיק מידע אישי רגיש – מידע רפואי, פיננסי, פרטי התקשרות, ומידע הנוגע לשירותים נלווים המוצעים לדיירים. מכאן, שהנהלת המוסד חייבת לעמוד בהוראות חוק הגנת הפרטיות ובתקנות אבטחת מידע.

המלצתנו, לפיכך, כי גם במוסדות דיור מוגן, יש לוודא כי כל איסוף מידע, עיבודו ושמירתו נעשים אך ורק לצורך תכליות ברורות ומוגדרות, לאחר בדיקת הצורך ברישום מאגרי מידע, תוך מתן הסבר מלא לדיירים על מטרות העיבוד, זהות בעל המאגר, פרקי הזמן לשמירת המידע וזכויותיהם לממש עיון ותיקון. חובת השקיפות, האחריותיות והגנה על פרטיות הדיירים עומדת בעינה במלואה ודורשת גיבוש נהלים ברורים, הסדרת התקשרויות עם ספקים חיצוניים, מינוי ממונה על הגנת פרטיות (DPO) ככל שהמוסד מחזיק במאגרים רגישים או רחבי היקף, והטמעת תהליכי בקרה וציות פנימיים.

המלצות

במענה לממצאים שעלו מהליך הפיקוח, ומניסיוננו בשטח, מספר המלצות אופרטיביות לבתי אבות ולהוסטלים, לצורך חיזוק ממשקי ההגנה על מידע אישי ורגיש, צמצום חשיפה משפטית, והתאמה לדיני הגנת הפרטיות:

1. עדכון נהלים והתאמתם להוראות הדין והתקנות

על המוסדות לוודא קיומם של נהלים ארגוניים מקיפים, ברורים ומעודכנים, המסדירים את ניהול המידע האישי (לרבות אופן איסופו, שמירתו, עיבודו, מסירתו והשמדתו). יש להטמיע נוהל פרטני המתייחס למידע רגיש, כגון מידע רפואי, פסיכיאטרי, כלכלי וכו’, ולהבטיח הבחנה בנהלים בין סוגי המידע בהתאם לרמת הסיכון והרגישות. על הנהלים לשקף את הוראות חוק הגנת הפרטיות ותקנות אבטחת מידע, ובפרט את עקרונות ההגבלה למטרות, ההסכמה, צמצום המידע, ועוד.

בבתי אבות ובהוסטלים, יש לתת את הדעת להגנה על פרטיות דיירים שמונה להם אפוטרופוס. למי נמסר המידע? כיצד מתקיימת הסכמה מדעת בשם הדייר? כיצד מתועדים האישורים והעדכונים שמתקבלים מהאפוטרופוס? ועוד סוגיות.

2. קבלת הסכמה מדעת לאיסוף ולשימוש במידע (ולא לצרכים שיווקיים, שירותים נוספים וכו’)

יש לוודא שאיסוף המידע, והשימוש במידע נעשה לאחר קבלת הסכמה מדעת. קיימת מגמה במוסדות להציע לדיירים שירותים נלווים (כגון פעילות תרבות, פיננסים, תיווך מול ספקים חיצוניים). שימוש במידע אישי לצרכים אלו מחייב זהירות מיוחדת, שקיפות, הסכמה מדעת ותיחום המידע רק למטרה שהוגדרה מראש.

3. הגדרת מדיניות שימור ומחיקה של מידע אישי

יש לגבש מדיניות בכתב, מוגדרת וברורה, לשמירה ומחיקה של מידע אישי. מדיניות זו צריכה לכלול לוחות זמנים ברורים לשימור המידע, אבחנה בין מידע חיוני לבין מידע שניתן למחיקה, וסיווג סוגי מידע לפי רמת הרגישות. יש לבסס מנגנונים קבועים למחיקת מידע אישי שאינו נדרש עוד, לרבות מידע על דיירים לשעבר או שנפטרו, תוך תיעוד פעולת המחיקה.

העברת מידע בין מוסדות: בעת מעבר דייר ממוסד למוסד, מתקיימת לעיתים העברת תיקו הרפואי והאישי של הדייר. יש לוודא שהעברות אלו מבוצעות בהתאם לעקרונות חוק הגנת הפרטיות.

4. הטמעת מנגנוני אבטחת מידע

על המוסדות להטמיע מערך טכנולוגי מתקדם להגנה על המידע, בהתאם לרמות האבטחה הנדרשות לפי החוק והתקנות. יש ליישם אמצעים הכוללים בין היתר: סיסמאות מורכבות, בקרת הרשאות לפי תפקיד, רישום וניטור של גישה למערכות, הפרדה בין סביבות עבודה (לדוגמה סביבת ניהול מול סביבת טיפול), גיבוי מאובטח, הצפנת מידע רגיש ועוד.

5. הסדרת התקשרויות עם ספקים חיצוניים והסכמי עיבוד מידע

שימוש נרחב בתוכנות ניהול מוסדיות, מערכות CRM ומערכות בריאות דיגיטליות (כגון מערכת לניהול תרופות). כל פעילות המעורבת בעיבוד מידע אישי על ידי צדדים שלישיים חייבת בהסדרה בהסכם עיבוד מידע (DPA). הסכם זה חייב לכלול סעיפים מהותיים על אחריות הספק, רמת האבטחה הנדרשת, מגבלות עיבוד, התחייבות לסודיות, חובות מחיקה, וקיומה של זכות לפיקוח מצד המוסד.

6. מינוי ממונה על הגנת הפרטיות (DPO)

בהתאם לתיקון 13 לחוק הגנת הפרטיות, גופים ציבוריים, וכן גופים פרטיים המנהלים מאגרי מידע רגישים או רחבי היקף, מחויבים במינוי ממונה על הגנת הפרטיות (DPO). על הממונה ליהנות ממעמד עצמאי, סמכות מקצועית, ונגישות ישירה להנהלת המוסד. תפקידו יכלול פיקוח על יישום הדין, הדרכה שוטפת, מתן מענה לפניות נושאי מידע, מתן חוות דעת פנים-ארגונית, והכנת דיווחים תקופתיים. יש לקבל חוות דעת מעורך דין מומחה לדיני הגנת הפרטיות, האם נדרש מינוי בבית האבות, בנסיבות הספציפיות.

7. עריכת הדרכות תקופתיות והעלאת המודעות הארגונית

יש לקיים הדרכות שוטפות לצוותי ההנהלה והעובדים בנוגע לחובות הארגון והזכויות של נושאי המידע. הדרכות אלו יסייעו בהטמעת התרבות הארגונית הדרושה לקיומה של פרטיות מוסדית – ויבטיחו שכל בעלי התפקידים מודעים למשמעות החוקית של פעולתם, למגבלות ולחובות ההגנה.

8. הקמת מנגנון בקרה ודיווח פנימי

יש לגבש מסגרת של בקרה שוטפת, שתכלול בדיקה עצמית של עמידה בנהלים, קיום רישום של הפרות אפשריות ודיווח פנימי להנהלה הבכירה. מנגנון זה ישמש גם כמענה לתקלות ולדליפות מידע, ויאפשר תגובה מהירה בהתאם לנהלים קיימים.

 

 

משרד עורכי הדין וולר ושות’ מלווה בתי אבות, הוסטלים וגופים סיעודיים, בהיערכות ליישום תיקון 13 לחוק הגנת הפרטיות, ולדרישות הרשות להגנת הפרטיות, תוך שילוב בין ייעוץ משפטי מדויק, הטמעה מעשית והסדרה טכנולוגית ברמה גבוהה. נשמח לסייע בגיבוש מדיניות פרטיות, בניית נהלים, מינוי DPO במיקור חוץ וניסוח הסכמים עם ספקים, בהתאם להוראות הדין. פנו כבר עכשיו.

שתפו עם חברים
צרו איתנו קשר

מאמרים נוספים

לייעוץ ומידע מלאו פרטים ונחזור אליכם

"*" אינדוקטור שדות חובה

הקפידו על פרטים ברורים ככל הניתן

כל הזכויות שמורות וולר ושות' ושות’ משרד עורכי דין
EkDesignEkDesign