דוח פיקוח רוחב על נותני שרות סיוע במימוש זכויות רפואיות חושף ליקויים באבטחת מידע • בפיקוח רוחב שנערך על ידי הרשות להגנת הפרטיות, נמצא כי חלק מהארגונים אינם מיישמים באופן מלא מדיניות אשר תואמת את דרישות החוק והתקנות בכל הקשור לנושאי אבטחת מידע • בכל הגופים שנבדקו נמצאו ליקויים הדורשים תיקון, שבעה גופים נדרשו לתיקונים ספציפיים
דוד שלומוביץ 20.04.2021
אילוסטרציה. צילום : Maksim Kabakou / שאטרסטוקהרשות להגנת הפרטיות במשרד המשפטים מפרסמת היום את דוח הפיקוח על העוסקים בשירותי הסיוע במימוש זכויות רפואיות, אשר אותר כאחד מיעדי פיקוח הרוחב המשמעותיים. על פי הדוח יש לחברות העוסקות בתחום מימוש זכויות רפואיות הרבה מאוד מה להשתפר בנושא ההגנה והשמירה על הפרטיות. ברשות מסבירים כי במסגרת שירותי הסיוע אל מול רשויות מדינה שונות מתקבל מידע רב ורגיש אודות המצב הבריאותי, הנפשי הכלכלי וכד', ואף ניתנות הרשאות רחבות לגישה ושימוש במידע הנחשב כבעל מאפיינים ייחודיים המהווים סיכון בהיבטי הפרטיות.
במסגרת הפיקוח פנתה הרשות להגנת הפרטיות בדרישה למילוי שאלוני ביקורת ל-10 גופים המעניקים סיוע במימוש זכויות רפואיות. מתוך 10 גופים, 2 נדרשו לבער את מאגר המידע שברשותם לאחר שהעסק נסגר וגוף אחד הועבר ליחידת האכיפה לאחר שלא שיתף פעולה. יתרת ה-7 גופים נדרשו לתקן ליקויים במערכת חלקם ליקויים רבים. המסקנה: המידע אותו אנחנו מוסרים בחברות למימוש זכויות, לא תמיד נשמר כראוי.
שאלוני הביקורת של הרשות בחנו חמישה קריטריונים עיקריים בתחום הגנת הפרטיות: בקרה ארגונית וממשל תאגידי, ניהול מאגרי מידע, העברת מידע בין גופים ציבוריים, אבטחת מידע ושימוש בשירותי מיקור חוץ. על פי הבדיקה שליש (33%) מהמידע הצבור במאגר הוא פרטי הלקוחות האישיים ביותר, 23% מידע רפואי, 17% מידע אישי, 6% הקלטות, 5% מידע משפטי ועוד. עוד עולה מהממצאים כי 75% מהפניות לחברות אלה עוסקות בליווי רפואי מול הלקוחות ויתרת האחוזים נחלקים שווה בשווה בין סיוע בשירותי סיעוד לבין סיוע בשירותי ביטוח.
התוצאה: בינונית בלבד
על פי תוצאות פיקוח הרוחב, נמצא כי קיימת רמת עמידה בינונית בלבד בנושאים כמו אי מינויים של מנהלי מאגר מידע ועדכון הרשות להגנת הפרטיות בעניין כנדרש, קביעה חלקית של נהלי אבטחת מידע והליך מיון עובדים שאינו בהתאם לדרישות התקנות, אי רישום מאגרי מידע בפנקס המאגרים, אי מתן הודעה לנושא המידע בעת איסוף המידע בהתאם לחוק, ושימוש במאגרי המידע למטרות נוספת מעבר למטרה שלשמה נאסף. אותרו אפילו גופים שלא נקטו באמצעים מספקים בכדי למנוע חדירה למיקום הפיזי בו נשמרים השרתים והתשתיות המחזיקים את מאגרי המידע או המאפשרים גישה אליהם.
כמו כן, נמצאו בעיות אבטחה בכל הקשור לעיבוד מידע אישי בהסתייעות בשירותי מיקור חוץ ובמיוחד בנוגע לשלבי ההיערכות להתקשרות עם צד ג' למתן שירותי עיבוד מידע אישי בחברה, לאופן עיבוד המידע האישי במיקור חוץ עם ספקי מיקור חוץ בחברה, וכן בנושא נקיטת פעולות בכדי לוודא שצד ג' נוקט באמצעים הנדרשים כדי להגן על מאגרי המידע.
הרשות מצאה מקרים בהם לא באו לידי ביטוי האמצעים בהם נוקט הארגון בכל הקשור להרשאות, אמצעי ההגנה, ואופן אמצעי הזיהוי והשימוש בשיטות הצפנה. לאור הממצאים שעלו מהליך פיקוח הרוחב, קיבלו 7 גופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם.
עו"ד רביד פטל, הממונה על מערך פיקוחי הרוחב ברשות: "ארגונים וגופים העוסקים בשירותי סיוע במימוש זכויות רפואיות מקבלים לידיהם מידע רב ורגיש הנוגע לציבור. ניהול מידע רב, מזוהה ורגיש וניהול קשר ישיר עם ציבור הלקוחות מחייבים הקפדה על קיום הוראות החוק והתקנות ופעילות בשקיפות מלאה אל מול הלקוחות. כמו כן, אנו רואים חשיבות רבה בעדכון ציבור המטופלים בדבר זכויותיהם על פי חוק בקשר לפניות המועברות אליהם בדיוור ישיר לרבות הצגת מקור המידע לפרטיהם האישיים".
