ביום 6 בנובמבר 20222 פרסמה הרשות להגנת פרטיות טיוטת מסמך להערות הציבור בעניין "הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעות מכשירים דיגיטליים ותוכנות לא ייעודיות".
הטיוטה מתייחסת למציאות הקיימת בה גורמים שונים בתחומי הרפואה (כדוג' רופאים) משתמשים במכשירי הטלפון שלהם להעברת הודעות ומסרים הכוללים מידע רפואי של פציינטים. הטיוטה מדגישה את החשיבות שיש להגנה על מידע רפואי המתבטאת בשורה של הוראות דין, הנחיות וחוזרים (בין היתר של הרשות עצמה כמו גם משרד הבריאות). בהמשך לכך הטיוטה מדגישה את הסיכונים שפרקטיקה זו יוצרת לפרטיות המטופלים ומבקשת לקבוע שורה של הנחיות והמלצות לפועלים בתחום.
קראנו את הטיוטה בעיון, ומתוך היכרות מעמיקה עם הפרקטיקה בתחום והסוגיות עימן מתמודדים לקוחותינו בתחום, הגשנו לרשות את התייחסותנו והצעותינו לתיקונים בגרסא הסופית שעתידה להתפרסם. עיקרי ההתייחסות שהגשנו לצד תמצית הטיוטה עצמה להלן:
- הבהרת מעמדו המשפטי של המסמך העתיד להתפרסם – הטיוטה מוכתרת כ"מסמך". וזאת להבדיל מ"חוזר", "הנחיה", "גילוי דעת" וכיו"ב. עמדתנו היא כי תצורת פרסום שכזו אינה נותנת בהירות אלא עלולה רק להיפך – לערפל ולבלבל לעניין התוקף המחייב והמעמד המשפטי של האמור בטיוטה. בנוסף, ישנה אי בהירות לעניין תוקף האמור במסמך אל מול הרגולציה הסקטוריאלית הקיימת והחלה על הגופים הפועלים בתחום, תחת משרד הבריאות. לא ברור כיצד הטיוטה משתלבת במארג ההוראות, החוזרים וההנחיות שפרסם משרד הבריאות בתחום.
- הקביעה כי הודעות ומסרים בהם מידע של פציינטים עשויות להיחשב כחלק מ"רשומת רפואית ממוחשבת" – בפסקה קצרה באמצע הטיוטה, מופיעה הקביעה כי המידע הרפואי המועבר במכשירים דיגיטליים ותוכנות לא ייעודיות עשוי להיחשב חלק מ"מרשומה רפואית ממוחשבת". כידוע, רשומה רפואית ממוחשבת כפופה לכללים רבים ונוקשים. המשמעויות הפוטנציאליות של קביעת "שוליים" זו עבור הגופים הפועלים בתחום עלולה להיות הרת גורל ומשמעותית. זאת הן בהיבטי הישימות הטכנולוגית של החובות הנגזרות מקביעה שכזו, והן בהיבטים הנוגעים ליישום הוראות אחרות המופיעות בטיוטה, כדוגמת ההנחיה למחוק את המידע לאחר תום השימוש בו. על זאת יש להוסיף את הקושי האינהרנטי בקביעה זו, המכפיפה לכאורה את הטיפול בהודעות אלו לסמכותו של משרד הבריאות כגורם האחראי על הרגולציה החלה על רשומות רפואיות. לענ"ד, ככל ואכן זו הקביעה המסתמנת, ראוי כי אמירה מעין זו תינתן רק לאחר בחינה מעמיקה של הנושא ואף ייתכן בתיאום ובמשותף עם משרד הבריאות.
- בעניין ההנחיות הטכניות שבטיוטה הנוגעות לאבטחת המכשירים, התוכנות והמידע – הטיוטה מפרטת שורה של הוראות אבטחה ועיבוד מידע המהוות נגזרת ישירה ויישום פרטני של הוראות הדין הכללי החלק על עיבוד מידע אישי. בין היתר ניתן למנות את הבאות:
- מינימליזם – צמצום השימוש למינימום הנדרש והימנעות מהכללת פרטים מזהים;
- מחיקת מידע – העברת המידע למערכות המידע של הגוף הרפואי הרלבנטי ומחיקתו מהמכשיר בהקדם;
- הימנעות משמירה של המידע הנוגע לפציינט בשירותי גיבוי פרטיים על המכשירים;
- אמצעי אבטחה למניעת גישה לא מורשית – כדוגמת סיסמא מורכבת, אימות כפול (MFA), זיהוי ביומטרי וכו'. כמו כן הפעלת נעילה אוטומטית על המכשיר;
- עדכניות תוכנות ומערכות – הקפדה על עדכונים בהתאם למדיניות היצרן ו- Patch Management כמקובל;
- הימנעות משימוש ברשתות Wi-Fi פתוחות;
- התקנת אנטי וירוס ותוכנות הגנה על המכשיר הרלבנטי.
אין חולק בדבר חשיבותן של פרקטיקות אלו. עם זאת, אנו סבורים שהמלצות אלו ניתנות בצורה כללית מדי וחסרה, שאינה מאפשרת יישום פשוט שלהן ואינה תורמת לבהירות בתחום. כמו כן, על אף שהטיוטה מבחינה בין מכשירי טלפון מוסדיים ופרטיים, ואף מתייחסת מפורשות לאפליקציות מסוימות (כדוגמת WhatsApp או Telegram), ההמלצות ניתנות בצורה כללית וללא כל התייחסות להבחנות חשובות ומהותיות אלו, המשליכות בצורה ישירה על היכולת ליישם בפועל את ההמלצות והבקרות הנדרשות לשיטת הרשות. אנו סבורים כי התייחסות כללית ותיאורטית, כאשר ידוע מהם המוצרים הקיימים בשוק והפרקטיקה הקיימת בפועל בתחום, חוטאת למטרה של יצירת קווים מנחים והמלצות ברורות וישימות.
התייחסותנו האמורה והמפורטת, הכוללת גם התייחסות להיבטים נוספים כמו לדוגמא האכיפה המתכוננת כנגד פרקטיקות אלו, נשלחו לרשות.
נמשיך לעדכנכם בכל התפתחויות הקשורות לכך, וכמובן עם פרסומו של המסמך הסופי בנושא. נשמח לעמוד לרשותכם בכל שאלה.