ביום 16.02.2022 פרסמה הרשות להגנת פרטיות טיוטה ראשונית ל"הנחיה בעניין הגנה על פרטיות מטופלים במתן שירותי רפואה מרחוק לעיון הציבור". שירותי רפואה מרחוק כרוכים באיסוף, תיעוד, שמירה ועיבוד של מידע רפואי אודות מטופלים. מטבע הדברים, הדבר טומן בחובו גם אתגרים שונים מבחינת הגנה על פרטיות של מטופלים ועל מידע הנוגע אליהם. לאחר מעבר על המסמך ומתוך היכרות עם הסוגיות המעשיות והמשפטיות עימן מתמודדים לקוחותינו בתחום, המליץ המשרד על מספר נושאים אשר לעמדתנו דורשים חידוד או הבהרה, באופן שיאפשר את הפיתוח וההטמעה של שירותי רפואה מרחוק (או טכנולוגיות רפואיות שונות) בצורה אחראית ומפוקחת, ולא יגביל את השימוש בשירותים אלו.
המלצתנו הראשונה הינה לחדד את ההבחנה המהותית בין ספקי השירות הרפואי עצמם אשר מספקים את השירות הרפואי למטופל (המקביל ל- Controller של פעילות זו), ובין ספקים חיצוניים בהם נעזרים ספקי השירות הרפואי לצורך מתן השירותים (המקביל ל-Processor), הבחנה המשליכה על חובות בעלי התפקידים השונים במגוון רב של היבטים.
בטיוטה, ההבחנה בין הספק החיצוני וספק שירותי הרפואה אינה ברורה ועל פניו הטיוטה כורכת אותם יחדיו בהקשרים שונים. לדוגמא, הטיוטה מתייחסת אליהם יחדיו לעניין איסוף הסכמה לעיבוד המידע מאת המטופלים. בדומה לכך, הטיוטה מתייחסת בהקשרים מסוימים אל הספק החיצוני כ"בעל מאגר המידע".
אנו סבורים כי במצב הדברים הרגיל והנפוץ, הגורם המספק את השירות הרפואי (רופא, ביה"ח, קופת חולים וכיוצ"ב) צריך להיות מוגדר בצורה מפורשת כ"בעל המידע" וה- Controller. מנגד, יש להבהיר כי כאשר מדובר בספק שירות חיצוני שכל תפקידו הוא פיתוח טכנולוגי ומתן פלטפורמה (מורכבת ומשוכללת ככל שתהיה) הרי שתפקידו הוא אך של מחזיק ו- Processor הפועל עבור ספק השירות הרפואי. כפועל יוצא של הבחנה זו, הספק החיצוני אינו צריך לשאת בחובות החלות ברגיל על "בעל המידע". בין היתר, הספק החיצוני אינו זה שאחראי לקבל הסכמות, לספק גילויים ולקבוע את תכלית איסוף המידע והשימושים המותרים.
המלצתנו השנייה לרשות הינה חידוד ההבחנה בין סוגי השימושים השונים במידע הרפואי, וקביעת הצורך בקבלת הסכמה בהתאם לרמת הזיקה בין המידע המבוקש לליבת הטיפול הרפואי. טיוטת הרשות קובעת ובצדק כי יש להסדיר את אופן השימוש במידע למטרות שונות החורגות מליבת הטיפול במטופל עצמו. בהמשך קובעת הרשות, כי בקשת הסכמה לכל שימוש במידע למטרות החורגות מליבת הטיפול, צריכה להיות מובחנת ונפרדת מההסכמה המתבקשת לשימוש הראשי (הטיפול הרפואי עצמו), כך ש"למטופלים תעמוד האפשרות לקבל שירותים אלו מבלי שהם יהיו מחויבים, דה-פקטו, להסכים גם לשימוש במידע על אודותיהם למטרות אחרות ממטרת הטיפול" (על מנת שההסכמה תהיה "חופשית").
אנו סבורים שקביעה זו מכלילה וגורפת מידי, בוודאי כאשר היא נעשית בצורה שאינה מבחינה בין השימושים השונים במידע. מדרג ההרשאות לשימוש במידע, וההסכמות או גילויים הנדרשים לצורך כך, צריכים להיקבע בהתאם לרמת הזיקה שיש בין השימוש במידע ובין הטיפול בנושא המידע שמסר אותו. דהיינו, הסכמה מפורשת, ייעודית ונפרדת, צריכה להידרש רק במקרים בהם השימוש במידע אינו קשור לטיפול הרפואי באותו מטופל. עיקרון זה יש לומר, הינו גם הקו המנחה הקיים ברגולציות אחרות העוסקות במידע רפואי, כדוגמת ה- HIPAA.
לכן, המלצתנו הינה כי יש להגדיר מראש ובצורה ברורה כמה רבדים שונים: (א) שימוש במידע לצורך הטיפול הרפואי עצמו וכחלק אינהרנטי מהטיפול; (ב) ניתוח צולב של המידע של מטופלים שונים, בדרך של איגום ואגרגציה, כאשר אלו משרתים בסופו של דבר גם את הטיפול במטופל נושא המידע (לצד תרומה דומה לטיפול במטופלים אחרים); (ג) שימוש במידע לצרכים שלישיים החורגים לחלוטין מהטיפול הרפואי עצמו. בהתאם לרובד השימוש שיקבע יהיה ניתן לקבוע את הדרישות הרלוונטיות לאיסוף ושימוש במידע, כגון ההסכמה הנדרשת לשימוש זה.
המלצתנו האחרונה לרשות הינה ביחס למודל הראוי בעיני הרשות להתממה (anonymization או De-identification) של מידע רפואי כך שיהיה ניתן לעשות שימוש במידע זה. גילוי דעת בעניין רפואה מרחוק כשלעצמו, אינו מחייב בהכרח דיון רחב הכולל גם התייחסות לסוגיית ההתממה של מידע. עם זאת, בטיוטה, הרשות בחרה להרחיב את היריעה ולהתייחס בצורה כללית לנושא של שימוש במידע רפואי. כגורמים המספקים ייעוץ שוטף למגוון רחב של החברות העוסקות בפיתוחן של פלטפורמות רפואיות שונות, אנו יכולים להעיד כי בהקשר זה, שאלת ההתממה של מידע רפואי, הינה שאלה מהותית המלווה את פיתוח המוצרים החל משלב אפיון הפתרון הרצוי, דרך קביעת הארכיטקטורה הטכנולוגית, ועד לשאלות של יישום שוטף של אבטחת מידע והגנת הפרטיות בדרך של Privacy by design and default. ועל כן אנו סבורים כי ככל והרשות בחרה להתייחס במסגרת הטיוטה לשאלות הרחבות של ההסכמה הנדרשת לשימוש במידע רפואי לצרכים משניים, מן הראוי יהיה כי תביע עמדתה, ולו בקצרה, באשר לרף ההתממה הנדרש בישראל ולמשמעויות שיש להתממה זו.
המלצותינו נשלחו להתייחסות הרשות. נמשיך לעדכנכם בכל התפתחויות משמעותיות שתהיינה בהנחיות, בתגובת הרשות, ובפרסומן של ההנחיות הסופיות בנושא.
נשמח לעמוד לרשותכם בכל שאלה.