בתאריך 14 בינואר 2023 פרסם משרד הבריאות להערות הציבור את תזכיר חוק ניוד מידע בריאות, התשפ"ג-2023 ("החוק המוצע"). מטרתו המרכזית של החוק המוצע הינה להניח תשתית רגולטורית הנדרשת על מנת לאפשר ניוד והנגשה של מידע מטופלים בין גופים שונים לצורך קבלת שירותי בריאות, תוך שמירה של פרטיות המטופלים ואבטחת המידע.
בהתאם לדברי ההסבר הנלווים לחוק המוצע, קידום מהפכת המידע במערכת הבריאות טמון בקידומה של "זכות לניוד מידע" המאפשרת למטופל לשלוט במידע הרפואי שלו ולחייב גורמים שונים המחזיקים במידע לחלוק אותו עם צדדים שלישיים. מימושה של הזכות לניוד מורכב משני רכיבים מרכזיים: (א) סטנדרטיזציה של מידע רפואי והגדרת פורמטים אחידים לשמירת, עיבוד ושיתוף אותו מידע בין כלל מקורות המידע האפשריים; (ב) קביעת זכותו של המטופל להורות לגופים המחזיקים במידע עם צדדים שלישיים.
זכותו זו של המטופל, המכונה זכות ל"ניוד" (Portability), מעוגנת באירופה תחת ה- GDPR (סע' 20) כזכות כללית החלה ביחס לכל פרט מידע אישי, לאו דווקא רפואי. בינואר 2021 פרסמו הרשות להגנת הפרטיות, רשות התחרות והרשות להגנת הצרכן ולסחר הוגן נייר עמדה במסגרתו המליצו על אימוצה של זכות שכזו בדין הישראלי אולם נכון למועד זה עדיין לא הוסדרה זכות כללית שכזו תחת חוק הגנת הפרטיות, התשמ"א-1981. ועל כן, בדומה לרפורמות הניוד הסקטוריאליות בתחומי הסלולר או הבנקאות, החוק המוצע מבקש לאפשר ניוד דומה של מידע רפואי ביוזמת ובשליטת הפציינט, גם בעולמות הרפואה.
החוק המוצע מגדיר מחד גיסא גופים הנחשבים ל"מקורות מידע", כדוגמת בתי חולים, קופות חולים וכו', ומאידך גיסא מייצר מסגרת שתאפשר לגופים מסוימים לקבל רישיון "מקבל מידע". הרשאים להגיש בקשה לקבלת רישיון שכזה, הינם בראש ובראשונה גופים בתחומי הבריאות כדוגמת מוסדות רפואיים המוגדרים תחת פקודת בריאות העם, ארגונים לרפואת חירום טרום אשפוז (מוקדים רפואיים), משרד הבריאות ומשרדי ממשלה, בתי אבות וכו'. עם זאת, אחד החידושים הגדולים בחוק, הינה האפשרות שהוא פותח בפני "גופים המספקים שירותי בריאות" שאינם נמנים על הקודמים, לקבל גם הם רישיון כאמור. "שירותי בריאות" מוגדרים בחוק המוצע כמגוון רחב של שירותים כדוגמת: שירות של הערכה, שימור או שיפור מצבו הבריאותי של מטופלים, ובכלל זה באמצעות תכנה; ניפוק או שימוש בתכשיר או ציוד רפואי; מיצוי זכויות הנובעות ממצבו הבריאותי של המטופל; סיוע בקבלת השירותים המוזכרים לעיל; וכן ריכוז מידע והעברתו למקבל מידע אחר.
בכך למעשה, החוק המוצע פותח פתח לכך שמטופל יוכל למשל, לחייב את קופת החולים שלו לשתף את המידע הרפואי שלו עם גופים חיצוניים המספקים שירותים שונים: אפליקציות לניהול מחלות כרוניות או למדידת מדדים פיזיולוגיים, אפליקציות כושר ובריאות שונות, שירותי סיוע במימוש זכויות רפואיות וכיו"ב.
בנוגע לאיסוף מידע בריאותי לשם צרכים סטטיסטיים ומחקריים, החוק המוצע קובע כי ניתן יהיה לעשות שימוש במידע רפואי לצורך מטרות סטטיסטיות שנועדו לשיפור וייעול פנימיים של שירותי הבריאות שאותם מספק מקבל המידע לכלל מטופליו, ובלבד שתוצרי השימוש במידע יהיו מידע לא מזוהה (על פניו מדובר בקטגוריה מקבילה ל- Aggregated Data Services הקיימת ב- HIPAA). בנוסף, החוק המוצע מתייחס לביצוע "מחקר בנתונים" (מחקר רטרוספקטיבי בנתונים קיימים), ובמסגרת הבקשה לקבלת התייחסות הציבור מבקש משרד הבריאות במפורש לקבל התייחסות נוספת לסוגיות רלבנטיות של ביצוע מחקר במידע רפואי.
בכוונתנו ב- APM & Co. להגיש את התייחסותנו לחוק המוצע תוך מחשבה על שלל ההזדמנויות המעניינות שהוא פותח בפני לקוחותינו, ואנו מזמינים אתכם לפנות אלינו בכל שאלה, התייעצות או הערה הרלבנטיות לכך.
תכליתו של עדכון זה להציג חידושים בהנחיות משרד הבריאות ואין בו משום עצה משפטית לאופן פעולה קונקרטי. אנו נשמח לעמוד לרשותכם בכל שאלה.
צוות APM – פרטיות ואבטחת מידע.