תחקיר: עובד הכללית שלח דואר זבל למבוטח

יום אחד בתחילת נובמבר קיבל עמיאל (שם בדוי, השם האמיתי שמור במערכת) הודעת ספאם שהזמינה אותו להיכנס לאתר ההיכרויות iwantyou. "הופתעתי שבכלל קיבלתי הודעה זו, עמדתי למחוק אותה, אבל אז הבחנתי בכתובת אליה היא נשלחה", הוא מספר.

לעמיאל יש דומיין (שם מתחם) משלו, וכדי לשמור על סדר הוא יוצר כתובת אימייל

ייחודית עבור כל גוף לו הוא מספק את הכתובת. הספאם, גילה עמיאל, נשלח לכתובת שהוא סיפק לקופת החולים בה הוא מבוטח, שירותי בריאות כללית.

מי שלח את ההודעה?

עמיאל בדק וגילה שהאתר רשום על שם נוי (שם בדוי, השם האמיתי שמור במערכת), שרשם אותו עם כתובת האימייל שלו בכללית. מבדיקה עלה עוד כי נוי הוא עובד טכנולוגיית מידע במרכז הארצי לבקרת הסרטן של כללית, הממוקם במרכז רפואי כרמל.

כלומר, נראה כי אותו עובד של הכללית ניצל את הגישה שלו למאגר המבוטחים, והשתמש בו לרעה, לעסקיו הפרטיים. מדובר בפגיעה בפרטיותו של עמיאל, ומי יודע כמה מבוטחים נוספים, ובשימוש לא חוקי, לכאורה, במאגר מידע רגיש - שלא למטרה שלשמה סופק המידע.

"כן, יכול להיות, יכול להיות. אין ספק שנעשתה פה טעות. אני לא מוצא שום תיעוד לזה".

"ממש ממש לא. ממש ממש לא".

"מתגברים את הפיקוח"

עמיאל התלונן בפני האחראי על אבטחת המידע בכללית, איציק כוכב. זה לקח את התלונה ברצינות ופתח מיד בבדיקה סמויה שאישרה את החשדות. עם פנייתנו הראשונה לפני כשבועיים, הגיב אז דובר המרכז הרפואי כרמל, אלי דדון, ל-ynet: "מיד כשגילינו את זה קראנו לו לבירור והוא הודה בעניין והתנצל, הוא הודה שהוא עשה טעות. אנחנו מיד הרחקנו אותו מהעבודה, והוגשה תלונה למשטרה".

עוד מסר דדון כי "העובד הזה, כמו כל העובדים, עוברים אצלנו בדיקות והדרכות אבטחה, עוברים בדיקות התאמה ומוחתמים על כל טופסי הסודיות, ומתקבלים רק לאחר מיונים קפדניים. כנראה שמדובר פה במעידה אישית, הבחור הודה והתנצל והורחק מיד. אנחנו הגשנו תלונה למשטרה ואנחנו מקווים שבזה נסגר הסיפור. אנחנו מצדנו מתגברים עכשיו יותר את הפיקוח הן על האנשים, הן על הגישה לכתובות אימייל כדי להסיק את המסקנות, כדי שמקרים כאלה לא יחזרו בעתיד".

"זה בבדיקה".

"נבדוק. אני מאמין שאנחנו נשב, נסיק מסקנות ונפעל את הפעולות שצריך".

יש לציין כי לאחר הבירור שנעשה לעובד, הוא אף פוטר מעבודתו בעקבות המקרה.

עבירה פלילית ופיצויים של רבבות שקלים

עו"ד ליכטנשטיין מסביר גם כי מקרים כאלה עלולים להיות גם עוולה אזרחית, שמקנה סעד לכל אחד ואחד מהנפגעים. כל אחד מהנפגעים יכול להגיש תביעה לפיצוי שקבוע בחוק בלי הוכחת נזק, עד 50 אלף שקל, ואם מדובר בפגיעה בזדון, עד 100 אלף שקל. ייתכן מאוד שבעלי המאגר לא יחויבו בזדון, אם ננקטו אמצעי פיקוח על בעלי הגישה למאגר וננקטו אמצעי זהירות סבירים. כמובן שאם בעל גישה למאגר מידע פעל בזדון הוא חשוף לתביעה אישית, אבל תביעה נגדו כנראה לא תניב את הסכומים הללו בגלל היותו אדם פרטי ולא גוף ציבורי".

תגובת הכללית

מדוברות המרכז הרפואי כרמל בשירותי בריאות כללית נמסר: "מדובר במקרה חריג ויוצא דופן שטופל במלוא תשומת הלב. מיד משעלה החשד נפתחה בדיקה פנימית על ידי ממונה לאבטחת מידע וקצין בטחון, ומשהתבררו הפרטים הוגשה תלונה במשטרה לעובד נערך שימוע והוא פוטר מעבודתו.

"מבדיקתנו עולה כי עובד באחת מיחידות המיחשוב עשה שימוש פסול, בלתי חוקי, ובניגוד מוחלט לנהלים במידע דמוגרפי מינהלי שהיה נגיש אליו מתוקף תפקידו. העובד עשה שימוש בכתובות דואר אלקטרוני בלבד לצורך משלוח הודעות וקידום אינטרס אישי שלו.

"במרכז הרפואי כרמל מופעלים נהלים קפדניים ומחמירים כדי להבטיח שמירה על פרטיות וחיסון המידע. העובדים חתומים ומחויבים לשמירה על פרטיות וחיסיון המידע אליו הם נחשפים מתוקף תפקידם. כל העת אנו מתדרכים ומרעננים נהלים בנושא ועושים כל שניתן על למנוע מעילה באמון ועבירה על החוק.

"יודגש, מהבדיקה עולה כי השימוש היה רק בכתובות דואר אלקטרוני ולא במידע רפואי כלשהו".