דו"ח המבקר: כשלים בהגנה על הפרטיות

"במקרים רבים האדם אינו מודע ל'שובל המידע הדיגיטלי' שהוא מותיר אחריו יום-יום, לאיסוף המידע עליו ולשימוש שנעשה בו, לעובדה שפרטיותו נפגעת הלכה למעשה. יתרה מזאת, התיעוד ברשת עשוי להוביל ליצירת פרופיל פסיכולוגי דיגיטלי אשר ילווה אדם לנצח. וכך, לצד תועלתה העצומה של ההתפתחות הטכנולוגית בשירות האדם והחברה, תיתכן גם פגיעה קשה בזכות לפרטיות"

השמירה על הפרטיות היא אחת הזכויות החשובות שלנו אבל לפי ממצאי דו"ח מבקר המדינה, משרדי הממשלה והרשות להגנת הפרטיות ממש לא שומרים על זכותנו זו. רשות הגנת הפרטיות ומשרד המשפטים מתנהלים באיטיות ולא מקדמים את ההגנה על הפרטיות בישראל, ואילו במשרד החינוך ובמשרד הבריאות "התמונה מדאיגה": בבתי הספר הילדים חשופים לפגיעה בפרטיותם בגלל מחדלים של משרד החינוך ומשרד הבריאות מזניח את הפיקוח על שמירת המידע הרפואי שלנו.

"תיתכן פגיעה קשה בזכות לפרטיות". אילוסטרציה(צילום: shutterstock)

חוק הגנת הפרטיות, שנחקק בשנת 1981, הוא חוק מיושן שאינו מתאים לטכנולוגיה הנוכחית ולאתגרי הגנת הפרטיות כיום, את זה יודעים כולם, גם בממשלה. ובכל זאת קשה להאמין, אבל המלצות להגדלת סמכויות האכיפה והסנקציות הוגשו כבר ב-2007 אך לא יושמו ברובן עד היום. ב-2017 ניסה משרד המשפטים לקדם תיקון חקיקה, שנכשל בעקבות מאבק בינו לבין מערך הסייבר הלאומי על הסוגיה מי יהיה הגורם המרכזי בתחום, ויכוח שלא הוכרע עד היום. מעבר לכיפופי הידיים בין המשרדים ניצבת שאלה מהותית: מה גובר על מה, הזכות לפרטיות או החשש ממתקפות סייבר.

סמכויות הפיקוח והאכיפה כנגד פגיעה בפרטיות בישראל גם אינן מאפשרות פעולה אפקטיבית כנגד חברות כמו פייסבוק או גוגל במקרה של פלישה אסורה לפרטיות שלנו. אחרי התפוצצות פרשת דליפת המידע מפייסבוק לקיימברידג' אנליטיקה בשנה שעברה הזדרזה רשות הגנת הפרטיות להכריז על פתיחת חקירה כנגד פייסבוק בישראל ואולם במשרד המשפטים הודו עוד לפני כן שספק אם החוק בישראל מאפשר בכלל לפעול כנגד תאגידים בינלאומיים. ואפילו אם יוחלט להטיל קנס על פייסבוק, הסכום המרבי על פי החוק הנוכחי יעורר גיחוך במשרד של מארק צוקרברג.

פייסבוק. ספק אם אפשר לפעול נגדה(צילום: shutterstock)

במאי 2018 נכנסו לתוקפן הנחיות ה-GDPR האירופאיות, שמהדקות את הפיקוח על שמירת הפרטיות באיחוד האירופי ומטילה קנסות של עד 20 מיליון אירו על הפרתן. כך יוצא שישראל מפגרת משמעותית בשמירה על פרטיות אזרחיה. מבקר המדינה קובע שמשרד המשפטים צריך לבחון מחדש את ההמלצות מ-2007, שהתיישנו בינתיים, ולהאיץ תהליכי חקיקה, פיקוח ואכיפה על חברות וגופים לשמירת הפרטיות של כולנו, בין השאר גם "על מנת לשמור על מעמדה של מדינת ישראל כמדינה המבטיחה הגנה על מידע אישי ברמה העומדת בדרישות הדין האירופי".

מחדלי הרשות להגנת הפרטיות מתבטאים בשורה של נושאים נוספים, כמו התרשלות בחיזוק ההגנה על "מאגרי-על", מאגרים שבהם מידע רגיש שפגיעה בהם עלולה לגרום נזק רב מאוד לציבור, התרשלות באכיפת חובתם של משרדי ממשלה וגופים ציבוריים לדווח לה על קבלת מידע מגופים ציבוריים אחרים (שנועדה למנוע הצלבת מידע הפוגעת בפרטיות), וגם גרירת רגליים בנושא הכוונה לבטל את החובה בחוק, שאינה נאכפת כלל, לרשום את כל מאגרי המידע האישיים.

מעבר לכל אלה קובע המבקר כי רשות הגנת הפרטיות אינה פעילה מספיק, היקף פעולות האכיפה שביצעה היה נמוך מדי, היא פרסמה מעט מדי הנחיות לציבור בהשוואה לרשויות בעולם, היא אינה מעורבת בפרויקטים ממשלתיים שיש להם היבטי שמירה על פרטיות ודיונים רבים בכנסת נערכים ללא השתתפותה. במשרדי ממשלה גם מתקשים לקבל מענה וייעוץ מהרשות. "פעילות האכיפה היא בליבת עשייתה של הרשות להגנת הפרטיות לצורך שמירה על פרטיות הציבור", מזכיר המבקר.

פרטיות הילדים בסכנה 

"בעולם הטכנולוגי המתפתח, ובו גופי ענק האוספים ומעבדים מידע על בני אדם, יש צורך באכיפה משמעותית ואפקטיבית לצורך הרתעה וחיזוק מעמדה של הרשות", נקבע בדו"ח המבקר. הגנה על פרטיות ילדים עולה בחשיבותה על הגנה על פרטיות כלל הציבור, כך לפחות במדינות מתוקנות בעולם. בישראל החקיקה לא הותאמה להגנה מיוחדת על ילדים ולמעשה, ממצאי דו"ח מבקר המדינה מראים שברשות להגנת הפרטיות ובמשרד החינוך מתרשלים בשמירה על פרטיות המידע על ילדינו.

ב-2017 נערכו מבדקי חדירה לשש מערכות מידע במשרד החינוך, שהעלו ממצאים חמורים: מתברר שהאקרים יכולים בנקל לקבל שליטה על כל המידע המשרדי, לגנוב אותו או למחוק אותו. עד היום רק חלק מהליקויים טופלו.

מבקר המדינה מציין שיש צורך בחינוך והדרכה של הורים וילדים לשמירת זכותם לפרטיות, צריך לקדם חקיקה מעודכנת שתגביל את איסוף המידע על ילדים וכן לפתח מערכות לאבטחת הזכות לפרטיות של ילדים. טיוטת תקנות בעניין זה הוכנה ברשות פרטיות המידע כבר ב-2010 אך לא הושלמה ועדכון חוזר מנכ"ל משרד החינוך בנושא זה נמשכת מאז 2013 וטרם הושלמה. "נכון למועד סיום הביקורת אין למשרד החינוך מדיניות אבטחת מידע וסייבר מאושרת", קובע המבקר.

המידע הרגיש אודות התלמידים כולל מידע המועבר בין בתי הספר עם המעבר של התלמידים, מידע אישי שאוספת הרשות הארצית להערכה ומדידה בחינוך, מידע אישי שמועבר ללא כל הגנה או בקרה לגופים חיצוניים שעובדים עם משרד החינוך ואפילו מידע הנשמר ומגובה במתקנים לא מתאימים ולא מוגנים. למשרד החינוך אין מידע על כלל מאגרי המידע במערכת החינוך ובעייה חמורה נוספת: היעדר מידע ופיקוח על מצלמות הווידאו שמצלמות בבתי הספר, וחושפות את התלמידים לפגיעה בפרטיותם.

אין פיקוח על המצלמות בבתי הספר(צילום: shutterstock)

מחדלים משמעותיים נמצאו גם בשמירה על המידע הרפואי הרגיש שלנו. לא רק ששמירה על מידע רפואי הוא תנאי הכרחי לאמון המטופל ברופא, אלא שקיימים גם סיכונים לגניבת מידע רפואי, מניעת שירות ושיבוש המידע הקיים. משרד הבריאות פרסם תקן לניהול אבטחת מידע במערכת הבריאות, אבל מתוך 1,500 מוסדות רפואיים שחייבים בה, רק 150 קיבלו הסמכה לתקן והמבקר מוצא שמשרד הבריאות אינו אוכף את החובה על השאר. כמו כן, המשרד לא הנחה את המוסדות הרפואיים מתי יש לדווח על אירועי אבטחת מידע.

תקן אבטחת המידע מחייב ניטור שוטף של כל הפעילות במערכת מידע רפואי וזיהוי אנומליות שעלולות להעיד על חדירה לא מורשית. בביקורת שנערכה במכבי שירותי בריאות נמצא שרק מערכת מידע אחת מתוך 46 מערכות מידע מנוטרת, וגם היא לא באופן סדיר. בשירותי בריאות כללית נמצאו רק שתי מערכות מנוטרות מתוך 54 מערכות מידע. בבית החולים אסף הרופא לא נמצאה אפילו מערכת מנוטרת אחת מבין 46 מערכות מידע, ובבית החולים תל השומר נמצאו 20 מערכות מידע שאינן מנוטרות באופן סדיר.

אסף הרופא. אף מערכת אינה מנוטרת(צילום: שאול גולן)

ליקויים נוספים במערכת הבריאות נמצאו בהקמתה של מערכת מידע מקוונת כלל ארצית לשיתוף מידע רפואי בין בתי החולים, שפעילותה לא הוסדרה בחקיקה ובפיקוח, וזאת בניגוד לעמדתו של משרד המשפטים. כמו כן, נמצאה בעיה מהותית בשמירה על פרטיות חולים המשתתפים בניסויים רפואיים, כשבמקרים רבים פרטיהם מועברים לגורמים נוספים מבלי לעבור תהליך "התממה" (מחיקת הפרטים האישיים) וכך הם משמשים למטרות נוספות מעבר לאלה שלגביהן חתמו על הסכמה.

תגובות  

תגובת הרשות להגנת הפרטיות במשרד המשפטים: "הרשות להגנת הפרטיות מברכת על החשיבות שמוצא משרד מבקר המדינה בנושא הגנת הפרטיות. בשנים האחרונות גדל היקף פעילות הרשות להגנת הפרטיות. הרשות, בדומה לעולה מן הדו"ח, רואה חשיבות בקידום הצעת החוק בדבר הרחבת סמכויות האכיפה של הרשות, הן לשם הגנת המידע האישי של הציבור והן לשם שמירת מעמדה של ישראל כמדינה המבטיחה הגנה על מידע אישי ברמה נאותה, התואמת את הדין האירופי ואת הסטנדרטים המובילים בעולם. על כן, הרשות פעלה ותמשיך לפעול, ביחד עם כלל הגורמים הרלבנטיים, לקידום הצעת החוק וכן לקידומם של תיקוני חקיקה נוספים. הרשות פועלת למיקוד פעולות האכיפה ולהגברת ההרתעה תוך שימוש מושכל במשאבים העומדים לרשותה. וזאת, על מנת לייצר אכיפה איכותית ומשמעותית.

"בנוסף, הרשות הייתה מעורבת בפרויקטים ממשלתיים משמעותיים ופעלה במספר נושאים בעלי חשיבות לאומית עקרונית. נציין כי בעידן הנוכחי בו השימוש במערכות דיגיטליות הולך וגובר, אין בהכרח הצדקה אסטרטגית למעורבות הרשות בכלל הפרויקטים הממשלתיים. בנוגע להעברות מידע בין גופים ציבוריים, האחריות להעברת מידע בהתאם לחוק, לרבות דיווח לרשות, חלה על הגופים הציבוריים. עם זאת, הרשות תפיץ לכלל הגופים ריענון בעניין דרישות החוק ביחס לנושא העברות המידע בין גופים ציבוריים. עוד נציין, כי בשנים האחרונות חל גידול משמעותי בהיקף פרסומי הרשות לציבור הכוללים הנחיות, גילויי דעת וניירות עמדה, מדריכים לציבור ועוד".

תגובת משרד החינוך: "סוגיית אבטחת המידע מעסיקה את משרד החינוך מדי יום ביומו ולכן הוא נוקט בשורה של פעולות כדי להבטיח עקרון חשוב זה. בין הפעולות: בדיקת חדירות מיוזמתו למערכות ולאתרים כדי להציף פרצות אבטחה. הממצאים הקריטיים תוקנו והיתר מלווים בתכנית עבודה, פעילויות רבות להעלאת המודעות לנושאי אבטחת מידע והגנה בסייבר החל מפעילויות בשבוע הגלישה הבטוחה, הרצאות להורים ולתלמידים באקדמיה ברשת וסרטוני הסברה שמופצים.

"כמו כן, בימים אלה מקודמות מספר יוזמות למערכי שיעור בבתי ספר בשיתוף פעולה עם מערך הסייבר הלאומי. בנוסף לפעילויות להעלאת המודעות לנושאי אבטחת מידע ופרטיות, אנו מבצעים עבודת בקרה שיטתית אל מול בתי הספר כדי לוודא שנושא אבטחת המידע מטופל בצורה טובה. בשנתיים האחרונות מעל 50 אחוזים מבתי הספר במדינת ישראל נבדקו בנושאי אבטחת מידע וקיבלו משוב לצורך תיקון ליקויים אם נמצאו. פיתוחים חדשים ובכללם מערכת הגרסה החדשה של מערכת המנב"ס שהוכנסו לשימוש בחודשים האחרונים שיפרו באופן משמעותי את השמירה על הפרטיות ואבטחת המידע. גיבוש שני חוזרי מנכ"ל העוסקים בפרטיות בבתי ספר, ניהול דיגיטלי של נתוני תלמידים בבתי ספר קיימים כטיוטות ומיועדים להתפרסם במהלך החודשים הקרובים.

"אשר לטענה על העברת מידע רגיש אודות תלמידים, יצויין כי ישנם נהלים ברורים לטיפול והעברת במידע בין מוסדות: סוגי המידע שניתן להעביר, למי מותר להעביר, המנגנון לאישור העברה וכד'. אופן ההעברה הוא מאובטח (כספות). עובר רק מידע שאושר להעברה. בנוגע לספקים טכנולוגיים למוסדות חינוך: מבוצעות בדיקות אבטחת מידע מחמירות לגופים אלו אחת לשנה. גוף אשר לא עומד בתקן אבטחת המידע של המשרד ובבדיקות אבטחת המידע לא מקבל מידע מבתי הספר. בהתייחס לבקרה בנושא מצלמות אבטחה, משרד החינוך ערך השנה (2019) בקרה ב-350 בתי ספר יסודיים וב-68 בתי ספר על-יסודיים במסגרתה נבדקו שורה של תחומים המוזכרים בתוך חוזר המנכ"ל. בכוונת המשרד להמשיך ולעקוב אחר נושא זה".

תגובת משרד הבריאות: "משרד הבריאות מכבד את עבודת מבקר המדינה. משרד הבריאות קיבל את הדוח, ילמד אותו וינסה לשפר את הצריך. בנושא המידע הרפואי משרד הבריאות ביצע עבודה משמעותית לקידום אחראי ומאוזן של נושא זה. המשרד פועל לקידום האסדרה בנושא, בהתאם לסדרי העדיפויות של המשרד, ובשים לב לתכנית החקיקה הממשלתית. משרד הבריאות מקדם תהליך של הסדרת כללי התממה. מדובר בתהליך מתוכנן ומורכב שמנסה לאזן בצורה אחרית בין הצורך לקדם מחקר לצורך לשמירה על פרטיות המטופלים".