עד כמה המידע הרפואי עלינו באמת מאובטח? הרשות להגנת הפרטיות התריעה היום (ג') וקראה לארגוני רפואה לצמצם ככל האפשר את השימוש של עובדיהם בתוכנות שאינן ייעודיות כמו ווטסאפ וג'ימייל להעברת מידע רפואי עם פרטים מזהים. כמו כן, יש להימנע משמירת מידע רפואי על מטופלים בשירותי ענן כמו Google Drive או Dropbox.
עוד קבעה הרשות כי ראוי גם להימנע מלשמור מידע רפואי מזוהה על אודות מטופלים בטלפונים ובמחשבים הפרטיים של רופאים ואנשי רפואה אחרים. כך עולה ממסמך מדיניות ראשון מסוגו בנושא הגנה על פרטיות מטופלים בהעברת מידע רפואי באמצעות מכשירים דיגיטליים ותוכנות לא ייעודיות שפרסמה הרשות להגנת הפרטיות במשרד המשפטים.
3 צפייה בגלריה
צוותי רפואה נדרשים להימנע משליחת אמצעי זיהוי של מטופלים בתוכנות מסרים
(צילום: BigTunaOnline Shutterstock.com)
מגזר הבריאות אימץ בשנים האחרונות פתרונות דיגיטליים במטרה לשפר ולייעל את הליך העברת המידע על מטופלים. משליחת תמונות בוואטסאפ לשם אבחון רפואי, ועד העברת צילום של טופס הפניה או תוצאות של בדיקה רפואית לכתובת הדוא"ל הפרטית שלנו. הטכנולוגיה חוללה מהפכה בדרך שבה אנו מקבלים טיפול רפואי.
לצד הנוחות שהאמצעים הללו מספקים, העברת מידע רפואי ושמירתו באמצעות תוכנות ומכשירים שאינם ייעודיים לכך, מהווה אתגר משמעותי בכל הנוגע לשמירה על פרטיות מטופלים, ומעוררת, בין היתר, חששות ביחס לאבטחת המידע. מסמך המדיניות מבהיר בעניין זה כי "מידע רפואי הוא מידע רגיש המצוי בליבת הפרטיות, ובגלל רגישותו ופוטנציאל הנזק שעלול להיגרם כתוצאה מחשיפתו, יש לאבטח מידע זה כנדרש ולצמצם ככל האפשר את אפשרות חשיפתו".
כשרופאת העור מתייעצת
העברת המידע נעשית, בין היתר, כחלק מתקשורת של גורמי רפואה עם מטופלים וגורמי רפואה אחרים. כך לדוגמה, רופאת עור, שבמסגרת מתן טיפול רפואי מבקשת להתייעץ עם עמיתה, עשויה להשתמש בטלפון שברשותה להעברת ממצאי בדיקות ותיעוד ויזואלי של גוף המטופל, באמצעות אפליקציית ווטסאפ. דוגמה אחרת עשויה להיות העברת צילום של טופס הפנייה או של מכתב סיכום לרופא מטפל מטלפון של גורם רפואי,לטלפון או לכתובת דוא"ל פרטית של מטופל.
המסמך של הרשות מציין כי העברת מידע רפואי, באמצעים שאינם ייעודיים, טומנת בחובה סיכונים שונים לפרטיות. אלה כוללים למשל אפשרות של דליפות נתונים, חשיפה בשוגג של המידע עקב טעות אנוש, גניבה אפשרית של מידע רגיש וסיכון לשימוש לרעה על ידי חברות מסחריות המספקות תשתיות להעברת מידע.
מסמך המדיניות החדש בנושא בהיר לארגונים ומוסדות המספקים שירותי בריאות ולגורמי רפואה מה החובות החלות עליהם בעניין, וכיצד מומלץ להם לנהוג. במקרים שבהם ארגון בריאות או מוסד רפואי מאשר לעובדיו להשתמש במכשירים ובתוכנות לא ייעודיות להעברת מידע רפואי על מטופלים - יש לעשות כל מאמץ להשמיט סוגי מידע שעלולים להביא לזיהוי המטופלים. בכלל זה יש להשמיט אמצעי זיהוי ישירים כגון: שם, מספר תעודת זהות, תמונת פנים או תמונה אחרת המאפשרת לזהות את המטופל.
על גורמי רפואה להתנות שימוש עובדיהם בתוכנות לא ייעודיות להעברת מידע רפואי בהתקנת תוכנות להגנה על המידע ולמניעת חדירה למכשירים, כגון תוכנות חומת אש ואנטי-וירוס. מומלץ שבזמן שימוש במכשירים דיגיטליים (פרטיים או מוסדיים) ובתוכנות מסרים כמו ווטסאפ להעברת מידע, יישמר ויועבר אך ורק המידע הרפואי המינימלי הנדרש למטרת שמירתו והעברתו. כמו כן מומלץ כי "לאחר השגת המטרה לשמה נשמר המידע במכשיר (לדוגמה, אם מידע נשמר בטלפון לצורך התייעצות מקצועית שהסתיימה), מומלץ להעביר את המידע בהקדם האפשרי לשמירה במערכות הרפואיות הייעודיות שנועדו לכך (בהתאם להנחיות משרד הבריאות והמוסד הרפואי). כמו כן יש למחוק את המידע, הן מזיכרון המכשיר והן מזיכרון התוכנה שבה הוא הועבר".
עוד ממליצים כי מידע רפואי על אודות מטופלים, שנשמר במכשיר דיגיטלי ומועבר באמצעות תוכנות לא ייעודיות, לא יישמר במקביל גם בשירותי גיבוי ענן פרטיים ושאינם ייעודיים, כגון Google Drive או Dropbox. אם המידע נשמר במקביל גם בשירותי ענן שאינם ייעודיים - מומלץ למחוק את המידע משירותים אלו בהקדם האפשרי. בנוסף, מציינים ברשות כי יש להשתמש באמצעי אבטחה למכשירים ולתוכנות בהם נעשה שימוש להעברת מידע רפואי, כגון שימוש בסיסמת כניסה חזקה ומורכבת למכשירים, אימות דו-שלבי, זיהוי ביומטרי וכו'.
על ארגון המתיר לעובדיו להשתמש בתוכנות לא ייעודיות להעברת מידע רפואי מזוהה, לקבוע מדיניות פנים ארגונית ברורה בדבר שמירת המידע הרפואי במכשירים דיגיטליים ובדבר העברת מידע זה שתכלול התייחסות לסוגיות השונות כמו מחיקת המידע, מדיניות שימוש בסיסמאות כניסה למכשירים, שליטה על הרשאות גישה למידע וכדומה.
