אוגוסט 18, 2022

ניוזלטר בעניין הגנה על פרטיות מטופלים במתן שירותי רפואה מרחוק

אלכסנדרה כהן, עורכת דין
אלכסנדרה כהן

עורכת דין

גילת ברקת ושות׳
אורית גונן, שותפה
אורית גונן

שותפה

גילת ברקת ושות׳

ביום 2 באוגוסט 2022 פרסמה הרשות להגנת הפרטיות מסמך המפרט את אתגרי הגנת הפרטיות הכרוכים בשימוש בשירותי רפואה מרחוק.[1] בתוך כך, המסמך מציג המלצות ביחס לאופן שבו יש להשתמש בשירותים אלו לשם צמצום הפגיעה בפרטיות המטופלים.

נזכיר כי מידע רפואי מוגדר בחוק הגנת הפרטיות, תשמ"א-1981 (להלן: "החוק") כמידע רגיש ואף נקבע לגביו כי הוא מצוי בליבת הפרטיות,[2] ועל כן קיימת חשיבות עליונה במניעת זליגתו וחשיפתו לגורמים בלתי מורשים. על רקע זה, ובפרט לאור התופעה ההולכת וגדלה של מתן וקבלת שירותים רפואיים מרחוק, יש במסמך שפורסם על ידי הרשות להגנת הפרטיות, אשר מטרתו להציב זרקור על התופעה ועל אתגרי הפרטיות הכרוכים בה, כדי להוות מעין מורה נבוכים לארגוני הבריאות, לספקים חיצוניים ולמטפלים בכל הנוגע לניהול ראוי של מידע רפואי (לרבות איסוף, תיעוד, שמירה ועיבוד).

המסמך מחולק לארבעה פרקים: (1) מיפוי סוגי שירותי הרפואה מרחוק המסופקים כיום בישראל; (2)  סקירת סיכונים לפרטיות המטופלים בעת שימוש בשירותי רפואה מרחוק; (3) ריכוז הוראות דין והנחיות רלוונטיות; (4) הצגות הבהרות והמלצות. במידעון זה נסקור בקצרה את הפרקים שלעיל, ונציג את עיקרי הדברים שהועלו במסגרתם.

הפרק הראשון של המסמך מסווג את שירותי הרפואה הניתנים מרחוק לחמש קטגוריות:[3] (א) שירותים המאפשרים למטופל לצפות מידע רפואי אודותיו ולבצע פעולות מרחוק (כגון אפליקציה של קופת חולים); (ב) שירותים של טיפול מרחוק באמצעות מפגש וירטואלי בין מטופל למטפל (סינכרוני); (ג) שירותים של בדיקה עצמית באמצעות מכשירי בדיקה רפואיים מקוונים המיועדים לשימוש ביתי לשם התייעצות, אבחון או טיפול במועד מאוחר יותר (א-סינכרוני); (ד) שירותים של מעקב וניטור רפואי מתמשך באמצעות מכשירים לבישים או מושתלים; (ה) שירותים של אבחון ראשוני באמצעות בינה מלאכותית.

חשוב להבהיר כי בעת קבלת השירותים המנויים לעיל, עשוי המידע הרפואי להגיע (בנוסף לגורם המטפל הישיר) גם לספקים חיצוניים המספקים ו/או המפעילים את הפלטפורמות והמכשירים הרפואיים המקוונים בהם נעשה שימוש במסגרת השירות. במקרה כאמור, המידע הרפואי אודות המטופל נשמר במאגרי מידע שונים, וכפועל יוצא מכך חשוף ביתר שאת לפגיעה בפרטיות. יתרה מזו, היות שלמטופל קיימת גישה מקוונת לנתונים רפואיים אודותיו, אשר אף עשויים להישמר במכשירי הבדיקה הביתיים הנמצאים ברשותו, גדל מתחם הסיכון לפגיעה בפרטיותו. אי לכך, הסיכונים לפגיעה בפרטיות המפורטים בהמשך רלוונטיים הן לארגוני הבריאות, הן לספקים החיצוניים והן למטופלים.

כאמור לעיל, הפרק השני של המסמך מונה את הסיכונים לפרטיות המטופלים בעת שימוש בשירותי רפואה מרחוק, וביניהם: (א) זליגת מידע בשל כשלי אבטחת מידע (למשל כתוצאה מפריצה לרשת האינטרנט הביתית / המכשירים החכמים / המכשירים הרפואיים של המטופל או פריצה למאגרי המידע של ארגון הבריאות או של הספק החיצוני). ויודגש, מידע רפואי עשוי להיות בעל ערך כלכלי רב, עובדה המגבירה את הסיכון להתרחשות אירועי אבטחת מידע ולפגיעה בפרטיות המטופלים; (ב) העדר מודעות מטופלים לאיסוף מידע על ידי ספקים חיצוניים ולמטרות השימוש בו. יש בכך כדי למנוע מהמטופלים לכלכל את צעדיהם ולנקוט בפעולות לצמצום הפגיעה בפרטיותם; (ג) חשיפת מידע עודף במסגרת מפגש וירטואלי (למשל חשיפת סביבת ביתו של המטופל, אשר ממנה ניתן ללמוד  פרטים אינטימיים על אודות המטופל שלא בהכרח יהיו רלוונטיים לטיפול); (ד) חשיפת מידע בפני גורמים לא מורשים בסביבת המטפל (למשל כאשר הטיפול ניתן בביתו של המטפל או במרחב ציבורי וגורמים אחרים נמצאים בקרבתו ועשויים להיחשף למידע רפואי של המטופל).

היות שפגיעה בפרטיות המטופל, ובכלל זה זליגה של מידע רפואי והגעתו לגורמים בלתי מורשים, עלולה להוביל לפגיעה קשה הן ברמת המטופל והן ברמת האמון בארגוני הבריאות, ובתוך כך למגמת ירידה בשימוש בשירותי רפואה מרחוק, קיימת חשיבות עליונה בנקיטת פעולות לצמצום אפשרות הפגיעה בפרטיות המטופלים בעת מתן שירותים אלה.

הפרק השלישי של המסמך מרכז את הוראות הדין וההנחיות הרלוונטיות לנושא הגנת פרטיות המטופלים. כך למשל, מתייחס הפרק להוראות החוק ולתקנות שהותקנו מכוחו, אשר קובעות, בין היתר, כי  מאגר מידע שכולל מידע רפואי מחויב ברמת אבטחה בינונית ומעלה.[4] הוראות דין והנחיות נוספות הנזכרות במסגרת פרק זה כוללות את חוק זכויות החולה, התשנ"ו- 1996, הנחיות משרד הבריאות  לשמירת הסודיות ופרטיות מידע אישי על אודות מטופלים וכן מסמך כללי אתיקה של ההסתדרות הרפואית בישראל.

הפרק הרביעי והאחרון של המסמך מפרט את המלצות והבהרות הרשות להגנת הפרטיות לצמצום הפגיעה בפרטיות מטופלים בשירותי הרפואה מרחוק. נביא להלן את עיקרי ההמלצות:

  1. יידוע והסכמה לקבלת שירותי רפואה מרחוק – על ארגון בריאות המספק שירותי רפואה מרחוק לקבל את הסכמת המטופלים למתן השירותים ולפרט בפני המטופל, בין היתר, איזה מידע ייאסף כתוצאה מקבלת ההסכמה, אילו שימושים ייעשו בו, למי הוא עשוי להיות מועבר ולשם איזו מטרה. כמו כן, יש להבהיר למטופל את הסיכונים הכרוכים בקבלת שירות מעין זה בכל הנוגע לאבטחת מידע. ההסבר צריך להיעשות בשפה ברורה ורצוי שיכלול פירוט בדבר זכויות המטופל במידע, לרבות הזכות לעיין במידע.

באשר לספקים חיצוניים, ככל שהם מבקשים לעשות שימוש במידע למטרות שאינן טיפוליות (כגון לצרכי מחקר, פרסום, ייעול שירותים אחרים הניתנים על-ידו וכדומה), הם נדרשים לקבל הסכמה ספציפית ממטופלים לשימוש כאמור (זאת בנוסף להסכמת ארגון הבריאות). אולם, במצב כזה, על ארגון הבריאות המספק את השירות ליידע ולהבהיר למטופל שאין הוא מחויב לתת הסכמתו לשימושים הנוספים במידע אודותיו, ושהסכמה זו לא תהיה תנאי לקבלת השירות הרפואי.

  1. צמצום מידע – על כלל הגורמים להימנע ככל הניתן מאיסוף ושמירה של מידע על אודות מטופלים שאינו הכרחי למטרת השירות לארגוני הבריאות ולספקים החיצוניים לבצע בדיקה לבחינת מידע עודף מספר פעמים בשנה.
  2. אחריות ספק שירות המתקשר עם ספק חיצוני למתן שירותי רפואה מרחוק – על ארגון בריאות המתקשר עם ספק חיצוני למתן שירותי רפואה מרחוק, לרבות להספקת ולהפעלת הפלטפורמה הטכנולוגית והמכשירים הרפואיים המקוונים, להבטיח כי התנהלות הספק החיצוני, בכל הנוגע להגנה על פרטיות מטופלים ואבטחת מידע, היא תקינה ותואמת את הוראות הדין.
  3. אימות זיהוי וחובות אבטחת מידע – לשיטת הרשו להגנת הפרטיות אימות זהותו של אדם בשירותי רפואה מרחוק הוא קריטי מבחינת היבטי פרטיות והגנת מידע, ומשכך על שירותי הרפואה מרחוק לכלול מנגנון לזיהוי המטפל ולזיהוי המטופל ברמת ודאות טובה, כפי שגם נדרש במסגרת חוזר מנכ"ל משרד הבריאות.[5] בנוסף, שמירת והעברת המידע הרפואי כפופות לחובות אבטחת מידע הקבועות בתקנות אבטחת מידע וכן להנחיות משרד הבריאות בנושא רשומות רפואיות.[6]

יש לציין כי עמדת הרשות להגנת הפרטיות היא שמכשירים רפואיים מקוונים (המאפשרים חיבור מרחוק למאגרי המידע) נחשבים 'מערכות מאגר', על כל המשתמע מכך מבחינת אימות זיהוי מטופלים המשתמשים במכשירים אלו, וחובות האבטחה המוטלות על מערכות מאגר לפי תקנות אבטחת מידע.

  1. סיום שימוש במכשירים רפואיים מקוונים וגריעתם – מומלץ כי ארגוני הבריאות המספקים את השירות והספקים החיצוניים יקבעו נהלים לאבטחת המידע השמור במכשירים רפואיים מקוונים המשמשים למתן שירותי רפואה מרחוק כאשר נפסק השימוש בהם, לרבות השמדת המידע כאמור וגריעת המכשירים.
  2. היבטי פרטיות במפגש וירטואלי – על מטפלים להקפיד על כללי אבטחת המידע בתוכנות ובמכשירים הטכנולוגיים בהם הם משתמשים במסגרת המפגש הווירטואלי. כמו כן, ראוי שמטפלים ינקטו בכל הפעולות הנדרשות על מנת להימנע מכך שגורמים הנמצאים בקרבתם ייחשפו לדברי מטופלים או לתמונות ולסרטוני הווידאו שלהם וכן על מנת לצמצם חשיפת מידע של המטופל שיאנו רלוונטי לטיפול. בנוסף, מומלץ שמטפלים יפעלו לחיזוק כישוריהם הטכנולוגיים בכל הנוגע לשליטה במערכות המשמשות את המפגש הווירטואלי.

למען נוחות המשתמשים, מצורפים למסמך שני נספחים אשר נועדו לתמצת את ההבהרות וההמלצות לספקי שירותי רפואה מרחוק ולספקים חיצוניים (נספח א') ולמטפלים במפגש מקוון (נספח ב').

[1]           ר' www.gov.il/BlobFolder/reports/remote_medical_services_doc/he/remote_medical_services_doc.pdf

[2]           ר' רע"א 06/8019 ידיעות אחרונות בעמ' נ' לוין (פורסם בנבו, 2009.10.13).

[3]           יצוין כי מובהר במסגרת המסמך שהסיווג נועד לשם הבהרה וחידוד ואינו מחייב.

[4]           ר' התוספת הראשונה לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז- 2017 (להלן: "תקנות אבטחת מידע")

[5]           ר' ס' 5.7 לחוזר מנכ"ל משרד הבריאות בנושא אמות מידה להפעלת שירות בריאות מרחוק.

[6]           ר' חוזר מנכ"ל משרד הבריאות בנושא אמות מידה לניהול רשומת מטופל במערכת הבריאות.

אין באמור במאמר כדי להוות עצה, הדרכה, ייעוץ או חוות-דעת בנושא, והוא מוגש כשירות ללקוח להעשרה כללית בלבד ולא לכל מטרה אחרת. בכל נושא ספציפי יש לפנות לעורכי הדין או עורכי הפטנטים הרלוונטיים במשרדנו.

פנו אלינו
הירשמו לניוזלטר שלנו