הרשות להגנת הפרטיות במשרד המשפטים (להלן "הרשות") פירסמה מסמך בנושא הגנת הפרטיות במתן שירותי בריאות מרחוק. מסמך זה מתפרסם להערות הציבור ועדין איננו מסמך סופי, אך מלמד על עמדת הרשות בנושא חשוב זה. להלן עיקרי עמדת הרשות.
במסגרת המסמך, הרשות סוקרת את הוראות הדין הרלבנטיות החלות על שימוש במידע רפואי במסגרת טיפול רפואי מרחוק, ביחס למטפלים, ספקי בריאות וספקי שירות שונים.
הרשות מדגישה את הסיכונים הכרוכים במתן שירותי בריאות מרחוק ובפרט בכל הנוגע לאבטחת מידע, זליגת מידע, וחשיפת המידע לבלתי מורשים. מובהר כי, מטרת המסמך אינה להגביל את השימוש בשירותי הרפואה מרחוק אלא להבטיח כי שימוש זה ייעשה תוך מתן התייחסות הולמת לסוגיית ההגנה על פרטיותם של מטופלים.
בפתח הדברים מדגישה הרשות את החובה לעמוד בדרישות הדין, ובכלל זה, הוראות חוק הגנת הפרטיות, תקנות הגנת הפרטיות ובכלל זה תקנות הגנת הפרטיות (אבטחת מידע), חוק זכויות החולה, חוזר מנכ"ל משרד הבריאות בנושא אמות מידה להפעלת שירות בריאות מרחוק וכללי האתיקה של ההסתדרות הרפואית בכל הנוגע לטיפול רפואי מרחוק.
מסמך זה מספק השלמה לחוזר ולכללי האתיקה בכך שהוא מטיל חובות ישירות לא רק על ספקי השירות הרפואי (למשל, ארגוני הבריאות, קופות חולים), כי אם גם על ספקים חיצוניים, המספקים, בין היתר, את התשתית הטכנולוגית, הפלטפורמה והמכשירים הרפואיים המקוונים בהם נעשה שימוש.
עוד ממליצה הרשות על עריכת תסקיר השפעה על פרטיות בשלב מוקדם של תכנון מערכות המידע ועל מינוי ממונה על הגנת הפרטיות כדרך יעילה ואפקטיבית למזער את הסיכון לפגיעה בפרטיות. בכך, הרשות מתאימה את דרישותיה לדרישות של האיחוד האירופי.
להלן עיקרי ההנחיות.
הסכמת המטופל
על בסיס הוראות סעיף 11 לחוק הגנת הפרטיות, על המבקש הסכמת מטופלים לאיסוף מידע אישי על אודותיהם לשם מתן שירותי רפואה מרחוק לציין את כלל המידע המהותי הרלוונטי למתן הסכמת המטופלים לשירות.
יש לפרט, בין היתר, איזה מידע ייאסף כתוצאה מקבלת ההסכמה, אילו שימושים ייעשו בו, למי הוא עשוי להיות מועבר ולשם איזו מטרה. ההסבר צריך להיעשות בשפה ברורה ורצוי שיכלול פירוט בדבר זכויות המטופל במידע, לרבות הזכות לעיין במידע.
כחלק מהליך קבלת ההסכמה לשירות רפואה מרחוק עשוי ספק חיצוני לבקש את הסכמת המטופלים לעשות שימוש במידע על אודותיהם למטרות אחרות ושונות ממטרת הטיפול למשל לצרכי מחקר, ייעול השירותים הניתנים על ידו וכד'.
במקרים כאלה, על ספק השירות (למשל קופת החולים) להבהיר הדברים למטופל ולבקש הסכמה נפרדת לכך. בנוסף, על ספקי השירות להבטיח כי למטופלים תעמוד האפשרות לקבל שירותים אלו מבלי שהם יהיו מחויבים, דה-פקטו, להסכים גם לשימוש במידע על אודותיהם למטרות אחרות ממטרת הטיפול.
יש לציין כי הדרישה להפריד את ההסכמה לקבלת השירותים מההסכמה לעשות שימושים נוספים במידע יכולה להוות אתגר רציני לספקי שירות מהמגזר הפרטי, שלרוב נדרשים לשימושים הנוספים במידע של המטופל כדי, למשל, לשפר את האלגוריתמים שלהם וכדי לפתח את הטכנולוגיה שלהם.
הרשות מטעימה כי במקרים של שימוש באמצעי בינה מלאכותית לצרכי אבחון יש להסביר למטופל ככל הניתן את פעילות המערכת, סוגי המידע, מטרת האיסוף, אופן ניתוחו והשימוש הצפוי בו.
כמו כן, ככל שמבקשים לעשות שימוש במידע לצרכים אחרים, למשל לשם ביצוע מחקר או למידת המערכת, יש לבקש הסכמה מפורשת ונפרדת לשם כך.
צמצום השימוש במידע
על פי עיקרון צמצום המידע העודף, על כלל הגורמים להימנע ככל הניתן מאיסוף ושמירה של מידע על אודות מטופלים שאינו הכרחי למטרת השירות הרפואי מרחוק, או למטרת המאגר בו מידע זה נשמר.
מכוח תקנה 2(ג) לתקנות אבטחת המידע על ספקי השירות והספקים החיצוניים, בכובעם כבעלי מאגרי המידע בו נשמר מידע רפואי הנאסף במסגרת שירותי הרפואה מרחוק, לבחון, אחת לשנה, אם המידע שהם שומרים במאגר אינו חורג מן הנדרש ביחס למטרותיו.
בעניין זה יובהר כי לגישת הרשות להגנת הפרטיות יתכנו מצבים בהם רצוי שבדיקה כזו תיערך מספר פעמים לאורך השנה וכי בנסיבות בהן מגיע בעל מאגר למסקנה כי מידע מסוים השמור במאגר הוא עודף, ואינו פועל לצמצום מידע זה, התנהלות זו עשויה בנסיבות מסוימות להוות הפרה של הוראות תקנה 2(ג) לתקנות אבטחת מידע.
אחריות ספק שירות המתקשר עם ספק חיצוני למתן שירותי רפואה מרחוק
על גורם המתקשר עם ספק חיצוני למתן שירותי רפואה מרחוק, לרבות להספקת ולהפעלת הפלטפורמה הטכנולוגית והמכשירים הרפואיים המקוונים, מוטלות חובות שונות שעניינן פיקוח על התנהלות הספק החיצוני בהיבטי פרטיות ואבטחת מידע (תקנה 15 לתקנות אבטחת מידע).
אימות זהות
אימות זהותו של אדם בשירותי בריאות מרחוק הוא קריטי מבחינת היבטי פרטיות והגנת מידע. סעיף 7.5 לחוזר מנכ"ל משרד הבריאות בנושא אמות מידה להפעלת שירות בריאות מרחוק קובע מספר כללים בהקשר זה, החלים על ארגוני הבריאות מספקי השירותים.
הסעיף קובע כי "מערכת שירותי בריאות מרחוק חייבת לכלול מנגנון לזיהוי המטפל ולזיהוי המטופל ברמת ודאות טובה, בדרגות הזדהות שונות ובאמצעים המותאמים לנסיבות ולסוג הפעולה המבוצעת.
" בנוסף לאמור יובהר כי תקנות אבטחת מידע מטילות על בעלי מאגרים את החובה לנקוט באמצעים מקובלים בנסיבות העניין ובהתאם לאופי המאגר וטיבו, על מנת לוודא כי הגישה למאגר ולמערכות המאגר נעשית בידי בעל הרשאה המורשה לכך בלבד לפי רשימת ההרשאות.
מכשירים רפואיים מקוונים
מכיוון שמכשירים רפואיים מקוונים מאפשרים גם הם חיבור מרחוק למאגרי המידע, עמדת הרשות להגנת הפרטיות היא כי מכשירים אלו נחשבים 'מערכות מאגר', על כל המשתמע מכך מבחינת אימות זיהוי מטופלים המשתמשים במכשירים אלו, וחובות האבטחה המוטלות על מערכות מאגר לפי תקנות אבטחת מידע.
מומלץ כי ספקי השירות והספקים החיצוניים יקבעו נהלים לאבטחת המידע האמור במועד הפסקת השימוש במכשירים האמורים וגריעתם, לרבות נהלים להשמדת המידע השמור בהם.
היבטי פרטיות במפגש וירטואלי
על מטפלים להקפיד על כללי אבטחת המידע בתוכנות ובמכשירים הטכנולוגיים בהם הם משתמשים במסגרת המפגש הווירטואלי.
כך לדוגמה, יש לוודא שתוכנות ומכשירים אלו יישמרו במקום מוגן ותחת סיסמה שבכוחם למנוע חדירה וכניסה אליהם בלא הרשאה מתאימה. כמו כן, בעת מפגש וירטואלי מומלץ שלא להשתמש ברשתות Wi Fi ציבוריות, אלא ברשת פרטית המוגנת בסיסמה ובתוכנות הגנה כגון אנטי-וירוסים וחומת אש.
עוד מומלץ כי מטפלים ינקטו משנה זהירות ויימנעו מלנקוט פעולות העלולות לחשוף את מטופליהם, מעבר לנדרש במסגרת הטיפול הרפואי, מחשש לדליפה, וכן כי יסבו את תשומת לב המטופלים כשהם חושפים את עצמם או את בני ביתם שלא לצורך.
סיכום
בעידן של ביג דאטה מתעוררות שאלות לא פשוטות של שימוש במידע רפואי רגיש והגנה על פרטיות המטופלים. המסמך של רשות הגנת הפרטיות, אם יאומץ כלשונו, יטיל חובות מוגברות על ספקי שירות טלה רפואה ועל ספקיהם, ויחייב בחינה והתאמה מחדש של מדיניות הפרטיות ומסמכים נוספים.
הצעתה של הרשות להגנת הפרטיות היא צעד ראשון אך מתחייב להסדרת הגנת הפרטיות במתן שירותי טלה רפואה, והיא פתוחה להערות הציבור עד ה- 31.3.22.
