78% מבתי החולים מוסרים מידע לגופים אחרים ללא ביצוע של רישום כנדרש או תוך ביצוע רישום חלקי בלבד, כך עולה מדו"ח פיקוח הרוחב בקרב מגזר בתי החולים של הרשות להגנת הפרטיות במשרד המשפטים לשנת 2021-2022.
מהדוח שפורסם היום (ראשון) נמצא כי בקריטריון של ניהול מאגרי מידע, שליש מהגופים נמצאים ברמת עמידה נמוכה בלבד וכשליש מן הגופים נמצאים ברמת עמידה בינונית בדרישות החוק והתקנות.
בקריטריון של בקרה ארגונית וממשל תאגידי, מחצית הגופים מצויים ברמת עמידה בינונית ונמוכה בדרישות החוק והתקנות. בנוגע לאבטחת מידע, כ-71% מן הגופים נמצאים ברמת עמידה גבוהה, וכ-20% נמצאים ברמת עמידה בינונית בהוראות החוק והתקנות.
אחד החששות העיקריים למידע האישי המנוהל על ידי בתי החולים נעוץ בגישה נרחבת למידע על ידי גורמים שונים בתוך בתי החולים, וכן העברת המידע בין הגופים הרפואיים השונים (בין בתי החולים, בין בתי החולים לקופות החולים, בין בתי החולים למשרד הבריאות ועוד).
הרשות להגנת הפרטיות, החליטה להתמקד במגזר זה ולערוך בו פיקוח רוחב ושלחה שאלונים ל-28 מוסדות רפואיים בישראל כחלק מפיקוח הרוחב, בחנו ארבעה קריטריונים עיקריים בתחום הגנת הפרטיות: בקרה ארגונית וממשל תאגידי; אבטחת מידע; ניהול מאגרי מידע ושימוש בשירותי מיקור חוץ וכן העברת מידע בין גופים ציבוריים.
ברשות מציינים כי לנוכח היותו של מגזר בתי החולים פגיע באופן ייחודי לתקיפות במימד הסייבר ולדלף מידע, בשל מאגרי המידע הנרחבים והרגישים שלו, מתן גישה לנתונים מעבר לנדרש לצורך הטיפול הרפואי, מגביר את הסיכון לשימוש לרעה בנתונים מעבר למטרות שלשמן נמסרו מלכתחילה.
כמו כן, פלטפורמות טכנולוגיות המאפשרות אינטגרציה בין גופי הרפואה השונים, ומאפשרות גישה למידע על ידי גורמים שונים, מעצימות את הפוטנציאל לפרצות אבטחה ודלף מידע. בחינת העמידה בקריטריון של העברת מידע בין גופים ציבוריים מצביעה על אי עמידה משמעותית בהוראות החוק והתקנות.
עוד בנושא תקיפות סייבר בבתי חולים:
ברשות מציינים כי בידי רשויות המדינה מידע רב על אזרחים, הנוגע לכל היבטי חייהם. שיתוף מידע אישי אודות אנשים בין גופים ציבוריים שונים הוא כלי חשוב לייעול השירות שניתן לציבור ולהקלת הנטל הבירוקרטי.
עם זאת, העברת מידע אישי בין גופים עשויה להשליך על הפרטיות של אותם אנשים ולכן הוגדרו בחוק ובתקנות ספציפיות מנגנונים ייחודיים להגנה על המידע האישי המועבר, שמטרתן וידוא צמצום המידע אליו קיימת גישה למינימום הנדרש, את הסמכות להעברת וקבלת המידע ואת המטרה לשמה מועבר המידע.
עוד נמצא כי ב-7% בלבד מבתי החולים נמצאה רמת עמידה גבוהה בעוד ש-30% מבתי החולים עמדו בהוראות החוק ברמה נמוכה בלבד.