חוק הגנת הפרטיות ואבטחת מידע רפואי

חוק הגנת הפרטיות ואבטחת מידע רפואי

2020-08-11T09:21:13+00:00יולי 22nd, 2020|

מהי אבטחת מידע רפואי?

אבטחת מידע רפואי, עוסקת בהגנה על חיסיון המידע, אמינותו ושלמותו במטרה לנקוט בפעולות המתאימות וכך לוודא כי לא תתרחש זליגה של מידע רפואי על מטופלים ו/או יבוצעו שימוש או העתקה של מסדי נתונים על מטופלים, באמצעות גורמים שאינם מורשים לכך.

בישראל, אבטחת מידע רפואי מבוצעת על סמך החוק להגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017.

כמובן שאבטחת מידע רפואי נאכפת גם במדינות אחרות כגון ארה"ב ואירופה, ומכוסה ע"י דרישות הרגולציה של ה- HIPAA וה- GDPR בהתאמה. על כן, חברות ישראליות אשר פעילות בשווקים אלה, בנוסף לעמידה בתקנות בחוק להגנה על פרטיות, אמורות לעמוד בהצלחה גם בדרישות הרגולטוריות המקבילות במדינות היעד.

השירותים שלנו

על מי חלות תקנות להגנה על פרטיות?

התקנות בחוק להגנה על פרטיות בכלל ועל חיסיון מידע רפואי של מטופלים בפרט, חלות על המשק בישראל בכללותו, ובין היתר גם על חברות תרופות, מכשור רפואי, מוסדות רפואה ומרפאות, חברות מתחום הבריאות הדיגיטלית, התוכנה הרפואית ואפליקציות סלולאריות רפואיות ואחרות, אשר עושות שימוש ו/או אוגרות מידע רפואי ו/או מנהלות מאגרי מידע על מטופליהן או לקוחותיהן.

כאמור, ישראל אינה המדינה היחידה אשר חוקקה תקנות בנושא הגנה על פרטיות וחיסיון מידע רפואי וניתן להוסיף ולומר כי היא יחסית "משתרכת מאחור" ביחס לדרישות ה- HIPAA וה- SOC2 בארה"ב וה- GDPR באירופה ובמיוחד לאחר יישום תקנות לשעת חירום אשר אושרו כחלק מההתמודדות עם משבר הקורונה העולמי שהתרחש בשנת 2020.

מהן התקנות הרלוונטיות לכל אחד ממאגרי המידע?

עבור כל סוג מאגר המידע, קיימת רמת אבטחה אשר מתאימה לו ונקבעת לפי קריטריונים מוגדרים. לכל רמת אבטחה, קיימות תקנות בחוק אשר מחייבות את בעל מאגר המידע ליישם אותן בהתאם.

החלוקה לסוגי מאגרי מידע, מאפיינים ורמות אבטחה לפי החוק להגנה על הפרטיות ואבטחת מידע בישראל, תחולק לפי רמות האבטחה הבאות:

  • רמת אבטחה בסיסית: תקנות 1-3
  • רמת אבטחה בינונית: תקנות 1-4
  • רמת אבטחה גבוהה: תקנות 1-20
  • מאגר המנוהל ע"י יחיד: תקנות 1-2

מחקר ופיתוח

ייעוץ במגוון תחומים כולל תכנון, מעבדות מחקר וחדרים נקיים, טכנולוגיות פיתוח, מצגות עסקיות למשקיעים, אסטרטגיה רגולטורית, ניתוח שוק, פרוטוקולי ניסויים קליניים, GLP, GCP, ISO 17025, כיול, CMC, הדרכות מקצועיות.

קרא עוד

תכנון והנדסה

תכנון מפעלים, חדרים נקיים ומעבדות, תיעוד הנדסי, הסמכה, בחירת טכנולוגיה, הנדסת תהליכים וולידציה תוך שילוב של ידע תאורתי, ניסיון פרקטי והבנה מעמיקה של הרגולציה והעקרונות הייחודיים המאפיינים את תעשיית הביומד ובהתאם לעקרונות ה- GxP.

קרא עוד

ייצור ואריזה

מייעצים בתכנון מתקני ייצור, פיתוח והנדסת תהליכי ייצור, בחירת הטכנולוגיה המתאימה ביותר, גמלון תהליכים, העברת טכנולוגיה, GMP, שיפור תהליכים, אופטימיזציה ושיפור ניצולת, הדרכות עובדים וולידציה לציוד, מערכות, תהליכי ייצור וניקיון.

קרא עוד

GXP, איכות וולידציה

מייעצים, מקימים, מלווים ומשדרגים מערכות לניהול איכות מסוגים שונים, מבצעים הדרכות וקורסים GMP, הטמעת עקרונות ה- GxP בחברה, ISO 13485, הבטחת איכות והכנה לביקורות רגולטוריות גלובליות תוך ביצוע ניתוח והערכת סיכונים וולידציה לציוד, מערכות, תוכנה, שיטות בדיקה, תהליכי ייצור וניקיון ועד לעמידה בהצלחה בביקורת.

קרא עוד

רגולציה ורישום

יעוץ רגולטורי ורישום תרופות, אמ"ר, CE Mark, תוספי תזונה וקוסמטיקה בישראל ובעולם, תוך בניית אסטרטגיה רגולטורית חכמה, סיוע בהכנת המסמכים והדרישות באופן מקצועי, בזמן קצר, התוויית המוצר, חיי מדף וגרפיקה, אישורי יבוא ופגישות עם הגופים הרגולטוריים ועד לקבלת אישור.

קרא עוד

תוכנה ומערכות

יעוץ בתחומי הבריאות הדיגיטלית, פיתוח תוכנות ואפליקציות רפואיות בהתאם לדרישות ה- 21CFR part 11/Annex 11/HIPAA/GDPR, ISO 13485/27001/27799, CE marking, Risk Assessment, וריפיקציה וולידציה לתוכנה ומערכות בקרה ועד לקבלת אישור שיווק.

קרא עוד

אילו רמות אבטחה קיימות בחוק להגנה על פרטיות בישראל?

כאמור, לפי החוק להגנה על הפרטיות ואבטחת מידע בישראל, קיימות שלוש רמות אבטחה מרכזיות של מאגרי מידע, כאשר כל רמה מייצגת רמת סיכון שונה וממנה נגזרת רמת אבטחה ופעילויות שיש ליישמן בהתאם.

לשם המחשה, מפתיע לגלות כי רמת אבטחה בינונית (בכפוף לעמידה בקריטריונים נוספים), עשויה לכלול גם סוגי מידע הקשורים במישרין או בעקיפין לתחומי הבריאות וה- Well Being כגון:

  • מידע רפואי
  • מידע גנטי
  • מידע ביומטרי
  • מידע על הרגלי צריכה

כאשר ניגשים לבחון מהי רמת האבטחה אליה בעל מאגר המידע נדרש, מלבד סוג המידע הנאגר, חשוב גם להתמקד במטרה לשמה מאגר המידע קיים, למה הוא משמש, מהו גודלו ומי חשוף אליו.

לדוגמא, ישנם מאגרי מידע רפואי הכוללים מידע על מצבו הנפשי של אדם ומידע ביומטרי. אם מידע זה, כולל רק מידע על מועסקים או ספקים של הבעלים של מאגר המידע, ואם הוא משמש למטרות ניהול העסק, ובהנחה שמידע זה אינו כולל את מידע על צנעת חייו של אדם, מידע גנטי, מידע ביומטרי (למעט מידע על תמונות פנים), תתכן דרישה לעמידה ברמת אבטחה בסיסית ובלבד שגודל מאגר המידע אינו עולה על עשרה אנשים.

רמת האבטחה הגבוהה הנדרשת על פי החוק להגנה על הפרטיות במדינת ישראל, תדרש עבור מאגרי מידע שחלה עליהם רמת אבטחה בינונית ואשר מכילים מידע על יותר מ- 100,000 אנשים או במקרים בהם מספר בעלי ההרשאה למידע זה, עולה על 100.

הסמכה לתקן ISO 27001, ISO 27017 ו- ISO 27799

מלבד החוקים להגנה על חיסיון מידע של מטופלים, קיימים תקני ISO בינלאומיים אשר עוסקים בהסמכת חברות לעמידה בתקנים אלה ומשמשים כדרישה רגולטורית של רשויות בריאות בעולם כולו ואף גם מדרשות ע"י משרד הבריאות הישראלי.

תקן ה- ISO 27001 הנו תקן העוסק  בניהול מערכות מידע בארגון ומגדיר את הדרישות שיש ליישם על מנת לתפעל, לבקר ולתחזק מערכת לניהול מידע.

לעומת תקן ISO 27001, תקן ISO 27017 דומה לו ומכסה את אותם הנושאים, רק בעבור מאגרי מידע שממוקמים על תשתיות ענן למיניהן כגון Microsoft Azure, Google cloud, Amazon AWS ודומיהם.

תקן ISO 27799 , גם הוא בדומה לתקן ISO 27701 עוסק בניהול מערכות מידע רפואי עבור נותני שירותים רפואיים כגון ארגוני רפואה, בתי חולים, מרפאות וכל גורם אשר עובד ו/או חשוף למאגרי מידע רפואיים של מטופלים.

מהם המסמכים הנדרשים למאגר מידע בריאותי לפי חוק ההגנה על הפרטיות?

להלן דוגמאות לחלק מהנהלים והדרישות הרלוונטיים אשר בעל מאגר מידע רפואי נדרש להן, כחלק מעמידה בחוק להגנת הפרטיות בישראל:

  • הגדרות מאגר המידע הרפואי
  • מטרות השימוש במאגר המידע הרפואי
  • סוגי המידע הרפואי הכלולים במאגר המידע
  • האם נעשה שימוש במידע הרפואי מחוץ למדינת ישראל? אם כן- היכן ולאילו מטרות?
  • סוגי עיבוד המידע הרפואי המבוצעים על מאגר המידע
  • מסמך ניתוח סיכונים והערכת סיכוני אבטחת מידע
  • סקר סיכונים
  • מענה לכל הסיכונים בעלי רמת סיכון המצריכים טיפול
  • נושא משרה של ממונה אבטחת מידע בארגון
  • כתיבת נוהל אבטחת מידע
  • הכנסת אמצעי זיהוי ואימות כניסה למאגר המידע
  • ניהול וניטור לוג כניסות למאגר המידע
  • כתיבת נוהל ביקורות אבטחה תקופתית
  • כתיבת נהלי גיבוי ואחזור מידע
  • כתיבת נהלי Disaster recovery
  • מיפוי מערכות מאגר המידע
  • מערכות תשתית, חומרה ורכיבי תקשורת מתאימים
  • תוכנות וממשקים מתאימים
  • ביצוע מבדקי חדירות לתוכנה הרפואית
  • אבטחה פיזית וסביבתית של החברה ומאגר המידע
  • ניהול סיכונים הנובעים מכוח אדם, בחירתו והתאמתו לעבודה הכרוכה בחשיפה למאגרי מידע
  • נוהל הדרכות עובדים
  • מדיניות ניהול הרשאות גישה
  • נהלי זיהוי ואימות משתמשים
  • מדיניות ניהול ושינוי סיסמאות
  • בקרה ותיעוד על גישה ופעולות המבוצעת במאגר המידע
  • טיפול ותיעוד אירועי אבטחה
  • מדיניות שימוש בהתקנים ניידים
  • ניהול ואבטחת מערכות המאגר
  • אבטחת תקשורת
  • בקרה על נותני שירותים ומיקור חוץ
  • ביצוע ביקורות תקופתיות
  • הגדרת משך שמירת נתוני האבטחה
  • אחריות לאבטחת מידע
  • תאימות עם רגולציה ותקנים מקבילים/בינלאומיים

לפרטים נוספים






For further details






מתי יש לעדכן את מסמך הגדרות האבטחה?

אחת לשנה יש לעדכן את מסמך הגדרות האבטחה ובהתאם למקרים ושינויים שהתרחשו על ציר הזמן, לדוגמא:

  • כאשר נעשו שינוי משמעותי באחד הפרמטרים שהוגדרו
  • כאשר בוצעו שינויים טכנולוגיים או ארגוניים
  • במקרים בהם התרחשו אירועי אבטחה באותה התקופה

מאמר זה נכתב ע"י ערן יונה CEO, מומחה GXP וטכנולוגיות יצור

למעלה מ- 20 שנות ניסיון רב-תחומי מתעשיות הפארמה והמדיקל

אנו בחברת Bio-Chem מייעצים כבר יותר מ- 13 שנה לחברות ביו-מד.

לייעוץ בנושא הבריאות הדיגיטלית וחיסיון רפואי, פנו אלינו.

ליצירת קשר לחץ כאן

072-2337710

info@bio-chem.co.il

מאמרים אחרונים

רגולציה ורישום לתמרוקים, מוצרי קוסמטיקה ו-OTC

ה-Food & Drug Administration) FDA) הנו גוף אמריקני אשר אחראי על מתן אישורים לשיווק והפצה של כל מוצרי המזון [...]

לעוד מאמרים שכתבנו עבורך

מזמינים אותך ליצור קשר

צור קשר