חוק הגנת הפרטיות ואבטחת מידע רפואי

חוק הגנת הפרטיות ואבטחת מידע רפואי

מהי אבטחת מידע רפואי?

אבטחת מידע רפואי, עוסקת בהגנה על חיסיון המידע, אמינותו ושלמותו במטרה לנקוט בפעולות המתאימות וכך לוודא כי לא תתרחש זליגה של מידע רפואי על מטופלים ו/או יבוצעו שימוש או העתקה של מסדי נתונים על מטופלים, באמצעות גורמים שאינם מורשים לכך. בישראל, אבטחת מידע רפואי מבוצעת על סמך החוק להגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע), תשע”ז-2017.

כמובן שאבטחת מידע רפואי נאכפת גם במדינות אחרות כגון ארה”ב ואירופה, ומכוסה ע”י דרישות הרגולציה של ה- HIPAA וה- GDPR בהתאמה. על כן, חברות ישראליות אשר פעילות בשווקים אלה, בנוסף לעמידה בתקנות בחוק להגנה על פרטיות, אמורות לעמוד בהצלחה גם בדרישות הרגולטוריות המקבילות במדינות היעד.

 

על מי חלות תקנות להגנה על פרטיות?

התקנות בחוק להגנה על פרטיות בכלל ועל חיסיון מידע רפואי של מטופלים בפרט, חלות על המשק בישראל בכללותו, ובין היתר גם על חברות תרופות, מכשור רפואי, מוסדות רפואה ומרפאות, חברות מתחום הבריאות הדיגיטלית, התוכנה הרפואית ואפליקציות סלולאריות רפואיות ואחרות, אשר עושות שימוש ו/או אוגרות מידע רפואי ו/או מנהלות מאגרי מידע על מטופליהן או לקוחותיהן.

כאמור, ישראל אינה המדינה היחידה אשר חוקקה תקנות בנושא הגנה על פרטיות וחיסיון מידע רפואי וניתן להוסיף ולומר כי היא יחסית “משתרכת מאחור” ביחס לדרישות ה- HIPAA וה- SOC2 בארה”ב וה- GDPR באירופה ובמיוחד לאחר יישום תקנות לשעת חירום אשר אושרו כחלק מההתמודדות עם משבר הקורונה העולמי שהתרחש בשנת 2020.

 

מהן התקנות הרלוונטיות לכל אחד ממאגרי המידע?

עבור כל סוג מאגר המידע, קיימת רמת אבטחה אשר מתאימה לו ונקבעת לפי קריטריונים מוגדרים. לכל רמת אבטחה, קיימות תקנות בחוק אשר מחייבות את בעל מאגר המידע ליישם אותן בהתאם. החלוקה לסוגי מאגרי מידע, מאפיינים ורמות אבטחה לפי החוק להגנה על הפרטיות ואבטחת מידע בישראל, תחולק לפי רמות האבטחה הבאות:

  • רמת אבטחה בסיסית: תקנות 1-3
  • רמת אבטחה בינונית: תקנות 1-4
  • רמת אבטחה גבוהה: תקנות 1-20
  • מאגר המנוהל ע”י יחיד: תקנות 1-2

 

אילו רמות אבטחה קיימות בחוק להגנה על פרטיות בישראל?

כאמור, לפי החוק להגנה על הפרטיות ואבטחת מידע בישראל, קיימות שלוש רמות אבטחה מרכזיות של מאגרי מידע, כאשר כל רמה מייצגת רמת סיכון שונה וממנה נגזרת רמת אבטחה ופעילויות שיש ליישמן בהתאם. לשם המחשה, מפתיע לגלות כי רמת אבטחה בינונית (בכפוף לעמידה בקריטריונים נוספים), עשויה לכלול גם סוגי מידע הקשורים במישרין או בעקיפין לתחומי הבריאות וה- Well Being כגון:

  • מידע רפואי
  • מידע גנטי
  • מידע ביומטרי
  • מידע על הרגלי צריכה

 

כאשר ניגשים לבחון מהי רמת האבטחה אליה בעל מאגר המידע נדרש, מלבד סוג המידע הנאגר, חשוב גם להתמקד במטרה לשמה מאגר המידע קיים, למה הוא משמש, מהו גודלו ומי חשוף אליו.

לדוגמא, ישנם מאגרי מידע רפואי הכוללים מידע על מצבו הנפשי של אדם ומידע ביומטרי. אם מידע זה, כולל רק מידע על מועסקים או ספקים של הבעלים של מאגר המידע, ואם הוא משמש למטרות ניהול העסק, ובהנחה שמידע זה אינו כולל את מידע על צנעת חייו של אדם, מידע גנטי, מידע ביומטרי (למעט מידע על תמונות פנים), תתכן דרישה לעמידה ברמת אבטחה בסיסית ובלבד שגודל מאגר המידע אינו עולה על עשרה אנשים.

רמת האבטחה הגבוהה הנדרשת על פי החוק להגנה על הפרטיות במדינת ישראל, תדרש עבור מאגרי מידע שחלה עליהם רמת אבטחה בינונית ואשר מכילים מידע על יותר מ- 100,000 אנשים או במקרים בהם מספר בעלי ההרשאה למידע זה, עולה על 100.

 

הסמכה לתקן ISO 27001, ISO 27017 ו- ISO 27799

מלבד החוקים להגנה על חיסיון מידע של מטופלים, קיימים תקני ISO בינלאומיים אשר עוסקים בהסמכת חברות לעמידה בתקנים אלה ומשמשים כדרישה רגולטורית של רשויות בריאות בעולם כולו ואף גם מדרשות ע”י משרד הבריאות הישראלי. תקן ה- ISO 27001 הנו תקן העוסק בניהול מערכות מידע בארגון ומגדיר את הדרישות שיש ליישם על מנת לתפעל, לבקר ולתחזק מערכת לניהול מידע.

לעומת תקן ISO 27001, תקן ISO 27017 דומה לו ומכסה את אותם הנושאים, רק בעבור מאגרי מידע שממוקמים על תשתיות ענן למיניהן כגון Microsoft Azure, Google cloud, Amazon AWS ודומיהם. תקן ISO 27799 , גם הוא בדומה לתקן ISO 27701 עוסק בניהול מערכות מידע רפואי עבור נותני שירותים רפואיים כגון ארגוני רפואה, בתי חולים, מרפאות וכל גורם אשר עובד ו/או חשוף למאגרי מידע רפואיים של מטופלים.

 

מהם המסמכים הנדרשים למאגר מידע בריאותי לפי חוק ההגנה על הפרטיות?

להלן דוגמאות לחלק מהנהלים והדרישות הרלוונטיים אשר בעל מאגר מידע רפואי נדרש להן, כחלק מעמידה בחוק להגנת הפרטיות בישראל:

  • הגדרות מאגר המידע הרפואי
  • מטרות השימוש במאגר המידע הרפואי
  • סוגי המידע הרפואי הכלולים במאגר המידע
  • האם נעשה שימוש במידע הרפואי מחוץ למדינת ישראל? אם כן – היכן ולאילו מטרות?
  • סוגי עיבוד המידע הרפואי המבוצעים על מאגר המידע
  • מסמך ניתוח סיכונים והערכת סיכוני אבטחת מידע
  • סקר סיכונים
  • מענה לכל הסיכונים בעלי רמת סיכון המצריכים טיפול
  • נושא משרה של ממונה אבטחת מידע בארגון
  • כתיבת נוהל אבטחת מידע
  • הכנסת אמצעי זיהוי ואימות כניסה למאגר המידע
  • ניהול וניטור לוג כניסות למאגר המידע
  • כתיבת נוהל ביקורות אבטחה תקופתית
  • כתיבת נהלי גיבוי ואחזור מידע
  • כתיבת נהלי Disaster recovery
  • מיפוי מערכות מאגר המידע
  • מערכות תשתית, חומרה ורכיבי תקשורת מתאימים
  • תוכנות וממשקים מתאימים
  • ביצוע מבדקי חדירות לתוכנה הרפואית
  • אבטחה פיזית וסביבתית של החברה ומאגר המידע
  • ניהול סיכונים הנובעים מכוח אדם, בחירתו והתאמתו לעבודה הכרוכה בחשיפה למאגרי מידע
  • נוהל הדרכות עובדים
  • מדיניות ניהול הרשאות גישה
  • נהלי זיהוי ואימות משתמשים
  • מדיניות ניהול ושינוי סיסמאות
  • בקרה ותיעוד על גישה ופעולות המבוצעת במאגר המידע
  • טיפול ותיעוד אירועי אבטחה
  • מדיניות שימוש בהתקנים ניידים
  • ניהול ואבטחת מערכות המאגר
  • אבטחת תקשורת
  • בקרה על נותני שירותים ומיקור חוץ
  • ביצוע ביקורות תקופתיות
  • הגדרת משך שמירת נתוני האבטחה
  • אחריות לאבטחת מידע
  • תאימות עם רגולציה ותקנים מקבילים/בינלאומיים

 

מתי יש לעדכן את מסמך הגדרות האבטחה?

אחת לשנה יש לעדכן את מסמך הגדרות האבטחה ובהתאם למקרים ושינויים שהתרחשו על ציר הזמן, לדוגמא:

  • כאשר נעשו שינוי משמעותי באחד הפרמטרים שהוגדרו
  • כאשר בוצעו שינויים טכנולוגיים או ארגוניים
  • במקרים בהם התרחשו אירועי אבטחה באותה התקופה

תוכן עניינים

שתפו את המאמר