פרטיות קליניתפרטיות קליניתעו״ד צילה לביא

איזו רמת אבטחה חלה על המרפאה שלי - ומה נדרש ממני לעשות בכל רמה?

​תקנות אבטחת מידע (או בשמן המלא - תקנות הגנת הפרטיות (אבטחת מידע), תשע"ז-2017), מחייבות כל מרפאה לפעול לפי רמת אבטחה מוגדרת. רמת האבטחה שתחול על מרפאתך תלויה בסוג המידע שאת מחזיקה ובמספר האנשים שיש להם גישה אליו. לרוב, מרפאות קטנות ובינוניות יסווגו ברמת אבטחה בסיסית או בינונית, וניהול נכון של הרשאות הגישה לצוות יכול לקבוע לאיזו מהן תשתייכי.

מאת עו״ד צילה לביא

מה זה "רמת אבטחה" ולמה זה רלוונטי?

רמות אבטחה מסווגות את רמות הסיכון לפרטיות המידע שבמאגר, לפי קריטריונים המוגדרים בתקנות אבטחת מידע. התקנות קובעות שכל גוף שמחזיק מאגר מידע - כולל מרפאות פרטיות – נדרש לנקוט בפעולות מסוימות להגנה על המידע שברשותו, בהתאם לרמת הסיכון שכרוך בו לפרטיות המידע.

הלוגיקה פשוטה: ככל שמאגר המידע מכיל מידע רב יותר ורגיש יותר, כך גדל הסיכון לחשיפת המידע הרפואי שהוא מכיל, ולכן הוא יסווג ברמת אבטחה גבוהה יותר, וכפועל יוצא מכך, יידרש לעמוד בחובות רבות יותר.

ככלל, כל מרפאה פעילה מחזיקה מאגר מידע שמכיל מידע רפואי אשר נחשב "מידע רגיש" לפי החוק, ולכן, הוא יסווג כמאגר ברמת אבטחה בינונית. אולם, אם הגישה למידע הרפואי מוגבלת לעשרה אנשים או פחות, הסיכון לחשיפת המידע קטן, ועל כן הוא יסווג ברמת אבטחה נמוכה יותר, ויידרש לעמוד בפחות חובות.

מה רמת האבטחה של מאגר המידע במרפאה שלי?

לצורך סיווג המאגר צריך לענות על שתי שאלות עיקריות.

שאלה ראשונה: מה סוג המידע שיש לי?

אם המאגר מכיל מידע רפואי על מטופלים - התשובה ברורה: יש לך מידע רגיש. זה חל על כל מרפאה שמנהלת רשומות רפואיות, מחזיקה צילומים, ממצאי בדיקות, או כל תיעוד אחר שקשור למצבו הרפואי של המטופל.

שאלה שנייה: לכמה אנשים יש גישה למידע הזה?

הכוונה לכל מי שיש לו גישה בפועל למידע מהמאגר, בין אם אלה הרופאים, המנהלת אדמינסטרטיבית או הסייעת.

מרפאה עם 10 בעלי הרשאת גישה למידע או פחות - רמה בסיסית

אם את מחזיק מידע רפואי במרפאה, אבל המידע נגיש לעשרה אנשים או פחות - חלה עליך רמת אבטחה בסיסית. זה נכון לגבי קליניקה של רופא יחיד, אך גם למרפאות בינוניות, בהן הרשאות הגישה לצוות מצומצמות ומוגדרות היטב.

יש לי מאגר מידע ברמת אבטחה בסיסית, מה אני צריכה לעשות?

• כתיבת מסמך הגדרות המאגר: מסמך מקיף המתאר את מאגר המידע, איזה מידע נשמר בו, איך המידע נאסף, מה השימוש שנעשה במידע ולאילו מטרות, למי המידע נמסר, וכן הלאה.

• כתיבת נוהל אבטחה: מסמך מדיניות שמחייב את כל עובדי המרפאה, וכולל בין השאר הוראות לגבי האבטחה הפיזית של המחשבים במרפאה, פירוט הרשאות הגישה למידע, נהלים לשימוש במכשירים ניידים, תיאור הסיכונים למאגר המידע ואופני ההתמודדות עמם.

• מיפוי מערכות: רשימה מעודכנת של כל מערכות החומרה והתוכנה שמשמשות את המאגר - כולל שרתים, תחנות עבודה, תוכנות שבשימוש יומיומי, ותרשים הרשת.

• אבטחה פיזית: נקיטת אמצעים להגנה על מערכות המאגר מפני סיכונים פיזיים כמו גניבה, השחתה, שריפות או הצפות.

• ניהול הרשאות גישה: גישה למידע הרפואי, תינתן לעובד רק לאחר שאמינותו נבחנה ונמצאה מספקת, ולאחר שהעובד עבר הדרכה בנוגע לחובת הסודיות ונהלי האבטחה של המרפאה. הגישה למידע תינתן רק במידה הנדרשת לעובד לצורך ביצוע עבודתו, והיא תתועד ברשימת הרשאות, ותבוטל בסיום תפקידו.

• תיעוד אירועי אבטחה: כל אירוע שבו נעשה שימוש במידע ללא הרשאה, או שמעלה חשש לשלמות המידע, חייב להיות מתועד.

• הגבלת התקנים ניידים: צמצום השימוש במכשירים ניידים כמו: טלפון, לפ-טופ או דיסק-און-קי, למינימום ההכרחי, תוך שימוש באמצעי הגנה מספקים על המידע שהועתק למכשיר הנייד.

• אבטחת מערכות מאגר המידע: שימוש בתוכנות חוקיות ועדכונן השוטף. אם ניתן, יש להפריד בין המחשבים והתיקיות בהם נשמר המידע הרפואי, לשאר המידע הממוחשב של המרפאה.

• אבטחת תקשורת: שימוש ועדכון אנטי-וירוס וחומת אש במחשבי המרפאה, וכן שימוש בזיהוי דו-שלבי בהתחברות מרחוק למאגר המידע של המרפאה.

• התקשרות בטוחה עם ספקים חיצוניים: כל ספק המקבל גישה למידע של המרפאה, נדרש להתחייב בהסכם לשמור על סודיות המידע, וליישם אמצעי אבטחה כנדרש בתקנות.

מרפאה עם 11 בעלי הרשאות גישה למידע או יותר - רמה בינונית

אם מספר העובדים שיש להם גישה למידע הרפואי עולה על עשרה - חלה עליך רמת אבטחה בינונית. ברמה הבינונית ממשיכות לחול אותן חובות החלות על מאגרי מידע ברמה הבסיסית, אך מתווספות אליהן חובות נוספות.

מה מתווסף ברמה בינונית?

• בקרה ותיעוד של כניסות ויציאות מהמרפאה ואליה, וכן של הוצאת והכנסת ציוד המכיל מידע רפואי.

• בקרה ותיעוד אוטומטי של הרשאות הגישה: מנגנון המתעד באופן אוטומטי כל גישה למידע המצוי במחשבי המרפאה או בתוכנות בהן היא משתמשת. על התיעוד לציין מי ניגש, מתי, לאיזה חלק במערכת, והאם הגישה אושרה. יש לשמור את התיעוד למשך 24 חודשים לפחות.

• זיהוי ואימות עובדים מוגבר: הזיהוי צריך להתבסס ככל האפשר על אמצעי פיזי שנתון לשליטתו הבלעדית של העובד (כמו כרטיס חכם, צילום פנים או טביעת אצבע). אם נעשה שימוש בסיסמאות, על נוהל האבטחה לכלול הוראות לגבי חוזק הסיסמה, מספר ניסיונות כושלים מותרים, תדירות החלפה, וניתוק אוטומטי לאחר חוסר פעילות.

• הדרכות תקופתיות: על כל עובד חדש לעבור הדרכה (ולאחר מכן לפחות אחת לשנתיים) בנוגע לחובת הסודיות המוטלת עליו, נהלי האבטחה של המרפאה ותחומי אחריותו בהקשר זה.

• דיון שנתי באירועי אבטחה: פעם בשנה לפחות, יש לדון באירועי האבטחה שהתרחשו במרפאה, ובהתאם לכך לבחון את הצורך בעדכון נוהלי האבטחה.

• ביקורת תקופתית: אחת לשנתיים לפחות, יש לערוך ביקורת כדי לוודא את עמידת המרפאה בתקנות אבטחת מידע, על ידי גורם מוסמך שאינו ממונה האבטחה של המרפאה.

• גיבוי: יש לגבות בצורה מאובטחת, כל מידע שנדרש לתעד על פי התקנות.

ניהול הרשאות נכון יכול לחסוך לך עלויות

בעלי מרפאות רבים אינם מודעים לכך, שהמעבר בין רמה בסיסית לבינונית אינו תלוי רק בגודל הצוות, אלא במספר העובדים שיש להם גישה בפועל למידע הרפואי. לכן, ניהול נכון של הרשאות הגישה למידע הרפואי, יכול להפחית את החובות המוטלות עליך, ולחסוך לך עלויות משמעותיות.

לדוגמה: מרפאת שיניים המעסיקה 11 עובדים שלכולם יש גישה למערכת הניהול, כולל הרשומות הרפואיות – תסווג ברמת אבטחה בינונית. אבל אם אחת העובדות היא חשבת שכר שמטפלת אך ורק בנתוני שכר, אין לה צורך במידע רפואי, ואין סיבה שתהיה לה גישה לרשומות הרפואיות. אם מבטלים את הגישה שלה למידע הרפואי – רמת האבטחה של המאגר יורדת לרמה בסיסית, וכך נחסך הצורך להפעיל אמצעי אבטחה נוספים שאינם הכרחיים.

המסקנה: כדאי לבחון מי באמת זקוק לגישה למידע הרפואי, ולהגביל את ההרשאות רק לעובדים שהמידע נחוץ להם לביצוע עבודתם. גישה כזו תבטיח לך סודיות לצד חיסכון.

מתי חלה רמת האבטחה הגבוהה?

רמת אבטחה גבוהה חלה בדרך כלל על מוסדות רפואיים גדולים המעסיקים יותר מ-100 עובדים, או שמחזיקים מידע על 100,000 מטופלים ויותר.

על מאגר מידע ברמת אבטחה גבוהה חלות חובות נוספות, וביניהן החובה לערוך סקר סיכוני אבטחה, מבדקי חדירות, ולדון באירועי אבטחה אחת לשלושה חודשים.

השוואה: רמה בסיסית מול רמה בינונית

דרישהבסיסית (עד 10 בעלי הרשאה)בינונית (11+ בעלי הרשאה)
מסמך הגדרות מאגרכןכן
נוהל אבטחהכןכן
מיפוי מערכותכןכן
ניהול הרשאות גישהכןכן
זיהוי ואימות (סיסמאות)כןכן
תיעוד אירועי אבטחהכןכן
הגבלת התקנים ניידיםכןכן
אבטחת תקשורתכןכן
בדיקת ספקים חיצונייםכןכן
בקרה ותיעוד גישה למערכותלאנדרש תיעוד אוטומטי + שמירה 24 חודש
זיהוי מוגברלאנדרש אמצעי פיזי + הנחיות סיסמה מחמירות
תיעוד כניסות ויציאות פיזיותלאכן
הדרכות תקופתיות לצוותלאאחת לשנתיים
ביקורת תקופתית חיצוניתלאאחת לשנתיים
דיון באירועי אבטחהלאאחת לשנה

שאלות נפוצות

יש לי מרפאה קטנה – רק רופאה אחת ומזכירה, האם חלות עלי התקנות?

כן. תקנות אבטחת מידע חלות על כל גוף שמחזיק מידע אישי - ללא קשר לגודל המרפאה. גם מרפאה קטנה שמחזיקה רשומות רפואיות ממוחשבות מחזיקה מאגר מידע בעל מידע רגיש, ועליה חלות לפחות חובות רמת האבטחה הבסיסית. יחד עם זאת, הגודל הקטן הוא יתרון - הוא מצמצם את הסיכון לחשיפת המידע הרפואי, ולכן יחולו עליך פחות חובות.

כל כמה זמן צריך לעדכן את המסמכים?

מסמך הגדרות המאגר ונוהל האבטחה צריכים להיבדק אחת לשנה, ולהתעדכן אם חל שינוי משמעותי - כגון שינוי טכנולוגי, שינוי ארגוני, או אירוע אבטחה. אם מאגר המידע מסווג ברמה הבינונית, יש לדון באירועי אבטחה אחת לשנה. לכן מדובר בתהליך שוטף ולא בפרויקט חד-פעמי.

מה יכול לקרות אם אני לא עומדת בתקנות?

התקנות נועדו לצמצם את הסיכון לחשיפת המידע. אם לא תפעלי על פי התקנות והסכנות יתממשו, סודיות המטופלים תפגע ואת תהיי חשופה לתביעות בסכומים של מאות אלפי שקלים, לפגיעה במוניטין ולנזקים כלכליים. אולם גם אם הסכנות לא תתממשנה, והמידע לא ייחשף, עצם אי-עמידתך בתקנות חושף אותך לעיצומים כספיים מטעם הרשות להגנת הפרטיות, שעשויים להגיע לעשרות ואף מאות אלפי שקלים, בהתאם לחומרת ההפרה והסיכון הכרוך בה.

האמור אינו ייעוץ משפטי. לייעוץ בנושא הגנת הפרטיות, פני לעו"ד צילה לביא בדוא"ל tzila@tzilalaw.com

מאמרים נוספים