כיצד אתם שומרים על הפרטיות של מטופליכם?

עודד ברקוביץ’, הבעלים של חברת BO Consulting, מסביר אודות תקנות הגנת הפרטיות שנכנסו לתוקף לפני כשלושה חודשים ומוטלות על כל גורם המנהל או מעבד מאגר של מידע אישי, לרבות מגזר המטפלים. מילוי התקנות הינו חובה ולא רשות, ובשל מורכבותן מומלץ שלא לקחת את הסיכון ולבצען באופן עצמאי, אלא רק באמצעות איש מקצוע מנוסה.

מהן תקנות הגנת הפרטיות?

“תקנות הגנת הפרטיות (אבטחת מידע)”, התשע”ז-2017, הינן למעשה הרחבה של “חוק הגנת הפרטיות”, תשמ”א-1981. התקנות מפרטות את אופן יישומה של חובת אבטחת המידע, המוטלת בחוק הגנת הפרטיות הישראלי על כל גורם המנהל או מעבד מאגר של מידע אישי. התקנות פורסמו לראשונה במאי 2017 ונכנסו לתוקף ב-8 במאי 2018.

התקנות החדשות חלות באופן גורף ומחייב על כל פעילות של עיבוד מידע אישי המתקיימת באופן פרטי וציבורי בכל מגזרי המשק. על כן הן עוצבו במתכונת מודולארית, המכילה חובות ברמה הולכת וגדלה לפי רמת הסיכון שיוצרת פעילות עיבוד המידע בארגון”.

האם עמידה בדרישות התקנות בישראל מקיימת גם את דרישות ה-GDPR (רגולציית הגנת הפרטיות האירופית)?

“מדובר בסט תקנות נפרד, כך שעמידה בתקנות הישראליות אינה מהווה בהכרח עמידה בדרישות ה-GDPR. לעניין הדין הזר, יש לקבל ייעוץ מקצועי ממומחה הבקיא בנושא”.

מהו “מידע רגיש” עפ”י התקנות?

“ראשית נקדים הסבר בנוגע להגדרתו של “מאגר מידע” לפי חוק הגנת הפרטיות; “אוסף נתוני מידע, המוחזק באמצעי מגנטי או אופטי והמיועד לעיבוד ממוחשב”. בהקשר זה החוק מסייג מההגדרה שני יוצאי דופן: הראשון – “אוסף לשימוש אינו שאינו למטרות העסק”, והשני – “אוסף הכולל רק שם, מען ודרכי התקשרות, שכשלעצמו אינו יוצר אפיון שיש בו פגיעה בפרטיות לגבי בני האדם ששמותיהם כלולים בו, ובלבד שלבעל האוסף או לתאגיד בשליטתו אין אוסף נוסף”.

“החוק במקרה זה מתייחס רק למידע ממוחשב שסיכוניו שונים מסיכונים הקשורים למידע פיזי – תיקים, קלסרים וכו’. קל יותר לפרוץ למחשב ולגנוב ממנו מידע על מאות מטופלים, ובשבריר שנייה להעבירו בו זמנית לעשרות שרתים או חשבונות דואר אלקטרוני בכל מקום בעולם, מאשר לפרוץ לארון מסמכים במשרד, לצלם את אלפי העמודים עשרות פעמים ולשלוח אותם לאותם נמענים.

“כמו כן, “חוק הגנת הפרטיות” קובע כי מידע רגיש הוא “נתונים על אישיותו של אדם, צנעת אישיותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו”. הרשימה אינה סופית והחוק מתיר לשר המשפטים להוסיף פרטים בצו, באישור ועדת החוקה, חוק ומשפט. להלן רשימת המאפיינים הקבועים בתקנות הנוכחיות:

• מידע על צנעת חייו האישיים של אדם, לרבות התנהגותו ברשות היחיד;
• מידע רפואי או מידע על מצבו הנפשי של אדם;
• מידע גנטי כהגדרתו בחוק מידע גנטי, התשס”א-2000;
• מידע על אודות דעותיו הפוליטיות או אמונותיו הדתיות של אדם;
• מידע על אודות עברו הפלילי של אדם;
• נתוני תקשורת כהגדרתם בחוק סדר הדין הפלילי (סמכויות אכיפה – נתוני תקשורת), התשס”ח-2007;
• מידע ביומטרי;
• מידע על נכסיו של אדם, חובותיו והתחייבויותיו הכלכליות, מצבו הכלכלי או שינוי בו, יכולתו לעמוד בהתחייבויותיו הכלכלית ומידת עמידתו בהן;
• הרגלי צריכה של אדם שיש בהם כדי ללמד על מידע לפי פרטים (א) עד (ז) או על אישיותו של אדם, אמונתו או דעותיו.

גם במידה והמידע המפורט מעלה נאסף ממקורות מידע פומביים, אין כדי להפחית מרגישותו. כמו כן, ישנם חריגים נוספים שלא נכללים ברשימה, אשר גם לגביהם חלה חובת ההגנה, כגון: מספר תעודת זהות של אדם, מצבו האישי, הכשרתו המקצועית, מידע המשמש לצורכי דיוור ישיר”.

האם איסוף של פרטי שם, טלפון וכתובת דואר אלקטרוני בלבד, לצורך שליחת ניוזלטר, נכנס אף הוא תחת תקנות הגנת הפרטיות?

“רישום של שם מלא, טלפון וכתובת דוא”ל שנמצאים יחד לא נחשבים כמידע שיש להגן עליו. הוספת מספר תעודת זהות הופכת את הרשימה למאגר שיש להגן עליו. כמו כן, העובדה שהמידע נאסף לצורך דיוור ישיר (ניוזלטר) משנה את התייחסותו של החוק כלפי המאגר ומצריכה אותנו בבדיקה מעמיקה. האם המטרה שלשמה האנשים מסרו את המידע אכן הולמת את השימוש שנעשה בו בפועל? אם לצורך העניין אספתי מידע על פלוני והוא מטופל שלי, ויידעתי אותו שאני אוסף את המידע עליו כדי לשלוח לו מדריך על התמודדות עם מצבי לחץ, אז אין במידע זה רגישות. אולם, אם אני לוקח את אותם פרטים של פלוני ושל רבים כמותו, שאינם מטופלים שלי או שהיו מטופלים בעבר, ומעביר את המידע למערכת לדיוור ישיר, המשגרת דואר אלקטרוני אוטומטי בתפוצה רחבה של ניוזלטר בנושאי חדשנות בעולם הטיפול – אני למעשה משנה את המטרה שלשמה נאסף המידע ועושה שימוש במידע שמסר לי המטופל כך שאינו תואם להסכמה שניתנה לי על ידו מלכתחילה.

“כדי לשלוח ניוזלטר ולעמוד בחוק, יש לבצע שתי פעולות – האחת, לקבל את הסכמתו של אדם לכלול אותו ברשימת דיוור ישיר, והשנייה, להגן על מידע זה עפ”י מסגרת התקנות. חובת ההגנה תחול הן על בעל המאגר (המטפל) והן על הגורם שמחזיק במאגר (הגוף שעוסק במתן שירותי דיוור ישיר). חשוב לציין שישנן הנחיות נוספות ביחס לעמידה בדרישות החוק לגבי דיוור ישיר. נושאים משפטיים העוסקים בדיוור ישיר מתייחסים בחלקם גם להיבטים חוקיים החורגים ממסגרת תקנות הגנת הפרטיות החדשות, והמקבלים התייחסות בתיקון שהוכנס ל”חוק הגנת הפרטיות” בשנת 1996″.

אם כך, מהו התהליך שיש לבצע כדי להגן על המידע?

“על מנת לפשט עד כמה שניתן את התהליך חילקתי אותו למספר שלבים –

1. לערוך מיפוי של כל סוגי המידע שזורמים פנימה לתוך העסק;
2. לברר היכן נשמר כל המידע שנכנס אלינו ובודקים האם הוא אכן מוגדר כמידע שיש להגן עליו על פי התקנות החדשות;
3. יש לערוך בירור דומה לגבי מידע בבעלותנו ומועבר לאחר (מחזיק המאגר) – למשל: מערכת לניהול מאגר מטופלים, גורם שמספק שירותי ענן לאחסון מידע. במידה ויש לנו מרפאה עם עובדים, מידע שנאסף על העובדים ומועבר לספק חיצוני לצורך חישוב של נתוני שכר והפקדות סוציאליות – מוגדר אף הוא כמידע שיש לקחת בחשבון בתהליך הבירור. יש לקחת בחשבון מידע זה גם אם לא היה מועבר לספק חיצוני.
4. תקנה 2 מגדירה כי הדרישה המינימלית שיש לעמוד בה היא להחזיק מסמך הנקרא “מסמך הגדרות המאגר”, הכולל התייחסות לנושאים הבאים:
   • תיאור כללי של פעולות האיסוף והשימוש במידע;
   • תיאור מטרות השימוש במידע;
   • סוגי המידע השונים הכלולים במאגר;
   • האם המידע מועבר על ידי לחו”ל?
   • האם נעשות פעולות עיבוד במידע על ידי אחר – קבלן חיצוני שאינו בעל המאגר או רשאי לעשות בו שימוש בעבור בעל המאגר?
   • מהם הסיכונים העיקריים של פגיעה באבטחת המידע?
   • איך בכוונתי להתמודד עם סיכונים אלה, אם יתרחשו?
   • פרטי בעל המאגר, מחזיק המאגר וכו’.
5. תקנה 4 קובעת כי מרמת האבטחה הבסיסית ומעלה יש להחזיק “נוהל אבטחה” – במסמך זה נדרש להתייחס לכל הפחות לנושאים הבאים:
   • אבטחה פיזית וסביבתית של אתרי המאגר;
   • הרשאות גישה למאגר המידע ולמערכות המאגר;
   • תיאור של האמצעים שמטרתם הגנה על מערכות המאגר ואופן הפעלתם;
   • הוראות למורשי הגישה למאגר המידע ולמערכות המאגר;
   • הסיכונים שחשוף להם המידע שבמאגר במסגרת הפעילות השוטפת של בעל מאגר המידע ואופן הטיפול בהם.

עד כאן החלק הפורמאלי שהחוק מחייב לבצעו, לתעדו ולעדכנו לפחות אחת לשנה. החלק השני הינו יישום בפועל של האמור בשני המסמכים “מסמך סיווג מאגר” ו”נוהל האבטחה”.

מי מוסמך לבצע את הייעוץ וביקורות בנושא ומטעם מי?

“רמת המומחיות הנדרשת חייבת להיות תואמת את הרגישות, המורכבות והיקף הנתונים שבידי הארגון, בהתאם למקובל. לדוגמה, כאשר פעילות הארגון מורכבת במיוחד ונגזרות ממנה מערכות מידע מורכבות, הכשרה מתאימה ראוי שתממש רמה גבוהה יותר של מומחיות וניסיון מקצועי. היקף המיומנות נגזר מגודל המשימה. לגופו של עניין, הכשרה מתאימה ראוי שתכלול גם שליטה בדרישות החוק והתקנות בישראל לעניין הגנת הפרטיות ואבטחת המידע, היכרות עם האופי העסקי של המגזר בו הלקוח פועל, ובהשלכה של זה על מערכות המידע, ניסיון והכשרה במערכות מידע, ובפרט ביישום אבטחת מידע.

“ההכשרה והניסיון בנושאים אלו יהיו בהתאמה לרגישות המידע ומורכבות המערכות באופן שיאפשר לאדם לבצע את תפקידו לבחון נהלים, להעריך סיכונים, לזהות ליקויים, ולהציע אמצעים לתיקונם. הרשות להגנת הפרטיות איננה מסמיכה גורמים מקצועיים בתחום אבטחת מידע. במידה ולא קיים אדם בעל הכשרה מתאימה בבית העסק, גורמים כגון אלו קיימים בשוק וניתן לשכור את שירותיהם”.

מי הגורם האוכף את יישום התקנות?

“הרשות להגנת הפרטיות (לשעבר רמו”ט) היא רשות אכיפה ורגולציה שתפקידה להגן על פרטיות המידע האישי במרחב הדיגיטלי בארגונים מסחריים, בעסקים, במשרדי הממשלה וברשויות ציבוריות. בנוסף לאכיפה מנהלית הרשות להגנת הפרטיות מוסמכת לחקור גם חקירות פליליות, שבסופן מועבר תיק החקירה לפרקליטות המדינה להגשת כתבי אישום. יחידת האכיפה ברשות להגנת הפרטיות אמונה על טיפול בהפרות של חוק הגנת הפרטיות”.

מי חייב בהן?

“כל גורם המנהל או מעבד מאגר של מידע אישי. התקנות בעצם חלות על כל המשק הישראלי – עצמאי, עוסק פטור, עוסק מורשה, חברה, גוף ציבורי וכו’, ובלבד שהוא מחזיק או בעל מאגר מידע שיש להגן עליו על פי החוק. למעשה מדובר ברצף ארוך מאוד שבקצה אחד נמצאים המטפל, הפסיכולוג או הפסיכיאטר העובדים כעצמאיים במרפאה שנמצאת בביתם, ובקצה השני נמצא בית חולים, חברת ביטוח, בנק, וכן כל מי שנמצא בין שני הקצוות”.

האם התקנות חלות גם על עוסק פטור?

“כן, בהחלט, ובלבד שאותו עוסק פטור מחזיק או בבעלותו מאגר מידע שיש להגן עליו על פי התקנות. מנוסחו של החוק ניתן להבין שאין משמעות לגודל הארגון או היקף ההכנסות לצורך קבלת פטור כלשהו ביחס לחובת העמידה בתקנות. ראוי לחדד – לתקנות הללו אין פטור. בשונה ממה שאנחנו מכירים למשל ביחס לתקנות שוויון זכויות לאנשים עם מוגבלות – נגישות באינטרנט, ששם קיימים הקלות ופטורים.

“יחד עם זאת, היקף המידע הרגיש שמחזיק עוסק פטור אינו דומה להיקף המידע הרגיש שמחזיקה מחלקה פסיכיאטרית בבית חולים. על כן ישנן שלוש רמות של אבטחת מידע + הנחיות למאגר המנוהל בידי יחיד. גם עבור מטפלים ופסיכולוגים קיימות שלוש רמות אפשריות (ברמת סבירות פוחתת):

• רמת האבטחה הבסיסית;
• רמת האבטחה הבינונית;
• רמת האבטחה הגבוהה.

לגבי מטפלים, ובאופן כללי, בעלי מקצועי שנדרשים לחובת סודיות מקצועית לפי דין או לפי עקרונות של אתיקה מקצועית, רמת האבטחה המינימאלית הנדרשת היא “רמת האבטחה הבסיסית”. המשמעות: בעלי מקצוע אלה נדרשים להחזיק בשני מסמכים עבור מאגרי המידע שבבעלותם, “מסמך הגדרות המאגר” ו”נוהל אבטחה”, הכוללים פירוט של יישום התקנות באופן המותאם לבית העסק. המסמכים אינם סוג של “כיסוי”, זוהי התחייבות פורמאלית לכך שאתם, כמטפלים, כפסיכולוגים וכו’, עומדים מאחורי מה שאתם מתחייבים לגביו בכתב”.

אילו סיכון נוטל על עצמו מי שבוחר שלא להתייחס למסמכים?

“אי עמידה בתקנות הינה עבירה על החוק, הגוררת אחריה עונשים וקנסות שונים. במקרה זה יילקחו בחשבון נסיבות המקרה, האם הייתה כוונת תחילה בביצוע העבירה, השימוש שנעשה במידע והיבטים נוספים. המשמעויות האפשריות של אי עמידה בדרישות החוק הן:

• היעדר כיסוי ביטוחי לפוליסות הבאות: ביטוח אחריות מקצועית, סיכוני סייבר, פוליסת מכלול לבית העסק. המשמעות – חשיפה כמעט מלאה בפני תביעות ונזק כספי לעסק;
• עד 5 שנות מאסר;
• קנסות מנהליים הנעים בין 2,000  ל-226,000 ₪ לכל הפרה, היכולים להצטבר לסכומים גבוהים הרבה יותר (במידה וישנה יותר מהפרה אחת);
• חשיפה לתביעה אזרחית/ייצוגית;
• פגיעה במוניטין – פרטי העסק שמפר את התקנה יפורסמו באתר האינטרנט של הרשות להגנת הפרטיות.

מה קובעות התקנות לגבי שימוש בתוכנה חיצונית (ספק)?

“סעיף 17 לחוק קובע שבעל המאגר (המטפל) ומחזיק המאגר (ספק שירות) “כל אחד מהם אחראי לאבטחת המידע שבמאגר המידע”. תקנה 19(ב) לתקנות מכילה את מרבית חובותיו של בעל המאגר לפי התקנות “גם על מחזיק המאגר, בשינויים המחויבים ולפי העניין”. עמדת המחוקק והרשות להגנת הפרטיות היא שבעל המאגר והמחזיק נושאים ביחד ולחוד באחריות לאבטחת המאגר, כאשר את חלוקת התפקידים ביניהם לביצוע בפועל של החובות המפורטות בתקנות יש לקבוע במפורש בהסכם ביניהם, בהתאם לתקנה 15(2) העוסקת בתנאים להתקשרות של בעל המאגר עם גורם חיצוני לצורך קבלת שירות הכרוך במתן גישה למאגר המידע”.

האם יש כדאיות לפנייה לאיש מקצוע כדי שיוכל לבדוק ולתת המלצות?

“כל מי שעוסק בתחום מבין היטב את הרגישות הטמונה במידע זה, ואת החשיבות שבשמירתו עבור נושא המידע (מטופל) ובעל המאגר (מטפל)”.

ונסיים בפניה אישית; מטפלות ומטפלים יקרים, עומדות בפניכם שתי אפשרויות:

• להתכונן לעמוד בתקנות באופן עצמאי: לאפיין את סוג המידע, למפות את הסיכונים, להגדיר מדיניות הרשאות, סידורי אבטחת מידע וכו’. זה ידרוש מכם זמן בביצוע העבודה, בהכנת המסמכים הרלוונטיים ותיעוד התהליך.
• לקחת איש מקצוע מוסמך ומהימן, להפקיד בידיו את העבודה וליהנות מתחושת ביטחון. לאחרונה השקנו שירות שבו אנו שולחים ללקוח שאלון אלקטרוני המכסה את כל דרישות התקנות. אנחנו מבצעים ניתוח של המידע שנאסף מהשאלון ובונים עבור הלקוחות את ניירות העבודה שאיתם הם יכולים להיות רגועים בכל מה שקשור לסיווג המאגר ונוהל אבטחת המידע. אנחנו נחסוך לכם הרבה זמן ומאמץ בהבנת דרישות החוק והתקנות, ונעשה עבורכם את המלאכה באופן שתספק לכם מענה ראוי עבור השנים הקרובות במהירות ובעלות נמוכה, כך שאתם והמידע שלכם תישארו מוגנים.

אתם יכולים לעשות את זה לבד, או איתנו – העיקר לעשות!

כמו כן, בקרוב מאוד נשיק גם אתר אינטרנט חדש, אשר ירכז מידע רלוונטי ועדכני עבור מי שרוצה להעמיק בנושא. עדכונים על השקת האתר ניתן יהיה למצוא בדף העסקי שלנו בפייסבוק ובלינקדאין.

עודד ברקוביץ’

BO Consulting בפייסבוק ובלינקדאין

דוא”ל: contact@boconsulting.co.il

טלפון: 052-879-7464

קישור לסרטון 

 

 

 

Comments

comments