ליקויים משמעותיים בבתי החולים בישראל: נתוני המטופלים עלולים לדלוף לרשת

בשנים האחרונות הופכים אירועי אבטחת מידע במערכות בתי החולים לתכופים וחמורים יותר ויותר. מגמה מטרידה זו התחזקה מאז פרוץ מלחמת "חרבות ברזל", במהלכה נרשמה עלייה משמעותית בניסיונות הפריצה ובאירועי אבטחת מידע חמורים הנוגעים במגוון רחב של ארגונים ומגזרים, בתי חולים ביניהם.

בדיקה מקיפה שערכה הרשות להגנת הפרטיות העלתה ליקויים משמעותיים במגזר בתי החולים בישראל, ולימדה על צורך בנקיטת צעדים משמעותיים לשיפור המודעות והציות להוראות החוק ותקנות אבטחת מידע במגזר זה.

בבתי החולים מצוי מידע אישי רגיש על אלפי חולים בהיקף רחב מאוד. נתונים אלה כוללים רשומות רפואיות מקיפות, פרטים דמוגרפיים, מידע פיננסי וקשרים משפחתיים, כמו גם את המידע האישי של כל עובדי ועובדות בית החולים. ריכוז מידע אישי בהיקף כה נרחב טומן בחובו סיכונים משמעותיים לפגיעה בפרטיות של מי שנתוניהם נמצאים במאגרי מידע אלה, כשברור שהנזק הפוטנציאלי מהפרה של החובות בהיבטי אבטחת מידע במאגרי מידע אלו מדאיג במיוחד בהתחשב באופי הרגיש של המידע המאוחסן. 

אחד החששות העיקריים למידע האישי המנוהל על ידי בתי החולים נעוץ בגישה נרחבת למידע על ידי גורמים שונים בתוך בתי החולים, וכן העברת המידע בין הגופים הרפואיים השונים (בין בתי החולים, בין בתי החולים לקופות החולים, בין בתי החולים למשרד הבריאות ועוד). ברור, כי מתן גישה לנתונים מעבר לנדרש לצורך הטיפול הרפואי, מגביר את הסיכון לשימוש לרעה בנתונים מעבר למטרות שלשמן נמסרו מלכתחילה. כמו כן, פלטפורמות טכנולוגיות המאפשרות אינטגרציה בין גופי הרפואה השונים, ומאפשרות גישה למידע על ידי גורמים שונים, מעצימות את הפוטנציאל לפרצות אבטחה ודלף מידע.

לנוכח היותו של מגזר בתי החולים פגיע באופן ייחודי לתקיפות במימד הסייבר ולדלף מידע, בשל מאגרי המידע הנרחבים והרגישים שלו, הרשות להגנת הפרטיות החליטה להתמקד במגזר זה ולערוך בו פיקוח רוחב. פיקוח הרוחב בחן ארבעה קריטריונים עיקריים בתחום הגנת הפרטיות: בקרה ארגונית וממשל תאגידי; אבטחת מידע; ניהול מאגרי מידע ושימוש בשירותי מיקור חוץ וכן העברת מידע בין גופים ציבוריים.

מדו"ח פיקוח הרוחב עולה, כי בקריטריון של אבטחת מידע, כ- 71% מן הגופים נמצאים ברמת עמידה גבוהה, וכ- 20% נמצאים ברמת עמידה בינונית בהוראות החוק והתקנות; בקריטריון של ניהול מאגרי מידע, שליש מהגופים נמצאים ברמת עמידה נמוכה בלבד וכשליש מן הגופים נמצאים ברמת עמידה בינונית בדרישות החוק והתקנות; בקריטריון של בקרה ארגונית וממשל תאגידי, מחצית הגופים מצויים ברמת עמידה בינונית ונמוכה בדרישות החוק והתקנות. 

כמו כן, בחינת העמידה בקריטריון של העברת מידע בין גופים ציבוריים מצביעה על אי עמידה משמעותית בהוראות החוק והתקנות. בידי רשויות המדינה מידע רב על אזרחים, הנוגע לכל היבטי חייהם. שיתוף מידע אישי אודות אנשים בין גופים ציבוריים שונים הוא כלי חשוב לייעול השירות שניתן לציבור ולהקלת הנטל הבירוקרטי. יחד עם זאת, העברת מידע אישי בין גופים עשויה להשליך על הפרטיות של אותם אנשים ולכן הוגדרו בחוק ובתקנות ספציפיות מנגנונים ייחודיים להגנה על המידע האישי המועבר, שמטרתן וידוא צמצום המידע אליו קיימת גישה למינימום הנדרש, את הסמכות להעברת וקבלת המידע ואת המטרה לשמה מועבר המידע. 

הליך פיקוח הרוחב העלה, כי ב-7% בלבד מבתי החולים נמצאה רמת עמידה גבוהה בעוד ש-30% מבתי החולים עמדו בהוראות החוק ברמה נמוכה בלבד. יתירה מכך, רובם המכריע של הגופים המפוקחים (78%) מוסרים מידע לגופים אחרים ללא ביצוע של רישום כנדרש או תוך ביצוע רישום חלקי בלבד. 

נוכח הממצאים שעלו מהליך פיקוח הרוחב, כל הגופים שנבדקו (28 מתוך 28) קיבלו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם. ביקורת מעקב שביצעה הרשות הראתה כי 57% מהליקויים שזוהו טופלו במלואם.

'בחדרי' גם ברשתות החברתיות - הצטרפו!