רשות הגנת הפרטיות פירסמה לאחרונה מסמך הנחיות להערות הציבור בנוגע להגנת פרטיות מטופלים במסגרת קבלת שירותי רפואה מרחוק. הכוונה היא לקבלת שירותים רפואיים באופן מקוון, באמצעים דיגיטליים או בדרך של תקשורת אלקטרונית אחרת, לרבות מכשור רפואי, ניטור, טלרפואה ושירותים אינטרנטיים.
המסמך סוקר היטב את הסוגים העיקריים של שירותי רפואה אלה, את הוראות הדין החלות וכן, מעניק המלצות לביצוע לארגוני בריאות וקופות החולים, למטפלים ולחברות חיצוניות המספקות את התשתיות הטכנולוגיות, הפלטפורמות והמכשור הרפואי לצורך הענקת טיפול או גישה למידע הרפואי.
אחריות ספקי השירותים:
הרשות ממפה את סיכוני הפרטיות בנוגע לשירותי רפואיים שניתנים מרחוק וכוללים הצגה של מידע רפואי וביצוע פעולות בו; מפגשים וירטואליים בזמן אמת של המטופל עם המטפל (למשל בשיחות וידאו); בדיקות עצמיות במכשירים מקוונים; שימוש באמצעי מעקב וניטור של שתלים או מכשירים לבישים; ושימוש במאגרי מידע וטכנולוגיות AI לצורך אבחון.
הרשות מנחה את ארגוני הבריאות וקופות החולים לקחת אחריות על הספקים החיצוניים באמצעותם ניתן השירות ולהחיל גם עליהם את דרישות הדין. בנוסף, הרשות מדגישה את הצורך באיסוף הסכמה ספציפית של המטופלים לאותו שירות, דורשת גילוי ברור ומפורט למטופל אודות מטרות השימוש במידע והימנעות משימוש במידע החורג מהמטרות שהוגדרו. מתחדד גם הצורך בקביעת תהליכים לזיהוי מידע עודף והשמדתו, לרבות במכשירי הספק החיצוני.
הסיכונים העיקריים שזוהו:
- זליגת מידע כתוצאה מכשלי אבטחת מידע.
- העדר מודעות מטופלים לאיסוף מידע ולמטרות השימוש בו. כך למשל, שמירת המידע האישי והרפואי במאגרים של ספקים חיצוניים, המספקים בפועל את שירותי הרפואה מרחוק בשם קופות החולים, עלול להביא לשימושים נוספים שלא הובאו בפני המטופל.
- חשיפת מידע עודף במסגרת מפגש וירטואלי בסביבתו האינטימית של המטופל.
- חשיפת מידע בפני גורמים לא מורשים בסביבת המטפל.
עיקרי ההמלצות שניתנו:
- הערכת סיכונים - עריכת תסקיר השפעה על הפרטיות בשלב תכנון מערכות המידע, דהיינו Privacy Impact Assessment.
- מינוי ממונה הגנת פרטיות - למזעור סיכוני הפגיעה בפרטיות.
- יידוע המטופל ושקיפות – למשל באמצעות מדיניות פרטיות או מסמך גילוי אחר בקשר לשירות או במכשיר (דגש מיוחד ניתן לאבחון מבוסס AI).
- קבלת הסכמה נפרדת מהמטופל – ספציפית לסוג השירות ומאפייניו.
- צמצום מידע עודף מספר פעמים בשנה - זה יצריך אימוץ נהלים לאיתור מידע עודף ויצירת תהליכים להשמדתו גם אצל הספק החיצוני.
- אחריות הגורם המטפל מול הספק החיצוני - ההנחייה מחדדת את החובה של הקופות לפי תקנה 15 לתקנות אבטחת מידע לקחת אחריות על הספק החיצוני ואילו התנערות מאחריות שכזו, עלולה להוות הפרה של האחריות כלפי המטופלים.
- אימות זיהוי מחמיר – הרשות רואה במכשירים ובשירותים החיצונים כמערכות של מאגר המידע של ספק השירות הרפואי / קופות החולים ולפיכך יש להחיל את כללי אימות הזיהוי מול המטופל גם במכשירים אלו, יחד עם יתר הסטנדרטים של אבטחת המידע.
- קביעת נהלי end-of-life לאבטחת המידע במועד הפסקת השימוש והשמדת המידע כך שלא יישמר במכשירים. כיום אין דרישות retention אצל ארגוני בריאות רבים בישראל ועבור הספקים החיצוניים מדובר בגזירה בעלת משמעויות כלכליות.
- היבטי פרטיות במפגש וירטואלי – מניעת חדירה למכשיר או לתוכנה; להימנע משימוש ברשתות WI-FI ציבוריות. המלצות למטופלים ולמטפלים להימנע מחשיפת המפגש לקרוביהם, חיזוק כישורים טכנולוגיים למטפלים.
המסמך רלוונטי לגורמים העוסקים במתן שירותים וניהול תהליכים בתחום הרפואה הדיגיטלית בכלל, וכולל המלצות ספציפיות לגורמים העוסקים במתן שירותי רפואה מרחוק.
חלק מההמלצות מכוונות באופן ישיר לארגוני הבריאות וקופות החולים אך גם לספקים חיצוניים ואנחנו ממילא ואנו עתידים לפגוש את היישום שלהן גם בקרב ההתקשרויות עם הספקים החיצוניים שלהם.
לעיון במסמך המלא "הגנה על פרטיות מטופלים במתן שירותי רפואה מרחוק".
בכל שאלה נוספת, מחלקת הפרטיות של משרדנו לשירותכם.
האמור במסמך זה אינו מובא כתחליף לקבלת ייעוץ משפטי והוא מהווה מידע כללי בלבד.
|
|
|
