הרשות להגנת הפרטיות פרסמה טיוטה להערות הציבור, שעוסקת בהעברת מידע רפואי באמצעים לא ייעודיים, כגון WhatsApp או Gmail.
המסמך מתמקד במידע רפואי אבל מאוד יתכן שניתן להסיק ממנו גם ביחס למידע אחר, כמו למשל פרטי לקוחות.
לעמדת הרשות, השימוש באמצעים לא ייעודיים להעברת מידע רפואי נובע מזמינות ויעילות של אותם אמצעים, אך עלול להביא לשמירת מידע רגיש במכשירים ובאמצעים שאינם ייעודיים לכך, כמו שמירת צילום טופס רפואי במכשיר טלפון חכם של גורם רפואי (שעשוי להביא לשמירתו של המידע ב"זיכרון" המכשיר ובאמצעי הגיבוי שהוגדרו בו, כגון שירותי ענן), או שמירת המידע במערכות של החברות שמספקות את תשתיות העברת המידע. בהקשר הזה, הרשות מציינת כי ישנו חשש שאותן חברות ישתמשו במידע לצורכיהן, במיוחד כשמדובר בתוכנות ואפליקציות חינמיות. מעניין לראות שהרשות לא שוללת שימוש בכלים חינמיים, אלא ממליצה לבחור נכון ביחס אליהם וקובעת את האחריות של בעל המאגר (המעסיק, בנסיבות הללו) לוודא שהשימוש באותם כלים הוא מותר ומאובטח.
הרשות גם מציינת את חובתם של עובדי הארגון הרפואי לפעול בהתאם להנחיות הארגון, וכי העברת מידע ללא אישור מטעם הארגון יכולה להוות אירוע אבטחה. בהקשר זה הרשות נותנת כדוגמה מקרה של טעות בשליחת מסמך רפואי לנמען לא מורשה, מה שעשוי ללמד על כך שלדעת הרשות גם דלף של רשומה אחת עשוי להיות בגדר אירוע אבטחה.
הרשות ממליצה לארגונים שמאפשרים להשתמש באמצעים לא ייעודיים לצורך העברת מידע אישי לנקוט במגוון פעולות, וביניהן צמצום מידע עודף. מעניין לראות את הקשר בין עקרון צמצום המידע לבין עקרון צמידות המטרה שהרשות מציינת במסמך.
אם הוחלט בארגון לאשר שימוש באמצעים לא ייעודיים, הרשות ממליצה לבחור בתוכנות שפועלות "לחיזוק פרטיות" כגון הצפנה מקצה לקצה ואפשרות למחיקת מידע.
הרשות ממליצה לארגונים להעלות את מודעות העובדים להיבטי פרטיות וליצור מדיניות פנים ארגונית שתתייס להיבטי פרטיות בשימוש באמצעים לא ייעודים (כולל התייחסות מעניינת למה שהרשות מכנה "סוף חיים" של המכשיר).
הרשות חוזרת על חשיבות עריכת תסקיר השפעה על הפרטיות ומינוי ממונה הגנת הפרטיות.
הרשות מציינת כי מטרת המסמך היא להציג המלצות ביחס להעברת מידע באמצעים דיגיטליים לא ייעודיים, ולא למנוע אותה.
כאמור, המסמך מתמקד במידע רפואי, אך כפי שניתן לראות, ההמלצות בו הן רחבות ולא ייחודיות לסוג המידע הזה ולכן אנחנו ממליצים גם לארגונים שאינם מעבדים מידע רפואי לשקול יישום שלהן.
המסמך פתוח להערות הציבור עד ליום 6.12.22.
אנו עומדים לרשותכם לכל שאלה,
אייל שגיא, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה
האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.