בשבוע שעבר פורסם תזכיר חוק ניוד מידע בריאות, התשפ"ג-2023.
התזכיר מכיל מספר הגדרות מעניינות, כמו למשל "מחקר בנתונים" – צופה פני עבר, מבוסס על נתונים קיימים מרשומות רפואיות ולא כרוך בביצוע הליך כלשהו למטופל או מעורבות שלו, או "מידע בריאות" – מידע לגבי מצב בריאותי או נפשי, לטיפול בו, מידע רפואי כהגדרתו בחוק זכויות החולה אבל גם מידע שיש בו כדי להעיד או להשפיע על אחד מאלה.
הגדרה מעניינת במיוחד היא למונח "מידע מזוהה" – מידע הכולל פרט מזהה של אדם, או מידע שפרט מזהה של אדם הופרד ממנו אך ניתן לזהות את האדם שאליו מתייחס המידע במאמץ סביר, לרבות בדרך של הצלבת המידע מול מידע אחר הזמין לגוף המחזיק במידע כאמור או מול מידע הזמין לציבור הרחב; לעניין זה, "פרט מזהה" – שם פרטי, שם משפחה, מספר זהות וכל מידע אחר שיש בו כדי להביא, במישרין, לזיהוי של אדם מסוים. במילים אחרות, יש כאן אמירה מפורשת לפיה מידע פסאודונימי הוא מידע מזוהה.
מטרת התזכיר היא לאפשר לאדם לתת לגוף מסויים ("מקור מידע") הרשאת גישה למידע בריאות אודותיו לצורך ניודו לגוף אחר ("מקבל המידע"), באמצעות ממשק ייעודי.
גופים שייחשבו כמקור מידע, שמחוייבים להעביר את המידע למקבל המידע על פי הרשאתו של אדם, הם כמובן בתי חולים וקופות חולים, אבל גם גופים שמספקים "שירותי בריאות" שהשר קבע לגביהם שהם מקור מידע.
ההגדרה למונח "שירות בריאות" היא רחבה למדי וכוללת גם שירות של הערכה, שימור או שיפור מצבו הבריאותי של אדם, כולל באמצעות תכנה; ניפוק או שימוש בתכשיר או ציוד רפואי; מיצוי זכויות הנובעות ממצבו הבריאותי של אדם; סיוע לאדם בקבלת שירותים של הערכה, שימור או שיפור מצבו הבריאותי, ניפוק או שימוש בתכשיר או ציוד רפואי וכן ריכוז מידע בריאות והעברתו למקבל מידע אחר כאגרגטור.
המשמעות היא שתוכנה או אפליקציה שמסייעת בניהול מחלה, איתור מחקר קליני מתאים או איתור תורים פנויים – בפנים.
על פי התזכיר, העברת מידע ממקור מידע למקבל מידע כפופה להרשאתו או הסכמתו של נושא המידע. בהקשר הזה, תוקף ההרשאה הוא שנה, אלא אם הממונה קבע אחרת, וכן אדם יכול לחזור בו מהרשאתו בכל עת.
דמיון נוסף להוראות מעולם הגנת הפרטיות הוא האיסור על גביית תמורה בגין בקשות ניוד או ביטולן. כמו כן, לממונה סמכות לקבוע הוראות בעניים זיהוי ואבטחת מידע.
מעניין במיוחד סעיף המטרות המותרות בתזכיר. על פי המוצע, מקבל מידע ישתמש במידע למטרת מתן "שירות בריאות" שהמטופל הסכים לו, וגם למטרות סטטיסטיות הקשורות לטיפול וייעול שירותי הבריאות שהוא נותן, ובלבד שתוצרי השימוש יהיו מידע לא מזוהה. כמו כן, סעיף המטרות אוסר במפורשת על שימוש במידע למטרות שיווק ופרסום.
התזכיר מאפשר שימוש במידע למטרות מחקר ופיתוח, אך נדרשת עמידה בכל התנאים המצטברים המנויים בסעיף הרלוונטי.
בנוסף, אין חפיפה מלאה בין תוכן חובת היידוע הנדרש בסעיף 11 לחוק הגנת הפרטיות לבין התוכן שיש למסור לאדם במסגרת קבלת הרשאתו לניוד המידע, אלא שיש למסור לו מידע על מטרות, עיקרי תנאי שימוש, מדיניות מחיקה והאם הבקשה להרשאה היא מתמשכת או חד פעמית.
התזכיר מכיל גם הוראות לגבי העברת מידע ממקבל המידע הלאה, הוראות לגבי מחיקה, והוראות לגבי "אירוע אבטחה חמור"- שמקים חובת דיווח גם לממונה וגם לרשם מאגרי מידע.
"מקבל מידע" לפי התזכיר יכול להיות כמובן גוף רפואי או משרד ממשלתי, אבל הוא גם יכול להיות גוף שמספק שירות רפואי, כל עוד הוא איננו בגדר "מבטח", והוא חב ברישיון.
בדומה לחוק נתוני אשראי גם בתזכיר המוצע יש מנגנון הדדיות – מקור מידע יהיה בדרך כלל גם מקבל מידע, אבל יש לכך סייגים.
הסנקציה על הפרת ההוראות המופיעות בתזכיר היא עונשית, וגם עיצום כספי.
התזכיר פתוח להערות הציבור עד ליום 14.2.23.
בהזדמנות זו, אנו מזמינים אתכם להצטרף אלינו מחר, יום חמישי, 2.2.23 בשעה 9:30 לוובינר בעקבות פרסום דו"ח ריכוז ממצאי ביקורת רוחב, בו נדון בממצאי ביקורת רשות ניירות ערך לגילוי סיכוני ואירועי סייבר בתאגיד מדווח. להרשמה הקליקו.
אנחנו עומדים לרשותכם בכל שאלה,
אייל שגיא, שיר שושני כץ וצוות מחלקת משפט וטכנולוגיה
האמור במסמך זה הוא מידע כללי בלבד ואינו מהווה חוות דעת משפטית או ייעוץ משפטי ואין לעשות בו כל שימוש אחר.