מי סוחר במידע הרפואי שלך?

במציאות של היום אנו נחשפים ליותר ויותר מקרים של פריצות סייבר וגניבת מידע מחברות וארגונים.
איום נוסף אשר קיים בתחום הסייבר ומטריד את הרשות למשפט, טכנולוגיה ומידע (רמו"ט) במשרד המשפטים הוא סחר במידע רפואי.

סחר במידע רפואי הוא מצב שבו אנשים בעלי גישה למערכות מידע (המכילות מידע רפואי) מוסרים למתווכים או לחברות מסוימות מידע רפואי חסוי ופרטי אודות חולים ומטופלים ללא ידיעתם והסכמתם.

סחר במידע רפואי מהווה עבירה על חוק הגנת הפרטיות.

יש לציין כי חוק הגנת הפרטיות חל גם על החברות המסחריות, וחברות שקונות מידע רפואי צפויות להליכי אכיפה מצד רמו"ט.

פרשיות מהזמן האחרון

מערכות מידע של מוסדות רפואיים ושירותי בריאות מכילות מידע רפואי אישי אודות מטופלים כגון: שם, גיל, טלפון, קופת חולים, סיבת האשפוז, מחלקת הטיפול ועוד.

מידע רפואי זה הוא "ליד אטרקטיבי" עבור חברות מסחריות אשר מעוניינות להשתמש במידע רגיש זה על מנת לפנות לאותם מטופלים ולשווק להם את שירותיהן תוך ניצול המידע הפרטי והרגיש שלהם (לדוגמה שירותי סיעוד).

בשנתיים האחרונות נחשפנו ל- 3 פרשיות גדולות בהן עובדי בתי חולים מכרו מידע רפואי על מטופלים לחברות סיעוד ושירותי טל-רפואה לטובת ביצוע שיווק ממוקד למטופלים.
בפרשה היו מעורבים עובדים סוציאליים, אחים ועובדים בחברות שירותי סיעוד והוגשו נגדם כתבי אישום.

מה הפתרון? תקני אבטחת מידע!

תקני אבטחת מידע מגדירים את הדרך לטיפול באבטחת המידע בארגון בכל רבדיו, תוך פירוט פתרונות ודרכי פעולה המתייחסות לגורם האנושי, למערכות המחשוב, הנתונים והבקרה בארגון.

מטרתם העיקרית של התקנים היא לנהל בצורה מבוקרת ומסודרת את המידע בארגון על מנת להגן על המידע ולמזער סיכונים של דליפת מידע החוצה ופגיעה כתוצאה מאיומי סייבר.

ישנם מספר תקני אבטחת מידע שחשוב להכיר:

תקן ISO 27001 - תקן אבטחת מידע בינלאומי אשר מגדיר עקרונות פשוטים ותכליתיים לביסוס, ניהול ותחזוקה של מערכת אבטחת מידע בארגון.
התקן מוטמע בארגונים במטרה לאטום פרצות וגניבות של מידע מהארגון וזליגתו החוצה. ביסוס מערכת ניהול אבטחת מידע בארגון מאפשרת לכל ארגון- ללא תלות בגודל או תחום עיסוק, להתאים את הכלים לשמירה על המידע בארגון לצרכים שלו.

תקן ISO 27799- תקן אבטחת מידע רפואי אשר מתמקד בשמירה על בטחון המידע במוסדות וארגוני הבריאות. תקן זה הנו תקן בינלאומי שרלוונטי לכל נותני השירות בתחום הרפואה אשר נחשפים למידע רפואי. בשנים האחרונות תקן ISO 27799 הולך ונהיה סטנדרט איכות בקרב נותני השירות בתחום הרפואה אשר רוצים לשמור על יושרה מקצועית ולהגן על המידע של מטופליהם ועובדיהם.

תקנות GDPR -תקנות הגנת המידע והפרטיות (General Data Protection Regulation).
תקנות GDPR אילו תקנות אשר מטרתן להגן על המידע והפרטיות של תושבי האיחוד האירופי. ארגונים הממוקמים באיחוד האירופי או מחזיקים במידע על תושבי אירופה נדרשים לעמוד בדרישות של תקנות אלו.
תקנות GDPR מגינות על סוגי מידע פרטיים ביניהם: שם, כתובת, תעודת זהות, מידע רפואי וגנטי, מידע ביומטרי ועוד.

תקנות ה-GDPR צפויות להיכנס לתוקף החל מה-25.5.2018 ומתאריך זה תחל אכיפה של עמידה בתקנות.

כיום, הסמכה לתקן אבטחת מידע (לפחות אחד מהתקנים) היא שלב הכרחי עבור ארגונים אשר מחזיקים במידע על לקוחות/מטופלים ורוצים לשמור על מוניטין חיובי ולהתנהל בצורה ישרה ומקצועית.

בנוסף, הסמכה לאחד מתקני אבטחת המידע פותחת דלתות לשיתופי פעולה עסקיים עם חברות וארגונים ברחבי העולם, שמגדירים אותו כתנאי סף לפני התקשרות עסקית במיזמים שונים.

השאירו פרטים למידע נוסף על תקני אבטחת מידע.