הרשות להגנת הפרטיות קבעה כי מכבי הפרה את החוק

מסרונים שהכילו מידע אישי ורפואי לנמענים לא נכונים נשלחו על ידי מכבי שירותי בריאות. בנוסף האירוע לא דווח באופן מיידי. הרשות להגנת הפרטיות קבעה כי מכבי הפרה את הוראות חוק הגנת הפרטיות ותקנותיו.

מכבי שירותי בריאות

בעקבות אירוע אבטחה חמור במכבי שירותי בריאות, אשר כלל מקרה בו נשלחו מסרונים שהכילו מידע אישי ורפואי לנמענים לא נכונים, הרשות להגנת הפרטיות קבעה כי מכבי הפרה את הוראות חוק הגנת הפרטיות ותקנותיו.

בהמשך לממצאי הליך האכיפה שביצעה, קבעה הרשות כי מכבי לא דיווחה לרשות באופן מיידי על אירוע האבטחה החמור כנדרש.

הרשות להגנת הפרטיות ממליצה לארגונים וחברות שמעוניינים לשלוח מסרונים הכוללים מידע אישי, להשתמש באמצעים לאימות זהותם של הנמענים, למשל, על ידי שימוש באזור אישי ומאובטח, ולא לשלוח להם מידע אישי באופן ישיר.

הליך האכיפה המנהלי במכבי שרותי בריאות, שביצעה הרשות להגנת הפרטיות, נפתח בעקבות תלונה שהתקבלה אצלה, לפיה שלחה מכבי בחודש אפריל 2020, באמצעות ספק חיצוני שהתקשרה איתו מסרון לנמען שגוי שהכיל שם ומידע רפואי של אדם אחר. המתלונן קיבל מסרון מטעם “צוות סוכרת מכבי שירותי בריאות מחוז השרון”, שהכיל שם מלא של מבוטחת אחרת של מכבי, וקישור לשאלון והנחיות לנושא מחלת הסוכרת בתקופת הקורונה.

מדובר על מסרון שנשלח במסגרת הליך של שליחת הודעות שהיו מיועדות לקבוצה מפולחת של אלפי מבוטחי מכבי, המוגדרים כחולי סוכרת והמשויכים לקבוצת גיל מסוימת ומתגוררים באזור מסוים. המתלונן, כמו נמענים נוספים, קיבלו מסרון שהכיל שם של מבוטח/ת אחר ובו הפניה לשאלון המיועד לחולי סכרת, ובאופן זה נחשפו למידע אישי ורגיש של אנשים אחרים.

במקרה זה, שימוש באמצעים מקובלים פשוטים, כגון דרישה לזיהויו של הנמען טרם מסירת הפרטים הרגישים, היה יכול למנוע את האירוע או להפחית משמעותית את עוצמת הפגיעה בפרטיות.

עוד יודגש, כי הקפדה על צמצום המידע שנעשה בו שימוש מתוך המאגר לטובת יצירת קשר עם לקוחות מכבי, באופן שיבטיח שיעשה שימוש רק בשדה השם הפרטי בלבד, במקום השם המלא, היה מצמצם את הנזק שנגרם, ולמעשה מנטרל אותו.

מממצאי ההליך שביצעה הרשות, עולה כי שדות המידע שהיו אמורים להילקח מהמאגר, לצורך שליחת המסרון, היו אמורים לכלול רק את השם הפרטי של המבוטח, אך בפועל נעשה שימוש במידע גם על שם המשפחה, ומידע עודף זה הועבר לספק החיצוני שעסק בשליחת המסרונים, וממנו לנמענים השגויים. כאמור, משלוח השאלון לאזור האישי של המבוטחים היה עשוי למנוע גם הוא את הפגיעה בפרטיות.

מאגר המידע של מכבי מסווג כמאגר בו נדרשת, על פי תקנות הגנת הפרטיות (אבטחת מידע), רמת אבטחת המידע הגבוהה ביותר. אירוע שנעשה בו שימוש במידע ממאגר שחלה עליו רמת האבטחה הגבוהה, בלא הרשאה או בחריגה מהרשאה מוגדר בתקנות הגנת הפרטיות (אבטחת מידע) כאירוע אבטחה חמור וככזה, מחייב דיווח מיידי לרשות להגנת הפרטיות. מכבי הפרה את הוראות התקנות, גם משלא דיווחה כנדרש לרשות על האירוע.

בעקבות ממצאי הליך הפיקוח קבעה הרשות להגנת הפרטיות כי מכבי שירותי בריאות הפרה את הוראות חוק הגנת הפרטיות ותקנותיו והנחתה את מכבי לתקן את הליקויים שנמצאו במסגרת הליך הפיקוח.

ממכבי שירותי בריאות נמסר לאתר לדעת: מדובר בטעות אנוש בלבד שגרמה לתקלה טכנית נקודתית ולא אירוע סייבר. מכבי מתייחסת לנושאי הגנה על פרטיות כערך עליון, ומפעילה לשם כך כלי אבטחת מידע מחמירים מהמתקדמים בעולם. נציין כי הופקו הלקחים הנדרשים ועודכנו הנהלים כדי שמקרה מסוג זה לא ישנה.

תגובות

כתיבת תגובה

עוד בנושא

עוד מהכותב

דילוג לתוכן