מידע רגיש: מה אומר החוק הישראלי

חוק הגנת הפרטיות תשמ"א-1981 מגדיר "מידע רגיש" בסעיף 1, וכולל בין היתר מידע על מצבו הבריאותי של אדם, נכויות, מחלות ותרופות. מידע כזה אסור לעיבוד ולמסירה ללא הסכמה מפורשת של הנושא, והגופים המחזיקים בו כפופים לחובות אבטחה מוגברות לפי תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017.

התקנות הללו, שנכנסו לתוקף במאי 2018, קובעות שלוש רמות אבטחה — בסיסית, בינונית וגבוהה. מאגרי מידע רפואיים מסווגים ברוב המקרים לרמה הגבוהה ביותר, הדורשת את מערך ההגנות הנרחב ביותר.

בקצרה: מידע רפואי הוא "מידע רגיש" לפי חוק הגנת הפרטיות. כל גוף המטפל בו חייב לעמוד בתקנות אבטחת מידע תשע"ז-2017, לקבל הסכמה מדעת, ולכבד זכויות גישה ותיקון. הפרה עלולה לגרור קנסות ואחריות אזרחית ופלילית.

חוק זכויות החולה תשנ"ו-1996 — חובות ספציפיות

חוק זכויות החולה תשנ"ו-1996 מסדיר את הגישה לתיק הרפואי. סעיף 18 לחוק מעניק לכל מטופל זכות לעיין בתיקו הרפואי ולקבל עותק ממנו, כאשר הגוף הרפואי חייב להשיב לבקשה תוך 30 ימים. סעיף 19 מחייב שמירה על סודיות המידע ואוסר על גילויו ללא הסכמה — אלא במקרים חריגים כגון סכנה לחיי הציבור.

זכות העיון אינה מוחלטת: מנהל רפואי רשאי לסרב להציג מידע שעלול לפגוע בבריאות המטופל עצמו, ובמקרים אלה יש לתעד את הסירוב ואת הנימוק.

תקנות אבטחת מידע תשע"ז-2017 — מה זה אומר בפועל

כל ארגון המחזיק מאגר מידע רפואי חייב למנות ממונה על הגנת הפרטיות, לבצע הערכת סיכונים (Risk Assessment), ולתעד את נהלי האבטחה. הדרישות הספציפיות כוללות הצפנת נתונים בזמן שידור ואחסון, בקרות גישה מבוססות תפקידים (RBAC), ניהול יומן אירועי אבטחה לתקופה של 24 חודשים לפחות, ותוכנית תגובה לאירועי סייבר.

ארגונים שלא עומדים בתקנות חשופים לקנסות מהרשות להגנת הפרטיות וכן לתביעות אזרחיות מצד נפגעים. מאז 2022, הרשות מגברת את אכיפתה בתחום הבריאות הדיגיטלית.

קראו גם:

GDPR וחברות ישראליות בשוק הבריאות

חברת HealthTech ישראלית המטפלת בנתוני אזרחי האיחוד האירופי — כגון מטופלים גרמנים שמשתמשים באפליקציה ישראלית — כפופה גם ל-GDPR, ולא רק לחוק הישראלי. GDPR מחייב מינוי Data Protection Officer במקרים מסוימים, מנגנון העברת נתונים חוקי (כגון SCCs), ועמידה בזכויות נושאי המידע. בינואר 2024 חידשה הנציבות האירופית את הכרה בישראל כ"מדינה שלישית בעלת הגנה נאותה" (Adequacy Decision) — מה שמאפשר העברת נתונים מה-EU לישראל ללא מנגנון נוסף, אך רק לארגונים הכפופים לחוק הישראלי.

שמירת רשומות: כמה זמן ומה קורה אחר כך

לפי חוק זכויות החולה ולפי תקנות הגנת הפרטיות, יש לשמור רשומות רפואיות לפחות 7 שנים ממועד הטיפול האחרון. לגבי קטינים — עד 7 שנים לאחר הגיעם לבגרות. בתום התקופה, יש להשמיד את הרשומות בצורה מאובטחת: שריפה, גריסה מקצועית, או מחיקה מאומתת של קבצים דיגיטליים.

חשוב לא פחות: שמירה ממושכת מדי על נתונים מהווה הפרה של עיקרון ה"מינימיזציה" בחוק — ארגון שמחזיק נתונים מעבר לנדרש חשוף לאחריות, גם אם לא אירעה פרצה.

💡 טיפ מקצועי: לפני השקת מוצר HealthTech, בצעו Privacy Impact Assessment (PIA) מסודר. בדקו: האם המאגר מחייב רישום ברשות להגנת הפרטיות? האם רמת האבטחה שנבחרה תואמת לתקנות תשע"ז-2017? האם הסכמי ה-DPA עם קבלני המשנה (AWS, Azure וכד') כוללים את הסעיפים הנדרשים לפי חוק ישראלי? הרגולציה דורשת תיעוד פעיל — לא רק הצהרת כוונות.
הגנת מידע רפואי היא לא רק חובה חוקית — היא גם ערך מרכזי ביחסי אמון בין מטופל לגוף רפואי.
הבהרה משפטית: המידע במאמר זה נועד לצרכי מידע כללי בלבד ואינו מהווה ייעוץ משפטי, חוות דעת או תחליף להתייעצות עם עורך דין. כל מקרה ייחודי ויש לבחון אותו לגופו. אין ליישם את המידע ללא ייעוץ משפטי פרטני.