הרופא שטיפל בכם לפני עשר שנים, בית החולים שבו אושפזתם, האפליקציה שמעקבת אחרי הדופק שלכם — כולם מחזיקים מידע שהוא שלכם. ואת המידע הזה מותר לשמור, לעבד ולמסור רק בתנאים מאוד ספציפיים שהחוק קובע. ברוב המקרים, הגופים הרפואיים לא מספרים לכם עד כמה הזכויות שלכם חזקות.
לפי חוק הגנת הפרטיות תשמ"א-1981, מידע רפואי מוגדר כ"מידע רגיש" — הקטגוריה המוגנת ביותר שקיימת. זה אומר שאסור לעבד אותו, למסור אותו, ואפילו לשמור אותו — בלי הסכמה מפורשת שלכם. ארגונים המחזיקים מידע כזה כפופים לתקנות אבטחת מידע תשע"ז-2017, שקובעות שלוש רמות אבטחה: בסיסית, בינונית וגבוהה. מאגרי מידע רפואיים מחויבים ברמה הגבוהה ביותר.
מידע רגיש: מה אומר החוק הישראלי
חוק זכויות החולה תשנ"ו-1996 — חובות ספציפיות
חוק זכויות החולה תשנ"ו-1996 מסדיר את הגישה לתיק הרפואי. סעיף 18 לחוק מעניק לכל מטופל זכות לעיין בתיקו הרפואי ולקבל עותק ממנו, כאשר הגוף הרפואי חייב להשיב לבקשה תוך 30 ימים. סעיף 19 מחייב שמירה על סודיות המידע ואוסר על גילויו ללא הסכמה — אלא במקרים חריגים כגון סכנה לחיי הציבור.
זכות העיון אינה מוחלטת: מנהל רפואי רשאי לסרב להציג מידע שעלול לפגוע בבריאות המטופל עצמו, ובמקרים אלה יש לתעד את הסירוב ואת הנימוק.
תקנות אבטחת מידע תשע"ז-2017 — מה זה אומר בפועל
כל ארגון המחזיק מאגר מידע רפואי חייב למנות ממונה על הגנת הפרטיות, לבצע הערכת סיכונים (Risk Assessment), ולתעד את נהלי האבטחה. הדרישות הספציפיות כוללות הצפנת נתונים בזמן שידור ואחסון, בקרות גישה מבוססות תפקידים (RBAC), ניהול יומן אירועי אבטחה לתקופה של 24 חודשים לפחות, ותוכנית תגובה לאירועי סייבר.
ארגונים שלא עומדים בתקנות חשופים לקנסות מהרשות להגנת הפרטיות וכן לתביעות אזרחיות מצד נפגעים. מאז 2022, הרשות מגברת את אכיפתה בתחום הבריאות הדיגיטלית.
קראו גם:
GDPR וחברות ישראליות בשוק הבריאות
חברת HealthTech ישראלית המטפלת בנתוני אזרחי האיחוד האירופי — כגון מטופלים גרמנים שמשתמשים באפליקציה ישראלית — כפופה גם ל-GDPR, ולא רק לחוק הישראלי. GDPR מחייב מינוי Data Protection Officer במקרים מסוימים, מנגנון העברת נתונים חוקי (כגון SCCs), ועמידה בזכויות נושאי המידע. בינואר 2024 חידשה הנציבות האירופית את הכרה בישראל כ"מדינה שלישית בעלת הגנה נאותה" (Adequacy Decision) — מה שמאפשר העברת נתונים מה-EU לישראל ללא מנגנון נוסף, אך רק לארגונים הכפופים לחוק הישראלי.
שמירת רשומות: כמה זמן ומה קורה אחר כך
לפי חוק זכויות החולה ולפי תקנות הגנת הפרטיות, יש לשמור רשומות רפואיות לפחות 7 שנים ממועד הטיפול האחרון. לגבי קטינים — עד 7 שנים לאחר הגיעם לבגרות. בתום התקופה, יש להשמיד את הרשומות בצורה מאובטחת: שריפה, גריסה מקצועית, או מחיקה מאומתת של קבצים דיגיטליים.
חשוב לא פחות: שמירה ממושכת מדי על נתונים מהווה הפרה של עיקרון ה"מינימיזציה" בחוק — ארגון שמחזיק נתונים מעבר לנדרש חשוף לאחריות, גם אם לא אירעה פרצה.
קיבלתם סירוב לגישה לתיק — מה עושים?
גוף רפואי שסירב לבקשתכם לעיון בתיק הרפואי עשוי לפעול בניגוד לחוק. אלה הצעדים שיש לנקוט:
צעד 1 — בקשה בכתב: שלחו בקשה בכתב (דוא"ל / פקס) לגוף הרפואי. הסירוב חייב להינתן בכתב עם נימוק. בלי נימוק בכתב — הוא לא חוקי.
צעד 2 — פנייה לממונה: כל גוף רפואי גדול חייב למנות ממונה על הגנת הפרטיות. פנו אליו ישירות — לעתים זה פותר את הבעיה בלי עלות.
צעד 3 — רשות להגנת הפרטיות: הגישו תלונה לרשות להגנת הפרטיות (privacy.gov.il). הליך חינמי. הרשות מוסמכת להורות על גילוי המידע ולהטיל קנסות על הגוף המסרב.
צעד 4 — תביעה אזרחית: סעיף 29א לחוק הגנת הפרטיות מאפשר תביעת פיצוי ללא הוכחת נזק (סטטוטורי) — עד 50,000 ש"ח. אם הנזק הוכח — הפיצוי עשוי להיות גבוה יותר.
📌 זווית מקצועית — לעורכי דין
- טיפ פרקטי: לפני השקת מוצר HealthTech, בצעו Privacy Impact Assessment (PIA) מסודר ותעדו אותו. הרשות להגנת הפרטיות בודקת ארגונים לא רק לאחר הפרה — אלא גם מה היה הנוהל ה"pre-incident". תיעוד PIA הוא ההגנה הטובה ביותר.
- נקודה טקטית: בבדיקת עמידה בתקנות תשע"ז-2017 — אל תניחו שרמת האבטחה שבחרתם נכונה. "מאגר רפואי" כמעט תמיד עונה לרמה הגבוהה, גם אם נדמה שמדובר בנתונים מינוריים. שופטים ורגולטורים מתייחסים לכל מידע שמזהה מצב בריאותי כרגיש — גם נתוני צריכת תרופות מאפליקציית pharmacy.
- טעות נפוצה: עורכי דין שמייצגים חברות HealthTech מתמקדים ב-GDPR ושוכחים שהחוק הישראלי מחיל חובות גם על חברות שמטפלות אך ורק בנתוני ישראלים. הסכמי DPA עם ספקי ענן (AWS, Azure) חייבים להתאים גם לדרישות המקומיות — לא רק לסטנדרט האירופי.
- פסיקה רלבנטית: קיימת פסיקה רלבנטית בנושא אחריות גופים רפואיים על הפרת סודיות מידע — מומלץ לבחון אותה לפני ניסוח הסכמי שמירת סודיות עם עובדים ונותני שירות.