רופאים מעבירים מידע רפואי רגיש על מטופלים באמצעות אפליקציות כמו וואטסאפ או ג'ימייל ובכך חושפים אותם לאפשרות של פגיעה בפרטיותם, כך קובעת הרשות להגנת הפרטיות במסמך שמתפרסם לראשונה ב-tech12.
במסמך נאמר: "לאור רגישותו של מידע רפואי ופוטנציאל הנזק שעלול להיגרם כתוצאה מחשיפתו, הרשות לא תהסס להפעיל את הסמכויות העומדות לה על פי דין במקרים של הפרה של הוראות חוק הגנת הפרטיות והתקנות שהותקנו מכוחו". עם זאת, הרשות אינה דורשת לעצור את העברת המידע הרגיש באמצעות מכשירים פרטיים.
המסמך מתאר תופעה רווחת במערכת הבריאות, בה רופאים מתייעצים ביניהם באמצעות הטלפונים הפרטיים שלהם, ושולחים רקע רפואי, נתוני בדיקות וצילומים רפואיים של מטופלים באמצעות כלים של חברות מסחריות כמו מטא וגוגל.
המידע הזה נשמר לאחר מכן בטלפונים של הרופאים, מועלה לאחסון ענן, ונסקר על ידי החברות המסחריות. המידע גם עלול להגיע לעיניים לא מורשות (חברים, בני משפחה, טכנאים) או לדלוף בעת החלפת המכשיר או גניבתו. במרבית המקרים העברת המידע נעשית ללא קבלת הסכמת המטופלים, מה שמהווה פגיעה נוספת בפרטיותם.
הרשות להגנת הפרטיות: "מידע רפואי הוא מידע אישי רגיש ולגניבתו עשויות להיות השלכות קשות, הן ברמת המטופל שמידע על אודותיו נחשף ברבים, והן ברמת אמון הציבור במוסדות הבריאות במדינה"
"מידע רפואי הוא מידע אישי רגיש ולגניבתו עשויות להיות השלכות קשות, הן ברמת המטופל שמידע על אודותיו נחשף ברבים, והן ברמת אמון הציבור במוסדות הבריאות במדינה", קובעים ברשות להגנת הפרטיות. הם מתריעים כי מידע שאינו מאובטח כנדרש עלול גם להיות משובש ולגרום להחלטות רפואיות שגויות. מידע שנאגר בשרתים של חברות מסחריות עלול להביא את נתוני המטופלים למפרסמים ולגופים שיפיקו רווחים ממנו.
מהמסמך עולה כי האחריות לפגיעה אפשרית בחולים חלה גם על המוסדות הרפואיים שמאפשרים לרופאים העברת מידע פרטי בדרכים כאלה: "ארגונים ומוסדות, המספקים שירותי בריאות ורפואה, נושאים באחריות לאבטחת כלל המידע האישי על אודות מטופלים, אשר נאסף ומועבר במסגרת פעילותם ועליהם לוודא כי מידע שכזה אינו מועבר בניגוד להוראות הדין ואינו נחשף לגורמים שאינם רלוונטיים". חובת המוסדות הרפואיים להגן על פרטיות המטופלים נובעת מחוק הגנת הפרטיות, מחוק זכויות החולה ומהנחיות משרד הבריאות שכוללות קוד אתי לשמירת הסודיות ופרטיות מידע אישי והנחיות לניהול רשומת מטופל.
הרשות ממליצה למוסדות הרפואה לצמצם ככל האפשר את שימושם בתוכנות שאינן ייעודיות להעברת מידע רפואי ולהימנע משמירת מידע רפואי על אודות מטופלים במכשירים פרטיים. במקרים בהם המוסד הרפואי מאפשר לרופאים להעביר מידע באמצעות מכשירים פרטיים, עליו להקפיד על הנחיות חוק זכויות החולה, לפיהן העברת מידע על חולה תהיה רק לצורך הטיפול בחולה ותוך הימנעות מחשיפת זהותו. מומלץ להעביר רק את הפרטים ההכרחיים ביותר ולאחר מכן למחוק את הפרטים מהמכשירים הפרטיים ומהענן. כמו כן מומלץ לעשות שימוש באפליקציות מאובטחות ולא להתחבר לרשתות Wi-Fi פתוחות לציבור.
"ארגונים ומוסדות, המספקים שירותי בריאות ורפואה, נושאים באחריות לאבטחת כלל המידע האישי על אודות מטופלים, אשר נאסף ומועבר במסגרת פעילותם ועליהם לוודא כי מידע שכזה אינו מועבר בניגוד להוראות הדין ואינו נחשף לגורמים שאינם רלוונטיים"
דגש מיוחד ניתן למקרים בהם המידע עלול להגיע לגורמים שלא אמורים לקבל אותו, דבר שמהווה אירוע אבטחה חמור. רשות הגנת הפרטיות מתריעה כי השימוש בטלפונים פרטיים עלול להביא לזליגת המידע לגורמים כאלה: "העברת מידע רגיש ממאגרי מידע של ארגון על-ידי עובד הארגון אל מחוצה לו, ללא אישור או הרשאה מטעם הארגון, עשויה בנסיבות מסוימות להיחשב אירוע אבטחה חמור".
להגדרת אירוע כ"אירוע אבטחה חמור" או כהפרה של חוק הגנת הפרטיות או חוק זכויות החולה יש משמעות רבה מבחינתם של מוסדות הבריאות וגם מבחינת הרופאים עצמם. הרשות יכולה להטיל סנקציות, לעצור פעילות שמתנהלת, לחייב בקנסות וגם לתבוע לדין על הפרת החוקים.
הרשות ממליצה להנהלות הארגונים והמוסדות לבחון אפשרות של הספקת מכשירים ייעודיים לעובדיהם, ולקדם הטמעה של מערכות "סגורות" ויעילות להעברת מידע רפואי על אודות מטופלים, המבטיחות רמת אבטחת מידע נאותה, ובכך לצמצם את היקף השימוש במכשירים פרטיים ובתוכנות לא ייעודיות להעברת מידע רפואי.