אמש השיק צה''ל את התוכנית הרב-שנתית "רפואה בשבילך" - שבין השאר מתגאה בשילוב אמצעים טכנולוגיים בשירות הרפואי שניתן לחיילים. במקביל, עם זאת, הרשות להגנת הפרטיות משחררת אזהרה במסמך ראשון מסוגו שעוסק בהגנה על פרטיות בשירותי רפואה מרחוק: "מידע רפואי הינו מידע אישי רגיש ולזליגתו עשויות להיות השלכות קשות, הן ברמת המטופל, והן ברמת אמון הציבור במוסדות הבריאות במדינה. אי-אבטחתו כנדרש עלולה גם להביא לשיבושו, באופן העלול לשמש בסיס להחלטות רפואיות שגויות, ומכאן לפגוע בבריאות מטופלים", נקבע. המסמך, המתפרסם כאן לראשונה, מכוון ברובו לקופות חולים ולבתי חולים שמעניקים שירותי רפואה מרחוק והוא מגדיר את האחריות החלה עליהם ועל חברות פרטיות שמקבלות את המידע הרפואי ומנתחות אותו.
הגנה על פרטיות המידע הרפואי שלנו הולכת ונעשית משימה סבוכה, ככל שגדל השימוש בטכנולוגיות שאוספות מידע כדי לשפר את הטיפול הרפואי. המסמך החדש מגדיר את המידע שנאסף בטיפול רפואי מרחוק כחלק מהמידע הרפואי הדורש פיקוח והגנת פרטיות מחמירים. בחודש שעבר החל לפעול פרוייקט מכירת מידע רפואי מבתי חולים וקופות חולים לחברות פרטיות, בחסות משרד הבריאות, הרשות לחדשנות ומטה ישראל דיגיטלית.
"אי-אבטחתו כנדרש של מידע רפואי עלולה גם להביא לשיבושו, באופן העלול לשמש בסיס להחלטות רפואיות שגויות, ומכאן לפגוע בבריאות מטופלים"
השימוש במפגש וירטואלי כדרך טיפול בחולה צבר תאוצה עם התפרצות הקורונה ב-2020. טיפולים רפואיים מרחוק כוללים שיחות התייעצות באמצעות אפליקציות ייעודיות וגם בדיקות באמצעות מכשור רפואי לביש, מושתל, מצלם או מקליט, שמשמש למעקב אחר מדדים שונים, כמו טמפרטורה, קצב לב, קצב נשימה, בדיקת שתן או בדיקת אולטרסאונד ביתית. "שירותים אלה מאתגרים את ההגנה על פרטיותם של מטופלים ומטופלות העושים שימוש בהם" קובעת הרשות להגנת הפרטיות.
אחד הסיכונים המרכזיים לפרטיות המטופלים הוא השימוש בבינה מלאכותית. יותר ויותר טכנולוגיות רפואיות משתמשות ב-AI לניתוח נתוני המטופלים, וברשות להגנת הפרטיות מתריעים כי אלגוריתמים לומדים הם "קופסה שחורה", כשהדרך בה הם מנתחים את המידע אינו שקוף למטופל וגם לא השימוש שייעשה במידע. ברבים מהמקרים החברה שמפעילה את ה-AI היא חברה חיצונית – כלומר המידע יוצא ממערכת הבריאות.
אזהרה ספציפית ניתנה על שירותי בינה מלאכותית: "חשש כי מטופלים אינם מודעים לכך שמידע על אודותיהם נאסף גם על-ידי ספקים חיצוניים... מכאן קצרה הדרך גם לשימוש לרעה במידע"
על פי חוק זכויות החולה טיפול רפואי יינתן רק אם המטופל נתן לכך "הסכמה מדעת". מחברי הדו"ח קובעים כי קיימת סכנה כתוצאה מחוסר מודעות המטופלים לדרך איסוף המידע ולמטרות השימוש בו, וכתוצאה מכך הסכמתם מדעת לקבל את הטיפול עלולה לאבד מתוקפה: "קיים חשש כי מטופלים המשתמשים בשירות אינם מודעים לכך, שמידע על אודותיהם נאסף לא רק על-ידי ארגוני הבריאות אלא גם על-ידי ספקים חיצוניים... מכאן קצרה הדרך גם לשימוש לרעה במידע, או לשימוש למטרה אחרת מזו שהמטופל הסכים לה ומקרים שכאלו קרו בעבר".
סיכון נוסף ברפואה מרחוק הוא החשש לזליגת מידע, למשל כתוצאה מאבטחה לקויה, בין השאר בעקבות פריצה לשרתי הענן של קופת החולים, פריצה למכשירים האבחון הרפואיים או פריצה לרשת האינטרנט הביתית של המטופל. במסמך מצויין כי למידע הרפואי יש ערך כלכלי רב לחוקרים ולחברות מסחריות, וגם לגורמים עבריינים שעלולים לסחוט את בעל המידע.
תשומת לב רבה ניתנת במסמך לדרך בה מתנהלים המפגשים הווירטואליים, שכתוצאה ממנה עלול להיפגע הפרטיות. כך למשל יכול המטפל לראות ולצלם דברים המתרחשים בבית, מאחורי המטופל, לזהות למשל נטיות מיניות, אדיקות דתית, מצב כלכלי ופרטים על בני המשפחה, מידע שלא מתגלה כשהמטופל מגיע לבדיקה רגילה בקופת חולים. "שמירת מידע כזה ושימוש בו לצרכים שונים עלולה לפגוע בפרטיות המטופל ולהשפיע על חייו בהקשרים חברתיים שונים", נאמר במסמך.
מהצד השני, מטפל שאינו מיומן טכנולוגית עלול לפגוע בפרטיות המטופל, למשל אם בני ביתו או אנשים בסביבתו יכולים לשמוע או לראות את השיחה שלו עם המטופל. מנגד הוא עלול לחשוף פרטים על עצמו ובני ביתו בפני המטופל. על פי הקוד האתי של ההסתדרות הרפואית, הטיפול מרחוק צריך להינתן במערכות ייעודיות ולא באמצעות פייסבוק או וואטסאפ, שאינם מאובטחים לצורך מתן טיפול או ייעוץ רפואי.
"להימנע ככל הניתן מאיסוף ושמירה של מידע לא הכרחי"
לפי הנחיית הרשות להגנת הפרטיות, ארגוני הבריאות צריכים לקבל את הסכמת המטופל למתן טיפול רפואי מרחוק, כולל פירוט המידע שייאסף, אילו שימושים ייעשו בו, למי הוא יועבר ולאיזו מטרה. כמו כן הם צריכים לציין את זכותו של המטופל לעיין במידע שנאסף ואת הסיכונים לפרטיות שכרוכים בקבלת טיפול רפואי מרחוק. אם המידע מועבר לחברה חיצונית, יש ליידע בכך את המטופל ולקבל את הסכמתו לכל שימוש מתוכנן, כולל לצרכי מחקר, פרסום, או אימון הבינה המלאכותית.
הרשות קובעת שבמקרים בהם אין דרך לקבל את הטיפול אלא מרחוק, החולים יוכלו שלא להסכים לשימושים במידע שלהם שלא למטרת טיפול: "ללא אפשרות כזו, יהיה קשה לראות בהסכמת מטופל לאיסוף ולשימוש במידע על אודותיו למטרות אחרות מהטיפול עצמו, כהסכמה מדעת".
הנחייה נוספת עוסקת במשך הזמן בו יישמר המידע. על פי עיקרון צמצום המידע העודף ארגוני הבריאות מונחים "להימנע ככל הניתן מאיסוף ושמירה של מידע על אודות מטופלים שאינו הכרחי למטרת השירות הרפואי מרחוק". עליהם לבחון אחת לשנה אם המידע שהם שומרים במאגר עדיין נדרש למטרות שהוגדרו אינו חורג מן הנדרש ביחס למטרותיו ועליהם לוודא שגם חברות חיצוניות אליהן הועבר המידע ימחקו אותו אחרי שהסתיים השימוש בו. הארגונים מוזהרים מלהתנער מאחריותם להתנהלות הספקים החיצוניים: "התנערות כזו עשויה להוות הפרה של אחריותם כלפי מטופליהם, החלה עליהם מכוח עקרונות המשפט הציבורי".