אתר משרד הבריאות חשף מידע חסוי של קשישים סיעודיים המטופלים במוסדות גריאטריים, כך כותב הבוקר גיא גרימלנד ב"הארץ":
"לעיתים בעיות אבטחת מידע חושפות מידע חסוי באופן כה שקוף, שלא נדרשת כל פעולה מתוחכמת כדי להשיגו. כזה המקרה באתר משרד הבריאות באגף הגריאטריה שלו. באתר מוצג מדריך מקיף ומפורט להיכרות עם הפורטל והתכנים המופיעים בו. במדריך מופיעים נתונים אישיים של של עשרות מטופלים במוסדות גריאטריים. הנתונים, מיותר לציין, אמורים להיות חוסיים, אך כאמור כוללים את פרטיהם המלאים של המטופלים (שם מלא ומספר תעודת זהות), את סוג האשפוז, דיווח על מספר הימים שבהם שהה המטפל במוסד הגריאטרי, פרטים על אופן האכלתו ואף העלות הכספית לכל אשפוז. המדריך הוא חלק מיישום מערכת ה-SAP באגף הגריאטריה של המשרד".
ידיעות על כשלים ודליפות במאגרי מידע הן חזון נפרץ ועדיין, בניגוד לכל "הנביאים" שמבשרים על מותה של הפרטיות, אנו ממאנים להרגע ולהשלים. סודיות רפואית היא מקרה אחד של הזכות לפרטיות אבל יש לה מעמד מיוחד. היא עוגנה בקוד האתי של הרופאים אלפי שנים לפני ש"הבורגנים המציאו את הזכות לפרטיות" (ה"ההברקה" המזלזלת של פרופ' שיזף רפאלי). בדרך כלל פגיעה בפרטיות היא רק פתח לפגיעות בזכויות ואינטרסים חיוניים נוספים (ראו, למשל, בהמשך כתבתו של גרימלנד), אבל במקרה של מידע רפואי התוצאה היא גם פגיעה באיכות הטיפול הרפואי ובבריאות. בהעדר ביטחון בסודיות המידע הרפואי נוטים מטופלים שלא לספר לרופא/ה את כל הפרטים הרלבנטיים, נותנים מידע חלקי או מסולף, לעיתים אף נמנעים מלפנות לקבלת טיפול רפואי.
במשרד הבריאות אמורים לדעת זאת, אבל נראה שהזכות לפרטיות ולסודיות לרפואית אינה נמצאת בראש סדר העדיפויות של המשרד. מה כן? מזה מספר שנים מקדם משרד הבריאות את פרויקט "רשומה רפואית לאומית" - מערכת מרכזית, שתנגיש בלחיצת כפתור את המידע הרפואי של כל תושבות ותושבי המדינה. כסרח עודף של הפרויקט הזה מבקש המשרד לנצל את המערכת גם לצורך הפקת נתונים סטטיסטיים על יסוד מידע שעבר אנונימיזציה - פעולה שחייבת להיעשות לפי סטנדרטים מחמירים וקפדניים, רצוי יותר מאלה שהתגלו הבוקר במשרד הבריאות, שאחרת ניתן לבצע "הילוך חוזר" ולחבר שוב בין המידע לבין בעליו.
אין כמעט תקדים לפרויקט הזה. בבריטניה מגלגלים יוזמה דומה כבר כמה שנים, אבל התחילו להבין שזה מסוכן, ומתחילים לרדת מהעץ. לאחרונה שמעתי את נציגי המשרד, שראו משהו דומה במחוז אנדלוסיה בספרד, והוסיפו שיש דברים שבהם מותר לנו "להיות ראשונים". מדוע ראשונים? כי במדינת ישראל יש את היכולת הטכנולוגית. און טכנולוגי אולי יש, אבל privacy by design או סתם רגישות לפרטיות - בזה מסתבר שיש עוד מה ללמוד. לבטח במשרד הבריאות.
לצד ארכיטקטורה טכנולוגית מתאימים זקוקה הפרטיות גם לחקיקה שתגן עליה. אבל אלולא משרד המשפטים שהתעקש ש"ההגנה הטובה ביותר" על פרטיות החולים "היא חקיקה" היו במשרד הבריאות מקימים את הפרויקט הזה "בשליפה מהירה" ללא חקיקה מעגנת (ראו: טיוטת תזכיר חוק; הנה ההערות שלי לטיוטה). לשיטתם בשביל זה דיי בחוק זכויות החולה, שמאפשר העברת מידע רפואי לצורך טיפול רפואי. הבחנה בין "טובת המטופל" לבין "זכויותיו" היא לא הצד החזק שלהם. נכון, מדובר במערכת מורכבת, שדורשת הסדרה כלשהי של כללי השימוש, ההרשאות, אבטחת מידע וכד', אבל בשביל זה חוק? בשביל זה אפשר להוציא חוזרי מנכ"ל.
בינתיים מבצעים "פיילוט" של הפרויקט. הקימו מערכת שבאמצעותה יכולות עובדות סוציאליות בבתי חולים לבדוק מידע רפואי של אדם שהגיע למיון וקיים לגביו חשד שהוא קורבן לאלימות במשפחה. קיימת פרקטיקה של משפחות אלימות להביא את הילד הפגוע כל פעם למיון של בית חולים אחר וכך לחוק מרשויות הרווחה. ללא ספק זוהי מטרה ראויה. אבל גם מטרה ראויה שמצדיקה פגיעה בזכות יסוד אפשר וצריך לעגן בחוק. במשרד הבריאות גורסים אמנם, ש"זכותו של הקטין לחיים גוברת על זכותו לפרטיות" אבל שוכחים שהפגיעה, שנגרמת כל אימת שנכנסים למערכת, היא בזכות לפרטיות של משפחות רבות שאינן נגועות באלימות, ושניתן להגן על קורבנות אלימות ועל הזכות לחיים גם בלי לזלזל בסודיות הרפואית.
אבל למה לטפס במעלה ההיררכיה הנורמטיבית? גם הנחיות פנימיות אין. לפני מספר שנים השתתפתי בישיבה חגיגית של מנהלת הפרויקט (אני חבר בועדה מסורסת שהיתה אמורה לייצר קוד אתי למערכת החדשה) ושמעתי סקירה על הצלחתו של "הפיילוט". בשלב כלשהו שאלתי אלו הנחיות פנימיות הוציא משרד הבריאות כדי לוודא שהמערכת החדשה תתנהל בהתאם לעקרונות מקובלים של אבטחת מידע והגנה על הפרטיות. הסתבר שאין. מאז דורש משרד המשפטים ממשרד הבריאות לדאוג לנושא. פניות שלי בעניין זה נותרו ללא מענה.
דבר נוסף - "הפיילוט" הזה, כשמו הוא, אמור היה להיות ניסוי ובחינה של "הדבר האמיתי" כלומר של "הרשומה הרפואית הלאומית" (אגב כך הוא גם עוזר לקבוע עובדות בשטח - מקימים תשתיות, משקיעים כסף - אח"כ נראה את הכנסת מסרבת לאשר את הקמת הפרויקט). אבל הסתבר שאת נושא הבטחת המידע והגנת הפרטיות לא בדקו ב"פיילוט". הסתפקו בכך "שלא שמענו תלונות".
אז הבוקר, לפחות לגבי מאגר המאושפזים הגריאטרים שמענו שיש תלונות. ובדרך הזו הם גם מתכוונים להקים את מערכת הענק שתאגם את כל המידע הרפואי במדינת ישראל? "הרשומה הרפואית חולה".
אבל למה לטפס במעלה ההיררכיה הנורמטיבית? גם הנחיות פנימיות אין. לפני מספר שנים השתתפתי בישיבה חגיגית של מנהלת הפרויקט (אני חבר בועדה מסורסת שהיתה אמורה לייצר קוד אתי למערכת החדשה) ושמעתי סקירה על הצלחתו של "הפיילוט". בשלב כלשהו שאלתי אלו הנחיות פנימיות הוציא משרד הבריאות כדי לוודא שהמערכת החדשה תתנהל בהתאם לעקרונות מקובלים של אבטחת מידע והגנה על הפרטיות. הסתבר שאין. מאז דורש משרד המשפטים ממשרד הבריאות לדאוג לנושא. פניות שלי בעניין זה נותרו ללא מענה.
דבר נוסף - "הפיילוט" הזה, כשמו הוא, אמור היה להיות ניסוי ובחינה של "הדבר האמיתי" כלומר של "הרשומה הרפואית הלאומית" (אגב כך הוא גם עוזר לקבוע עובדות בשטח - מקימים תשתיות, משקיעים כסף - אח"כ נראה את הכנסת מסרבת לאשר את הקמת הפרויקט). אבל הסתבר שאת נושא הבטחת המידע והגנת הפרטיות לא בדקו ב"פיילוט". הסתפקו בכך "שלא שמענו תלונות".
אז הבוקר, לפחות לגבי מאגר המאושפזים הגריאטרים שמענו שיש תלונות. ובדרך הזו הם גם מתכוונים להקים את מערכת הענק שתאגם את כל המידע הרפואי במדינת ישראל? "הרשומה הרפואית חולה".
תגובה 1:
כתבה מעניינת
הוסף רשומת תגובה