הרשות להגנת הפרטיות במשרד המשפטים מפרסמת דו"ח שכלל ממצאי פיקוח הרוחב, שערכה בקרב מגזר מרפאות לבריאות הנפש. זאת, כחלק מסדרת דוחות לבדיקת האופן בו גופים ממגזרים שונים במשק מקיימים את הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות. מהדו"ח עלה כי באופן כללי, מרבית הגופים הפועלים במגזר מרפאות לבריאות הנפש עומדים ברמה בינונית-גבוהה בהוראות חוק הגנת הפרטיות.
החל משנת 2018 שבה החלה הרשות בעריכת פיקוחי הרוחב, ביצעה הרשות קרוב ל- 500 הליכים במגזרים שונים שנבחרו, בהתאם לרמת הסיכון לפרטיות, היקפי המידע ורגישותו. מגזר מרפאות בריאות הנפש, אשר נבחן במסגרת דו"ח זה כולל מרפאות שמעניקות שירותי טיפול נפשי בבתי חולים כלליים, בתי חולים לבריאות הנפש ומרכזים ייעודיים לבריאות הנפש. מרפאות בריאות הנפש מחזיקות במידע רפואי רגיש ביותר על מצב נפשי של מטופלים ובהיקפים גדולים. כמו כן, במגזר זה קיים אופי יחסים ייחודי בין הגופים המטפלים לבין ציבור המטופלים אשר לעיתים, בשל מצבם הרפואי, אין ביכולתם להעניק את הסכמתם למסירת מידע אודותיהם או שהוא נאסף תוך כדי הטיפול בהם. אופן הניהול ואחזקת המידע אודות מצבם הבריאותי של מטופלים מתבצע באופן שונה בקרב המרפאות השונות. יש שמנהלות את המידע באופן עצמאי ויש המסתייעות בשירותי מיקור חוץ.
על פי הרשות להגנת הפרטיות, מאפייניו של מגזר זה עלולים להפוך אותו ליעד תקיפה אטרקטיבי לאירועי אבטחת מידע, בין אם על ידי בעלי הרשאות לגישה למאגר המידע ובין אם על ידי האקרים העלולים לבצע שימוש לרעה במידע ואף להשתמש בו כאמצעי סחיטה.
כחלק מפעילות הליך פיקוח הרוחב פנתה הרשות בדרישה למילוי שאלוני ביקורת ל-30 גופים המנהלים מרפאות לבריאות הנפש. הליך הפיקוח התמקד ב- 18 גופים, זאת מאחר וחלק מהגופים העבירו מענה מרוכז אחד בשל פעילות מאוחדת או ניהול משותף של מאגר מידע או עקב קיומה של תשתית טכנולוגית משותפת.
מהדו"ח עלה כי באופן כללי, מרבית הגופים הפועלים במגזר מרפאות לבריאות הנפש עומדים ברמה בינונית-גבוהה בהוראות חוק הגנת הפרטיות. הליקוי העיקרי המצביע על רמת עמידה נמוכה בהוראות החוק היה בקריטריון של עיבוד מידע אישי בשימוש במיקור חוץ. במסגרת כך, נמצא כי 50% מהמרפאות העושות שימוש בשירותי מיקור חוץ עומדות ברמה נמוכה בהוראות חוק הגנת הפרטיות ו-28% ברמת עמידה בינונית.
הדבר מתבטא בכך שבקרב מרפאות שמקבלות שירותי מחשוב במיקור חוץ, נמצאו מרפאות בהן לא נערכים הסכמים עם ספקי השירותים בהתאם להוראות החוק, לא נשמרים נהלי אבטחת מידע והן אף לא מדווחות באופן שנתי על קיומם של אירועי אבטחה.
ממצא זה מעלה את החשש מדליפת מידע באמצעות מתן גישה למידע לגופים שלישיים בין אם על ידי ספקי מיקור החוץ או עובדי קופ"ח בעלי נגישות שוטפת למידע רפואי במאגרי המידע של המרפאות.
בקריטריון הנוגע לבקרה ארגונית וממשל תאגידי, נמצא כי 61% מהגופים עמדו ברמה גבוהה בהוראות החוק, בין היתר, בשל כפיפותם לבתי חולים כלליים או בתי חולים לבריאות הנפש מהם הם מקבלים את שירותי המחשוב. בגופים בהם נמצאה רמת עמידה בינונית (33%) או נמוכה ( 6%) נתגלו פערים שנבעו, בין היתר, מאופן התנהלות של מערך המחשוב של בית החולים לו כפופה המרפאה, בנושא ביצוע בדיקות התאמה לעובדים חדשים בעלי גישה למאגר, ריכוז תפקידים ותחומי אחריות בידי גורם יחיד באופן העלול להעמידו במצב של ניגוד עניינים ואי מינוי מנהל מאגר.
בקריטריון שבוחן את אבטחת המידע נמצא כי 76% מהמרפאות עומדות ברמה גבוהה בהוראות החוק בעוד שב- 24% מהן רמת העמידה היא בינונית ונמוכה. במרבית המרפאות שנבדקו במסגרת פיקוח הרוחב נעשה שימוש בשירותי המחשוב של המוסד הרפואי אליו הם משויכות והן למעשה מהוות חלק אירגוני של אותו מוסד, מה שמעלה את ההשערה שהדבר קשור לרמת עמידתן הגבוהה בהוראות החוק בנושא זה.
במסגרת בחינת אופן ניהול מאגרי המידע על ידי המרפאות, נמצא כי 63% מהן עמדו ברמה גבוהה בהוראות החוק בעוד שב-37% נמצאה רמת עמידה נמוכה – בינונית בהוראות החוק והתקנות. במסגרת כך הליקויים שעלו הם אי קבלת הרשאת המטופלים לאיסוף ושמירה של מידע רפואי שלהם ואי שמירה או תיעוד של אופן קבלת הסכמת המטופלים למסירת מידע ויידועם בדבר הזכויות המוקנות להם על פי חוק.
לאור הממצאים שעלו מהליך פיקוח הרוחב, הועברו ל-18 הגופים שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלם.