פיקוח רוחב של הרשות להגנת הפרטיות בקרב 31 בתי אבות והוסטלים מעלה כי קיימת רמת עמידה נמוכה במרבית הקריטריונים הבוחנים את אופן הגנת המידע והגנת הפרטיות, בעיקר בתחומי שימוש בשירותי מיקור חוץ ובקרה ארגונית. בנוסף, רמת העמידה בדרישות אבטחת המידע נמוכה באופן מובהק בקרב מוסדות בתי האבות וההוסטלים הפרטיים, המטפלים בקבוצת מטופלים מצומצמת, בהשוואה לרשתות הגדולות.

בהתייחס למידע האישי שבבעלות בתי האבות וההוסטלים ובהחזקתם, נמצא כי הגופים במגזר לרוב אינם מודעים לחובות החלות עליהם כאשר הם מתקשרים עם צדדים שלישיים המחזיקים או מעבדים עבורם מידע אישי

מגזר בתי האבות וההוסטלים מתאפיין בסוגי פעילות שונים, הכוללים רשתות בעלות סניפים הפרוסים ברחבי הארץ, מרכזים בעלי סניף אחד בלבד וחברות קשורות המעניקות שירותי בתי אבות והוסטלים לצד שירותים סיעודיים. הגופים המשתייכים למגזר זה מעניקים ללקוחותיהם שירותי סיעוד וטיפול, ובמסגרת זו מקבלים לידיהם מידע רגיש על מצבם הרפואי של הדיירים.

מטבע הדברים, קיימים פערי כוחות משמעותיים בין הגופים בעלי המאגרים לבין הדיירים, שחלקם בעלי תפקוד פיזי או קוגניטיבי נמוך, העלול להתאפיין גם במודעות נמוכה לפרטיות, לסיכונים הנובעים משימוש במידע עליהם, או לזכויות המוקנות להם. כחלק מהליך פיקוח הרוחב, הרשות בחנה ארבעה קריטריונים בתחום הגנת הפרטיות: בקרה ארגונית, ניהול מאגרי מידע, אבטחת מידע ושימוש בשירותי מיקור חוץ. במגזר בתי אבות והוסטלים נמצאה רמת עמידה נמוכה במרבית הקריטריונים, בעיקר בתחומי שימוש בשירותי מיקור חוץ ובקרה ארגונית.

ממצאי הליך הפיקוח העלו כי רמת העמידה בדרישות הדין בתחום אבטחת המידע נמוכה באופן מובהק בקרב בתי האבות וההוסטלים הפרטיים, בהשוואה לרשתות הגדולות. עוד עלה, כי :
• רק 16% מהגופים עמדו בקריטריונים בנוגע לבקרה ארגונית
• רק 23% מהגופים עמדו ברמה גבוהה בדרישות אבטחת המידע
• ב- 97% מהגופים נהלי אבטחת מידע לא כללו את כל הדרישות המתחייבות מהתקנות
• ב- 74% מהגופים לא נמצא תיעוד על הדרכות לעובדים בעלי גישה למאגרי מידע או למערכות המאגר
• ב-84% מהגופים לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע
• ב-74% מהגופים לא נקבע בנוהל אבטחה אופן הגישה למאגרי המידע באמצעות שימוש בסיסמאות חזקות.

נוכח הממצאים שעלו מהליך פיקוח הרוחב, המפורטים בממצאי דו"ח זה, נשלחו הנחיות לכלל הגופים הפועלים במגזר לתיקון הליקויים שנמצאו אצלם, ובאשר לצעדים שעליהם לנקוט כדי לעמוד בדרישות החוק והתקנות. חלק מהגופים המפוקחים נוהגים לשמור מידע עודף אודות דיירים שהלכו לעולמם או דיירים שעזבו, דבר העשוי ליצור סיכוני אבטחת מידע והפרה של הוראות חוק הגנת הפרטיות. במרבית הארגונים שנבדקו לא נמצא תיעוד לעריכת בחינה האם הגוף מחזיק מידע עודף שאינו נחוץ לו עוד, כנדרש לפי התקנות. על פי הדין, יש לערוך בחינה זו אחת לשנה לכל הפחות, והיא משמעותית במיוחד בכל הקשור לשמירת מידע על נפטרים, כחלק ממדיניות צמצום מידע עודף, שאינו נדרש עוד למטרות המאגר.

עו"ד רביד פטל, הממונה על פיקוח הרוחב ברשות להגנת הפרטיות: "בפיקוח הרוחב על פעילות מגזר בתי האבות וההוסטלים הרשות רואה לנגד עיניה את הסיכונים לפרטיות הדיירים הן נוכח היקפי המידע ורגישותו, והן נוכח פערי הכוחות והאתגרים של אוכלוסייה זו בעמידה על זכויותיה. בהתאם פועלת הרשות בתוקף כדי להבטיח מימוש והגנה על פרטיותה של אוכלוסייה זו. 

עוד ב-

התחלה של בעיה חדשה? 16 דיירים מבית אבות בדרום נדבקו בקורונה

לכתבה המלאה

ממצאי הדו"ח מצביעים על כך כי נמצאו ליקויים בקרב בתי האבות וההוסטלים בהתאם לקריטריונים שנבחנו, בעקבותיהם כלל הגופים בהם בוצע הליך הפיקוח, קיבלו הנחיות לתיקון ליקויים. בביקורת חוזרת שביצעה הרשות בחלק מהגופים לבדיקת יישום ההנחיות, נמצא כי חל שיפור משמעותי ברמת העמידה בתקנות וכי מרבית הליקויים יושמו וטופלו. הדבר מלמד על כך כי  עצם קיום הליך הפיקוח מהווה תמריץ לגופים השונים לבצע הליך בחינה באשר לאופן הציות לחוק ולתקנות.  הרשות תשקול לשוב ולבחון את עמידתם של גופים אלו וגופים אחרים הפועלים במגזר זה בהוראות החוק ותקנותיו ובד בבד, האכיפה כנגד גופים שלא ימלאו אחר ההנחיות לתיקון ליקויים, תהיה מחמירה יותר".