תחקיר: עובד הכללית שלח דואר זבל למבוטח
מתחקיר ynet עולה כי עובד של שירותי בריאות כללית מעל באמון וניצל לרעה את הגישה שלו למאגר המבוטחים של הקופה לשליחת דואר זבל. הכללית: העובד עשה שימוש בניגוד לנהלים. הוא פוטר והוגשה נגדו תלונה במשטרה
יום אחד בתחילת נובמבר קיבל עמיאל (שם בדוי, השם האמיתי שמור במערכת) הודעת ספאם שהזמינה אותו להיכנס לאתר ההיכרויות iwantyou. "הופתעתי שבכלל קיבלתי הודעה זו, עמדתי למחוק אותה, אבל אז הבחנתי בכתובת אליה היא נשלחה", הוא מספר.
לעמיאל יש דומיין (שם מתחם) משלו, וכדי לשמור על סדר הוא יוצר כתובת אימייל
ייחודית עבור כל גוף לו הוא מספק את הכתובת. הספאם, גילה עמיאל, נשלח לכתובת שהוא סיפק לקופת החולים בה הוא מבוטח, שירותי בריאות כללית.
מי שלח את ההודעה?
עמיאל בדק וגילה שהאתר רשום על שם נוי (שם בדוי, השם האמיתי שמור במערכת), שרשם אותו עם כתובת האימייל שלו בכללית. מבדיקה עלה עוד כי נוי הוא עובד טכנולוגיית מידע במרכז הארצי לבקרת הסרטן של כללית, הממוקם במרכז רפואי כרמל.
כלומר, נראה כי אותו עובד של הכללית ניצל את הגישה שלו למאגר המבוטחים, והשתמש בו לרעה, לעסקיו הפרטיים. מדובר בפגיעה בפרטיותו של עמיאל, ומי יודע כמה מבוטחים נוספים, ובשימוש לא חוקי, לכאורה, במאגר מידע רגיש - שלא למטרה שלשמה סופק המידע.
במספר שיחות טלפוניות עם נוי, הוא הודה שהוא עובד בכללית ומפעיל את אתר ההיכרויות, אבל הכחיש ששלח את הספאם לעמיאל, ואף טען שבדק ברשומותיו ולא ראה אימייל יוצא לכתובת זו. "היתה איזושהי פעולה של שליחת מיילים למספר חברים של האתר שהיו ממאגר קודם של האתר...המייל הזה, את הנוסח אני מכיר, זה הנוסח ששלחנו, אבל אין לי שמץ של מושג איך הגיע המייל הזה (למתלונן - ע.ק.)", אמר נוי. "יכול מאוד להיות שנעשתה פה איזושהי טעות אולי, והייתי במסך אחר ויכול מאוד להיות שהמייל הזה... אין לי מושג".
זאת אומרת שנגיד עשית בטעות העתקה במסך של העבודה...
"כן, יכול להיות, יכול להיות. אין ספק שנעשתה פה טעות. אני לא מוצא שום תיעוד לזה".
ולא היית עושה דבר כזה.
"ממש ממש לא. ממש ממש לא".
"מתגברים את הפיקוח"
עמיאל התלונן בפני האחראי על אבטחת המידע בכללית, איציק כוכב. זה לקח את התלונה ברצינות ופתח מיד בבדיקה סמויה שאישרה את החשדות. עם פנייתנו הראשונה לפני כשבועיים, הגיב אז דובר המרכז הרפואי כרמל, אלי דדון, ל-ynet: "מיד כשגילינו את זה קראנו לו לבירור והוא הודה בעניין והתנצל, הוא הודה שהוא עשה טעות. אנחנו מיד הרחקנו אותו מהעבודה, והוגשה תלונה למשטרה".
דדון מדגיש כי נוי "היה עם נגישות למידע מתוקף סמכותו, ניצל את המידע לצרכיו האישיים. לא היתה פה פריצה. חשוב לציין שהמידע שהיה זמין לו זה כתובות אימייל עם פרטים דמוגרפיים. זאת אומרת, הוא יכל לדעת מי האנשים ומאיזה איזור הם בארץ, וכתובות אימייל. פרט לזה לא היה לו שום מידע אחר. והוא, לצערנו הרב, פגע באמון וניצל את הגישה שלו לכתובות אימייל לקדם אינטרסים אישיים, עסקים פרטיים שלו, הוא הפעיל כנראה איזשהו אתר אינטרנט פרטי שלו. לפי הבדיקה שלנו הוא לא מכר את המאגר מידע לאף אחד אחר, הוא לא עשה בו שימוש מסחרי, הוא ניצל אותו למטרות אישיות".
עוד מסר דדון כי "העובד הזה, כמו כל העובדים, עוברים אצלנו בדיקות והדרכות אבטחה, עוברים בדיקות התאמה ומוחתמים על כל טופסי הסודיות, ומתקבלים רק לאחר מיונים קפדניים. כנראה שמדובר פה במעידה אישית, הבחור הודה והתנצל והורחק מיד. אנחנו הגשנו תלונה למשטרה ואנחנו מקווים שבזה נסגר הסיפור. אנחנו מצדנו מתגברים עכשיו יותר את הפיקוח הן על האנשים, הן על הגישה לכתובות אימייל כדי להסיק את המסקנות, כדי שמקרים כאלה לא יחזרו בעתיד".
בדקתם בכמה כתובות אימייל נעשה שימוש?
"זה בבדיקה".
יש לכם כוונה לפנות לאותם אנשים, להודיע להם, להתנצל?
"נבדוק. אני מאמין שאנחנו נשב, נסיק מסקנות ונפעל את הפעולות שצריך".
יש לציין כי לאחר הבירור שנעשה לעובד, הוא אף פוטר מעבודתו בעקבות המקרה.
עבירה פלילית ופיצויים של רבבות שקלים
לדעתו של עו"ד יורם ליכטנשטיין, מומחה למשפט האינטרנט, טכנולוגיה וקניין רוחני, פעילות מסוג זה מהווה "הפרה חמורה של חוק הגנת הפרטיות". "מאגר הנתונים אמור להישמר באופן סודי בידי בעליו, ואף כי מותר לאפשר גישה לאנשים הטכניים שמפעילים אותו, האחריות עדיין בידי הבעלים, וזה לא פוטר אותו מאחריות במקביל לאחריות של האנשים הטכניים. העונש בחוק למי שפוגע בסודיות של מאגר מידע עומד על שנת מאסר אחת".
עו"ד ליכטנשטיין מסביר גם כי מקרים כאלה עלולים להיות גם עוולה אזרחית, שמקנה סעד לכל אחד ואחד מהנפגעים. כל אחד מהנפגעים יכול להגיש תביעה לפיצוי שקבוע בחוק בלי הוכחת נזק, עד 50 אלף שקל, ואם מדובר בפגיעה בזדון, עד 100 אלף שקל. ייתכן מאוד שבעלי המאגר לא יחויבו בזדון, אם ננקטו אמצעי פיקוח על בעלי הגישה למאגר וננקטו אמצעי זהירות סבירים. כמובן שאם בעל גישה למאגר מידע פעל בזדון הוא חשוף לתביעה אישית, אבל תביעה נגדו כנראה לא תניב את הסכומים הללו בגלל היותו אדם פרטי ולא גוף ציבורי".
תגובת הכללית
מדוברות המרכז הרפואי כרמל בשירותי בריאות כללית נמסר: "מדובר במקרה חריג ויוצא דופן שטופל במלוא תשומת הלב. מיד משעלה החשד נפתחה בדיקה פנימית על ידי ממונה לאבטחת מידע וקצין בטחון, ומשהתבררו הפרטים הוגשה תלונה במשטרה לעובד נערך שימוע והוא פוטר מעבודתו.
"מבדיקתנו עולה כי עובד באחת מיחידות המיחשוב עשה שימוש פסול, בלתי חוקי, ובניגוד מוחלט לנהלים במידע דמוגרפי מינהלי שהיה נגיש אליו מתוקף תפקידו. העובד עשה שימוש בכתובות דואר אלקטרוני בלבד לצורך משלוח הודעות וקידום אינטרס אישי שלו.
"במרכז הרפואי כרמל מופעלים נהלים קפדניים ומחמירים כדי להבטיח שמירה על פרטיות וחיסון המידע. העובדים חתומים ומחויבים לשמירה על פרטיות וחיסיון המידע אליו הם נחשפים מתוקף תפקידם. כל העת אנו מתדרכים ומרעננים נהלים בנושא ועושים כל שניתן על למנוע מעילה באמון ועבירה על החוק.
"יודגש, מהבדיקה עולה כי השימוש היה רק בכתובות דואר אלקטרוני ולא במידע רפואי כלשהו".