על רקע דליפת כ-290 אלף רשומות שמכילות פרטי מטופלים של מכון מור, במערכת הבריאות מביעים חשש מהמשך חשיפת פרטים רפואיים סודיים של אזרחים כתוצאה מפריצות של האקרים ומזהירים מפני ההשלכות. מומחים ומטפלים בקופות החולים טוענים כי חשיפה של פרטים רפואיים ואינטימיים עלולה לגרום למבוכה גדולה למטופלים, ובמקרים קיצוניים אף להביא לאובדנות ולפגיעה עצמית. מנגד, במכון מור טוענים כי הפרטים שנחשפו הם של האתר השיווקי של המכון המכילים, בין היתר, את פרטי זימוני התורים, ומדגישים כי לא נחשפו תוצאות רפואיות או תוצאות של בדיקות.
קראו עוד:
"כל ארגון רפואי מחויב שיהיה לו גם סוג של נציג או מנהל מדור בתחום אבטחת המידע", מסביר ד"ר דורון דושניצקי, רופא ילדים מומחה ברפואת ילדים בחטיבת הרפואה של לאומית שירותי בריאות. "כל עובדי המוסד הרפואי הציבורי חייב לעבור השתלמויות תקופתיות, בדגש מיוחד בנושא של מידע רפואי. יש כללי התנהגות כמו לא להעביר במיילים או בוואטסאפ מידע חשוף ולנסות כמה שיותר להפריד בין מין של מבוטח לזיהוי של מבוטח. האינפורמציה הרפואית יכולה להיות רגישה מכל מיני סיבות. המטופלים חולקים מידע על מאוויים, נטיות מיניות, על שימוש בחומרים לא חוקיים ומידע נוסף. אם מידע בין מטופל למטפל דולף - זו פשלה רצינית של כל מוסד רפואי.
"המידע הרגיש ביותר הוא למשל ממצאים של בדיקות, ואם מידע כזה דלף להאקרים זה אירוע חמור מאוד. החשש הוא יותר מחשיפה למידע על ידי מישהו שהוא לא מוסמך ולא על ידי האקרים. כלומר, האם הפקיד או הפקידה בסניף יכולים לראות את מה שאני כותב, ולא האקרים איראנים. מבחינת המטופלים, המידע שמור מאוד וסודי, ולכן מנהלים מולנו דיון לעיתים באשר לרישום ותיעוד הדברים. ברמה האישית, ההשלכות יכולות להיות חשיפת הסודות הרפואיים של רבים, מקור למבוכה ועוגמת נפש. החשיפה של המידע הרפואי בפני בני משפחתו, חבריו לעבודה או הוריו של המטופל, יכולה להביא גם לפגיעה עצמית. אם לאדם יש נטיות חד מיניות והוא בארון והוא מקבל למשל טיפול מונע HIV - אלו דברים ברומו של עולם".
חיסיון מידע רפואי: מה אומר החוק?
לחשיפת הפרטים גם היבטים משפטיים. ד"ר עדי ניב-יגודה, מומחה למדיניות בריאות ומשפט רפואי, משיב על השאלות המרכזיות בעניין.
האם החוק מסדיר את אופן אבטחת המידע של מוסדות רפואיים?
בהחלט. החוק בישראל מטיל חובה הן על המטפל והן על הנהלת המוסד הרפואי לנקוט בכל האמצעים הדרושים לשמירת סודיות ולאבטחת המידע. כיום מערכת הבריאות על מוסדותיה וארגוניה מחזיקה במידע אישי, פרטי ורפואי ויציבותה וקיומה של מערכת בריאות נשענת בראש ובראשונה על האמון והביטחון של הציבור שהמידע לא ייחשף.
למערכת הבריאות קיימת חובת זהירות מוגברת ונקיטת מלוא האמצעים למניעת פריצה למאגרי המידע. דליפת מידע רפואי עשויה לגרום לאנשים לחשוש לפרט מידע רלוונטי בפני מטפלים, דבר שיפגע בהצלחת ההליך הרפואי ובבריאות הציבור.
איך חשיפה של מידע רפואי יכולה להשפיע על בני אדם במקום עבודתם/בחייהם האישיים?
היחסים בין מטפל ומטופל מבוססים על אמון, סודיות ופרטיות המידע. לכן חשיפת המידע עשויה לפגוע קשות באמון של הציבור במוסדות הבריאות שאמונים של שמירת המידע הרפואי. יש חשש ממשי שמטופלים לא ימסרו למטפלים השונים מידע רפואי רלוונטי מחשש שייחשף - מה שיכול לפגוע באיכות האבחון הרפואי והטיפול.
האם יש אבחנה בין פריטי המידע השונים מבחינת החוק (תוצאות של בדיקות לעומת הזמנת תורים)?
גם מידע לכאורה מנהלי עשוי לחשוף מצב רפואי מסוים, ולכן חובתה של מערכת הבריאות לנקוט בכל האמצעים הדרושים כדי להגן על המידע הנצבר במחשביה - מנהלי ורפואי כאחד.
האם משרד הבריאות עורך בקרה בעניין אבטחת המידע של המוסדות הרפואיים?
גם משרד הבריאות עוסק בנושא זה רבות וגם בכל מוסד רפואי נדרש שיהיו לו נהלים להגנה על מידע ומנגנונים חזקים לשמירה מפני פריצות סייבר. מוסדות רבים אכן מקיימים מערכים אלו - עם זאת, במבחן המציאות, אנו עדים לכך שאקרים מצליחים לזהות את הבטן הרכה של מערכות המידע בתחום הבריאות. לכן יש להשקיע משאבים שיידעו לתת מענה הולם וראוי להתמודד עם האתגרים המתפתחים בתחום הסייבר.
ממכון מור נמסר בתגובה: ״בעקבות מתקפת סייבר על שרתי חברת סייברסרב נפגע גם האתר השיווקי של מכון מור. מדובר באתר מידע בלבד הכולל העתקי פניות שנעשו לחברה באתר ואינו כולל תיקי נבדקים או תוצאות בדיקות. האתר מאפשר השארת פרטים לצורך יצירת קשר. החברה פועלת לקבלת תחקיר מלא של האירוע ומתואמת עם כל הגורמים הרלוונטיים האמונים על הנושא".