מפיקוח רוחב שערכה הרשות להגנת הפרטיות בקרב 31 בתי אבות והוסטלים בישראל עלה כי קיימת רמת עמידה נמוכה במרבית הקריטריונים הבוחנים את אופן הגנת המידע והגנת הפרטיות, בעיקר בתחומי שימוש בשירותי מיקור חוץ ובקרה ארגונית. עוד עלה כי חלק מהגופים המפוקחים נוהגים לשמור מידע עודף אודות דיירים שהלכו לעולמם או דיירים שעזבו, דבר העשוי ליצור סיכוני אבטחת מידע והפרה של הוראות חוק הגנת הפרטיות

הרשות להגנת הפרטיות מפרסמת את ממצאי דוח פיקוח הרוחב שערכה בקרב מגזר בתי האבות וההוסטלים. מגזר בתי האבות וההוסטלים מתאפיין בסוגי פעילות שונים, הכוללים רשתות בעלות סניפים הפרוסים ברחבי הארץ, מרכזים בעלי סניף אחד בלבד וחברות קשורות המעניקות שירותי בתי אבות והוסטלים לצד שירותים סיעודיים. הגופים המשתייכים למגזר זה מעניקים ללקוחותיהם שירותי סיעוד וטיפול, ובמסגרת זו מקבלים לידיהם מידע רגיש על מצבם הרפואי של הדיירים. מטבע הדברים, קיימים פערי כוחות משמעותיים בין הגופים בעלי המאגרים לבין הדיירים, שחלקם בעלי תפקוד פיזי או קוגניטיבי נמוך, העלול להתאפיין גם במודעות נמוכה לפרטיות, לסיכונים הנובעים משימוש במידע עליהם, או לזכויות המוקנות להם.

בפיקוח נבדקו 31 בתי אבות והוסטלים. כחלק מהליך פיקוח הרוחב, הרשות בחנה ארבעה קריטריונים בתחום הגנת הפרטיות: בקרה ארגונית, ניהול מאגרי מידע, אבטחת מידע ושימוש בשירותי מיקור חוץ. במגזר בתי אבות והוסטלים נמצאה רמת עמידה נמוכה במרבית הקריטריונים, בעיקר בתחומי שימוש בשירותי מיקור חוץ ובקרה ארגונית.

מהפיקוח עלה כי קיימת רמת עמידה נמוכה במרבית הקריטריונים הבוחנים את אופן הגנת המידע והגנת הפרטיות, בעיקר בתחומי שימוש בשירותי מיקור חוץ ובקרה ארגונית. רמת העמידה בדרישות אבטחת המידע נמוכה באופן מובהק בקרב מוסדות בתי האבות וההוסטלים הפרטיים, המטפלים בקבוצת מטופלים מצומצמת, בהשוואה לרשתות הגדולות. בהתייחס למידע האישי שבבעלות בתי האבות וההוסטלים ובהחזקתם, נמצא כי הגופים במגזר לרוב אינם מודעים לחובות החלות עליהם כאשר הם מתקשרים עם צדדים שלישיים המחזיקים או מעבדים עבורם מידע אישי.

חלק מהגופים המפוקחים נוהגים לשמור מידע עודף אודות דיירים שהלכו לעולמם או דיירים שעזבו, דבר העשוי ליצור סיכוני אבטחת מידע והפרה של הוראות חוק הגנת הפרטיות. במרבית הארגונים שנבדקו לא נמצא תיעוד לעריכת בחינה האם הגוף מחזיק מידע עודף שאינו נחוץ לו עוד, כנדרש לפי התקנות. על פי הדין, יש לערוך בחינה זו אחת לשנה לכל הפחות, והיא משמעותית במיוחד בכל הקשור לשמירת מידע על נפטרים, כחלק ממדיניות צמצום מידע עודף, שאינו נדרש עוד למטרות המאגר.

 עוד עלה, כי :

• רק 16% מהגופים עמדו בקריטריונים בנוגע לבקרה ארגונית.
• רק 23% מהגופים עמדו ברמה גבוהה בדרישות אבטחת המידע.
• ב- 97% מהגופים נהלי אבטחת מידע לא כללו את כל הדרישות המתחייבות מהתקנות.
• ב- 74% מהגופים לא נמצא תיעוד על הדרכות לעובדים בעלי גישה למאגרי מידע או למערכות המאגר.
• ב-84% מהגופים לא גובש נוהל עבודה סדור לטיפול באירועי אבטחת מידע.
• ב-74% מהגופים לא נקבע בנוהל אבטחה אופן הגישה למאגרי המידע באמצעות שימוש בסיסמאות חזקות.

נוכח הממצאים שעלו מהליך פיקוח הרוחב, המפורטים בממצאי הדו"ח, נשלחו הנחיות לכלל הגופים הפועלים במגזר לתיקון הליקויים שנמצאו אצלם, ובאשר לצעדים שעליהם לנקוט כדי לעמוד בדרישות החוק והתקנות.

פורסם באתר הרשות להגנת הפרטיות.