דרישות הפרטיות החדשות ל־2026: מה מרפאות חייבות לתקן לפני שהביקורות מתחילות

כיצד הרפורמה בפרטיות תשפיע על התפעול היומיומי של מרפאות פרטיות

השינוי הרגולטורי שמרפאות כבר לא יכולות להתעלם ממנו

תיקון 13 לחוק הגנת הפרטיות עבר בקיץ 2025, אך המשמעות האמיתית שלו מתחילה עכשיו:
רשות הגנת הפרטיות עוברת מ"הסברה" ל־אכיפה, ומרפאות פרטיות צפויות להיות בין הראשונות שירגישו את זה.

נתונים רפואיים, תקשורת דיגיטלית, זרימות עבודה במערכות EMR, התכתבויות בוואטסאפ, תיעוד טלה־רפואה — כל מידע רפואי וכל ערוץ תקשורת הופכים לחלק מרגולציה מחמירה יותר, עם חובות ברורות וסנקציות חדשות.

החוק המלא:
https://fs.knesset.gov.il/25/law/25_ls2_4715568.pdf

מה בדיוק משתנה ב־2026?

1) סמכויות אכיפה מחמירות — וגם מרפאות פרטיות נכנסות תחת פיקוח

תיקון 13 מעניק לרשות להגנת הפרטיות יכולת:

• לפתוח בחקירות
  
• לדרוש מסמכים פנימיים ודוחות גישה
  
• להגביל או להפסיק עיבוד מידע
  
• להטיל קנסות מנהליים
  
• לאכוף הפרות גם ללא הוכחת נזק
  

המסר ברור: גם מרפאות קטנות אינן פטורות מבדיקות רגולטוריות.

2)  מידע רפואי מסווג כ"מידע בעל רגישות מיוחדת"

החוק מסווג את הנתונים הבאים כמידע בעל רגישות מיוחדת:

• רשומות רפואיות
  
• תוצאות בדיקות
  
• נתוני טלה־רפואה
  
• נתונים גנטיים
  
• הערות פסיכולוגיות
  

ולא רק ברשומות EMR — אלא גם בנתונים ממקורות אחרים, כגון:

• הודעות וואטסאפ
  
• טפסי קבלה
  
• תמונות מטופלים
  
• מיילים
  
• תיקיות בענן
  

3) חובת גילוי ברור למטופלים

מרפאות חייבות כעת להציג למטופל:

• מיהו בעל המאגר
  
• כיצד ולמה נעשה שימוש במידע
  
• למי מועבר המידע (למשל למעבדות, פלטפורמות או ספקים)
  
• מהן זכויותיו וכיצד ניתן לממש אותן
  
• מה ההשלכות של סירוב למסירת מידע

אי עמידה בדרישת הגילוי נחשבת להפרה בפני עצמה.

4) עידן ההסכמה המהותית הגיע

הנחיות ההסכמה המעודכנות של רשות הגנת הפרטיות מחמירות את הדרישות:

• אין לכלול הסכמה באופן מוסתר או כחלק ממסמך כללי
  
• נדרשת הפרדה ברורה בין סוגי ההסכמות
• נדרשת הסכמה נפרדת עבור:
  
  • פרופיילינג,
  • שימוש בכלי בינה מלאכותית,
  • תקשורת שיווקית
  • שימוש משני במידע רפואי
  • שיתוף מידע עם צדדים שלישיים
    
• חייב להיות מנגנון פשוט לביטול הסכמה
  

הדבר משפיע ישירות על אופן הפעולה של המרפאות מול:

• זרימות קבלה
  
• אתר האינטרנט
  
• תבניות WhatsApp ודוא״ל
  
• תזכורות אוטומטיות
  
• כלי טלה־רפואה
  

5) באילו מקרים נדרש למנות ממונה על הגנת הפרטיות (DPO)?

במקרים מסוימים, נדרש למנות ממונה על הגנת הפרטיות, בדומה למודל האירופי.

מרפאות יידרשו למנות ממונה אם הן:

• מעבדות כמות גדולה של מידע רפואי
  
• משתמשות בטלה־רפואה או בניטור רפואי מרחוק
  
• פועלות במספר סניפים
  
• משתמשות בכלי קבלת החלטות מבוססי בינה מלאכותית
  
• מנהלות מספר מאגרי מידע מקושרים
  

פלטפורמות טלה־רפואה ורשתות מרפאות נחשבות לחשופות ביותר לאכיפה רגולטורית.

מה מרפאות חייבות להשלים לפני תחילת הביקורות?

1) למפות את כל תהליכי זרימת המידע

מאין נאסף המידע → היכן הוא מאוחסן → מי מורשה לגשת אליו → לאילו גורמים הוא מועבר.

2) לעדכן טפסי קבלה והודעות פרטיות בהתאם לכללי השקיפות החדשים

מרבית הטפסים הנמצאים כיום בשימוש אינם עומדים בתקן החוקי החדש.

3) לנסח מחדש את תהליכי ההסכמה

בפרט עבור: תקשורת בוואטסאפ, כלי AI למיון, תזכורות אוטומטיות, תיעוד טלה־רפואה והודעות שיווקיות.

4) לבחון את כלל ספקי התוכנה והמערכות הדיגיטליות

לבדוק היכן מאוחסן המידע, מיהם קבלני המשנה, ומהי מדיניות המחיקה והשמירה.

5) להיערך למינוי ממונה על הגנת הפרטיות DPO

גם אם אין חובה – חשוב לתעד את שיקול הדעת שהוביל לכך.

6) להדריך את כלל צוות המרפאה – לא רק את צוותי ה־IT

מרבית ההפרות קורות בדלפק הקבלה – לא במחלקת המחשוב.

למה זה קריטי עכשיו?

כי שלב האכיפה כבר יוצא לדרך:

• הרשות מגבשת כעת הנחיות סופיות
  
• ונערכות ביקורות ממוקדות לפי מגזרים
  
• שירותי בריאות פרטיים סווגו כמגזר בעל סיכון גבוה
  

מרפאות שיפעלו כבר עכשיו — יפחיתו חשיפה משפטית ויחזקו את אמון המטופלים.
מרפאות שיחכו — עלולות להתמודד עם קנסות, חקירות ותיקונים יקרים בדיעבד.