Press ESC to close

רפורמת הפרטיות עוברת לשלב היישום: טיוטת הנחיות חדשה מציינת פיקוח מחמיר יותר על קליניקות

מקור: הרשות להגנת הפרטיות

מה קרה

הרשות להגנת הפרטיות פרסמה טיוטת הנחיות חדשה המפרטת את אופן מינויו, עצמאותו ותפקידו של ממונה על הגנת הפרטיות (DPO), בהתאם לתיקון 13 לחוק הגנת הפרטיות.

בעוד שהתיקון עצמו אושר כבר בעבר, פרסום הטיוטה מעבר ברור מהחקיקה לפרשנות מוכנה ליישוםוהיערכות לאכיפה.

המסמך מבהיר באילו מצבים מצופה מארגונים למנות DPO, מהי רמת העצמאות הנדרשת, ואיך התפקיד אמור לפעול בפועל.

מה מבהירה טיוטת ההנחיות

לפי הרשות, חובת מינוי DPO עשויה לחול על ארגונים אשר:

  • מעבדים כמויות משמעותיות של מידע רגיש, כולל מידע רפואי,
  • מבצעים ניטור שיטתי ומתמשך של מטופלים או משתמשים,
  • מסתמכים על מספר מערכות דיגיטליות במקביל (EMR, CRM, טלה־רפואה, פורטלים למטופלים),
  • מסתמכים על ספקים חיצוניים או שירותי ענן,
  • מנהלים זרימות מידע מורכבות בין מחלקות, ספקים וגורמים שלישיים.

הטיוטה מדגישה כי ה־ DPO חייב:

  • לפעול בעצמאות מקצועית,
  • להיות בקשר ישיר עם הנהלת הארגון,
  • לפקח על עמידה ברגולציה, ניהול סיכונים וטיפול באירועי אבטחה,
  • להיות מעורב בהחלטות על רכישת מערכות, עיצובן ופיתוח שירותים חדשים.

למה זה חשוב למרפאות פרטיות

עבור מרפאות פרטיות רבות, מדובר ב־נורת אזהרה ברורה.

גם מרפאות קטנות ובינוניות עשויות להיחשב ככאלו שנדרשות למנות ממונה על הגנת הפרטיות (DPO)בנוסף, מצופה מהמרפאות גם, אם הן:

  • משתמשות בכלי תקשורת דיגיטליים עם מטופלים,
  • מפעילות מערכות ענן,
  • עובדות עם מוקדי שירות, מעבדות או ספקי טלה־רפואה,
  • מחזיקות נתוני מטופלים לאורך זמן ובמספר מערכות.

כלומר, המורכבות הדיגיטלית — ולא גודל המרפאה — היא הטריגר לפיקוח.

מה מרפאות צריכות לעשות כבר עכשיו

  1. מיפוי זרימות מידע
     לזהות היכן נאסף מידע רפואי ואישי, היכן הוא נשמר, למי הוא מועבר ומי מורשה לגשת אליו.
  2. בחינת הצורך במינוי DPO
     בין אם פנימי או חיצוני – במיוחד אם נעשה שימוש במערכות ענן, כלים דיגיטליים או ספקים חיצוניים.
  3. בדיקת הסכמים עם ספקים
     לסקור חוזים עם ספקי מערכות רפואיות, CRM, שירותי ענן, טלה־רפואה ומוקדים – ולוודא שהוגדרו בהם במפורש תחומי אחריות לעיבוד מידע ואבטחתו.
  4. הכנת תיעוד פנימי
     כולל ניהול הרשאות, רישום פעולות גישה, ניהול פניות של מטופלים וטיפול באירועי אבטחה.
  5. מעקב אחרי ההנחיות הסופיות
     ההנחיות שיתפרסמו סופית יקבעו בפועל את סדרי העדיפויות לאכיפה בשנת 2026.

למה זה מסמן שלב חדש ברגולציה

פרסום הנחיות יישומיות מעיד על כך ש־הרגולציה בתחום הגנת הפרטיות בישראל נכנסת לשלב אכיפה פעיל.

עבור מרפאות פרטיות, עמידה בדרישות אינה עוד “היגיינה משפטית” בלבד —
אלא חלק מ־ניהול סיכונים תפעוליים, ביסוס אמון עם מטופלים, והיערכות לביקורות עתידיות.