תיקון 13 לחוק הפרטיות - מה זה אומר לגבי קליניקה עצמאית?

ב- 14.8.25 נכנס לתוקף תיקון 13 לחוק הפרטיות, שעושה הרבה רעש ודיס-אינפורמציה.

אז בואו נעשה סדר. רק קודם גילוי נאות: הפוסט מציג מידע כללי ואינו מהווה ייעוץ משפטי או תחליף לייעוץ כזה.

בגדול אפשר לסכם את השינוי בשורה - פחות בירוקרטיה, יותר אחריות אישית ומקצועית. תיאורטית, התיקון הזה הוא אחד השינויים החשובים והטובים שקרו לתחום הפרטיות בישראל והוא נועד להתאים אותנו לעולם הדיגיטלי של היום וליישר קו עם מרבית מדינות העולם המערבי. מעשית? ימים יגידו. יש מצב שזה יהפוך למלכודת תביעות קנטרניות כמו חוק הספאם.

מה בעצם השתנה?

עד היום, פורמלית, הייתה חובת רישום על כל "מאגר מידע", כולל רשומות מטופלים או רשימת דיוור של עסק קטן, גם אם היא כללה רק מידע אישי כמו שם ומייל. החוק במתכונת הישנה לא הבחין בגודל העסק או גודל הרשימה, אלא רק בעצם קיומו של "מאגר מידע". כל רשימת לקוחות / מטופלים, גם אם היא כללה 100 אנשים בקובץ אקסל, נחשבה על פי החוק היבש למאגר מידע שדורש רישום.

בפועל, האכיפה כלפי עסקים קטנים הייתה כמעט אפסית. הרשות להגנת הפרטיות התמקדה בעיקר במאגרים גדולים ורגישים של חברות ותאגידים. לכן, נוצרה מציאות שבה רוב בעלי העסקים הקטנים בכלל לא היו מודעים לחובה הזו, או שבחרו להתעלם ממנה בידיעה שהסיכוי שמישהו יבדוק אותם נמוך מאוד.

תיקון 13 בעצם מיישר קו עם המציאות שהייתה בשטח. הוא מבין שאין טעם להטיל חובת רישום בירוקרטית על עסק קטן. הבשורה הגדולה של תיקון 13 היא ביטול חובת הרישום לעסקים ומאגרים קטנים. אז אם יש לך רשימת דיוור של פחות מ-10,000 נמענים, כנראה שיש לך פטור מהצורך להירשם.

אבל

יש היבטים בחוק שנוגעים גם לקליניקות קטנות או עסקים עם רשימת דיוור קטנה:

1. ניהול רשומות מטופלים

זה המידע הרגיש ביותר, וכאן החוק מחמיר יותר ובצדק. המידע הטיפולי והרפואי נופל בהגדרת החוק ל"מידע אישי רגיש" אז גם אם יש פטור מרישום המאגר, האחריות שלך לאבטחת המידע היא מקסימלית ("רמת אבטחה בינונית").

איך לנהל את זה נכון?

• במקרה של רשומות ידניות (מחברות / קלסרים / דפים): אבטחה פיזית - ארון או חדר נעולים. לא על מדף פתוח.

• אם הרשומות הן במחשב, הוא חייב באבטחה דיגיטלית. המידע צריך להיות מוגן בסיסמה חזקה, הצפנה (במיוחד במחשב נייד) ואנטי-וירוס עדכני. ככה שאם המחשב נגנב, אי אפשר להוציא ממנו את המידע.

• האופציה המומלצת בעינינו (היתה גם קודם וביתר שאת עכשיו)- שדרוג למערכת ניהול קליניקה (כמו טיפולוג ומערכות דומות). שימוש במערכת כזו, מעבר ליתרונות הניהוליים, זו גם דרך מעולה לעמוד בדרישות החוק כי היא בנויה מראש עם רמות אבטחה גבוהות, הצפנה, גיבויים אוטומטיים ועמידה בתקנים. מה שמוריד ממך חלק גדול מכאב הראש הטכנולוגי.
  

2. שקיפות ויידוע המטופלים

חשוב ליידע את המטופלים איזה מידע נאסף עליהם, איפה הוא נשמר, איך הוא מאובטח ומה הזכויות שלהם מול המידע הזה.

ההמלצה שלנו: פשוט להוסיף הסבר כתוב בגוף השאלון / חוזה טיפולי ("טופס הסכמה מדעת") / הצהרת בריאות - כל מסמך שהמטופל.ת חותמ.ת עליו בתחילת התהליך.

מה לכתוב שם? למשל -

שמירת סודיות והגנת הפרטיות

אני מחויבת לסודיות מלאה של המידע הנמסר בטיפול, בהתאם לכללי האתיקה המקצועית ולחוק.

• תיעוד: לצורך הבטחת רצף ואיכות הטיפול, אני מנהלת רישומים של המפגשים שלנו.

• אבטחה: המידע נשמר באופן מאובטח במערכת דיגיטלית מוצפנת / בקבצים מוצפנים במחשב מוגן / בקלסר נעול והגישה אליו מוגבלת לי בלבד.

• הזכויות שלך: הנך רשאי.ת לבקש לעיין במידע השמור שלך בהתאם להוראות החוק.

• מגבלות הסודיות: חובת הסודיות מוגבלת במקרים בהם עולה חשש ממשי לסכנת חיים (לך או לאחרים) או במקרים של חובת דיווח על פי חוק.

  
  

  

3. רשימת דיוור / תפוצה / ניולזטר

גם אם יש לך רק 200 אנשים ברשימה וכל מה שנאסף זה שמות ומיילים - מדובר על פי החוק במה שמוגדר כ"מידע אישי". כאן המידע פחות רגיש ולרוב ייכנס תחת "רמת אבטחה בסיסית".

גם במקרה הזה אין צורך ברישום המאגר אלא בנושאים של הסכמה ושקיפות.

איך לנהל את זה נכון?

• הסכמה ברורה: חשוב לוודא שכל מי שנמצא ברשימה שלך נתן לך אישור מפורש להיות שם. חשוב שבכל טופס יהיה סימון של אישור לדיוור והפנייה למדיניות הפרטיות. אסור שה V של האישור יהיה מסומן מראש (כך שכולם יסמנו את זה אקטיבית).

• אפשרות הסרה קלה: בכל מייל חייבת להיות אפשרות ברורה ופשוטה להסרה מהרשימה (קישור "Unsubscribe").

כמובן שלשני הצרכים האלה מערכת דיוור מסודרת כמו סמוב פותרת את הבעיה.

4. מדיניות פרטיות באתר אינטרנט

אם יש לך אתר, הסעיף הרלוונטי בתיקון לחוק הוא עמוד 'מדיניות הפרטיות'. אפשר לצרף אותו לעמודי התקנון / תנאי שימוש / הצהרת נגישות.

מטרת העמוד להסביר בשפה פשוטה וברורה:

• איזה מידע נאסף באתר? (שם ואימייל בטופס "צור קשר" ובטפסי הצטרפות לדיוור, עוגיות 'קוקיז', פיקסל של קמפיינים במטא ובגוגל וכו').

• למה המידע נאסף? ("כדי לתת מענה לפניות", "כדי לשפר את האתר", "כדי לשלוח מידע שימושי ועדכונים במייל").

• עם מי חולקים את המידע? (מערכת דיוור, מערכת סליקה, מערכת ניהול קליניקה וכו').

• מה הזכויות של הגולשים באתר? (להסיר את עצמם מהדיוור, לבקש לעיין במידע שלהם, לשנות או למחוק אותו)

  
  

5. מסמך פנימי - "נוהל אבטחת מידע"

נשמע פורמלי ומאיים אבל זה כולה מסמך וורד של עמוד אחד שבו כתובה דרך ההתנהלות שלך מול המידע (רשומות מטופלים ורשימת דיוור). במקרה של ביקורת הרשות להגנת הפרטיות או חלילה תלונה של מישהו - מסמך כזה יכול להעיד שאני לוקחת ברצינות את הנושא.

מה לכתוב שם? למשל -

• "מידע רגיש על מטופלים מנוהל דרך מערכת 'טיפולוג', המאובטחת ועומדת בתקנות"

• "רשימת הדיוור מנוהלת במערכת 'סמוב' ומוגנת בסיסמה"

• "שאלונים רפואיים והצהרות בריאות ישנות נשמרים בקלסר בארון נעול בקליניקה"

• "במקרה של אירוע אבטחה, אפנה לרשות להגנת הפרטיות ואפעל לפי הנחיותיה".

  
  

המטרה היא להראות (במקרה של ביקורת) שחשבת על זה ופעלת באחריות.

מה עכשיו? ההמלצות שלנו -

1. למפות את המידע שיש לך: לדעת מה הוא ואיפה הוא נשמר.

2. לשדרג את האבטחה אם צריך: הצפנה טובה במחשב האישי, ארון נעול למחברות, או לשקול ברצינות לעבור למערכת ניהול קליניקה ייעודית.

3. להוסיף פסקה לשאלון / הצהרת בריאות שמסבירה למטופלים איפה נשמר המידע, איך הוא מאובטח ומדגישה את זכותם לבקש לעיין בו.

4. לכתוב מדיניות פרטיות לאתר: אפשר להיעזר בדוגמאות שקיימות ברשת וכמובן שאפשר גם להתייעץ עם עו"ד. המסמך עצמו לא אמור להיות משפטי אלא מסמך בשפה פשוטה שמיועד לגולשי האתר, בונה אמון ומראה על רצינות.

5. לכתוב "נוהל אבטחת מידע" פנימי. כמו שיש לך מדיניות ביטולים / איחורים / תשלומים.

6. לוודא שהכל עובד : לבדוק שיש הצהרה ברורה על הצטרפות לדיוור בכל טופס באתר, לבדוק שקישור ההסרה מהדיוור תקין ושיש לך דרך מסודרת לתת למטופל גישה לתיק שלו אם יבקש.

   
   

כרגיל ממליצות לא להילחץ אלא פשוט להיערך. במקצועות הטיפול גם ככה יש התייחסות רצינית וזהירה למידע של מטופלים כך שזה רק בא לחדד ולדייק את האחריות שלנו לנושא.

** הפוסט מציג מידע כללי ואינו מהווה ייעוץ משפטי. מומלץ להתייעץ עם אשת מקצוע במקרה הצורך.

יש לך שאלות? אפשר לשאול אותנו בקהילת המטפלים והמטפלות שלנו בפייסבוק.