בעקבות אירוע אבטחה חמור במכבי שירותי בריאות, אשר כלל מקרה בו נשלחו מסרונים שהכילו מידע אישי ורפואי לנמענים לא נכונים, הרשות להגנת הפרטיות קבעה כי מכבי הפרה את הוראות חוק הגנת הפרטיות ותקנותיו
בהמשך לממצאי הליך האכיפה שביצעה, קבעה הרשות כי מכבי לא דיווחה לרשות באופן מיידי על אירוע האבטחה החמור כנדרש.
הרשות להגנת הפרטיות ממליצה לארגונים וחברות שמעוניינים לשלוח מסרונים הכוללים מידע אישי, להשתמש באמצעים לאימות זהותם של הנמענים, למשל, על ידי שימוש באזור אישי ומאובטח ולא לשלוח להם מידע אישי באופן ישיר.
מדובר על מסרון שנשלח במסגרת הליך של שליחת הודעות שהיו מיועדות לקבוצה מפולחת של אלפי מבוטחי מכבי, המוגדרים כחולי סוכרת והמשויכים לקבוצת גיל מסוימת ומתגוררים באזור מסוים. המתלונן, כמו נמענים נוספים, קיבלו מסרון שהכיל שם של מבוטח/ת אחר ובו הפניה לשאלון המיועד לחולי סכרת, ובאופן זה נחשפו למידע אישי ורגיש של אנשים אחרים.
במקרה זה, שימוש באמצעים מקובלים פשוטים, כגון דרישה לזיהויו של הנמען טרם מסירת הפרטים הרגישים, היה יכול למנוע את האירוע או להפחית משמעותית את עוצמת הפגיעה בפרטיות.
מהרשות להגנת הפרטיות נמסר: “הקפדה על צמצום המידע שנעשה בו שימוש מתוך המאגר לטובת יצירת קשר עם לקוחות מכבי, באופן שיבטיח שיעשה שימוש רק בשדה השם הפרטי בלבד, במקום השם המלא, היה מצמצם את הנזק שנגרם ולמעשה מנטרל אותו.
מממצאי ההליך שביצעה הרשות, עולה כי שדות המידע שהיו אמורים להילקח מהמאגר, לצורך שליחת המסרון, היו אמורים לכלול רק את השם הפרטי של המבוטח, אך בפועל נעשה שימוש במידע גם על שם המשפחה ומידע עודף זה הועבר לספק החיצוני שעסק בשליחת המסרונים וממנו לנמענים השגויים.
כאמור, משלוח השאלון לאזור האישי של המבוטחים היה עשוי למנוע גם הוא את הפגיעה בפרטיות.
מאגר המידע של מכבי מסווג כמאגר בו נדרשת, על פי תקנות הגנת הפרטיות (אבטחת מידע), רמת אבטחת המידע הגבוהה ביותר.
אירוע שנעשה בו שימוש במידע ממאגר שחלה עליו רמת האבטחה הגבוהה, בלא הרשאה או בחריגה מהרשאה מוגדר בתקנות הגנת הפרטיות (אבטחת מידע) כאירוע אבטחה חמור וככזה, מחייב דיווח מיידי לרשות להגנת הפרטיות.
מכבי הפרה את הוראות התקנות, גם משלא דיווחה כנדרש לרשות על האירוע.
בעקבות ממצאי הליך הפיקוח קבעה הרשות להגנת הפרטיות כי מכבי שירותי בריאות הפרה את הוראות חוק הגנת הפרטיות ותקנותיו והנחתה את מכבי לתקן את הליקויים שנמצאו במסגרת הליך הפיקוח”.
ממכבי שירותי בריאות נמסר בתגובה: “מדובר בטעות אנוש בלבד שגרמה לתקלה טכנית נקודתית ולא אירוע סייבר.
מכבי מתייחסת לנושאי הגנה על פרטיות כערך עליון ומפעילה לשם כך כלי אבטחת מידע מחמירים מהמתקדמים בעולם.
נציין כי הופקו הלקחים הנדרשים ועודכנו הנהלים כדי שמקרה מסוג זה לא ישנה”.
