אם השתתפתם בעבר או בהווה בטיפול נפשי, אתם ודאי זוכרים את המחשבות, החוויות והתחושות עליהם סיפרתם למטפל ולא לאף אחד אחר. העובדה שהמטפל אינו חלק ממעגל הקשרים היומיומי שלנו, כמו גם היותו איש מקצוע, יוצרת בדרך כלל מערכת יחסי אמון המאפשרת לדבר על הכול, או כמעט על הכול, ללא חשש. אך על פי רוב, אנו מדחיקים את האפשרות הממש סבירה שהמידע האישי והרגיש שלנו ייפרץ וייחשף לעיני כל.

למרות שאנחנו משתפים מרצוננו כמעט כל פרט מידע על חיינו, החל ממה אכלנו בארוחת הבוקר, מה לבשנו, מה ראינו בדרך לעבודה ומה אנחנו חושבים על מי שאנחנו חולקים איתו משרד, החתול בשלל תנוחות והאחיינים שלומדים לדבר, יש עדיין דברים שהמחשבה על כך שהם יהיו חשופים לכל מעוררת בנו בעתה. הסודות הנפשיים שלנו הם בוודאות אחד מהם.

סדרת הטלוויזיה החדשה של קשת "להעיר את הדב", עוסקת בדיוק בנושא הזה. גיבורת הסדרה, הדס, מקבלת יום אחד מכתב שבו תמלול של השיחות שלה עם הפסיכולוג. עצם קיומו של המכתב, יחד עם חוסר הידיעה מי שלח אותו ומי קרא אותו מלבד הפסיכולוג אינם נותנים לה מנוחה ומשבשים את חייה – הקשר עם בעלה, בנותיה וחבריה לעבודה. מעבר לכך שזו סדרה מצוינת ומומלצת, היא מעלה את המורכבות שבשמירת מידע רפואי, איך נכון לאבטח אותו ומה האחריות של המטפל.

"רוב המטפלים עוברים על החוק"

פריצות של מאגרי מידע ממוחשבים מתרחשות כל הזמן – מכרטיסי אשראי ועד פרטי משתמשים באתר הבגידות אשלי מדיסון. גם מאגרי המידע הרפואיים אינם חסינים: האתר Healthcare IT News הציג רשימה של 40 פריצות למאגרים רפואיים במהלך 2017, בכללם בתי חולים, חברות ביטוח רפואי ואף המחלקה לפסיכולוגיה של אוניברסיטת קליפורניה. ברגע שהמטפל משתמש במחשב כלשהו כדי לרשום עליכם מידע ואינו נוקט אמצעי זהירות מתאימים, הסיכוי שהמידע ידלוף רק גובר. לא מדובר רק בנזק שעלול להיות בלתי הפיך למטופל, אלא גם בעבירה על החוק מצד המטפל: חוק הגנת הפרטיות קובע כי כל מי שמנהל מאגר דיגיטלי המכיל "מידע רגיש" חייב לרשום אותו ברשות להגנת הפרטיות במשרד המשפטים ולפעול לפי נהלים הקבועים בחוק. ומה הופך מידע ל"רגיש"? "נתונים על אישיותו של אדם, צנעת אישותו, מצב בריאותו, מצבו הכלכלי, דעותיו ואמונתו", כך לשון החוק.

להעיר את הדב (צילום: פיני סילוק)

"מבחינת אבטחה, רוב האנשים במדינת ישראל עוברים על החוק והם לא מודעים לזה", אומר יאיר אילן, מנכ"ל חברת 'טיפולוג' המעניקה שירותי אבטחה למידע רפואי למטפלים, "כל מי שמתעד במחשב שלו רשומות רפואיות בעצם מנהל מאגר מידע, והוא לא מודע לזה שהוא חייב לרשום את המאגר שלו. הרבה אנשים לא מודעים לזה ושומרים את הרשומות שלהם בגוגל דרייב או באקסל, ובעצם הם כנראה עוברים על החוק. זה שהאקסל יושב אצלך על המחשב כנראה לא אומר שאתה מגן עליו לפי איך שהחוק דורש ממך."

התוכנה של 'טיפולוג' מותאמת למטפלים בתחום הנפש ומאפשרת להגן על פרטיות המטופלים תוך שמירה על דרישות החוק. "המטרה שלנו היא לעזור למטפל לנהל את העסק או למרכז טיפולים לנהל את העסק שלו. המטפלים הם אנשים לא הכי טכנולוגיים, אבל חלה עליהם הרגולציה הכבדה יותר. כאנשים לא טכנולוגיים הם מחויבים לתעד מבחינת ביטוח אחריות מקצועית, וגם צריכים לנהל עסק – אז טיפולוג בא לתת מענה כולל לכל הצרכים האלה. כשאתה רושם מאגר שאתה הבעלים שלו אתה צריך לשים את המידע אצל מחזיק במידע, ואנחנו ה'מחזיק במידע' האידאלי כי אנחנו עונים על דרישות החוק ועברנו תקן ISO-27799 לבטחון מידע בתחום הבריאות".

– איך אתם מגינים על המידע?

"על שרת מרוכז במקום אחד, מאובטח, כולל פיירוול, הצפנה, כל הדברים הרגילים והלא בהכרח רגילים, מבדקי חדירות, דרישה לאימות דו שלבי ועוד כל מיני. אנחנו אף פעם לא אומרים שאנחנו מגנים במאה אחוז. אין דבר כזה שלעולם לא ייפרץ. אי אפשר בשום מקום לשמור על מידע כמו שצריך. אנחנו לא מעבירים מידע, אנחנו מודל שעובד על ענן. אנחנו משכירים כל חודש שירותים ולא יודעים מה הלקוח שלנו עושה שם, ויש לנו גם את העניין של הפרדת מידע. זה שאנחנו לא מבטיחים מאה אחוז זה כי אנחנו פיירים וישרים, אבל בגדול זה מאוד קשה לפרוץ. סביר להניח שאנחנו האופציה הכי מאובטחת. וזה בראש מעייננו, רשות הסייבר אמורים בתחילת מאי להתחיל לאכוף את תקנות ההגנה על הפרטיות".

– מה זה אומר?

"אצלנו מפרידים את המידע. המטפל יכול להפריד בין המידע שהוא מתעד ואותו הוא יכול לשלוח ללקוח או לבית המשפט, לבין הרשומה האישית שאותה הוא לא מחויב לתת. טיפולוג מעלה מודעות להפרדת המידע: הממשק שלנו מגיע בזמן נכון. בביהמ"ש ובכל מקום שבו נדרש "חיטוט" בתיק האישי של מטופל. למעשה אנו מגנים על החיסיון הרפואי ועושים זאת בשיתוף פעולה מלא עם גורמי החוק. אנו מאפשרים להם לקבל רק את המידע הנחוץ ותו לא. הממשק הזה הוא פורץ דרך מסוגו ועד היום לא היה ניתן מבחינה טכנית לתת רק את מה שנחוץ ולכן כל התיק היה מובא ונחשף. הממשק שלנו משנה את כללי המשחק ושם את המטופל במרכז. כתוצאה מכך האמון של אנשים במערכת החוק ובאנשי המקצוע יגבר, משום שהם יבינו שהמידע שלהם אכן אצור ונעול ומוגן".

"הממשק שלנו משנה את כללי המשחק ושם את המטופל במרכז" יאיר אילן (צילום באדיבות המצולם)

לדברי אילן הרעיון התחיל כשזיהה צורך אצל אשתו ניבי, מטפלת בבעלי חיים, "התחלנו כמיזם לפי הספר – זיהינו צורך ופיתחנו עבורו מוצר. ראיתי את אופן העבודה של אשתי והצעתי לבוס שלה, ד"ר רוני רדו, שאפתח עבורו אבטיפוס. הוא הרים מיד את הכפפה ובהמשך הפך למשקיע הראשון. התחלנו לפזול לכל העולם של סטארט אפ ניישן,  הסתובבתי בקרנות הון סיכון והיה מעולה, אבל לא רצינו עמק הסיליקון – רצינו להישאר בארץ. אז גייסנו עוד השקעה כדי לצאת לעולם של הרופאים. כרגע אנחנו במטפלים הוליסטיים בבריאות הנפש. אנחנו נלך בהמשך לכיוון של פרו-אקטיבי: שכחת לגבות כסף, עוד שבועיים יש לך שעתיים ריקות ויקב בהרבה זמן לא היה אצלך אולי תקבעי איתו. נגיד מטפל שצריך לקרוא מאמרים מקצועיים, אם הוא הקליד החודש 50 פעם את המילה סכיזופרניה, אני אציע לו מאמרים שקשורים לתוכן הזה."

אחד מארבעה אנשי צוות רפואי חשף את הסיסמה

המציאות בשטח מראה כי לא רק התחום הנפשי זקוק לשיפור באבטחת המידע, אלא כלל ענפי הרפואה. בספטמבר האחרון פרסמו חוקרים באוניברסיטת בן גוריון מחקר שגילה כי רוב אנשי המקצוע בתחום הרפואה משתפים באופן בלתי ראוי הרשאות גישה והתחברות למערכת רשומות רפואיות אלקטרוניות. המחקר גילה כי דווקא תקנות מחמירות שנועדו להגן על מידע חסוי, הן אלו המקשות לעיתים קרובות על מטפלים לקבל את המידע שהם זקוקים לו. בעקבות זאת, רוב חברי הצוות הרפואי שהשתתפו בסקר התחברו למערכת רשומות רפואיות אלקטרוניות (EMR) באמצעות סיסמה שנתן להם חבר אחר בצוות הרפואי, באופן לא ראוי.

החוקרים גילו כי כמעט שלושה רבעים (73 אחוזים) מ-299 המשתתפים טענו שהשתמשו בסיסמה של חבר אחר בצוות הרפואי כדי לגשת למערכת EMR בעבודה. יותר מ-57 אחוזים מהמשתתפים העריכו שהשתמשו בסיסמה של מישהו אחר 4.75 פעמים בממוצע. בקבוצת הרופאים המתמחים, כולם אמרו שקיבלו פעם אחת את הסיסמה של חבר צוות אחר, בהסכמתו. בקבוצת הסטודנטים והסטאז'רים, 77 אחוזים ו-83 אחוזים (בהתאמה) השתמשו בהרשאות של מישהו אחר, משום שאמרו שהם "לא קיבלו שם משתמש".

באופן דומה, 56 אחוזים מהסטודנטים וכמעט 70 אחוזים מהסטאז'רים השיבו שלשם המשתמש שלהם אין הרשאות מתאימות כדי "למלא את חובותיי", ולכן הם נאלצו לבקש את הרשאות הגישה של מישהו אחר. רק חצי מהאחיות שהשתתפו בסקר (57.5 אחוזים) דיווחו שהשתמשו בסיסמה של מישהו אחר. "כוחה של מערכת אבטחת מידע נמדד בכוחה של החוליה החלשה ביותר בה," אמרה עם פרסום המחקר ד"ר פלורינה יוזפובסקי, חוקרת בתחום הפסיכולוגיה ההתפתחותית באוניברסיטת בן-גוריון בנגב וחברה במרכז זלוטובסקי לחקר העצב. "אפילו פרצה יחידה יכולה להפוך מערכת מידע ללא-יעילה."

"על הצוות הרפואי להעניק טיפול יעיל ובזמן, תוך שמירה על חיסיון המטופלים," אמר החוקר הראשי, ד"ר אייל חסידים מהמרכז הרפואי של האוניברסיטה העברית ו"הדסה". "לפעמים זה יכול לגרום להתנגשות בין חובתם לבין מחויבותם לעמוד בתקנות האבטחה."

לחוקרים היו מספר המלצות: ראשית, השגת הרשאות גישה צריכה להיות פחות קשה ולגזול פחות זמן. לדוגמה, בישראל הצוות הזוטר מחליף סבבים רפואיים על בסיס שבועי, ולכן לעיתים קרובות סטודנטים לרפואה, מתמחים ועובדים חדשים אחרים נאלצים להשתמש בהרשאות של עובדים אחרים כדי למלא את חובותיהם בזמן שהם עוברים את תהליך ההרשמה הממושך והקפדני. הם גם המליצו שבבתי חולים שאין בהם מספיק עובדים, במיוחד בשעות תורנות, יעבירו משימות אדמיניסטרטיביות ויעניקו גישה מורחבת למערכת EMR לעובדים פרא-רפואיים, לצוות זוטר, למתמחים ולסטודנטים. סביר יותר שהאחיות, שבדרך כלל חובותיהן מוגדרות יותר, יהיו בעלות הרשאות ה-EMR שהן צריכות. הבנה של דרישות הצוות הרפואי והרחבת הרשאות הגישה יכולות להוביל למעשה לפחות שיתוף של סיסמאות ולהגנה טובה יותר על המידע הרפואי.

משרד הבריאות: "החל מ-2015 כל ארגוני הבריאות עומדים בתקן אבטחה"

לדברי ראובן אליהו, מנהל תשתיות והגנת הסייבר, CTO במשרד הבריאות, התנאים לאבטחת מידע רפואי הם עמידה בחוק זכויות החולה – מטפל יתעד את מהלך הטיפול הרפואי ברשומה רפואית; ניהול יומן רופא, ביטוח אחריות מקצועית, אחסון המידע בגבולות ארץ ישראל, וחוק הגנת הפרטיות. "הבסיס לרגולציה על שמירת המידע היא על בסיס החוקים במדינת ישראל: שמירה על הפרטיות וכבוד האדם וחירותו ועל תקנות ונהלים שמפרסם המשרד שמחייב שימוש נאות ורק לצרכי טיפול, וכמובן גופים שמחזיקים מידע רפואי חייבים להיות מוסמכים בתקן ISO החל משנת 2015, כל ארגוני הבריאות עומדים בתקן הזה". עם זאת, יש הבדל בין ארגון גדול כמו קופת חולים או מרכז רפואי, שבו יש עובד הממונה על אבטחת המידע, לבין מטפל בודד העובד בקליניקה של עצמו – גם ביכולת האכיפה וגם במשאבים העומדים לרשותו לקיום החוק.

– מה עושים כשיוצא מידע?

"אפשר להגיש תלונה בנציבות תלונות הציבור במשרד הבריאות, אנחנו פותחים בחקירה ואם יש חשד לפלילים אנחנו מגישים תלונה במשטרה. יש בין 10 ל-20 פניות בשנה, זה קורה מדי פעם אבל לא המון. קרה מקרה שנה שעברה שמטפלים העבירו נתונים לגופים מסחריים, מקרה נוסף היה שבית חולים חשד שקרוב של מטופל יודע יותר מדי מידע".