ללא הצפנה או פיקוח: משרד הבריאות מקדם הקמת מאגר רפואי וגנטי לאומי
תזכיר החוק שמקדם משרד הבריאות מציע לרכז נתונים רפואיים וגנטיים במאגרים לאומיים, אך מתעלם מההגנה על המידע הרגיש במיוחד והבקרה עליו. בכך הוא מעמיד את כלל האזרחים בסיכון לזיהוי אישי, הדלפה וניצול מסחרי או ממשלתי של המידע
חשבתם שהמאגר הביומטרי מפחיד? חכו שתגלו על מאגר המידע הרפואי והגנטי שמשרד הבריאות מבקש להקים בימים אלו, שירכז את הפרטים האישיים הרגישים ביותר של אזרחי ישראל, ללא ההגנות הדרושות על פרטיות, אבטחת מידע ומניעת שימוש לרעה. תזכיר הצעת חוק שמקדם משרד הבריאות מבקש להקנות לשר הבריאות, שאת מקומו ממלא כרגע השר חיים כץ (הליכוד), סמכות ליצור מרשמי בריאות לאומיים, שיכללו נתונים סוציו־דמוגרפיים ורפואיים של אזרחי ישראל, ויחייבו מוסדות רפואיים להעביר נתונים מזהים ורגישים נרחבים על אזרחים.
אף שהמטרות שמאחורי המהלך ראויות, הביצוע עקום לחלוטין כאשר התזכיר, בין השאר, לא מורה על התממה של המידע שיועבר באופן שימנע קישור בין המידע לאזרחים ולא קובע הגנות אבטחת מידע בסיסיות. בנוסף, התזכיר מורה על הקמת מה שיהיה בפועל מאגר גנטי של אזרחי ישראל. זאת, באמצעות העברה למשרד הבריאות של דגימות נסיוב – שאריות דגימת דם שניתן במסגרת בדיקה רפואית – שוב, בלי הגנות שימנעו זיהוי קישור בין המידע הגנטי לבעליו.
"המטרה של שיפור מדיניות בריאות היא חשובה וראויה, אבל התזכיר מציע לחייב את כלל ארגוני הבריאות להעביר למשרד הבריאות מידע רפואי רגיש ומזהה, ולהקים מאגרים רפואיים ענקיים, כולל מה שעלול להפוך למאגר הגנטי הגדול בתולדות מדינת ישראל", אמרה לכלכליסט ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה, שגם פרסמה חוות דעת על החוק. "כל זאת, בלי מנגנוני התממה עדכניים, בלי אבטחה ובלי פיקוח על השימוש במידע, ותוך התעלמות מהרפורמה האחרונה בדיני הגנת הפרטיות ומהגדרות יסוד בתחום הפרטיות ואבטחת המידע. זהו תזכיר חוק שמשקף רגולציה לא אחראית ולא מקצועית".
תזכיר החוק פורסם להערות הציבור ב־22 בדצמבר, ותקופת ההערות הסתיימה ב־12 בינואר. עתה עתידים במשרד הבריאות להכריע אם לקדם את התזכיר בנוסחו הנוכחי או לעדכן אותו בהתאם להערות שהתקבלו. התכלית שמאחורי התזכיר ראויה: הקמת מרשמי בריאות של סוגיות כמו מחלות, מצבים רפואיים או טכנולוגיות רפואיות. זאת, כדי להגשים מטרות דוגמת מעקב אחר תפוצת מחלות ומצבים רפואיים באוכלוסייה וצמצומם, בחינת אימוץ של טכנולוגיות חדשות, גיבוש מדיניות בריאות לאומית או תכנון שירותי בריאות. הקמת המרשמים תהיה בסמכות שר הבריאות.
הבעיה, כמו בהרבה מקרים, היא בביצוע. החוק מסמיך את שר הבריאות להורות למנהלי מוסדות רפואיים להעביר למרשמים שיוקמו מידע רפואי על אדם ונתונים סוציו־דמוגרפיים, כולל נתונים מזהים. המידע יועבר באופן לא מוצפן ועם מזהים ישירים של האזרחים, ולאחר העברתו יוכל משרד הבריאות לבצע אימות והעשרה מול מאגרים ממשלתיים אחרים. כלומר, המידע הרפואי הרגיש יחובר למידע ממשלתי אחר שמוחזק על האזרח, למשל מידע מרשות המסים, ביטוח לאומי או משרד התחבורה.
"תזכיר החוק פוגע פגיעה משמעותית בליבת הזכות לפרטיות בכך שהוא מחייב ארגוני בריאות להעביר מידע רפואי מזהה על חולים לידי משרד הבריאות", כתבו שוורץ אלטשולר ועמיתתה ד"ר רחל ארידור הרשקוביץ בחוות דעת על התזכיר. "תזכיר החוק אינו משקף קשר מידתי בין התכלית – יצירת מדיניות וייעול תחום הבריאות - לבין האמצעי שנבחר בחוק: העברה גורפת ומסיבית של מידע בריאות מזוהה של אזרחי מדינת ישראל שמקבלים שירות ממוסד רפואי, לרבות בתי מרקחת, אל משרד הבריאות. זאת, בעיקר נוכח העובדה שקיימות חלופות כגון העברת מידע אגרגטיבי, מידע מותמם מראש, שימוש במערכות לשאיבה מוצפנת של מידע ועוד, שפגיעתן פחותה".
רק לאחר שלב העשרת המידע הנתונים יוצפנו והמזהים הישירים – שם מלא, כתובת, מספר טלפון, מספר תעודות זהות וכו' – יימחקו. ההליך מכונה "התממה", ומתייחס למניעת אפשרות לזהות אדם על בסיס מידע פרטני. אולם, העמדה המקובלת כיום בקרב מומחי פרטיות היא שמחיקת מזהים ישירים, קרי שם ותעודת זהות, אינה מספיקה על מנת למנוע זיהוי של בן אדם. מערכות AI קיימות, ואפילו עבודה ידנית מאומצת, יכולות לחשוף זהות אדם על בסיס מידע סוציו־דמוגרפי נרחב, מהסוג שיועבר למרשמים, גם אם השם או תעודת הזהות הוסרו.
"הסרת מזהים ישירים אינה הסטנדרט המקובל היום בעולם להפיכת מידע מזוהה למידע שאינו מזוהה", מודגש בחוות הדעת. "המבחן להיותו של נתון מידע אישי מזהה הוא האם ניתן על בסיסו לזהות אדם במאמץ סביר, במישרין או בעקיפין. הפרטים הנמנים עם 'מזהים ישירים' בתזכיר הם רק דוגמאות לפרטים מזהים, אך הם אינם משקפים רשימה סגורה ומוחלטת של נתונים העשויים להביא לזיהויו של אדם".
חוות הדעת מתייחסת להדלפות מהשנים האחרונות, "יתרה מכך, לאחר הדלפת מאגר 'אגרון' המכיל מידע דמוגרפי על כל תושבי מדינת ישראל ב־2006, ודליפת ספר הבוחרים לקראת הבחירות לכנסת בגלל פרצת אבטחה ביישומון הבחירות 'אלקטור' במרץ 2020, סבירות גבוהה שניתן יהיה לזהות אנשים ספציפיים שיש מידע עליהם במידע שברישומי הבריאות הלאומיים, בין שיש בידיי את מפתח ההצפנה ובין שלאו".
חוות הדעת מזהירה מעומק הנזק שעלול להיגרם מהעברת המידע הרגיש והסיכון לחשיפתו: "מידע רפואי הוא מידע רגיש ביותר שחשיפתו עשויה להוביל לנזק בל ישוער, לא רק לאדם המסוים שמידע רפואי עליו נחשף, אלא גם לציבור בכללותו. כך, אדם היודע שהמוסד הרפואי המטפל בו מעביר מידע מזוהה למשרד הבריאות, ומידע זה אף לא מותמם כראוי שכן מוסרים ממנו רק מזהים ישירים, עשוי לחשוש, למשל, מלבצע בדיקות סינון כגון LDCT (בדיקה לגילוי מוקדם של סרטן ריאות – ע"כ), שחשיפתן עשויה להשפיע על נכונותן של חברות ביטוח לבטחו או על אפיקי תעסוקה שייפתחו בפניו".
כך, לפי חוות הדעת, הפגיעה הכלכלית שתזכיר החוק עלול להוביל לה היא גדולה משמעותית מעלות יצירת מערכת שתפגע פחות בפרטיות האזרחים: "הנזק הפוטנציאלי מהעברת מידע מזוהה כאמור והקמת מאגרי המידע שמבקש משרד הבריאות להקים בתזכיר, גדול לאין שיעור מהעלות הנדרשת ממשרד הבריאות לשם יצירת מערכת מידע ממוחשבת להעברת דיווחים מותממים מראש".
2 צפייה בגלריה
ד"ר תהילה שוורץ אלטשולר. "פגיעה בליבת הזכות לפרטיות, בכך שהחוק מחייב ארגוני בריאות להעביר מידע רפואי מזהה על חולים"
(צילום: עמית שאבי)
חלק אחר בתזכיר, מפחיד אף יותר, עוסק בהקמת בנק נסיובים לאומי. בנק זה יתבסס על דגימות נסיוב, שמופקות משארית דגימת דם שמסר מטופל כחלק מטיפול או בדיקה רפואיים. כיום דגימות אלו מושמדות לרוב על ידי המוסד הרפואי. אולם, החוק מסמיך את שר הבריאות לחייב מעבדות רפואיות להעביר דגימות נסיוב אלו, בליווי פרטים מזהים ואחרים, לבנק נסיובים שישמש לקביעת רמת החסינות למחלה באוכלוסייה.
"בפועל, בנק נסיובים לאומי משמעו מאגר מידע גנטי על כל אזרחי המדינה, שעשו במהלך חייהם בדיקת דם במוסד רפואי", מזהירות שוורץ אלטשולר וארידור הרשקוביץ. "דגימת הנסיוב, שתועבר לממונה על רישום הבריאות הלאומי, תועבר בשילוב מידע סוציו־דמוגרפי, ככל שיידרש, תאומת ותועשר במידע דמוגרפי ממאגרי המידע הממשלתיים. רק לאחר מכן יוסרו המזהים הישירים. אין בכך כדי להביא להתממת המידע הגנטי האצור בדגימת הנסיוב.
"חשיפת מידע גנטי מהווה פגיעה קיצונית בזכות לפרטיות של אזרחי מדינת ישראל. בניגוד לחוק מידע גנטי, או חוק המאגר הביומטרי, שעוסקים אף הם במידע רגיש וייחודי לכל אדם, התזכיר אינו כולל מנגנוני מזעור מידע, אבטחת מידע, הגבלת השימוש בו, ומנגנוני בקרה ופיתוח. מה שמוביל למסקנה החמורה, שהתזכיר מבקש בדלת האחורית להקים את מאגר המידע הגנטי הגדול ביותר שהיה קיים אי פעם בתולדות מדינת ישראל".
חוות הדעת מזהירה מהיעדרו של עיסוק בהגנת סייבר על המידע שיועבר ובמניעת גישה לא מורשית למידע, זאת בזמן שאיומי הסייבר על ישראל רק גוברים וגם בתי חולים הותקפו: "רגישותו של המידע הרפואי המזוהה שיועבר והיקפו העצום מחייבים התייחסות מיוחדת בתזכיר להיבטים של אבטחת המידע והגנת הסייבר של מידע. זאת בעיקר נוכח העובדה שאיומי הסייבר על מדינת ישראל רק הולכים וגוברים ומוסדות רפואיים הם יעד מרכזי לתוקפים".
בנוסף, חוות הדעת מזכירה שהתזכיר, בניגוד לחוק הביומטרי, לא מתייחס לפיקוח או בקרה על ההוראות, או ענישה במקרים של הפרתן: "התזכיר גם אינו כולל הוראות בנוגע לפיקוח, בקרה וענישה מינהלית ופלילית במקרה של הפרת הוראותיו, למשל גישה לא מורשית. חוק המאגר הביומטרי, למשל, כולל הוראות ברורות בנוגע למורשה הגישה למאגר הביומטרי, העברת מידע מהמאגר, ולצורך בקביעת חקיקת משנה אשר תסדיר, בין השאר, את שמירת המידע במאגר הביומטרי והעברת מידע ממנו".
