אירוע חמור: מידע אישי ורפואי של מבוטחי מכבי נשלח לאנשים הלא נכונים

הרשות להגנת הפרטיות קבעה כי מכבי שירותי בריאות הפרה את הוראות חוק הגנת הפרטיות ותקנותיו בעקבות אירוע אבטחת המידע החמור. בקופת החולים טוענים: "מדובר בטעות אנוש בלבד - לא באירוע סייבר"

ישי אלמקייס ישי אלמקייס, חדשות כיפה 08/11/21 16:00 ד בכסלו התשפב

אירוע חמור: מידע אישי ורפואי של מבוטחי מכבי נשלח לאנשים הלא נכונים
צילום: יחצ מכבי

הרשות להגנת הפרטיות פתחה בהליך אכיפה מנהלי במכבי שרותי בריאות, בעקבות תלונה שהתקבלה אצלה, לפיה שלחה קופת החולים בחודש אפריל 2020, מסרונים לנמענים שגויים שהכילו שם ומידע רפואי של אנשים אחרים.

האדם שהתלונן והביא לחשיפת אירוע האבטחה, טען כי קיבל מסרון מטעם "צוות סוכרת מכבי שירותי בריאות מחוז השרון", שהכיל שם מלא של מבוטחת אחרת של מכבי, וקישור לשאלון והנחיות לנושא מחלת הסוכרת בתקופת הקורונה.

מדובר על מסרון שנשלח במסגרת הליך של שליחת הודעות שהיו מיועדות לקבוצה מפולחת של אלפי מבוטחי מכבי, המוגדרים כחולי סוכרת והמשויכים לקבוצת גיל מסוימת ומתגוררים באזור מסוים. המתלונן, כמו נמענים נוספים, קיבלו מסרון שהכיל שם של מבוטח/ת אחר ובו הפניה לשאלון המיועד לחולי סכרת, ובאופן זה נחשפו למידע אישי ורגיש של אנשים אחרים.

במקרה זה, שימוש באמצעים מקובלים פשוטים, כגון דרישה לזיהויו של הנמען טרם מסירת הפרטים הרגישים, היה יכול למנוע את האירוע או להפחית משמעותית את עוצמת הפגיעה בפרטיות.

עוד יודגש, כי הקפדה על צמצום המידע שנעשה בו שימוש מתוך המאגר לטובת יצירת קשר עם לקוחות מכבי, באופן שיבטיח שיעשה שימוש רק בשדה השם הפרטי בלבד, במקום השם המלא, היה מצמצם את הנזק שנגרם, ולמעשה מנטרל אותו. 

מממצאי ההליך שביצעה הרשות, עולה כי שדות המידע שהיו אמורים להילקח מהמאגר, לצורך שליחת המסרון, היו אמורים לכלול רק את השם הפרטי של המבוטח, אך בפועל נעשה שימוש במידע גם על שם המשפחה, ומידע עודף זה הועבר לספק החיצוני שעסק בשליחת המסרונים, וממנו לנמענים השגויים. כאמור, משלוח השאלון לאזור האישי של המבוטחים היה עשוי למנוע גם הוא את הפגיעה בפרטיות.

"המקרה טופל ביסודיות ולא יקרה שנית"

מאגר המידע של מכבי מסווג כמאגר בו נדרשת, על פי תקנות הגנת הפרטיות (אבטחת מידע), רמת אבטחת המידע הגבוהה ביותר. אירוע שנעשה בו שימוש במידע ממאגר שחלה עליו רמת האבטחה הגבוהה, בלא הרשאה או בחריגה מהרשאה מוגדר בתקנות הגנת הפרטיות (אבטחת מידע) כאירוע אבטחה חמור וככזה, מחייב דיווח מיידי לרשות להגנת הפרטיות. מכבי הפרה את הוראות התקנות, גם משלא דיווחה כנדרש לרשות על האירוע.

בעקבות ממצאי הליך הפיקוח קבעה הרשות להגנת הפרטיות כי מכבי שירותי בריאות הפרה את הוראות חוק הגנת הפרטיות ותקנותיו והנחתה את מכבי לתקן את הליקויים שנמצאו במסגרת הליך הפיקוח.

במכבי שירותי בריאות ציינו כי האירוע התרחש לפני כשנה וחצי ומסרו כי "לא מדובר באירוע סייבר אלא בטעות אנוש בלבד שגרמה לתקלה טכנית נקודתית. מכבי מתייחסת לנושאי הגנה על פרטיות כערך עליון, ומפעילה לשם כך כלי אבטחת מידע מחמירים מהמתקדמים בעולם. נציין כי לא ניתן לזהות את נמעני הדיוור באופן מלא, ונבהיר כי המקרה טופל ביסודיות, הופקו הלקחים הנדרשים ועודכנו הנהלים כדי שמקרה מסוג זה לא ישנה". 

👈 אומץ הוא לא רק בשדה הקרב - הכנס שישבור לכם את הקונספציה. יום ראשון הקרוב 31.3 מלון VERT ירושלים לפרטים נוספים לחצו כאן