הכותב אינו מומחה לאבטחה ולא משפטן אלא מטפל מרחוק מזה מספר שנים ומבוסס על ידע קודם.

לאור השימוש הגובר בשיחות וידיאו ואמצעי תקשורת אחרים בטיפול מרחוק, מצאתי לנכון לחדד מספק נקודות.

מטרת הדברים המובאים אינה להגיד באיזה תוכנה נכון להשתמש אלה להבין את השיקולים.

בהמשך ארחיב מה הוא אותו HIPAA שמרבים להזכיר לאחרונה, אבל קודם אזכיר על מה אנחנו בעצם צריכים להגן:

1) עצם העובדה שפלוני מטופל (מטה-דטה).

2) רשומות אודות פלוני.

3) תוכן שיחות.

הנושא האחרון, תוכן השיחות, הוא בד"כ המדובר ביותר – כלומר רוב השיח כיום הוא האם תוכנה זו או אחרת מאובטחת ובאיזה רמה. לדוגמה – האם האבטחה היא מ'קצה לקצה' או 'בין קצוות'. סוגייה זו עלתה בהקשר של זום. אבטחת קצה לקצה משמעה שיש סוג של צינור בין המחשבים של השותפים לשיחה, וכמעט בלתי אפשרי להפיץ לתוכן השיחה כל עוד הוא 'בצינור'.

בזום הצינור הוא בין מחשב (או טלפון) משתתף לבין חוות השרתים של זום, ומהחווה של זום עד למחשבים של השותפים האחרים לשיחה. כלומר עובד בזום באופן תיאורטי יכול להקשיב לשיחה. עוד הוזכר כי חלק מהשרתים של זום ממוקמים בסין. אגב, לגופו של עניין, אין כל חשיבות למיקום הפיזי של שרתים – בכל מקרה ניתן לגשת אליהם מכל מקום בעולם!

בעקרון, אין זה בעיה לפי HIPAA או החוקים של רוב המדינות, בתנאי שזום עומד בתנאי האבטחה בתוך החברה. על כך נפרט בהמשך.

בעיה נוספת עלתה בהקשר תוכן השיחה נובעת מכך שזום לא שמי שמתחבר לשיחה יוגדר מראש, ואז אם מישהו משיג את מספר ה'חדר', הוא יכול (לעיתים בשוגג) להיכנס לחדר ולשמוע את תוכן השיחה (או להפריע).

זום מציע שני מענים לבעיה זו, 1) שימוש בחדר המתנה. 2) שימוש בסיסמא להקשות על כניסה לחדר ללא אישור.

בגרסה האחרונה של זום, אפשרויות אלו מופיעות תחת כפתור Security:

שמירה על הרשומות היא אחריותנו כמטפלים ובמקרה של רשומות במחשב, מחייבת מניעת גישה למחשב (וטלפון) שיש בו מזהים של מטופלים, כמובן כל פרטי אישי שאני רושם על מטופל במחשב/נייד וניתן לשיוך למטופל. בהקשר זה מומלץ להשתמש בתוכנה לניהול קליניקה שעומדת בדרישות החוק או תוכנה לאבטחת מסמכים.

נושא שמירה על פרטי ההתקשרות – כלומר מי מתקשר למי, נמצא בשליטה של ספק התקשורת (כגון זום, Whatsapp, Skype...) איתו אני עובד. בחלק מהתוכנות, המידע הזה הוא קניין של החברת התוכנה והזכות למכור את המידע הזה נמצא בבסיס המודל העסקי שלה. מוצרים כאלו אינם עומדים בתקני אבטחת המידע מאחר וניתן להבין כי אדם פלוני הינו מטופל שלך. Whatsapp למשל מצהיר כי הוא משתמש בפרטי התקשרות שלך ומעבירו לגופים מסחריים נוספים.

HIPAA

החוק האמריקאי המכונה HIPAA כולל מספר הנחיות בנוגע לשרותי בריאות וביניהם התייחסות גם לסוגיות של אבטחת מידע ושמירה על פרטיות מידע רפואי.

החוק הינו חוק אמריקאי איך יש הנוטים לאמץ אותו כמדיניות / המלצות בתחום אבטחת מידע לספקי שירותי בריאות.

עיקרי החוק (HIPAA) כוללים:

הגדרה: מידע אישי רפואי דיגיטלי - מידע רפואי המשויך לאדם ספציפי – ePHI .

· להבטיח סודיות, יושרה וזמינות של כל המידע אישי רפואי האלקטרוני שהם יוצרים, מקבלים, מתחזקים או משדרים.

· לזהות ולהגן מפני איומים צפויים באופן סביר על אבטחת המידע או שלמותו.

· להגן מפני שימושים או חשיפות צפויים באופן סביר, בלתי קבילים.

· להבטיח עמידה בהנחיות אלו על ידי כוח העבודה (ספקים/עובדים).

החוק קובע מושג של "שותף עסקי" Business Associate שגם הוא מחויב לעמוד באותם תנאים. שותף עסקי חייב להיות מחובר באמצעות חוזה המחייב עמידה בקריטריונים של אבטחת מידע.

הדגש בHIPAA אינו באלו טכנולוגיות השותף משתמש (כלומר לא מעניין אותו איזו סוג הצפנה) אלה שהספק מחוייב לשמירה על הפרטיות. באופן פרקטי, אם ספק תקשורת (כגון פייסבוק) מוכר רשומות (מי מתקשר למי), אזי ניתן להבין מי מטופל אצלך והנ"ל לא עומד בקריטריונים של HIPAA.

כמובן שמחשב שנמצא בבית ששומרים עליו שמות מטופלים באופן לא מאובטח אינו עומד בקריטריונים של HIPAA או של החוק הישראלי.

החוק אינו קובע הנחיות טכנולוגיות אלה תפיסה ותהליכי עבודה נדרשים.

נוהלים

תהליך ניהול אבטחה. חובה לזהות ולנתח סיכונים פוטנציאליים ל- e-PHI, ועליו ליישם אמצעי אבטחה המפחיתים סיכונים ופגיעויות לרמה סבירה ומתאימה.

אנשי ביטחון. על גוף מכוסה לייעד גורם ביטחון האחראי על פיתוח ויישום מדיניות ונהלי האבטחה שלה.

ניהול גישה למידע. בהתאם לתקנון כלל הפרטיות המגביל שימושים וחשיפות של PHI ל"מינימום הנדרש ", תקנת האבטחה מחייבת גורם מכוסה ליישם מדיניות ונהלים לאישור גישה ל- PHI e רק כאשר גישה כזו מתאימה על סמך המשתמש או הנמען תפקיד (גישה מבוססת תפקיד) .

הכשרה וניהול כוח אדם. חובה לספק אישור ופיקוח מתאים על חברי כוח אדם העובדים עם e-PHI.

הערכה. חובה לבצע הערכה תקופתית של מדיניות ונהלי האבטחה .

אמצעי הגנה פיזיים

גישה ושליטה במתקן. חובה להגביל את הגישה הפיזית למתקנים.

תחנת עבודה ואבטחת מכשירים. חובה ליישם מדיניות ונהלים לציון שימוש נכון בגישה לתחנות עבודה ומדיה אלקטרונית [למשל נעילת מחשב באופן אוטמטי והגנה על ידי ססמה]חובה להגדיר מדיניות ונהלים הנוגעים להעברה, הסרה, סילוק ושימוש חוזר של מדיה אלקטרונית, להבטיח הגנה נאותה על מידע רפואי מוגן אלקטרוני (e-PHI) .

אמצעי אבטחה

בקרת גישה. מדיניות ונהלים טכניים המאפשרים רק לאנשים מורשים לגשת למידע בריאותי מוגן אלקטרוני.

בקרות ביקורת. חובה ליישם מנגנוני חומרה, תוכנה ו / או פרוצדורלית על מנת לתעד ולבחון גישה ופעילות אחרת במערכות מידע המכילות או משתמשות ב- e-PHI.

בקרות יושרה. חובה ליישם מדיניות ונהלים כדי להבטיח כי ה- PHI האלקטרוני לא ישונה או ייהרס שלא כראוי. יש לנקוט באמצעים אלקטרוניים בכדי לאשר כי ה- PHI האלקטרוני לא השתנה או הושמד שלא כראוי .

אבטחת תשדורת . גוף מכוסה חייב ליישם אמצעי אבטחה טכניים השומרים מפני גישה לא מורשית ל- PHI האלקטרוני המועבר דרך רשת אלקטרונית .

השימוש בזום או כל תוכנה אחרת לתקשורת עם מטופל נופל תחת סעיף אבטחת תשדורת.

לסיכום, אבטחת מידע אינה מסתכמת בבחירת תוכנה זו או אחרת, אלה בהבנה כי באחריותנו להגן על המידע אודות המטופלים שלנו. מניעת זליגה של מידע אודות המטופלים שלנו היא אחריותנו המלאה!