מאת:
25/8/2025

שמירת פרטיות בחנות אופטיקה – דרישות החוק והשלכותיהן

האם גם בחנות קטנה של אופטמטריס נחשבת “מאגר מידע” לפי החוק? מה הסיכונים אם מרשם, צילום רשתית או אפילו טלפון של מטופל דולפים? והאם מטופלים באמת יכולים לתבוע פיצוי – גם בלי להוכיח שנגרם להם נזק?
בתור אופטומטריסטים ומנהלי קליניקות אופטומטריה, עליכם להכיר את חוק הגנת הפרטיות הישראלי והאופן שבו הוא חל על עבודתכם היומיומית. איסוף מידע אישי ורפואי על מטופלים – החל ממספרי תעודת זהות ופרטי יצירת קשר, ועד למרשמי ראייה ותצלומי עיניים – מטיל עליכם אחריות משפטית וריגולטורית כבעלי מאגר מידע לכל דבר. למעשה, כל מטפל עצמאי או מרפאה שאוספים ושומרים מידע על מטופלים (אפילו פרטים בסיסיים כלוח פגישות עם שם וטלפון) נחשבים “בעלי שליטה במאגר מידע” וחייבים לפעול בהתאם לדרישות החוק . בשנת 2025 הורחב החוק (תיקון מספר 13) והדגיש עוד יותר את חובת ההגנה על פרטיות המטופלים – ביניהם חובת ליידע כל מטופל על איסוף מידע אודותיו, ואף אפשרות של מטופלים לתבוע פיצויים על פגיעה בפרטיותם ללא הוכחת נזק . להלן נסביר מהם סוגי המידע שעל הפרק, מהם הכללים לשימוש ושיתוף המידע, אילו חובות רגולטוריות חלות עליכם, ומהם הסיכונים באי-עמידה בדרישות – וכן כיצד ליווי משפטי מקצועי יכול לסייע לכם לעמוד בכל אלו.
 

תחולת חוק הגנת הפרטיות על אופטומטריסטים

חוק הגנת הפרטיות, התשמ”א–1981 חל על כל גוף או אדם פרטי בישראל שמנהלים “מאגר מידע” של מידע אישי אודות אנשים. החוק מגדיר מאגר מידע כמאגר מובנה של נתונים על אנשים, בין אם אלקטרוני ובין אם כתוב, שאינו לשימוש אישי-ביתי בלבד. פירוש הדבר שבין אם אתם אופטומטריסטים עצמאיים, קליניקות קטנות או רשת אופטיקה גדולה – ברגע שאתם שומרים תיעוד שיטתי של לקוחות ומטופלים, בין אם במחשב או בתיקי נייר, אתם מנהלים מאגר מידע שחוק הגנת הפרטיות חל עליו. אין זה משנה אם מספר המטופלים קטן; בתי המשפט בישראל הבהירו שגם רשימת לקוחות מצומצמת או קלסר כרטיסיות נחשבים למאגר מידע אם המידע מנוהל באופן שיטתי. החוק מחריג רק שימוש שנעשה במסגרת אישית פרטית (למשל רשימות אישיות שאינן קשורות לעסק) – מה שלא רלוונטי כמובן לפעילות מקצועית רפואית. משמעות התחולה היא שאופטומטריסטים חייבים לאמץ אמות מידה מחמירות של פרטיות ואבטחה בכל טיפול במידע מטופלים, כפי שנפרט בהמשך.
 
מידע אישי ורפואי הנאסף במרפאת אופטומטריה
 
אילו סוגי מידע אתם אוספים? במסגרת עבודתכם, אתם מתעדים ושומרים קשת רחבה של נתונים אישיים ורגישים על מטופלים, כגון:
  • פרטי זהות ויצירת קשר: שם מלא, מספר ת”ז, מספר טלפון, כתובת, תאריך לידה וכד’. נתונים אלה מהווים פרטים מזהים המאפשרים לקשר את המידע לאדם מסוים.
  • מרשמי ראייה ועדשות: תוצאות בדיקות ראייה, מספרי משקפיים ועדשות מגע, מדידות אופטיות (מרחק אישונים, צילינדר, ציר וכו’), הנתפסים כמידע על מצב בריאות הראייה של האדם.
  • בדיקות עיניים ונתונים רפואיים: רשומות מבדיקות אופטומטריות שונות (כגון חדות ראייה, בדיקות עזר), תוצאות בדיקות קליניות בעין, מדידת לחץ תוך-עיני (טונומטריה) ונתוני בריאות עיניים אחרים.
  • תצלומים והדמיות קליניות: למשל צילומי רשתית דיגיטליים, תמונות של הקרנית או העין לצרכי תיעוד ומעקב. תצלומים אלה מהווים חלק מהרשומה הרפואית.
  • היסטוריה רפואית ורגישויות: מידע על מחלות עיניים קודמות, ניתוחי עיניים, רגישות לתרופות או עדשות, מחלות רקע כלליות שעלולות להשפיע על העין (סוכרת, לחץ דם וכו’).
  • פרטי תשלום וביטוח (אם רלוונטי): לעיתים נשמרים גם אמצעי תשלום, השתייכות לקופת חולים או מידע ביטוחי רלוונטי להחזרים.
מרבית המידע הזה מהווה מידע אישי רגיש על פי החוק. החוק מונה מפורשות נתונים כמו מצב בריאותו הפיזי או הנפשי של אדם במסגרת “מידע רגיש” – כלומר מידע פרטי שזכאי להגנות מיוחדות . למעשה, תיק רפואי של מטופל (כמו הרשומות האופטומטריות שלכם) הוא דוגמה קלאסית למידע רגיש . המשמעות היא שיש לכם חובה מוגברת להגן על מידע זה, יותר מאשר על מידע אישי “רגיל”. כך למשל, איסוף מידע רפואי רגיש דורש הסכמה מפורשת של המטופל ולא ניתן להסתפק בהסכמה משתמעת . בנוסף, מאגר המכיל מידע רפואי חייב לעמוד ברמת אבטחה מחמירה יותר: תקנות אבטחת המידע קובעות שמידע רגיש יוחזק רק במאגר ברמת אבטחה בינונית ומעלה (הסבר על רמות האבטחה בהמשך) . גם פרטי זהות של המטופל כשלעצמם – שם, ת”ז, דרכי התקשרות – נחשבים למידע אישי המוגן בחוק, מאחר שבאמצעותם ניתן לזהות את האדם . לכן, כל פיסת מידע – מהמספרים על גבי המרשם ועד תמונת הרשתית – צריכה להישמר בסודיות ולהיות בשימוש רק לצורך מתן השירות הרפואי שלשמו נמסרה.
 

שיתוף מידע עם רופאים, ספקים וגורמים נוספים

עבודת האופטומטריסט כרוכה לעיתים בשיתוף מידע על המטופל עם גורמים חיצוניים – בין אם לצורך המשך טיפול, ייעוץ רפואי נוסף, התאמת מוצרים או תפעול העסק. עם זאת, יש לזכור כי ברגע שמידע עוזב את ידיכם, אתם עדיין נושאים באחריות כלפי המטופל לוודא שהפרטיות מוגנת. החוק אוסר במפורש על מסירת מידע על ענייניו הפרטיים של אדם לאחר, שלא למטרה שלשמה נמסר. כלומר, מותר לכם להעביר מידע רפואי על מטופל לגורם אחר רק כאשר ההעברה תואמת את המטרה המקורית שלשמה המטופל מסר לכם את המידע (למשל, טיפול רפואי בראייתו) ובהסכמתו. נפרט דוגמאות אופייניות ואיך להתנהל בכל מקרה:
  • שיתוף עם רופא עיניים (אופטלמולוג): הפניה לרופא עיניים או ייעוץ ממנו מחייבים לעיתים להעביר לרופא את נתוני בדיקת העיניים, הממצאים והתלונות. זוהי העברת מידע למטרה רפואית מובהקת – Continuity of Care – ומותרת בהסכמת המטופל או על פי ציפייתו הסבירה (המטופל הרי מעוניין שתקבלו חוות דעת מהרופא). עם זאת, ודאו שהמטופל מודע לכך שהמידע יועבר לרופא, ושתעבירו רק את המידע הרלוונטי הדרוש להמשך הטיפול. רופא העיניים עצמו כפוף גם הוא לחובת סודיות רפואית, אך אחריותכם כמי שאספו את המידע לוודא שההעברה נעשית באופן מאובטח (למשל, לא דרך ערוץ בלתי מוגן).
  • דיווח לקופת חולים או חברת ביטוח: רבים מהמטופלים זכאים להחזר כספי או השתתפות במימון המשקפיים/עדשות דרך קופת החולים או ביטוח הבריאות שלהם. לשם כך, לעיתים נדרשת העברת מרשם המשקפיים או אישור על בדיקת ראייה לגוף המבטח. במצב כזה, דאגו לקבל את הסכמת המטופל בכתב להעברת המידע הרפואי לגוף הממן, ולהעביר רק את הנתונים הנחוצים (למשל, את עצם קיום המרשם ומספרי העדשות, ללא פרטים רפואיים שאינם רלוונטיים להחזר). מידע רפואי שנמסר לגוף חיצוני עלול להישמר במאגריו, ולכן חשוב לוודא שהגוף מחויב גם הוא להגנת פרטיות (לרוב קופות וביטוחים פועלים בהתאם לחוקי הפרטיות בעצמם).
  • הזמנת עדשות ומסגרות מספקי צד שלישי: אופטומטריסטים עובדים מול מעבדות ייצור עדשות, ספקי משקפיים ומסגרות. כדי להזמין עדשות למטופל, בדרך כלל עליכם להעביר למעבדה את נתוני המרשם (וקוד הזמנה או שם הלקוח). כאן המידע נמסר למטרה שלשמה נמסר מלכתחילה – ייצור עדשות בהתאם למרשם – ולכן הדבר תקין, אך חשוב להקפיד על מספר דברים: להעביר לספק רק את הנתונים הנדרשים לייצור (אין צורך, למשל, בהיסטוריה הרפואית המלאה של המטופל לצורך הכנת עדשות). כמו כן, רצוי לוודא שהספק נוקט אמצעי אבטחת מידע סבירים (למשל, שליחת המרשם דרך מערכת הזמנות מאובטחת ולא במייל פתוח) ושיש התחייבות שלו לשמור על סודיות המידע. במקרים רבים המעבדה אינה יודעת דבר על הלקוח פרט למרשם ולשם, אך גם זה מידע מוגן. שקלו להוסיף בהסכם שלכם עם הספק סעיף בנושא הגנת פרטיות, או להשתמש בשירותי ספקים ידועים שמחויבים לסטנדרטים בענף.
  • מסירת מידע למטופל עצמו: לעיתים הלקוח מבקש לקבל עותק מהמרשם או תוצאות בדיקותיו (וזו אף זכותו על פי חוק זכויות החולה). מסירת מידע לבעל המידע (המטופל) אינה נחשבת פגיעה בפרטיותו כמובן – זו המידע שלו. עם זאת, ודאו שאתם מוסרים את המידע רק למטופל עצמו או לנציג מטעמו בהסכמה. יש לוודא זיהוי, במיוחד אם המידע נשלח דיגיטלית (למשל, לא לשלוח מרשם לוואטסאפ אלא אם בטוחים שזהו מספרו של המטופל). מומלץ לתעד את המסירה (למשל לשמור העתק מהמרשם שנמסר ושהמטופל אישר קבלה). כך תוכלו להוכיח שנהגתם כנדרש אם יעלה חשש לדליפה.
בשורה התחתונה, בכל שיתוף מידע עם גורם חיצוני – בין אם גורם רפואי, עסקי או המטופל עצמו – פעלו בעקרוןNeed to Know (מסירת מינימום הנדרש) ובהסכמת המטופל. זכרו שהאחריות הראשית כלפי פרטיות המידע נשארת אצלכם כבעלי המאגר, גם כשספק חיצוני מעורב. לכן, אם אתם מתקשרים עם צד שלישי לקבלת שירות הכרוך בגישה למידע (כגון שירותי ענן לניהול תיקי מטופלים, מעבדת משנה, חברת שליחויות המטפלת בנתוני הלקוחות וכו’), חשוב לעגן בחוזה את חובות הסודיות והאבטחה של אותו צד שלישי. תקנה 15 לתקנות אבטחת המידע עוסקת בדיוק במצב של מיקור חוץ ומפרטת את הצעדים שיש לנקוט בבחירת ספק חיצוני וחתימת ההסכם עמו, כדי להבטיח שהמידע יטופל כנדרש . במילים אחרות – אל תעבירו מידע רגיש לגורם חיצוני ללא ודאות שהוא יגן עליו לפחות כמוכם.
 

החובות הרגולטוריות: שקיפות, אבטחה והסכמת המטופל

כדי לעמוד בדרישות חוק הגנת הפרטיות, עליכם ליישם שורה של חובות רגולטוריות בניהול המידע בקליניקה:
  • רישום ודיווח על מאגר מידע: בעבר החוק חייב רישום של כל מאגר מידע המכיל מידע רגיש ברשות להגנת הפרטיות. בעקבות תיקון החוק צומצמה חובת הרישום הפורמלית, אך עדיין גופים מסוימים או מאגרים בהיקף גדול נדרשים בדיווח – למשל מאגר המכיל מידע רגיש במיוחד על מעל 100,000 איש (מצב שאינו שכיח במרפאת אופטומטריה ממוצעת). עם זאת, גם אם אינכם חייבים ברישום, עליכם לנהל את המאגר בהתאם לחוק. מומלץ להתייעץ לגבי חובת הרישום במקרה שלכם, במיוחד אם אתם רשת גדולה או מספקים שירותים עבור גוף ציבורי. במקרה של ספק, תמיד ניתן לרשום מרצון את המאגר כהבעת מחויבות לשקיפות.
  • חובת יידוע המטופלים: החוק מחייב ליידע כל אדם שהנכם אוספים עליו מידע בזמן איסוף המידע. בעת שהמטופל מוסר לכם פרטים או עובר בדיקה, עליכם להבהיר לו לפחות באופן כללי: מי אוסף את המידע (למשל שם הקליניקה), לאיזו מטרה אתם אוספים ומחזיקים את המידע (למשל, לצורך טיפול בראייה ומעקב רפואי), מי עשוי לקבל גישה למידע (למשל, “רק הצוות המקצועי במרפאה” או “רופא עיניים יועץ לפי הצורך”), ומה זכויותיו ביחס למידע. דרישה זו נקראת חובת היידוע . אפשר לקיים אותה באמצעות טופס הסכמה או עלון פרטיות שהמטופל קורא וחותם עליו, או אפילו שילוט בקליניקה – ובלבד שהמידע נמסר בצורה ברורה. שימו לב: חובה זו חלה גם אם המידע אינו מידע רפואי קלאסי; גם כשאוספים רק טלפון וכתובת למשל – האדם זכאי לדעת שהמידע שלו נשמר אצלכם . שקיפות מלאה מול המטופלים תגביר את האמון בכם ותגן עליכם משפטית.
  • קבלת הסכמה מדעת: מעבר לעצם היידוע, כאשר מדובר במידע רפואי רגיש מומלץ מאוד לקבל מהמטופל הסכמה מפורשת בכתב לשמירת המידע ועיבודו. למעשה, החוק מונה הסכמה (מדעת, במפורש או במשתמע) כאחת העילות שמגנות עליכם מאשמה בפגיעה בפרטיות . בפרט, כאמור, במקרה של מידע רגיש נדרשת הסכמה מפורשת ולא רק מכללא . הדרך המקובלת היא לכלול בטופס היסטוריה רפואית/פתיחת תיק מטופל סעיף פרטיות, בו המטופל מצהיר שהוא מסכים שתשמרו את פרטיו הרפואיים במאגר, שתשתמשו בהם לצורך הטיפול, ושיתוף עם גורמים מסוימים לפי הצורך (למשל מעבדות, רופאים יועצים וכו’). ודאו שההסכמה “מדעת” – כלומר שהמטופל הבין למה הוא מסכים. שפה פשוטה במסמך וקבלת חתימה יסייעו בכך.
  • אבטחת מידע והגנת סודיות: כנגזרת של החוק, מוטלת עליכם חובת שמירת סודיות ואבטחה של מידע המטופלים . עליכם לנקוט באמצעים מנהליים, פיזיים וטכנולוגיים סבירים כדי למנוע דליפת מידע או שימוש בו ללא הרשאה. תקנות הגנת הפרטיות (אבטחת מידע) משנת 2017 מפרטות את אמצעי האבטחה הנדרשים הלכה למעשה . בין השאר, עליכם לקבוע נהלי עבודה ונהלי אבטחת מידע פנימיים, להגדיר מי בצוות מורשה לגשת לאילו נתונים, להדריך את העובדים בנושא שמירת פרטיות, ולהגן על המערכות הטכנולוגיות מפני חדירה. יש לסווג את רמת האבטחה הנדרשת למאגר שלכם: מרבית מרפאות האופטומטריה ייכנסו תחת רמת אבטחה בינונית, כיוון שהן מחזיקות מידע רפואי רגיש על מטופלים . ברמה הבינונית נדרשים, בין היתר: מינוי מנהל מאגר האחראי לנושא, קיום מדיניות אבטחת מידע כתובה, החתמת העובדים על התחייבות לסודיות, שימוש בסיסמאות או אמצעי זיהוי בגישה לתיקים, תיעוד גיבויים ובקרות תקופתיות. גם חיבור מערכות המחשב לאינטרנט מחייב אמצעי הגנה מתאימים (כמו חומת אש, אנטיוירוס וכד’) – התקנות אוסרות לחבר מאגר לרשת ציבורית ללא הגנות בפני חדירות או נוזקות . אם אתם מנהלים רשומות מטופלים בתוכנה מקוונת או שומרים קבצים בענן, ודאו שהספק עומד בתקני האבטחה ושאתם משתמשים באמצעי הגנה (הצפנת המידע, סיסמאות חזקות, הרשאות מוגבלות רק לצוות המטפל וכו’). חשוב גם להקפיד על שמירת מסמכים פיזיים (כמו טפסים מודפסים) במקום נעול ומוגן, והשמדת חומר רגיש כראוי כאשר אין בו צורך עוד.
  • ניהול זכויות המטופלים במידע: החוק מעניק למטופלים זכויות ביחס למידע שלהם – זכות לעיין במידע, ולתקנו או למוחקו במקרים מסוימים . אתם חייבים לאפשר למטופל המבקש זאת לראות מה רשום עליו בתיק (כל עוד אין בכך פגיעה באדם אחר או חשש ממשי לבריאותו הנפשית, לפי חריגי חוק זכויות החולה). עליכם גם לתקן מידע שגוי אם פנה אליכם המטופל והראה שאכן נפלה טעות. רצוי לנסח נוהל פנימי כיצד מטפלים בבקשות עיון/תיקון, כדי להגיב במסגרת הזמן שהחוק קובע. זכרו – המטופל “הבעלים” של המידע אודותיו, ואנו רק הנאמנים על שמירתו. יחס מכבד לזכויותיו גם ישפר את הקשר איתו וגם ימנע אי נעימויות משפטיות.
 

סיכונים וסנקציות בהפרת פרטיות מטופלים

הפרת חובותיכם לפי חוק הגנת הפרטיות אינה רק עניין תיאורטי – היא עלולה לגרור השלכות כבדות מאוד, הן חוקיות והן עסקיות:
  • קנסות ועיצומים מנהליים: הרשות להגנת הפרטיות (שהיא הגוף המפקח) מוסמכת לחקור הפרות של החוק, ובמקרים חמורים אף להטיל עיצומים כספיים (קנסות מנהליים) על עסקים שלא עמדו בדרישות. אמנם כיום הקנסות מיושמים בעיקר על ארגונים גדולים או הפרות בוטות, אך גם קליניקה קטנה עלולה לעמוד בפני סנקציה אם תתגלה התרשלות משמעותית בהגנת המידע. בנוסף, גופים רגולטוריים אחרים (כמו משרד הבריאות) יכולים לנקוט צעדים אם ימצאו הפרת סודיות רפואית.
  • תביעות נזיקין ופיצויים: החוק קובע שפגיעה בפרטיות מהווה עוולה אזרחית – כלומר, הנפגע (לדוגמה מטופל שמידע עליו דלף או נוצל לא כדין) רשאי לתבוע את הפוגע בבית משפט . בתי המשפט מוסמכים לפסוק פיצויים לנפגע, ואף ללא הוכחת נזק עד סכום מסוים. כפי שצוין, לאחר תיקון 13 ניתן אף לתבוע ללא הוכחת נזק ממשי , מה שמקל על מטופלים לנקוט הליכים אם חשים שפרטיותם הופרה. תביעות כאלה עלולות להסתכם בעשרות אלפי שקלים לכל מטופל – דבר המהווה סיכון פיננסי של ממש לעסק קטן.
  • אחריות פלילית: במקרים חמורים, פגיעה בפרטיות יכולה להיות גם עבירה פלילית. חוק הגנת הפרטיות כולל פרקים פליליים עבור פעולות כמו שימוש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר ללא סמכות . העונשים יכולים להגיע עד 5 שנות מאסר בעבירות מסוימות (למשל, אם מישהו מסר ביודעין מידע רגיש ללא הרשאה). אמנם תרחיש קיצוני זה אינו שכיח באופטומטריה, אך הידיעה שהחוק הפלילי ברקע מדגישה את חומרת האחריות המוטלת עלינו כאנשי מקצוע.
  • נזק למוניטין ואובדן אמון: גם מעבר לסנקציות החוק, דליפת מידע על מטופלים – למשל, אם בטעות גלוי שמו של מטופל יחד עם בעיית ראייה אינטימית שלו, או חלילה פריצה למחשביכם וגניבת נתוני לקוחות – עלולה לפגוע אנושות באמון שהלקוחות נותנים בכם. בתחום הבריאות, המוניטין שלכם מבוסס במידה רבה על שמירת סודיות ויושרה מקצועית. אירוע פרטיות חמור שיתפרסם (ולעתים חלה עליכם גם חובת דיווח עליו לציבור ולרשות להגנת הפרטיות ) עלול להרתיע לקוחות קיימים וחדשים ולהכתים את שמכם לטווח ארוך. במובן העסקי, זהו נזק שקשה לכמת – מטופל שיאבד אמון יעדיף לעבור למקום אחר, ושם טוב שנפגע קשה להשיבו.
  • השבתת פעילות והוצאות תיקון: אירועי אבטחת מידע (כגון מתקפת סייבר, וירוס כופר, או אפילו טעות אנוש שמביאה למחיקת קבצים) יכולים לשתק את פעילות המרפאה לזמן מה. הטיפול באירוע – שחזור גיבויים, בדיקת מערכות, התייעצות עם מומחי סייבר וייעוץ משפטי – עולה כסף וגוזל זמן. אם תיערכו מראש ותעמדו בדרישות החוק, תוכלו לצמצם את ההסתברות לנזקים כאלה, וגם במקרה שיתרחשו תהיו במקום טוב יותר להתמודד (למשל, יהיה לכם גיבוי עדכני, פוליסת סייבר וכדומה).
כפי שניתן לראות, המחיר של התעלמות מדיני הפרטיות עלול להיות גבוה ביותר. החוק בישראל אמנם מנסה לאזן בין נטל הרגולציה לבין גודל העסק – כך עסקים קטנים זוכים להקלות מסוימות – אבל הוא בהחלט מצפה מכל בעל מאגר, גם קטן, לנהוג בזהירות ולשמור על פרטיות לקוחותיו. רשויות האכיפה כבר הוכיחו שהן אינן מהססות לפעול במקרים של דליפות מידע גדולות. למשל, פרצת סייבר בחברת ביטוח גדולה זכתה לתהודה ציבורית והובילה לקנסות וביקורת רגולטורית – מקרה שממחיש עד כמה הנושא נמצא כיום במודעות גבוהה. אמנם אינכם חברת ביטוח, אך גם בעסק קטן חלות חובות הגנה חשובות.
 

אתגרי פרטיות בעידן הציוד הדיגיטלי והענן

הטכנולוגיה המתקדמת משפרת מאוד את יכולות האבחון והניהול באופטומטריה, אך מביאה איתה גם אתגרי פרטיות ייחודיים. כמה היבטים שכדאי לשים לב אליהם:
  • ציוד בדיקה ממוחשב: מכשירי אופטומטריה מודרניים – כמו מצלמות רשתית דיגיטליות, מכשירי OCT, טונומטרים דיגיטליים ומכשירי בדיקת ראייה אוטומטיים – אוספים ומפיקים נתונים באופן אלקטרוני. לעיתים הם מחוברים לרשת המחשבים בקליניקה ואף לאינטרנט (לצורך עדכוני תוכנה או גיבוי נתונים). חיבור כזה חושף פוטנציאלית את הנתונים לסיכוני סייבר. ודאו שהמכשירים מוגנים בסיסמא, שהתוכנות מעודכנות לגרסאות האחרונות (שכוללות תיקוני אבטחה), ושאם הם מחוברים לאינטרנט – נעשה שימוש בחומת אש והגנות כנדרש . כלל אצבע: אין לחבר מערכת רפואית לרשת ללא אמצעי הגנה מתאימים.
  • תוכנות לניהול תיקי מטופלים (EMR): מעבר לתיק דיגיטלי הוא ברכה לניהול היעיל, אך יש לבחור בקפידה את התוכנה. אם אתם משתמשים בתוכנה ייעודית לאופטומטריה, בדקו כיצד היא שומרת את המידע. האם הנתונים נשמרים בענן על שרתי החברה המפתחת, או מקומית אצלכם? אם בענן – איפה נמצאים השרתים (בארץ או בחו”ל)? בהתאם לתקנות העברת מידע לחו”ל, רצוי שמידע רפואי רגיש יישמר על שרתים בישראל או במדינה עם הגנת פרטיות ברמה דומה. כמו כן, ודאו שלתוכנה יש אמצעי אבטחה כמו הצפנת מידע, שליטה בהרשאות בין משתמשי המערכת, ותיעוד פעולות (Audit log) כך שניתן לראות מי צפה או ערך מידע ומתי . מומלץ גם לוודא שיש לכם חוזה ברור עם ספק התוכנה הכולל סעיפי אבטחת מידע ואחריות במקרה של breach.
  • שימוש באפליקציות ושירותי ענן: יתכן ואתם משתפים פעולה עם שירותי תזכורות תורים ב-SMS, מערכת דיוור אלקטרוני ללקוחות, שירותי גיבוי ענן אוטומטיים או אפילו שימוש ב-Google Drive או Dropbox לצורך אחסון קבצים. כלים אלה נוחים – אך חובה לוודא שהם עומדים בתקני אבטחה. למשל, שימוש בדרייב לשמירת מסמכים רפואיים מחייב לפחות הגדרת גישה מוגבלת (כדאי לשקול הצפנת הקבצים לפני העלאה). בכל מקרה, אין להשתמש באפליקציות צרכניות רגילות לצרכים רפואיים ללא בדיקה – למשל, ניהול רשומות מטופלים על גבי Excel בענן פרטי הוא סיכון. קיימים פתרונות ייעודיים לענף הבריאות. אם אתם מפתחים פתרון טכנולוגי בעצמכם (נניח אתר לקביעת תורים שאוסף פרטי מטופלים), הקפידו להתייעץ עם מומחי אבטחת מידע.
  • אבטחת תקשורת עם המטופלים: בעידן המודרני, מטופלים מצפים לנוחות – קבלת תוצאות בדוא”ל, תיאום תורים בוואטסאפ, תזכורות SMS וכדומה. אך יש לזכור שערוצי תקשורת אלה אינם תמיד מאובטחים להעברת מידע רפואי. ככלל, הימנעו משליחת מידע רפואי רגיש בערוצים לא מוצפנים. אם שולחים תזכורת תור, עשו זאת ללא פרטים רפואיים מזהים. מסירת מרשם במייל – עדיף כ-PDF מוצפן בסיסמא שהמטופל יקבל בהודעה נפרדת. ייתכן וזה מסורבל מעט, אך כך תמנעו חשיפת מידע אם המייל דולף. שקלו שימוש בפורטל מטופלים מאובטח, אם זמין, שבו המטופל מתחבר וצופה במידע שלו.
  • ציוד מחשוב ורשת בקליניקה: נתוני המטופלים שמורים על מחשבים, טאבלטים או שרת מקומי? ודאו שכל עמדות המחשב מוגנות בסיסמה, שנעילה אוטומטית מופעלת לאחר זמן ללא שימוש, שהתשתית הפיזית (ראוטר, שרת) נמצאת במקום מוגן ומוגבל גישה . הצפינו מחשבים ניידים וקשרים רשת אלחוטית בסיסמה חזקה. מומלץ גם לבצע גיבויים קבועים למידע (ובעיקר לקבצי המטופלים) – גיבוי מוצפן ששמור במקום נפרד. כך, גם במקרה של תקלה או פריצה – לא תאבדו את המידע החיוני.
לסיכום חלק זה: הטמעת טכנולוגיות חדשות היא מהלך מבורך לשיפור השירות והטיפול, אך היא חייבת להיות מלווה בהטמעת תרבות של Privacy by Design – תכנון מראש של השמירה על הפרטיות בכל שלב. בכל רכישת מכשור חדש או תוכנה חדשה, שאלו את עצמכם: כיצד זה משפיע על פרטיות המידע? אילו אמצעי הגנה מובנים יש כאן? אם תגלו גישה פרואקטיבית, תוכלו ליהנות מפירות הקידמה בלי להסתכן בהפרת חוק.
 

חשיבות הליווי המשפטי וההכנה המקדימה

מערך הדרישות והנהלים שתוארו לעיל עשוי להיראות מורכב – ואכן, בעולם המודרני ניהול פרטיות מידע הוא התמחות בפני עצמה. כבעלי מקצוע בתחום האופטומטריה, המיקוד שלכם הוא בטיפול בראייה ובמתן שירות רפואי איכותי, ולא בהיותכם מומחי משפט וטכנולוגיה. לכן, ליווי משפטי מקצועי צמוד הוא המפתח ליישום יעיל ופשוט של דרישות החוק, תוך שאתם נשארים בראש שקט להתמקד בעבודתכם הקלינית. כמה תרומות מרכזיות של ליווי משפטי בתחום זה:
  • מיפוי פערים וציות רגולטורי: עורך דין הבקיא בהגנת הפרטיות יבחן יחד אתכם את הנהלים הנוכחיים בקליניקה שלכם – כיצד נאסף המידע, איפה הוא נשמר, מי ניגש אליו, עם מי משתפים אותו – ויזהה נקודות תורפה אפשריות או אי-התאמות לדרישות החוק. לאחר מכן יגובש יחד איתכם תוכנית פעולה לסגירת פערים, למשל: הוספת טופס יידוע והסכמה בתהליך קבלת מטופל חדש, הנהגת נוהל שינוי סיסמאות תקופתי, או עדכון הסכם עם ספקית התוכנה שלכם לכלול סעיף אבטחת מידע. התאמת ההתנהלות שלכם לרגולציה לא רק תמנע קנסות, אלא תשפר את התנהלות העסק.
  • ניסוח מסמכים משפטיים חיוניים: מרפאה העוסקת בבריאות זקוקה למספר מסמכי מפתח: מדיניות פרטיות (שלרוב מופנית למטופלים, מסבירה אילו נתונים נאספים ומה עושים בהם), טופסי הסכמה לטיפול ולעיבוד מידע (בהם המטופל מאשר קבלת טיפול ושמירת מידע, ואפשר גם הסכמה לדיוור או לשיתוף עם גורמים מסוימים), הסכמי סודיות עם עובדים ועם ספקים, ונהלי אבטחת מידע פנימיים בהתאם לתקנות. עורך דין מנוסה ידע לנסח עבורכם מסמכים אלה בשפה מובנת, המגנה עליכם משפטית. למשל, מדיניות פרטיות טובה תהיה מקצועית אך נגישה, כדי שגם מטופל שאינו משפטן יבין את זכויותיו . מסמכים כתובים היטב מהווים “קו הגנה” ראשון במקרי ביקורת או תלונה.
  • הדרכת הצוות והטמעת תרבות פרטיות: החוק דורש ביצוע הדרכות תקופתיות בנושא הגנת מידע לצוות העובדים . עם ליווי משפטי, תוכלו לקיים סדנאות או השתלמויות בהנחיית מומחה, שיסבירו לצוות בפועל מה מותר ואסור: למשל, איסור לשמור מידע רפואי על דיסק-און-קי אישי, כללים לשליחת מייל מאובטח, זיהוי ניסיונות דיוג (פישינג) ועוד. כשהעובדים מבינים את החשיבות ומודעים לסיכונים (וגם לעונשים), הם יהיו שותפים לשמירה על סטנדרט גבוה. תרבות ארגונית שמכבדת פרטיות – החל מהמזכירה שקובעת תורים ועד לאופטומטריסט המבצע את הבדיקה – היא ההגנה הטובה ביותר מפני טעויות אנוש.
  • התמודדות עם אירועי אבטחה ותקלות: אפילו בארגונים הטובים ביותר, עלול לקרות אירוע אבטחת מידע – פריצה, טעות או אובדן חומר. במקרה כזה, עולות שאלות קשות: האם צריך לדווח מיד לרשות להגנת הפרטיות? איך מודיעים ללקוחות? כיצד חוקרים מה קרה ומתקנים את הכשל? עורך דין המלווה אתכם ידע לכוון את הצעדים הראשונים הקריטיים. לדוגמה, על פי התקנות, אם המאגר שלכם בסיווג בינוני או גבוה, יש לדווח לרשות על אירוע חמור בתוך 24–72 שעות מרגע הגילוי. איש מקצוע יעזור לכם להעריך האם האירוע אכן דורש דיווח (לא כל תקלה מינורית נחשבת “אירוע אבטחה” שחובה לדווח), ולנסח הודעות רשמיות לרשות ולמטופלים באופן שמצד אחד מקיים את חובתכם החוקית ומצד שני מצמצם נזקים תדמיתיים. כמו כן, הליווי יכלול תחקור האירוע, הסקת מסקנות ובניית תוכנית מניעה לעתיד – לעיתים בשיתוף יועצי סייבר. טיפול נכון ומהיר באירוע יכול לעשות את ההבדל בין משבר בר-ניהול לבין כדור שלג מסוכן.
בקצרה, ליווי משפטי בתחום הפרטיות משול לרשת בטחון עבור הקליניקה שלכם. הוא מבטיח שלא תצעדו לבד בשדה הרגולציה המורכב, ושיש מי שידריך אתכם בהחלטות הנכונות כדי להגן על העסק ועל מטופליכם גם יחד.
 

קריאה לפעולה – פנו למומחים בליווי משפטי ברפואה ובבריאות

התמודדות עם חוק הגנת הפרטיות ותקנותיו אינה משימה שצריך לעשות לבד. בדיוק בשביל זה משרד דורון, טיקוצקי ושות’ מעמיד לרשותכם צוות משפטי מנוסה, המתמחה בליווי בעלי מקצוע בתחום הרפואה והבריאות. אנו מבינים את האיזון העדין בין מתן טיפול מקצועי מעולה לבין הצורך להגן על פרטיות המטופלים ועל העסק שלכם. צוות המומחים שלנו יעזור לכם לבצע התאמה רגולטורית מלאה לקליניקה – מרישום מאגרי מידע (אם נדרש), דרך בניית מדיניות פרטיות וטפסי הסכמה המותאמים במיוחד לענף האופטומטריה, ועד הדרכות צוות שוטפות ותגובה נכונה במקרה חירום. אל תחכו לגורם חיצוני שיצביע על הליקויים או חלילה לפרצת אבטחה שתעמיד אתכם בפני עובדה מוגמרת. צרו קשר עם דורון, טיקוצקי ושות עוד היום, לקבלת ייעוץ ראשוני והצעת תכנית להגנת הפרטיות המותאמת לצרכי הקליניקה שלכם. שמירה על פרטיות המטופלים היא לא רק חובה חוקית – היא חלק בלתי נפרד מאיכות השירות וממוניטין מקצועי מצוין. אנו כאן כדי לוודא שאתם עומדים בדרישות החוק בביטחון, וממשיכים לעשות את מה שאתם יודעים הכי טוב – לדאוג לבריאות העיניים של מטופליכם, בראש שקט ובידיעה שהפרטיות שלהם בידיים בטוחות.

משרד דורון, טיקוצקי ושות’ מלווה אופטומטריסטים בכל ההיבטים המשפטיים של הגנת הפרטיות – החל בניסוח טפסי הסכמה ומדיניות פרטיות, דרך ליווי מול ספקי תוכנה וענן, ועד ייצוג מול הרשות להגנת הפרטיות. איתנו תוכלו להתרכז במטופלים, ואנחנו נדאג לשקט המשפטי.
 
 

משרד עורכי דין דורון, טיקוצקי ושות' עומד לרשותך בכל שאלה: סניף מרכז 03-6109100, סניף חיפה 04-8147500, נייד: 054-4251054

 

לשיחת ייעוץ
חייגו 03-6109100

או השלימו את הפרטים הבאים

הדפסת המאמר

דירוג המאמר

מדורג

 

1 ע"י 1 גולשים

עשוי לעניין אתכם

הגנת פרטיות במרפאות שיניים

מאת: אלי דורון, עו"ד

מה יקרה אם פרט רפואי רגיש של מטופל ידלוף ממרפאת השיניים שלך? אילו קנסות ותביעות עלולות לאיים על המרפאה, ואיך אפשר למנוע אותן מראש? האם רופא שיניים צריך להיות לא רק מרפא – אלא גם “שומר הסף” של פרטיות המטופלים?

25/8/2025
תגובות0
המשך קריאה המשך קריאה

הגנת הפרטיות - ייעוץ משפטי לשמאים ומשרדי שמאות

מאת: אלי דורון, עו"ד

מה קורה כשדו"ח שמאות פשוט הופך לדליפת מידע רגיש? האם שמאים מודעים לכך שכל צילום, מסמך או תיק לקוח נחשב "מאגר מידע" על פי חוק? ואיך אפשר להימנע מקנסות כבדים ופגיעה במוניטין – עוד לפני שזה קורה?

25/8/2025
תגובות0
המשך קריאה המשך קריאה

הוסף תגובה

זקוקים לעורך דין?

חייגו: 03-6109100 או השאירו פרטים
אני מאשר/ת בזאת לדורון, טיקוצקי, קנטור, גוטמן, נס, עמית גרוס ושות' לשלוח לי ניוזלטרים/דיוור של מאמרים, מידע, חידושים, עדכונים מקצועיים והודעות, במייל ו/או בהודעה לנייד. הרשמה לקבלת הדיוור כאמור תאפשר קבלת דיוור שבועי ללא תשלום. ניתן בכל עת לבטל את ההרשמה לקבלת הדיוור ע"י לחיצה על מקש "הסרה" בכל דיוור שיישלח.