מכבי שלחה הודעות SMS עם מידע אישי של מטופלים – לאנשים אחרים
הרשות להגנת הפרטיות קבעה כי הקופה הפרה את הוראות החוק ● מכבי: "מדובר בטעות אנוש; הליקויים תוקנו והלקחים הופקו"
אירוע אבטחה חמור אירע בקופת החולים מכבי: הקופה שלחה הודעות SMS עם מידע אישי ורפואי של מטופלים לנמענים לא נכונים. לאחר שערכה חקירה בנושא, הרשות להגנת הפרטיות מצאה שקופת החולים הפרה את החוק והורתה לה לתקן את הליקויים. במכבי טוענים שמדובר בטעות אנוש ולא במתקפת סייבר.
הליך האכיפה שביצעה הרשות העלה שבניגוד לחוק הגנת הפרטיות, מכבי לא דיווחה לה באופן מיידי על אירוע האבטחה החמור. הוא החל בעקבות תלונה שהתקבלה ברשות על אירוע שאירע לפני יותר משנה וחצי – באפריל אשתקד, שבה קבל המתלונן שמכבי שלחה אליו, באמצעות ספק חיצוני שהתקשרה אתו, הודעת SMS, שהכילה שם ומידע רפואי של אישה אחרת. המתלונן קיבל את ההודעה מטעם "צוות סוכרת מכבי שירותי בריאות מחוז השרון", והוא הכיל שם מלא של מבוטחת אחרת של מכבי, כמו גם קישור לשאלון והנחיות בכל הקשור לטיפול במחלת הסוכרת בתקופת מגפת הקורונה, שהייתה אז בתחילתה. כך יצא שהמתלונן נחשף למידע אישי של מבוטחת אחרת בקופה.
מדובר במסרון שנשלח במסגרת שליחת הודעות שהיו מיועדות לקבוצה מפולחת של אלפי מבוטחי מכבי, המוגדרים כחולי סוכרת, משויכים לקבוצת גיל מסוימת ומתגוררים באזור מסוים. נראה שכמו המתלונן, כל הנמענים נחשפו למידע אישי של אנשים אחרים.
"שימוש באמצעים פשוטים היה יכול למנוע את האירוע"
ברשות להגנת הפרטיות אומרים כי "במקרה זה, שימוש באמצעים מקובלים פשוטים, כגון דרישה לזיהויו של הנמען טרם מסירת הפרטים הרגישים, היה יכול למנוע את האירוע או להפחית משמעותית את עוצמת הפגיעה בפרטיות. עוד יודגש שהקפדה על צמצום המידע שנעשה בו שימוש מתוך המאגר לטובת יצירת קשר עם לקוחות מכבי, באופן שיבטיח שייעשה שימוש רק בשדה השם הפרטי בלבד, במקום השם המלא, היה מצמצם את הנזק שנגרם, ולמעשה מנטרל אותו".
מממצאי ההליך שביצעה הרשות עולה ששדות המידע שהיו אמורים להילקח מהמאגר לצורך שליחת ה-SMS היו אמורים לכלול רק את השם הפרטי של המבוטח, אך בפועל נעשה שימוש במידע גם על שם המשפחה. מידע עודף זה הועבר לספק החיצוני שעסק בשליחת המסרונים – וממנו לנמענים השגויים. כאמור, משלוח השאלון לאזור האישי של המבוטחים היה עשוי למנוע גם הוא את הפגיעה בפרטיות.
מאגר המידע של מכבי מסווג ככזה שבו נדרשת, על פי תקנות הגנת הפרטיות, רמת אבטחת המידע הגבוהה ביותר. אירוע שבו נעשה שימוש במידע ממאגר שחלה עליו רמת האבטחה הגבוהה ללא הרשאה או בחריגה מהרשאה מוגדר בתקנות כאירוע אבטחה חמור וככזה, מחייב דיווח מיידי לרשות להגנת הפרטיות – מה שכאמור, מכבי לא עשתה.
הרשות להגנת הפרטיות ממליצה לארגונים ולחברות שמעוניינים לשלוח הודעות SMS שכוללות מידע אישי להשתמש באמצעים לאימות זהותם של הנמענים, למשל על ידי שימוש באזור אישי ומאובטח, ולא לשלוח להם מידע אישי באופן ישיר.
ממכבי שירותי בריאות נמסר בתגובה כי "לא מדובר באירוע סייבר אלא בטעות אנוש בלבד שגרמה לתקלה טכנית נקודתית. מכבי מתייחסת לנושאי הגנה על הפרטיות כערך עליון, ומפעילה לשם כך כלי אבטחת מידע מחמירים, מהמתקדמים בעולם". בקופה הוסיפו כי אי אפשר לזהות את נמעני הדיוור באופן מלא ואמרו ש-"המקרה טופל ביסודיות, הופקו הלקחים הנדרשים ועודכנו הנהלים כדי שמקרה מסוג זה לא יישנה".
תגובות
(0)