מדיניות פרטיות למרפאה עם אתר מפותח עצמאית - מידע רפואי, אחריות מלאה, פתרון מוכן
עודכן ב-14 ביולי 2025
מרפאה שמפעילה אתר מפותח עצמאית נושאת באחריות משפטית מלאה על כל נתון שנאסף - מטופלים שממלאים טופס קביעת תור, שולחים מסמכים רפואיים או מוסרים פרטים אישיים דרך האתר. בניגוד לפלטפורמות מדף, כאן אין ספק שאחראי בשבילכם: לא על השרת, לא על מסד הנתונים, לא על ספק הדואר האלקטרוני. המידע הרפואי שנאסף מוגדר בחוק כ"מידע בעל רגישות מיוחדת מובהק" לפי סעיף 7 לחוק הגנת הפרטיות - וכל כשל בהגנה עליו עלול להוביל לעיצומים כבדים ולפגיעה חמורה באמון המטופלים.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- אתר מפותח עצמאית פירושו שרת, בסיס נתונים וכל ספק צד-שלישי (SMS, דואר אלקטרוני, מערכת תורים) הם באחריותכם המלאה - ואם מטופל שאל מי מחזיק את הרשומות הרפואיות שלו, חייבת להיות לכם תשובה משפטית ברורה.
- טפסי קביעת תור, שאלוני בריאות ומסמכים שמועלים לאתר מכילים מידע רפואי רגיש לפי סעיף 7 לחוק - כל שדה כזה מחייב יידוע מפורש לפי סעיף 11, הסכמה מדעת, ונוהל אבטחה מתועד ברמה גבוהה, שלא תמיד קיים בפיתוח עצמאי.
- ספקי ה-hosting, מערכות ניהול תורים חיצוניות ואינטגרציות WhatsApp או SMS שמשמשות לתזכורות מטופלים - כולן מהוות מיקור חוץ של מאגר מידע רפואי ומחייבות הסכם עיבוד מסודר לפי תקנה 15 לתקנות אבטחת מידע, שבמרבית האתרים המפותחים עצמאית כלל לא קיים.
שאלות נפוצות
האם מדיניות הפרטיות של המרפאה שלי חייבת להתייחס ספציפית למידע רפואי?
בהחלט. מידע רפואי מוגדר כ"מידע בעל רגישות מיוחדת" לפי סעיף 7 לחוק הגנת הפרטיות, והחוק מחייב רמת הגנה מוגברת וגילוי מלא למטופל. מדיניות פרטיות גנרית שלא מזכירה את אופי המידע הרפואי, מטרות השימוש בו ומי עשוי לקבל גישה אליו - אינה עומדת בדרישות החוק ועלולה לחשוף את המרפאה לעיצומים ותביעות.
מה חובת היידוע כשמטופל ממלא טופס תור באתר?
לפי סעיף 11 לחוק הגנת הפרטיות, בעת איסוף המידע חובה לציין: האם מסירת המידע מחויבת בחוק או וולונטרית, מה מטרת השימוש, למי המידע יועבר, וכי קיימת זכות עיון ותיקון. בטופס קביעת תור של מרפאה עם שדות רפואיים - חייב להופיע יידוע זה בצמוד לטופס, לא רק במדיניות הפרטיות הכללית.
האתר שלנו מפותח עצמאית ומאוחסן אצל ספק hosting - מה הדרישות מבחינת ספקי צד שלישי?
כל ספק שיש לו גישה למידע הרפואי שנאסף באתר - ספק ה-hosting, מערכת ניהול התורים, שירות שליחת SMS לתזכורות - מהווה גורם מיקור חוץ לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע). חובה לחתום עמם על הסכם עיבוד מידע, לוודא שהם עומדים ברמת האבטחה הנדרשת, ולתעד את ההתקשרות. היעדר הסכם כזה הוא אחת ההפרות הנפוצות ביותר בקרב מרפאות עם אתרים מפותחים עצמאית.
מה קורה אם יש פריצה לאתר או דליפת נתוני מטופלים?
מאגר נתונים של מרפאה מסווג ברמת אבטחה גבוהה בשל אופי המידע הרפואי הרגיש. בהתאם לתקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע), חובה לדווח על אירוע אבטחה באופן מיידי לרשות להגנת הפרטיות ולמטופלים המושפעים. באתר מפותח עצמאית, אחריות הזיהוי והדיווח מוטלת לחלוטין על בעל המרפאה - ולכן חיוני שיהיה נוהל אבטחה מתועד מראש.
כמה זמן חייבים לשמור רשומות ומסמכים שנאספו דרך האתר?
מסמכים פיננסיים כגון חשבוניות וקבלות המשולמות דרך האתר חייבים בשמירה של 7 שנים לפי פקודת מס הכנסה וחוק מע"מ. רשומות רפואיות כפופות גם לחוק זכויות החולה, שקובע תקופות שמירה ספציפיות. מדיניות הפרטיות של המרפאה חייבת לפרט בבירור את תקופות השמירה לכל סוג מידע, כולל מה קורה למידע לאחר פקיעתן.