מדיניות פרטיות למרפאה ב-WordPress: כשכל פלאגין הוא מעבד מידע רפואי
עודכן ב-14 ביולי 2025
מרפאה שמנהלת אתר WordPress אינה מפעילה רק אתר - היא מפעילה מאגר מידע רפואי מבוזר. כל פלאגין שמתקינים, מטפסי יצירת קשר ועד מערכות תיאום תורים, עשוי לעבד מידע בעל רגישות מיוחדת מובהק כהגדרת סעיף 7 לחוק: מצב בריאותי, אבחנות, תרופות. מכיוון ש-WordPress היא פלטפורמה פתוחה, הבעלים הוא האחראי הבלעדי לשרשרת המעבד כולה - ומסמך מדיניות גנרי לא יספיק לרגולטור.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- פלאגין תיאום תורים (כגון Bookly או Simply Schedule) שולח אל שרתיו בחו"ל את שם המטופל, מספר הטלפון וסוג הטיפול - מבלי שהמרפאה הגדירה אותו כגורם מיקור חוץ תחת תקנה 15, ומבלי שנחתם הסכם מעבד מידע.
- טפסי יצירת קשר המבוססים על Contact Form 7 או Gravity Forms, כשהם מזינים נתונים לתוסף CRM חיצוני, יוצרים זרם של מידע רפואי שאינו מתועד. במאגר ברמת אבטחה גבוהה - כפי שמרפאה מסווגת בדרך כלל - חובה לתעד כל מעבד ולאכוף חוזה בכתב.
- תוספי Google Analytics ו-Facebook Pixel שמוטמעים ב-WordPress מעבירים נתוני גלישה, ולעיתים גם פרמטרים מה-URL (כגון שם הרופא המטפל או סוג הספציאליזציה שחיפש המטופל), לגורמי צד שלישי - מבלי שניתן יידוע מפורש לפי סעיף 11 לחוק.
שאלות נפוצות
האם מרפאה ב-WordPress חייבת מסמך פרטיות שונה ממרפאה עם אתר רגיל?
כן. ב-WordPress כל תוסף שמוסיפים הוא בפוטנציאל מעבד מידע עצמאי שחייב תיעוד ספציפי. מסמך פרטיות גנרי לא יתאר את שרשרת המעבדים האמיתית של המרפאה, ורגולטור שיבחן את האתר יוכל להצביע על פער מיידי בין המסמך לבין המציאות הטכנית.
מה הדין החל כשפלאגין תיאום תורים מאחסן מידע על שרתים בחו"ל?
מדובר במיקור חוץ לפי תקנה 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. החוק הישראלי מחייב שתחתם עם הספק הסכם בכתב שמגדיר את היקף המידע, מטרת העיבוד ואמצעי האבטחה - גם אם מדובר בתוסף מסחרי שנרכש מחנות פלאגינים. אם לא נחתם הסכם כזה, האחריות המשפטית נותרת אצל המרפאה בלבד.
האם מרפאה מסווגת כמאגר ברמת אבטחה גבוהה?
לרוב כן. מאגר הכולל מידע רפואי, שהוא מידע בעל רגישות מיוחדת מובהק לפי סעיף 7 לחוק הגנת הפרטיות, מסווג בדרך כלל ברמת אבטחה בינונית ועד גבוהה בהתאם למורכבות העיבוד. סיווג זה מחייב, בין היתר, נוהל אבטחה כתוב לפי תקנה 4א, מסמך מבנה מאגר לפי תקנה 5א, ודיווח מיידי על אירועי אבטחה לפי תקנה 11.
מה קורה אם מתרחש דלף מידע דרך אחד הפלאגינים?
על מרפאה שמאגר המידע שלה מסווג ברמת אבטחה בינונית או גבוהה לדווח לרשות להגנת הפרטיות באופן מיידי מרגע שהאירוע נודע, בהתאם לתקנה 11 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. חשוב לוודא שמדיניות הפרטיות ונוהל האבטחה מפרטים את נהלי הדיווח, אחרת עלולים להתווסף עיצומים על אי-עמידה בחובת הדיווח עצמה.
האם מספיק להתקין תוסף עוגיות סטנדרטי ב-WordPress כדי להיות תקינים לפי החוק הישראלי?
לא. תוספי ניהול עוגיות נפוצים בנויים לדרישות רגולציה זרות ואינם מכסים את הדרישות הספציפיות של חוק הגנת הפרטיות הישראלי ותיקון 13. החוק הישראלי מחייב יידוע ספציפי לפי סעיף 11 ותיעוד מעבדים לפי תקנה 15 - דרישות שאינן זהות לרגולציות בינלאומיות ודורשות מסמך מותאם לדין הישראלי בלבד.