מדריך תיקון 13 למרפאות ומטפלים

מרפאה אוספת מידע רפואי - הסוג הרגיש ביותר בחוק. כאן תיקון 13 פוגש חקיקה קיימת (כמו חוק זכויות החולה), ולכן הדיוק קריטי.

רקע: מה זה תיקון 13?

שתי שכבות הגנה: סודיות רפואית ותיקון 13

סודיות רפואית אומרת "אל תגלה מידע לאף אחד". תיקון 13 מוסיף שכבה טכנולוגית וניהולית: "וודא שהאקר לא יכול לגשת לזה". אם המחשב של המרפאה נפרץ או נגנב - האחריות החוקית היא של המטפל. מידע רפואי, פסיכולוגי, ועל מוגבלות נחשב "מידע רגיש" - ודורש הסכמה מפורשת, אבטחה מוגברת, והגבלת גישה חמורה.

הסכמה - מתועדת, ממוקדת, ונפרדת

הסכמת המטופל חייבת להיות מתועדת (בכתב או בדיגיטל) ולכלול הסבר מפורש על מטרת השימוש במידע. הסכמה "משתמעת" (כמו שהמטופל הגיע לטיפול) לא מספיקה לאיסוף מידע רגיש. אם המרפאה רוצה להשתמש במידע למחקר, להדרכה, או לשיווק מוצרים נלווים - נדרשת הסכמה נפרדת לחלוטין לכל מטרה.

אבטחה פיזית ודיגיטלית - כולל ספקי ענן

אבטחה לא מסתכמת בהצפנה. תיקיות נייר עם תיקים רפואיים חייבות להיות בארון נעול עם גישה מוגבלת - זה חלק ממיפוי המידע שתיקון 13 דורש. דיגיטלית: גיבוי מוצפן ומרוחק, הרשאות לפי תפקיד בלבד (פקיד קבלה לא צריך לראות את התיק הרפואי - רק את יומן התורים). אם מערכת הניהול בענן: חשוב לדעת באיזו מדינה השרתים ממוקמים ולדרוש DPA מהספק - לפירוט ראה guides/international-transfer

תקופת שמירה וממונה הגנה (DPO)

תקנות הרפואה קובעות מינימום 7 שנים שמירה - אבל לא זה הסוף. תיקים של קטינים יש לשמור עד הגיעם לגיל 25 (תקופת ההתיישנות ארוכה יותר). תיקון 13 דורש מחיקה כשהמידע לא נחוץ עוד: לאחר 7 שנים, חובה לבדוק מה ניתן למחוק. מרפאה גדולה או מכון המעבד כמות גדולה של מידע רפואי ייתכן שחייב למנות ממונה הגנה על הפרטיות (DPO) - ניתן גם במיקור חוץ.

צ׳קליסט ציות

  • מדיניות פרטיות - כוללת מטרת השימוש במידע הרפואי
  • הסכמה מפורשת ומתועדת למידע רגיש (לא הסכמה משתמעת)
  • הסכמה נפרדת לשיווק / מחקר אם רלוונטי
  • אבטחה מוגברת: הצפנה + ארון נעול לתיקים פיזיים
  • ניהול הרשאות - רק מי שחייב לראות את התיק הרפואי מקבל גישה
  • DPA עם מערכת הניהול/תורים - כולל בדיקת מיקום שרתים
  • גיבוי מוצפן ומרוחק עם גישה מוגבלת
  • תקופת שמירה: מינימום 7 שנים (עד גיל 25 לקטינים); בדיקת מחיקה לאחר מכן
  • נוהל אירוע אבטחה - מה עושים אם המחשב נגנב/נפרץ (דיווח לרשות להגנת הפרטיות)
  • מנגנון למימוש זכויות מטופל (עיון, תיקון, מחיקה)
בדוק את העסק שלך בחינם