פורסמו תגובות המבוקרים לפרק העוסק ב”היבטים בהגנה על הפרטיות במאגרי מידע” בדו”ח החדש של מבקר המדינה

כמקובל, כל אימת שמתפרסם דו”ח חדש של משרד מבקר המדינה, מפרסם במקביל אגף המפקח הכללי לענייני ביקורת המדינה במשרד ראש הממשלה דו”ח מפורט הכולל התייחסויות של הגופים המבוקרים לליקויים עליהם הצביע מבקר המדינה בדו”ח שלו.

בשנים האחרונות פירסמתי כאן באתר ציטוטים מתוך הדו”חות הללו של משרד ראש הממשלה ואני עושה זאת גם הפעם לגבי הדו”ח שפורסם השבוע (69ב).

הערה: ההדגשות אינן מופיעות במקור.

= = = = = = = = = = =  = = = = = = =

הגופים המבוקרים: הרשות להגנת הפרטיות במשרד המשפטים [לשעבר, רמו”ט], משרד החינוך, משרד הבריאות, מחלקת ייעוץ וחקיקה במשרד המשפטים, מערך הסייבר הלאומי במשרד ראש הממשלה, רשות התקשוב הממשלתי במשרד ראש הממשלה.

■ “משרד המשפטים גיבש במהלך תקופה ממושכת תיקון משמעותי לחוק הגנת הפרטיות שעיקרו העצמה ושכלול של הסמכויות הנתונות לרשם מאגרי המידע. הצעה זו שהונחה על שולחנן של שלוש כנסות ברציפות לא נדונה ולא קודמה בידי ועדת החוקה.  המשרד ימשיך ויקדם הצעה זו גם בכנסת העשרים ואחת. בנוסף המשרד עומל על הכנה של תיקון נוסף לחוק שיתייחס להיבטים מהותיים שונים של דיני הפרטיות. מדובר בתיקון מקיף ומורכב שהעבודה עליו כבר החלה.

■ “בעידן הנוכחי בו השימוש במערכות דיגיטליות הולך וגובר, אין בידי הרשות את המשאבים, וגם אין בהכרח הצדקה אסטרטגית, להיות מעורבת בכל הפרוייקטים הממשלתיים. בשל אילוצי משאבים, הרשות נאלצת לבחור מספר מצומצם של נושאים בעלי חשיבות לאומית עקרונית בהם תוכל לפעול, בהתאם לתכנית העבודה ולהשלכות הלאומיות הרוחביות של הפרוייקט הרלבנטי כמו גם מעורבות גורמים רלבנטיים אחרים. במידה ולרשות יהיו משאבים נוספים, היא תוכל להרחיב פעילותה בתחומים אלו,  אולם גם במצב זה אין הצדקה למעורבות של הרשות בכל פרוייקט ממשלתי. לגופו של עניין, להלן דוגמאות לפרוייקטים משמעותיים בהם הרשות מעורבת:

+ וועדת ענן – וידוא עמידה בדרישות חוק הגנת הפרטיות ותקנותיו בכל פרוייקט ממשלתי הכרוך בהעברת מידע או החזקתו על גבי ענן פרטי, או לא מקומי.

+ ועדת היגוי – אזור אישי – ייצוגה של הרשות להגנת הפרטיות בהיגוי הפרוייקט של מימשל זמין, במסגרתו יתאפשר לאזרח לצרוך את כל שירותי הממשלה המקוונים דרך ממשק אחד.

+ צוות בין-משרדי להזדהות בטוחה – קידום ומימוש החלטת הממשלה בנושא ההזדהות הבטוחה, בהובלת הממונה על היישומים הביומטריים במטרה לאפשר ביצוע ההזדהות באופן דיגיטלי, לצורך שיפור השירותים הממשלתיים לתושבים.

+ השתתפות פעילה בגיבוש הערות לטיוטת חוק הגנת הסייבר ומערך הסייבר הלאומי. + בריאות דיגיטלית – מעורבות הרשות לאורך השנים בנושא בפורומים מקצועיים כגון העברת הערות לדו”ח שימושים משניים במידע בריאותי. הרשות עושה מאמץ להשתתף בכל דיוני הכנסת הנוגעים לתחומי פעילותה וסמכויותיה.

כאשר יש דיונים שאינם מחייבים השתתפות, ההחלטה בדבר ההשתתפות מתקבלת בשים לב לנושא ולמשאבים הפנויים. כך, למשל, כונס דיון מיוחד בוועדת המדע והטכנולוגיה [של הכנסת] לבקשת הרשות ובהשתתפותה לרגל יום הגנת הפרטיות הבינלאומי, דיונים בנושא פעילות פייסבוק, דיונים בנושא רחפנים, דיונים בנושא תקנות המאגר הביומטרי בוועדה המשותפת שהוקמה לשם כך, דיונים שונים בוועדות הכלכלה והחוקה.

■ “בשנתיים האחרונות, בהמשך להליך שינוי ארגוני מקיף שביצעה הרשות, עמדה הרשות על הצורך והחשיבות שבהוצאת פרסומים שונים מטעמה. בהתאם לכך במסגרת השינוי הארגוני הוגדר תפקידה של המחלקה המשפטית כמחלקה שאחראית על קידום האסדרה בין היתר באמצעות פרסומים כאמור. הרשות נמצאת בהליך הטמעה של מדרג מסמכים האמור לסייע לרשות בהוצאת פרסומים מטעמה. לצד מהלכים אלה הרשות פרסמה מגוון של פרסומים המיועדים לציבור, חלקם הנחיות רשם וחלקם ניירות עמדה, מדריכים לציבור וכיו”ב בהתאם לצורך הציבורי. למשל,  בעקבות תקנות הגנת הפרטיות החדשות, פניות שהתקבלו ברשות,  צרכים שזוהו על ידי הרשות וכיו”ב. הרשות תמשיך בפרסומים )מסוגים שונים, לאו דווקא הנחיות) מטעמה בהתאם לצורך ועל פי מדרג מסמכים שתיישם, בשים לב לנסיבות אובייקטיביות.

■ “משרד המשפטים גיבש במהלך תקופה ממושכת תיקון משמעותי לחוק הגנת הפרטיות שעיקרו העצמה ושכלול של הסמכויות הנתונות לרשם מאגרי המידע. הצעה זו שהונחה על שולחנן של שלוש כנסות ברציפות לא נדונה ולא קודמה בידי ועדת החוקה. המשרד ימשיך ויקדם הצעה זו גם בכנסת העשרים ואחת. בנוסף המשרד עומל על הכנה של תיקון נוסף לחוק שיתייחס להיבטים מהותיים שונים של דיני הפרטיות. מדובר בתיקון מקיף ומורכב שהעבודה עליו כבר החלה.

■ “משרד הבריאות הקים יחידת בקרה בתחילת שנת 2018 במטרה לבקר ולפקח על ארגוני הבריאות לעמידה בנהלים וההנחיות. כבר במהלך 2018 ביצעה היחידה מספר רב של בקרות רישוי בנושא אבטחת מידע וסייבר. במהלך 2019 היחידה תחל בעבודת מטה יחד עם יחידות המשרד שאחריות על מתן רישוי, לבחינת המנגנונים להידוק הפיקוח על עמידה בתקן ISO כחלק מקבלת רישוי לכלל המוסדות והמרפאות. במקביל, המשרד יחל במיפוי כלל הארגונים הנדרשים לעמידה בתקן.

■ “בתחילת 2019 משרד הבריאות הפיץ לארגוני הבריאות הנחיות לדיווח על אירועי סייבר. בנוסף, בימים אלה מוקם צוות להשלמת כללי רגולציית אבטחת מידע וסייבר למגזר הבריאות.

■ “משרד הבריאות ביצע עד כה עבודה רבה ומשמעותית לקידום אחראי ומאוזן של נושא מורכב זה: משרד הבריאות מקדם, יחד עם משרד המשפטים תהליך של אסדרת תחום השימושים המשניים במידע בריאות, כולל הגדרת עקרונות להתממה [De-Identification] בעת השימוש במידע בריאות במחקרים. מדובר בתהליך מתוכנן ומורכב שמנסה לאזן בצורה אחרית בין צורך לקדם מחקר לצורך לשמירה על פרטיות המטופלים.  התהליך מסתמך על פעילות המועצה הלאומית לבריאות דיגיטלית שניתחה את פוטנציאל התועלת למול הסיכונים והגישה המלצותיה להסדר נושא שימושים משניים במידע (נושא שנמצא בכל העולם בשלבים מוקדמים של אסדרה).  כחלק מפרוייקט ביג דאטה משרד הבריאות מנהל גם פרוייקט התממה המסייע להבין סוגיות טכנולוגיות מהותיות. מדובר בתהליך חשוב לבניית כללים שמאפשרים בניית רגולציה מאפשרת אשר מוצאת את האיזון הנכון שישרת את תושבי מדינת ישראל. המשרד רואה חשיבות רבה באסדרה של התחום ויפעל להמשיך לקדם את תהליכי האסדרה בשיתוף משרד המשפטים.

* הערה: באשר לביקורת של משרד מבקר המדינה לגבי משרד החינוך – ובמיוחד לדברים הבאים: “נכון למועד סיום הביקורת אין למשרד החינוך מדיניות אבטחת מידע וסייבר מאושרת” – אין, משום-מה התייחסות בדו”ח התגובות שפירסם משרד ראש הממשלה.

מבזקים