10,000 מטופלים. זה המספר שפורסם בתקשורת לאחר שקבוצת האקרים איראנית טענה כי הצליחה לגנוב פרטים רפואיים ממאגרי קופת חולים כללית. האירוע דווח לרשויות ונמצא בבדיקה — אך המסר ברור: מאגרי מידע רפואיים הם יעד אסטרטגי.
בעלי מאגר מידע רפואי? זה בדיוק הזמן לוודא שאתם ערוכים לתרחיש של זליגה, זיהוי חוזר וחשיפה ציבורית.
הרשות להגנת הפרטיות, בשיתוף עם משרד הבריאות, פרסמו לפני מספר ימים מדריך מקצועי ומקיף בנושא התממת מידע רפואי (De-identification). בעולם שבו נתונים רפואיים הם נכס עצום אך רגיש מאין כמוהו, בעלי מאגרים ניצבים בפני אתגר כפול: איך שומרים על הערך המחקרי והאנליטי של המידע, מבלי לסכן את פרטיות המטופלים ולחשוף את זהותם?
ריכזנו עבורכם את 5 עקרונות הפעולה המרכזיים מתוכו (במילים שלנו, כדי לעשות לכם חיים קלים):
1. הבינו ומפו את הדאטה שלכם: לפני שמפעילים אמצעים טכנולוגיים, עליכם להבין אילו משתנים נאספים, מה מטרת השימוש בהם, והאם הם עלולים להוביל לזיהוי אדם ספציפי – בין אם ישירות או בעקיפין.
2. נקו מזהים ישירים: הצעד ההכרחי הראשון הוא הסרה של נתונים שמובילים באופן מיידי לזהות המטופל, כמו תעודת זהות, שם מלא, מספר טלפון או כתובת.
3. הפעילו טכניקות להסוואת המידע (התממה): זה השלב שבו המומחיות נכנסת לפעולה. יש להשתמש בשיטות כמו קידוד נתונים (פסאודונימיזציה), הכללת נתונים (למשל הצגת "טווח גילאים" במקום תאריך לידה מדויק), יצירת משתנים פונקציונאלים (למשל משך אשפפוז במקום תאריכים) והשמטת ערכים שאינם נחוצים למחקר. המטרה היא לצמצם את הסיכון לזיהוי חוזר — תוך שמירה על שימושיות הנתונים.
4. בצעו ״מבחן חשיפה מחדש״: האם אחרי ההתממה עדיין אפשר להצליב את הנתונים עם מקורות מידע חיצוניים ולחשוף מטופלים? חובה עליכם להעריך את הסיכון הזה מראש.
5. זכרו — התממה היא לא ״שגר ושכח״: טכנולוגיות מתפתחות ומאגרי מידע חדשים צצים כל יום. מה שנחשב אנונימי היום, עלול להיחשף מחר. לכן, נדרש ניהול סיכונים שוטף, בחינה תקופתית של הנתונים והרשאות הגישה.
איך אנחנו יכולים לעזור? הפער בין קריאת ההנחיות לבין יישום טכנולוגי וארגוני בשטח — הוא משמעותי. התממה אפקטיבית דורשת שילוב של הבנה רגולטורית, מתודולוגיה סדורה ויישום הנדסי נכון.
ב-DataBee אנחנו מלווים ארגונים בהקמת מנגנוני בקרת גישה והרשאות בהתאם לסטנדרט רגולטורי, בניית סביבות עבודה מאובטחות בגישת Privacy by Design, ויישום מתודולוגיות התממה — תוך איזון בין רגולציה לבין שימוש מחקרי ועסקי.
רוצים לוודא שאתם פועלים נכון עם מאגרי המידע שלכם?
פנו אלינו לקביעת שיחת ייעוץ מקצועית — ללא התחייבות.
לינק למדריך של הרשות: https://www.gov.il/he/pages/medinfoguide