אבטחת המידע בתוכנת טיפולוג וחובת רישום מאגר מידע
אנו בטיפולוג מבינים כי מעל הכל חשובה חסינות המידע אודות המטופלים שלכם!
במערכת טיפולוג מושקעים מאמצים רבים בניהול אבטחת המידע המאוחסן במערכת כך שהתוכנה תעמוד בדרישות תקנות הרשות להגנת הפרטיות במדינת ישראל. כל המידע במערכת מגובה בצורה מאובטחת ומוצפנת ומאגר המידע שבבעלות החברה רשום בפנקס מאגרי המידע במשרד המשפטים בהתאם לפרק ב’ בחוק הגנת הפרטיות, התשמ”א-1981.
כתוכנה מובילה בתחומה ששמה את אבטחת המידע כערך עליון מוסמכת החברה ע"י מכון התקנים הישראלי בתקן ISO-27001 ותקן ISO-27799 שהוא תקן בינלאומי לאבטחת מערכות מידע בתחום הבריאות (למידע אודות התקן מאתר ויקיפדיה: ISO-27799). תעודת ההסמכה שלנו לתקן ISO-27001, תעודת ההסמכה לתקן ISO-27799.
החברה מבצעת מבחני חדירה אפליקטיביים בהתאם לתקנות ומלווה באופן שוטף על ידי ממונה אבטחת מידע מחברת אבטחה חיצונית ובלתי תלוייה (CISO – Chief Information Security Officer).
בנוסף, מערכת טיפולוג עומדת בדרישות המהותיות של חוזר מנכ"ל משרד הבריאות מחודש דצמבר 2019 בנושא שינוי, תוספת ותיקון רשומת מטופל ממוחשבת (סעיף 13.2 לחוזר): מערכת טיפולוג מתעדת בקובץ LOG את סיכומי המפגש המוזנים על ידי המשתמש למערכת וכן שינויים שמבוצעים בהם לאחר מכן על ידי המשתמש.
כיצד טיפולוג מסייעת לרופאים ומטפלים לעמוד בדרישות החוק ולחסוך זמן וכסף רבים?
ננסה להסביר בקצרה: כל רופא/מטפל שמתעד מידע הנוגע לטיפולים ומטופלים באופן ממוחשב מחויב בניהול ורישום מאגר מידע ולכן גם מחויב לעמוד בדרישות אבטחת המידע של הרשות להגנת הפרטיות (כן, כן גם אם אתם עושים את זה ב-WORD, אקסל, GOOGLE DRIVE, אופיס 365 או כל דרך אחרת).
אז למה טיפולוג מתאימה עבורכם?
מפני שכאשר אתם משתמשים בטיפולוג או בכל תוכנה אחרת אתם בעלי מאגר המידע וכשאתם באים לרשום מתוקף החוק את מאגר המידע שלכם אז אנחנו נהיה רשומים בו כ"מחזיק במידע". ואנחנו ה"מחזיק במידע" האידיאלי כי אנחנו עומדים בדרישות אבטחת המידע המורכבות של חוק הגנת הפרטיות והתקנות שמכוחו. כלומר עצם השימוש בתוכנת טיפולוג "חוסך" לרופא ומטפל דרישות רבות הכרוכות בהשקעת זמן וכסף לא מבוטלים.
להלן כמה פרטים טכניים אודות אבטחת המידע במערכת טיפולוג:
- ליווי שוטף על ידי חברת אבטחת מידע חיצונית ובלתי תלוייה.
- ביצוע מבדקי חדירה אפליקטיביים ותשתיתיים.
- אימות דו-שלבי (2FA) באמצעות דוא”ל או SMS.
- הגנת השרתים ותחנות העבודה באמצעות אנטי וירוס ותוכנת EDR
- שירות 24/7 של מרכז ניטור אבטחת מידע (SIEM/SOC – Security Information and Event Management / Security Operation Center)
- תקשורת הנתונים מוגנת בפרוטוקול מסוג SSL.
- חוות השרתים ממוקמת בישראל וכוללת פיירוול מתקדם, אבטחה פיזית בחווה וגיבויי חשמל.
- גיבוי שרתים מוצפן ומאובטח.
- המערכת מבצעת ניתוק אוטומטי של המשתמש לאחר 30 דקות אם לא נעשה בה שימוש.
- ציון A ב-SSL Server Test לאישור לחצו
- עדכון שרתים קבוע כנגד פרצות אבטחה ידועות.
- ביצוע HASHING לסיסמאות כניסה.
- המערכת מבצעת תיעוד לוג הכולל מעקב כניסות.
- הפרדה בין מחשב אישי ומחשב ציבורי בעת התחברות למערכת.
- דרישה לתעודת זהות ושאלת אבטחה בשחזור סיסמא לכתובת דוא”ל שסיפק המשתמש הפרטי או מנהל המערכת בלבד.
גיבויים
- כל נתוני המערכת מגובים באופן שוטף ע”י מערכת גיבוי שרתים מוצפנת ומאובטחת.
- כל טבלת נתונים הקיימת במערכת ניתנת לייצוא של כל הנתונים המוצגים לקובץ אקסל ( CSV ). אפשרות זו מהווה יתרון בכך שכל משתמש פרטי או גורם עם הרשאת מנהל בארגון, יכולים לשמור את הנתונים לעצמם במחשבם האישי במקרה הצורך. אולם יש להתנהג עם אפשרות זו בזהירות רבה, שכן בצורת שמירה זו של הנתונים על מחשבכם האישי או כל התקן אחר, נתונים אלו חשופים כמו כל קובץ אחר הנמצא על מחשבכם, והם כבר אינם מוגנים באמצעי האבטחה של המערכת.
מדיניות פרטיות
מערכת טיפולוג מתחייבת על שמירת סודיות והגנה על פרטיות המידע בכל הקשור ללקוחותיה ולנתונים הנמצאים אצלה וזאת בהתאם לתנאי השימוש בתוכנה המפורטים באתר זה ובהתאם לנהלי החברה המנוהלים תחת תקן ISO-27799 ותקן ISO-27001.
התייחסות לחוק הגנת הפרטיות וחובת רישום מאגר מידע
חוק הגנת הפרטיות (החוק) קובע חובות שונות ביחס לטיפול ולשמירה על "מאגר מידע". בהתאם לחוק, גם תיעוד ממוחשב של מידע הנוגע לטיפולים ומטופלים מהווה "מאגר מידע".
מי בעל מאגר המידע?
כאשר הטיפול ניתן במסגרת קופת חולים או גוף דומה, קופת החולים נחשבת כבעלת מאגר המידע, אולם כאשר הטיפולים ניתנים במסגרת פרטית הרופא/המטפל נחשב כבעל מאגר המידע.
מהן החובות המוטלות על רופא/מטפל על פי חוק הגנת הפרטיות?
חוק הגנת הפרטיות מטיל על רופא/מטפל שהינו בעל מאגר מידע חובות פרוצדוראליות ומהותיות:
חובות מנהלתיות: בצד המנהלתי, החוק מחייב את הרופא או המטפל להגיש לרשם מאגרי המידע בקשה לרישום המאגר. במסגרת הבקשה נדרש הרופא או המטפל למסור פרטים שונים על המאגר, כיצד הוא מנוהל, כיצד הוא מוחזק וכדומה.
חובות מהותיות: בצד המהותי החוק ותקנות שהותקנו מכוחו מחייבים את בעל מאגר המידע לנקוט באמצעים שונים לאבטחת המידע. מדובר בדרישות לא מעטות המתייחסות בחלקן לחומרה ולתוכנה שבאמצעותן מוחזק מאגר המידע ובחלקן לשיטת ההתנהלות.
כיצד תוכנת טיפולו מסייעת לרופאים ומטפלים לעמוד בדרישות החוק ולחסוך זמן וכסף רבים?
חברת קליניקליקס בע"מ, המפעילה והמפיצה של תוכנת טיפולוג מסייעת לרופאים ומטפלים לעמוד בדרישות חוק הגנת הפרטיות:
בצד המנהלתי, קליניקליקס בע"מ יכולה לסייע לרופא או למטפל למלא את החלקים הרלוונטיים בטופס בקשה לרישום מאגר מידע. בקשה לרישום מאגר מידע עשויה להיות מורכבת וסבוכה לרבים מאתנו. במסגרת הבקשה נדרש בעל המאגר למסור בין היתר מידע טכני על אופן החזקת המידע (סעיף ו' בטופס הגשת בקשה לרישום). קליניקליקס בע"מ משמשת, לצורך הגשת הבקשה, כמחזיקת מאגר המידע.
בצד המהותי, תוכנת קליניקליקס בעלת תקן ISO-27799 ו-ISO-27001 ועומדת בדרישות אבטחת המידע המורכבות של חוק הגנת הפרטיות והתקנות שמכוחו. בהתאם לכך השימוש בתוכנת טיפולוג "חוסך" לרופא ומטפל את הצורך ללמוד את דרישות אבטחת המידע שבחוק, לשכור אנשי מקצוע בתחום המיחשוב, רכישת חומרה ותוכנה, כתיבת נהלי אבטחת מידע ועוד דרישות רבות הכרוכות בהשקעת זמן וכסף לא מבוטלים. תוכנת טיפולוג מתעדכנת בהתאם לשינויים בדרישות האבטחה המשתנים מעת לעת על פי הוראות החוק והתקנות שמכוחו.
לתשומת לבכם! המידע המובא באתר זה נועד להרחיב את בסיס הידע האישי של המשתמש לפני פניה לעורך-דין או למומחה אחר. המידע המובא באתר אינו מהווה ייעוץ משפטי ואינו מובא כתחליף לקבלת יעוץ משפטי מעורך-דין שיבחן את הנסיבות הפרטניות של המשתמש. בנוסף, המידע עשוי לכלול דעה אישית של בעלת האתר. לכן על המשתמש להתייחס למידע המובא באתר במידת הזהירות הנדרשת ולקבל ייעוץ פרטני המתאים לצרכים ולנסיבות הפרטניים שלו.