הכי חשוב הבריאות, אך מה עם הפרטיות? תחום בריאות הנפש נחשב לאחד מתחומי בריאות הציבור הרגישים ביותר ומטבע הדברים, מרפאות בריאות הנפש אוספות מידע רגיש ביותר ולפיכך עליהן להגן באופן בלתי מתפשר על פרטיות מטופליהן.
בחזקת המרפאות מידע רפואי נרחב ומפורט בדבר מצבם הרפואי – נפשי של מטופלים לאורך שנים, בנסיבות מגוונות, לעתים לאורך "חיים שלמים". בין אם מדובר במטופלים שבוחרים באופן עצמאי לחשוף עצמם וחולשותיהם הכואבות והגדולות ביותר ובין אם מדובר במטופלים שמצבם אינם מאפשר להם בחירה חופשית ומסירת המידע ו/או קבלת הטיפול נכפים עליהם. מערכות היחסים שבין המרפאות הללו ואנשי הצוות שבהן למטופלים הן בעלות אופי ייחודי ואינטימי במיוחד.
רגישות המידע וחשיבותו הרבה מעצימים את נסיונות גניבתו ואין זה סוד כי מגזר מרפאות הנפש נחשב כיעד מבוקש. לכן על מרפאות בריאות הנפש לשמור על דריכות וערנות כפולה באשר לשמירת המידע החסוי המוחזק בידם. ייתכן כי זליגת המידע הרגיש תהיה בעקבות פריצת האקרים או מצד גורמים פנימיים למטרות שונות כגון: סחר במידע, שיבוש הליכים, איומים או סחיטה.
בכדי לוודא כי מרפאות הנפש מקיימות באופן רציף, מהימן ויעיל את הוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות. בשנת 2018, החלה הרשות להגנת הפרטיות לערוך הליכי פיקוח רוחביים במרפאות בריאות הנפש הנמצאות בבתי החולים הכלליים, בבתי החולים המתמחים בנושא ובמרכזים המתמחים. מאז ועד היום אף הרחיבה הרשות את היקף הפיקוח למעבדות רפואיות ולגופים המחזיקים ריכוזי מידע הכוללים נתונים אישיים, רגישים ומידע פרטי על לקוחותיהם כדי לקבל תמונה מלאה מהשוואה של גופים רבים.
בדצמבר 2020 פרסמה הרשות דו"ח בו הציגה את ממצאיה כחלק מסדרת דוחות שבדקו את קיום חוק הוראות הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע) במגזרים השונים. במסגרת תהליך הפיקוח התמקדה הרשות ב-18 גופים המנהלים מרפאות לבריאות הנפש ובחנה את עמידתם בקריטריונים הבאים: בקרה ארגונית וממשל תאגידי, ניהול מאגרי מידע, אבטחת מידע ושירותי מיקור חוץ.
הממצאים שהתגלו מצביעים על כך שרוב גופי מגזר מרפאות בריאות הנפש מקיימים רמה בינונית עד גבוהה בהוראות חוק הגנת הפרטיות אך נקודת התורפה המשמעותית נמצאת במקרים בהם עיבוד המידע האישי והרגיש במיוחד, מתבצע אצל אחרים במסגרת מיקור החוץ. הרשות להגנת הפרטיות מצאה כי לא נערכו באופן מספק וההסדרים בין המרפאות עם ספקי המידע החיצוניים אינם מבטיחים דיו את חיסיון המידע כאשר הוא "מחליף ידיים". התברר גם כי לא ניתנה חשיבות מספקת למעקב ודיווח אחר "אירועי אבטחת מידע". מכאן שמידע חיוני וחסוי אינו שמור מספיק ועושי לדלוף לגורמים אשר מידע שכזה אינו אמור להיות בהישג ידם.
בעקבות ממצאיה, העבירה הרשות להגנת הפרטיות את מסקנותיה והנחיותיה לגופים הנבדקים לצורך תיקון הליקויים. הרשות הבהירה כי תמשיך לעקוב ולפקח אחר שמירת מידע והגנה על פרטיות הציבור לרבות אכיפה הדוקה לצורך שמירה על תקנות אבטחת המידע בגופי המגזר לבריאות הנפש.
