השימוש בפלטפורמות מקוונות לתקשורת וידאו זינק בעקבות הקורונה ומספר רב של בעלי מקצוע החלו לעשות שימוש בשיחות וידאו בכדי לספק שירותיהם. אך מה קורה כאשר המידע המשודר ואף מאוחסן אצל אחרים הינו מידע פרטי ולצורך הדוגמה, מידע פסיכולוגי. הרי ברור כי דליפה של טיפול פסיכולוגי מתועד בוידאו, תגרום לנזק בלתי נתפס למטופל. בנסיבות אלה, נשאלת השאלה מה על המטופל לעשות בכדי שהמידע אשר הוא משתף עם הפסיכולוג לא ייחשף לצדדים שלישיים.
לצורך הדוגמה אתייחס לפלטפורמת שיחות הוידאו הפופולרית ZOOM, אשר זוכה לפופולריות מוגברת כיום. זום הוקמה בשנת 2011 וכיום היא נסחרת בנאסדק ומשרדיה ממוקמים בסן חוזה, קליפורניה. זום מתמחה בשרותי תקשורת וידאו ובין היתר מחזיקה בפלטפורמה לניהול ושיתוף שיחות אודיו ווידאו בענן. מדיניות הפרטיות של זום, אשר עודכנה ביום 23.02.2020, קובעת מפורשות כי היא רשאית לאסוף מידע פרטי על המשתמשים בשרותיה, בין אם יש להם מנוי ובין אם לאו. כמו כן, זום מבהירה כי היא אוספת מידע פרטי ממנויים המשתמשים בשירות ההקלטות בענן ומן המשתתפים בשיחות מוקלטות.
זום מציינת בתנאי השימוש כי לקוחותיה אחראים באופן בלעדי למידע הנשלח ומתקבל על-ידם. במסגרת מדיניות הפרטיות, זום מציינת כי היא אינה בעלת המידע הפרטי אלא לקוחותיה וכל תפקידה מסתכם בעיבוד המידע הפרטי שהיא אוספת (Processor) בעוד שלקוחותיה הינם בעלי המידע (Controller). מדיניות הפרטיות קובעת גם כי שימוש בשרותי זום מלמד על הסכמת המשתמש כי המידע הפרטי יועבר לארה”ב ויאוחסן על שרתים בארה”ב.
זום מציינת כי היא יכולה להשתמש בצדדים שלישיים בכדי לספק את שרותיה וכן כי היא רשאית להעביר את המידע לשותפיה בעולם לצורך מתן שרותיה. זום מצהירה כי הגנת הפרטיות של לקוחותיה חשובה לה ולכן היא עושה שימוש באמצעי אבטחת מידע פיזיים, נהלים ואמצעים שונים בכדי לשמור על פרטיות המידע. זום גם מציינת כי היא עומדת בתנאי הסדר “מגן הפרטיות” אשר נקבע בין ארה”ב לאיחוד האירופי בשנת 2016, וכן כי פעילותה כפופה לאכיפת ועדת הסחר הפדרלית (FTC) בארה”ב. לסיום, תנאי השימוש קובעים מפורשות כי סכסוכים עם זום ינוהלו במסגרת הליך בוררות במחוז סנטה קלרה, קליפורניה, על-פי הדין הקליפורני.
השמירה על חיסיון מידע העובר בין מטופל לפסיכולוג מעוגן במספר חוקים בישראל. חוק יסוד כבוד האדם וחירותו, קובע כי כל אדם זכאי לפרטיות ולצנעת חייו וכן כי אין פוגעים בסוד שיחו של אדם, בכתביו או ברשומותיו. חוק הגנת הפרטיות, תשמ”א – 1981 קובע כי אסור לאדם לפגוע בפרטיות הזולת ללא הסכמה, אסור להפר חובת סודיות שנקבעה בדין לגבי ענייניו הפרטיים של אדם, אסור להפר חובת סודיות שנקבעה בהסכם מפורש או משתמע ואסור להשתמש בידיעה על ענייניו הפרטיים של אדם או מסירתה לאחר, שלא למטרה שלשמה נמסרה.
חוק זכויות החולה, תשנ”ו – 1996, קובע כי על הפסיכולוג לשמור על כבודו ופרטיותו של המטופל וכן כי על הפסיכולוג לשמור בסוד על כל מידע הנוגע למטופל אשר הגיע לפסיכולוג תוך כדי מילוי תפקידו או במהלך עבודתו. חוק הפסיכולוגים, תשל”ז-1977, קובע כי על הפסיכולוג לשמור את המידע בסוד.
קוד האתיקה של הפסיכולוגים בישראל מפרט את חובותיו של הפסיכולוג בעת התערבות פסיכולוגית באמצעים מרחוק. זה המקום לציין כי חיסיון פסיכולוגי הינו חיסיון יחסי וקיימים מקרים בהם ניתן להסירו, בין היתר בהתאם להוראות חוק הפסיכולוגים ופקודת הראיות.
כעת משהוצגה הטכנולוגיה ודרישות החוק, האם גורם לא מורשה יכול לקבל גישה למידע המטופל. כברירת מחדל התשובה חיובית. כל שירות טכנולוגי חשוף לסיכונים רבים ודי לקרוא את הפרסומים מהשבועות האחרונים בעניין אפליקציית אלקטור של מפלגת הליכוד ואפליקציית פייבוקס של בנק דיסקונט.
קיימות מספר אפשרויות לגישה לא מורשית למידע המועבר בין הפסיכולוג למטופל – דרך שרתי זום, דרך ספקי השירותים של זום, דרך מחשב הלקוח של זום ודרך מחשב המשתמשים בשרותי זום. האפשרות האחרונה הינה בעלת הסיכון הגדול ביותר והאקר יכול לחדור בקלות רבה למחשבי הפסיכולוג והמטופל אם אלה אינם מוגנים.
כחברה בינלאומית המספקת שירותים למיליוני משתמשים כל חודש, סביר מאוד להניח כי זום עומדת ברמת אבטחת מידע גבוהה ואף ישנם אתרים המציגים ציון גבוה לניתוח הטכנולוגי של שרותיה. יחד עם זאת, ההיסטוריה הקרובה מלמדת כי מידע פרטי זלג מחברות רבות וטובות, חלקן מן הגדולות בתבל, אשר הצהירו כי רמת אבטחת המידע שלהן ברמה גבוהה מאוד. די להכניס את המילים “Data Breach List” למנוע החיפוש של גוגל ולהיכנס לרשימת זליגת המידע של וויקיפדיה המדברת בעד עצמה.
לגבי הטכנולוגיה של זום, במהלך השנה האחרונה נחשפו שתי חולשות מהותיות. ביולי, 2019, חוקר גילה כי קיימת חולשה חמורה באפליקציית זום עבור מחשבי מק באמצעותה ניתן להשתלט על מצלמת הרשת. בינואר, 2020, חוקרי צ’ק פוינט גילו חולשה בשרותיה המאפשר להאקר להצטרף לשיחה ולהיחשף לכל המידע המועבר בשיחה לרבות קבצים.
אז מה לעשות? ראשית, לא לסמוך בעיניים עצומות על אף אחד, גם אם מדובר בעל מקצוע מדופלם המקנה לכם תחושת ביטחון מלאה. עליכם לבדוק עם הפסיכולוג האם והיכן המידע נשמר ומה הוא עושה בכדי לוודא שהמידע לא יזלוג לצדדים שלישיים. כך למשל, זום מאפשרת לשמור את השיחות בענן או באופן מקומי על מחשב המשתמש וכן ניתן להצפין את המידע ולהוסיף סיסמה למניעת שימוש לא מורשה במידע.
עליכם גם לוודא כי הפסיכולוג פועל בהתאם להוראות סעיף 10 לקוד האתיקה של הפסיכולוגים בישראל המסדיר את דרישות הסף להתערבות פסיכולוגית באמצעים מרחוק. כך למשל, קוד האתיקה קובע כי על פסיכולוג להניח על הכתב, במסגרת הסכם בינו ובין המטופל, את מועדי, זמינות ותכיפות ההתקשרויות עם המטופל, התייחסות לתקלות טכנולוגיות המונעות את ההתקשרות ועוד.
כמו כן וחשוב במיוחד(!) עליכם לוודא כי הפסיכולוג עומד בהוראות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (אבטחת מידע), התשע”ז – 2017. פסיכולוג המחזיק מידע פרטי של מטופליו חייב לרשום מאגר מידע ולעמוד בדרישות התקנות לרמת אבטחה בינונית. על הפסיכולוג להחזיק בנהלים כתובים בתקנות ולפעול על-פיהם. הפסיכולוג גם חייב לוודא כי המידע מוגן ברמת אבטחה מתאימה, הן אצלו והן אצל המחזיקים במידע. במידה ויתברר לכם כי הפסיכולוג אינו עומד בהוראות התקנות, חשבו טוב טוב האם ברצונכם לשתף מידע באופן מקוון.
לסיכום, אל תתעצלו, ודאו כי המידע הפרטי שלכם, קל וחומר מידע פסיכולוגי, יוחזק ויישמר אצל בעל המקצוע בהתאם להוראות חוקי מדינת ישראל. דרישת סף שכזו תקטין את הסיכון בחשיפת המידע ואת התקף הלב שתקבלו לאחר שיתברר כי הסודות הכמוסים ביותר שלכם נחשפו.
