כשלים של משרדי הבריאות והחינוך מסכנים מידע של מיליוני ילדים בישראל
דו"ח מבקר המדינה גילה ליקוים בהתנהלות משרד החינוך אשר לא מפקח כשורה על מאגרי המידע הרגישים שבידיו, בהתנהלות משרד הבריאות שלא אוכף נהלי הגנת מידע במוסדות רפואיים, ובפעילות הפיקוח הנדרשת מרשות הגנת הפרטיות. לפי המבקר, יש צורך בסנקציות יעילות יותר על הפרת נהלי הגנת מידע, ויישור קו עם הדין האירופי
התנהלות לקויה של משרדי הבריאות והחינוך מביאה להפקרת הפיקוח על מידע אישי רגיש של מיליוני תלמידים וחולים בישראל – כך עולה מדו"ח מבקר המדינה שפורסם היום (ב'). בנוסף, מצא המבקר ליקויים חמורים בפעילות הרשות להגנת הפרטיות במשרד המשפטים, שמתבטאים בהעדר אכיפה ראויה וחוסר יכולת להטיל סנקציות על גופים שמפרים פרטיות של אזרחים.
הממצאים התפרסמו בפרק נרחב שבוחן הבטים שונים של הגנה על פרטיות במאגרי מידע. בדיקת המבקר נערכה בין מרץ לאוגוסט 2018 והתמקדה ברשות להגנת הפרטיות, במשרד החינוך ובמשרד הבריאות. בדיקות השלמה נעשו במחלקת ייעוץ וחקיקה במשרד המשפטים, במערך הסייבר הלאומי וברשות התקשוב הממשלתי במשרד ראש הממשלה, בשתי קופות חולים ובשני בתי חולים ממשלתיים.
אף שמשרד החינוך מופקד על פעילותם של מוסדות חינוך שמחזיקים במידע אישי רגיש במיוחד על 1.7 מיליון תלמידים, עד היום אין למשרד מדיניות אבטחת מידע וסייבר מאושרת. במקביל, החקיקה בתחום הגנת הפרטיות לא מעודכנת ואינה כוללת התייחסות מיוחדת לילדים. ניסיונות של משרד החינוך להסדיר את הסוגיה בדרכים אחרות לא צלחו, כאשר חוזר מנכ"ל בנושא נמצא בגיבוש לפחות מספטמבר 2013. עוד מגלה המבקר כי הרשות הארצית להערכה ומדידה בחינוך פועלת מאז הקמתה לפי 12 שנים בלי שנחקק חוק המסדיר את פעולתה, תפקידיה וסמכויותיה. כמו כן, לא נקבעו חוק כללים לאיסוף, להחזקה ולשמירה של מידע רגיש ומזוהה, ולהעברתו ממאגריה לגורמים אחרים.
משרד החינוך לא מודע למידע
מוסדות חינוך רבים החלו להציב מצלמות בתוך המבנים בשנים האחרונות. ואולם, אף שמשרד החינוך פרסם חוזר מנכ"ל בנושא ב-2015, בפועל פעולות הבקרה של המשרד לא בודקות האם דרישות החוזר ממולאות ולא נותנות תמונה מלאה על אופן הטמעת ההוראות.
כמו כן גילה המבקר שמשרד החינוך לא מבצע בדיקות מקדימות, כפי שנדרש בתקנות אבטחת מידע, לפני פרסום מכרזים לשירותי מיקור חוץ שכוללים גישה למאגרי מידע של המשרד או קבלת מידע מהם. "משהתקבלו הצעות במכרזים, לא נעשית בדיקה אם הספקים עומדים בדרישותיו של נספח אבטחת המידע שצורף למכרז", נכתב עוד. "בהתקשרויות הפטורות ממכרז אין גורם מקצועי במשרד החינוך המנסח דרישת עמידה בחובות וסטנדרטים של אבטחת מידע. בתקופת ההתקשרות עם ספקים משרד החינוך לא עושה בקרה ופיקוח בתחום אבטחת מידע".
בעייתי לא פחות, משרד החינוך לא ערך מיפוי מלא של מאגרי המידע שברשותו, כאשר בתקופת הביקורת היתה הפעילות בתחום רק בראשית דרכה עם צפי לסיום ביוני 2019. "במשרד החינוך אף אין רשימה מרוכזת של ספקים שזכו במכרזים, ולמעשה אין למשרד החינוך תמונה מלאה על אותם ספקים המחזיקים במאגרי מידע, ואין דרך ליישם את התקנות וההנחיות השונות הנוגעות לאבטחת המידע", נכתב עוד.
בחלק ההמלצות מציין המבקר שמשרד החינוך מקדם פרויקט שיאפשר קישור בין נתונים מכמה מאגרים קיימים. "יש לבחון אם מאגר זה עומד בהגדרת 'מאגר מידע' חדש ו'מאגר על', הטעון רמת הגנה גבוהה יותר, וכן ניהול ורישום מיוחדים", הוא אומר. "על צוות ההיגוי המנהל את הפרויקט לשקול לערב את הרשות להגנת הפרטיות ואת מחלקת ייעוץ וחקיקה במשרד המשפטים בקידומו, על מנת שיוטמעו בו דרישות יסודיות מתחום אבטחת המידע והגנת הפרטיות".
כן ממליץ המבקר למשרד לפעול מיידית להסדרת פעילות הרשות להערכה ומדידה, לבחון ולאכוף את יישום ההוראות לגבי שימוש במצלמות בבתי ספר ולשלב שלב מקדמי לפני פרסום מכרזים בהתאם לדרישות תקנות אבטחת מידע. "על משרד החינוך לפקח על עמידתם של ספקים בדרישות אבטחת מידע שנכללו בהסכמים עימם נוכח ההשלכות ופוטנציאל הפגיעה בפרטיות התלמידים, כדי להפחית את הסיכון שאירוע של גילוי מידע רגיש על תלמידים באינטרנט יישנה", הוא אמר.
משרד הבריאות לא אוכף את החוק
מידע רפואי הוא כנראה המידע האישי הרגיש ביותר שבנמצא, ולדליפתו או לגניבתו יכולות להיות השלכות חמורות. ואולם, אף שחוזר מנכ"ל של משרד הבריאות מחייב עמידה בתקן אבטחת מידע במערכות בריאות על מנת לקבל או לחדש רישיון לנהל מוסד רפואי, מתוך 1,500 מוסדות שמחויבים ברישיון שכזה רק 150 בלבד (מרביתם בתי חולים וקופות חולים) קיבלו הסמכה לתקן. "שאר המוסדות הטעונים רישיון, ובהם בתי חולים גריאטריים, מרכזים למשתמשים בסמים, מרפאות כירורגיות ומרפאות שיניים, לא קיבלו הסמכה לתקן, ומשרד הבריאות אינו אוכף עליהם חובה זאת", התריע המבקר.
בנוסף, למרות שכבר לפני שנה פרסמה ועדה של המשרד המלצות בנושא, המשרד עדיין לא הנחה את המוסדות הרלוונטיים לגבי מקרים שיחייבו דיווח על אירועי אבטחת מידע, והמשרד "טרם קבע כללים ל'התממה' (הסרת מרכיבים מזהים מובהקים ממידע אישי והמרתם בערכים כלליים יותר) ולקידוד של מידע רפואי אישי לצורכי מחקר, לרבות מחקרים בנתוני עתק".
המבקר מצא סתירה מובנית בין כללי משרד הבריאות שמחייבים התממה מלאה (שאינה מאפשרת כלל שיוך מחדש לנושא המידע) של מידע רפואי המועבר לחוקרים במחקרים רפואיים ללא הסכמתם של נושאי המידע, ובין המידע הנדרש לצורך מחקר: "בשני בתי החולים שנעשתה בהם הביקורת, החוקרים מקבלים מידע רפואי מזוהה, בניגוד לכללי משרד הבריאות, ובאחד מבתי החולים, גם יזם המחקר רשאי לעיין במידע המזוהה, בניגוד לעמדת משרד הבריאות. גם כשמוסד רפואי מעביר לחוקרים מידע שאינו מזוהה, הדבר נעשה באמצעות קידוד בלבד ולא בהתממה מלאה, כאמור בהנחיות משרד הבריאות". בנוסף, המחלקה לניסויים קליניים במשרד הבריאות לא בודקת אם הועבר מידע רפואי אישי על מטופלים לגורמים שאינם מורשים.
המבקר ממליץ למשרד הבריאות למפות מוסדות רפואיים שמחייבים רישיון ושלא מחזיקים בהסמכה לתקן אבטחת מידע ולהניעם להשגתו, וליצור תוכנית פיקוח ובקרה על אבטחת מידע במוסדות אלו. "על משרד הבריאות בשיתוף משרד המשפטים לפעול לקביעתם של כללי התממה מתאימים בשים לב לצורכי המחקרים מזה ולחובת ההגנה על פרטיותם של נושאי המידע מזה", הוסיף.
הסנקציות אינן יעילות
לגבי הרשות להגנת הפרטיות ציין המבקר שהיא נעדרת יכולת להטיל סנקציות יעילות שכן הצעת חוק שנועדה להרחיב את סמכויות האכיפה שלה לא קודמה בגלל מחלוקת בין משרד המשפטים (שתחתו יושבת הרשות) לבין מערך הסייבר הלאומי במשרד ראש הממשלה. "לא קיימת סנקציה יעילה, בין השאר, בגין הפרה של חובת אבטחת המידע, והדבר פוגע ביכולת ההרתעה של הרשות", נכתב בדו"ח. עוד התריע המבקר שמעורבות הרשות בכל הנוגע לסוגיות הגנת פרטיות במאגרי מידע שעולומת במגזר הציבורי חלקית, למרות החשיבות שהיא מייחסת לנושא. לדבריו, הרשות לא מעורבת בצורה יעילה בפרויקטים ממשלתיים ודיונים בכנסת בנושא מתקיימים ללא נציגיה.
כן אומר המבקר שרק ארבעה גופים ציבוריים שמקבלים באופן שוטף מידע מגוף ציבורי אחרי מדווחים על כך לרשם מאגר מידע, והרשות לא עורכת אכיפה יזומה מול גופים שלא מדווחים בהתאם לחוק. "הרשות אינה מעודכנת על העברות מידע בין גופים ציבוריים גם בקשר ל'מאגרי על' שהם, על פי הגדרתם, מאגרים בעלי מידע רגיש, שפגיעה בחשאיותם, באמינותם, בשלמותם ובזמינותם עלולה לגרום נזק רב מאוד לציבור ולמדינה בהיבטים מדיניים-ביטחוניים, כלכליים או אזרחיים".
עוד קובע הדו"ח שהרשות כשלה בפעילות שוטפת כמו פרסום הנחיות פעילות בהבטים שונים. בין 2008 ל-2018 פורסמו רק 15 הנחיות בתחום הגנת הפרטיות, כאשר בין 2013 ל-2016 לא פורסמו הנחיות כלל, גם בנושאים שהרשות סברה שיש לפרסם לגביהם הנחיות. "הרשות לא קבעה מדיניות אכיפה סדורה", מוסיף המבקר. "בעשור האחרון פחתו פעולות האכיפה שהרשות נקטה בהן בהשוואה לתחילתו, ואף שבשלהי העשור חלה עלייה, עדיין מספרן קטן משהיה בשנים 2008 - 2009. זאת, על אף הגידול בהיקפו של שוק המידע האישי בישראל ועל אף שכוח האדם בתחום האכיפה ברשות גדל במשך השנים עד להכפלתו".
מבקר המדינה ממליץ למשרד המשפטים לבחון את תיקוני החקיקה הנדרשים בחוק הגנת הפרטיות, ולעבוד עם מערך הסייבר למציאת האיזונים הדרושים בין הגנה על הפרטיות לצרכי הסייבר. לרשות עצמה ממליץ המבקר לקבוע מדיניות אכיפה שתתאים למפת הסיכונים של הפגיעה בפרטיות. "לאור רגישותו של המידע הנצבר אצל גופים ציבוריים, על הרשות להקפיד לדרוש ולקבל דיווחים על העברות המידע הנעשות דרך קבע בין גופים ציבוריים, בפרט בנוגע למאגרי על", הוא הוסיף.
"בתחום זה של הגנת הפרטיות יש פער מובנה בין החקיקה, הממושכת מטבעה, ובין ההתפתחות הטכנולוגית המהירה. פער זה מגביר את הצורך לפעול בנחישות ובמהירות, על מנת לשמור על רלוונטיות של הוראות הדין במציאות המשתנה. על משרד המשפטים לקיים עבודת מטה בעניין חוק הגנת הפרטיות, לבחון את התיקונים הנדרשים בדיני הגנת הפרטיות, לתעדפם ולקבוע לוחות זמנים לקידומם, הן לשם הגנה על זכויותיהם של נושאי המידע בישראל והן לשם שמירת מעמדה של ישראל כמדינה המבטיחה הגנה על מידע אישי ברמה נאותה התואמת את הדין האירופי".
בחלק אחר בדו"ח בחן מבקר המדינה הבטים שונים בהגנה על הפרטיות ובאבטחת מידע במשרד החקלאות. הבדיקה, שנערכה בין אוקטובר 2017 למרץ 2018, מצאה שורה של ליקויים ובהם העובדה שלא מופו וזוהו מאגרי המידע שבידי המשרד, וכן שמהשרד לא מינה מנהלים למאגרי המידע. בתוך כך, התריע המבקר על חשד שלפיו גוף האכיפה המרכזי של המשרד, "יחידת הפיצו"ח", עשה שימוש שלא כדין במאגרי מידע שהועמדו לרשותו בין 2014 ל-2016. לפי הדו"ח, משרד החקלאות גם לא נערך כראוי ליישום החלטות ממשלה בנושא הגנת סייבר: "ההמלצות של סקר הסיכונים נדונו אצל המנכ"ל רק במרץ 2018, אך טרם גובשה תוכנית עבודה ותקצוב מוסכם ליישום המלצות סקר הסיכונים, ולא הובהר אילו מההמלצות של סקר הסיכונים שנקבעו לביצוע בשנת 2018 יתוקצבו ויבוצעו בשנה זו".
ממשרד החינוך נמסר בתגובה: "סוגיית אבטחת המידע מעסיקה את משרד החינוך מדי יום ביומו ולכן הוא נוקט בשורה של פעולות כדי להבטיח עקרון חשוב זה". תגובת המשרד כוללת פירוט של הפעולות השונות, שלא הובא מפאת אורכו. לגבי הטיפול במידע רגיש של תלמידים נמסר: "ישנם נהלים ברורים לטיפול והעברת במידע בין מוסדות: סוגי המידע שניתן להעביר, למי מותר להעביר, המנגנון לאישור העברה וכד'. אופן ההעברה הוא מאובטח. עובר רק מידע שאושר להעברה. בנוגע לספקים טכנולוגיים למוסדות חינוך: מבוצעות בדיקות אבטחת מידע מחמירות לגופים אלו אחת לשנה. גוף אשר לא עומד בתקן אבטחת המידע של המשרד ובבדיקות אבטחת המידע לא מקבל מידע מבתי הספר. בהתייחס לבקרה בנושא מצלמות אבטחה, משרד החינוך ערך השנה בקרה ב-350 בתי ספר יסודיים וב-68 בתי ספר על יסודיים במסגרתה נבדקו שורה של תחומים המוזכרים בתוך חוזר המנכ"ל. בכוונת המשרד, להמשיך ולעקוב אחר נושא זה".
מהרשות להגנת הפרטיות נמסר: "בשנים האחרונות גדל היקף פעילות הרשות להגנת הפרטיות. הרשות רואה חשיבות בקידום הצעת החוק בדבר הרחבת סמכויות האכיפה של הרשות. הרשות פועלת למיקוד פעולות האכיפה ולהגברת ההרתעה תוך שימוש מושכל במשאבים העומדים לרשותה. וזאת, על מנת לייצר אכיפה איכותית ומשמעותית. בנוסף, הרשות היתה מעורבת בפרויקטים ממשלתיים משמעותיים ופעלה במספר נושאים בעלי חשיבות לאומית עקרונית. בנוגע להעברות מידע בין גופים ציבוריים, האחריות להעברת מידע בהתאם לחוק, לרבות דיווח לרשות, חלה על הגופים הציבוריים. עם זאת, הרשות תפיץ לכלל הגופים ריענון בעניין דרישות החוק ביחס לנושא העברות המידע בין גופים ציבוריים. בשנים האחרונות חל גידול משמעותי בהיקף פרסומי הרשות לציבור הכוללים הנחיות, גילויי דעת וניירות עמדה, מדריכים לציבור ועוד".