מטופלים במחלקות ובמרפאות לבריאות הנפש בישראל עלולים להיות חשופים לפגיעה בפרטיותם, ובמקומות מסוימים יותר מאחרים, כך קובע דו"ח של הרשות להגנת הפרטיות שפורסם הבוקר (שלישי), ובחן את אופן הטיפול בפרטיות המטופלים במרפאות שונות בישראל.

הדוח, בו נכללים ממצאי פיקוח הרשות להגנת הפרטיות, העלה ליקויים רוחביים בקרב מרפאות לבריאות הנפש אשר מסתייעות בשירותי מיקור חוץ לניהול מידע אישי אודות מטופלים. לאור הממצאים העבירה הרשות לכלל המרפאות שנבדקו הנחיות ספציפיות לתיקון הליקויים שנמצאו אצלן.

הממצאים הבולטים שעלו מטלטלים: כמחצית מהמרפאות העושות שימוש בשירותי מיקור חוץ עומדות ברמה נמוכה בהוראות חוק הגנת הפרטיות ו-28% ברמת עמידה בינונית. הדבר מתבטא בכך שבקרב מרפאות שמקבלות שירותי מחשוב במיקור חוץ, נמצאו מרפאות בהן לא נערכים הסכמים עם ספקי השירותים בהתאם להוראות החוק, לא נשמרים נהלי אבטחת מידע והן אף לא מדווחות באופן שנתי על קיומם של אירועי אבטחה. ממצא זה מעלה את החשש מדליפת מידע באמצעות מתן גישה למידע לגופים שלישיים בין אם על ידי ספקי מיקור החוץ או עובדי קופ"ח בעלי נגישות שוטפת למידע רפואי במאגרי המידע של המרפאות. 

בקריטריון הנוגע לבקרה ארגונית וממשל תאגידי, נמצא כי 61% מהגופים עמדו ברמה גבוהה בהוראות החוק, בין היתר, בשל כפיפותם לבתי חולים כלליים או בתי חולים לבריאות הנפש מהם הם מקבלים את שירותי המחשוב. בגופים בהם נמצאה רמת עמידה בינונית (33%) או נמוכה ( 6%) נתגלו פערים שנבעו, בין היתר, מאופן התנהלות של מערך המחשוב של בית החולים לו כפופה המרפאה, בנושא ביצוע בדיקות התאמה לעובדים חדשים בעלי גישה למאגר, ריכוז תפקידים ותחומי אחריות בידי גורם יחיד באופן העלול להעמידו במצב של ניגוד עניינים ואי מינוי מנהל מאגר. 

בקריטריון שבוחן את אבטחת המידע נמצא כי 76% מהמרפאות עומדות ברמה גבוהה בהוראות החוק בעוד שב- 24% מהן רמת העמידה היא בינונית ונמוכה. במרבית המרפאות שנבדקו במסגרת פיקוח הרוחב נעשה שימוש בשירותי המחשוב של המוסד הרפואי אליו הם משויכות והן למעשה מהוות חלק אירגוני של אותו מוסד, מה שמעלה את ההשערה שהדבר קשור לרמת עמידתן הגבוהה בהוראות החוק בנושא זה. 

במסגרת בחינת אופן ניהול מאגרי המידע על ידי המרפאות, נמצא כי 63% מהן עמדו ברמה גבוהה בהוראות החוק בעוד שב-37% נמצאה רמת עמידה נמוכה - בינונית בהוראות החוק והתקנות. במסגרת כך הליקויים שעלו הם אי קבלת הרשאת המטופלים לאיסוף ושמירה של מידע רפואי שלהם ואי שמירה או תיעוד של  אופן קבלת הסכמת המטופלים למסירת מידע ויידועם בדבר הזכויות המוקנות להם על פי חוק.

הרשות להגנת הפרטיות ציינה בעקבות הדו"ח כי "מרפאות בריאות הנפש מחזיקות במידע רפואי רגיש ביותר על מצב נפשי של מטופלים ובהיקפים גדולים. כמו כן, במגזר זה קיים אופי יחסים ייחודי בין הגופים המטפלים לבין ציבור המטופלים אשר לעיתים, בשל מצבם הרפואי, אין ביכולתם להעניק את הסכמתם למסירת מידע אודותיהם או שהוא נאסף תוך כדי הטיפול בהם. אופן הניהול ואחזקת המידע אודות מצבם הבריאותי של מטופלים מתבצע באופן שונה בקרב המרפאות השונות. יש שמנהלות את המידע באופן עצמאי ויש המסתייעות בשירותי מיקור חוץ.

מאפייניו של מגזר זה עלולים להפוך אותו ליעד תקיפה "אטרקטיבי" לאירועי אבטחת מידע, בין אם על ידי בעלי הרשאות לגישה למאגר המידע ובין אם על ידי פצחנים (האקרים) העלולים לבצע שימוש לרעה במידע ואף להשתמש בו כאמצעי סחיטה".