למידע הרפואי הנצבר במהלך הטיפול הרפואי ולאורך שנים, חשיבות עצומה לקידום הרפואה והטיפול הרפואי. חברות ומוסדות רפואיים משתמשות במידע זה לפיתוח טכנולוגיות לאיתור חולים בסיכון עוד טרם התפרצות המחלה, להתאים את מינון התרופה למאפייני המטופלים, לקדם את המחקר הרפואי באופן מהיר ויעיל ביותר, ולהפיק תובנות רפואיות שלא ניתן היה להסיק בחשיבה האנושית.

מטבע הדברים פעילות זו מעוררת שאלות: של מי המידע הרפואי המצוי במאגרי הקופות ובבתי החולים, האם וכיצד ניתן לגשת למאגרי מידע אלה, וכיצד ניתן להבטיח כי קידום הרפואה לא יפגע בפרטיות. השאלות מתעוררות בעיקר כשחברה מבקשת לגשת למידע רפואי שנצבר במוסד רפואי על מנת לפתח פתרון טכנולוגי לבעיה או על מנת לבדוק את יישומו של מוצר. נדון בשאלות אלו על רקע המצב המשפטי בישראל.

של מי המידע הרפואי?

זו שאלה יפה שאין לה תשובה משפטית חד משמעית. החקיקה הישראלית מתייחסת לזכויות של המטופל במידע, כמו הזכות לפרטיות במידע הרפואי שלו והזכות שלו לקבל עותק מהמידע הרפואי. החקיקה גם מכירה בצורך לקבל את הסכמת המטופל להעברת המידע הרפואי לאחר, אך קובעת גם מקרים בהם הסכמה זו אינה נדרשת. מאגרי המידע הרפואי הממוחשבים שייכים למוסד הרפואי, שגם אחראי רגולטורית על ההגנה על המידע שבהם (לפי חוק הגנת הפרטיות והתקנות מכוחו).

במצב הדברים היום, למטופל אין חלק בתוצרי הידע, כלומר ברווח של המוסד הרפואי או החברה שעשו שימוש במידע הרפואי על אודותיו, אך הוא כמובן יהנה מכך שהרווחים של המוסד הרפואי חוזרים למוסד הרפואי לצורך שיפור הטיפול הרפואי במטופלים.

הזכות לפרטיות של מטופל במידע הרפואי

הזכות לפרטיות היא זכות חוקתית ומוגנת בחוק יסוד כבוד האדם וחירותו. בנוסף, על מידע רפואי שנוצר במפגש בין מטפל ומטופל חלה חובת הסודיות הרפואית, בהתאם לחוק זכויות החולה. כדי לקבל גישה למידע רפואי של מטופל יש להצביע על חריג חוקי לחובת הסודיות הרפואית. שני החריגים הרלבנטיים כאן הם: א. הסכמת המטופל להעברת המידע הרפואי. ב. השימוש במידע רפואי נעשה למטרות מחקר ובלבד שלא נחשפו פרטים מזהים של המטופל. במצב זה, אין צורך לקבל את הסכמת המטופל. בלי צהלות שמחה עדין, יש עוד דרך לעבור... בהמשך אסביר מהו מידע בלתי מזוהה.

התנאים לגישה למידע הרפואי

שלב ראשון: האם מדובר במחקר רפואי שמחייב אישורים רגולטוריים מתאימים

במקרים רבים, בחינה של מידע רפואי במאגר מידע תוגדר כ"מחקר רפואי" מבחינה משפטית, גם אם זה רק מחקר נתונים ללא מעורבות בני אדם או גם אם זה רק מחקר שאלונים. מחקר רפואי מחייב לקבל את אישור ועדת הלסינקי של המוסד הרפואי ומנהל המוסד הרפואי, ובמקרים מסויימים ידרש גם אישור ועדה מרכזית או עליונה במשרד הבריאות ואישור מטעם מנכ"ל משרד הבריאות (הנושא מוסדר בתקנות בריאות העם (ניסויים רפואיים בבני אדם) ובנהלי משרד הבריאות בנושא המחקר הרפואי). במסגרת המחקר יתבקש המטופל לחתום על הסכמה מדעת לשימוש במידע הרפואי על-אודותיו (אלא אם יהיה זה מידע בלתי מזוהה).

שלב שני: להחליט אם משתמשים במידע רפואי מזוהה (או ניתן לזיהוי) או במידע רפואי בלתי מזוהה

איך יודעים באיזה סוג מידע מדובר?

בעידן המידע ברור שלא מספיק להשמיט שם ותעודת זהות כדי להפוך מידע רפואי לבלתי מזוהה, ושכיום גם כתובת מייל או IP של מחשב יכולים לשמש לזיהוי. נראה, כי מידע שניתן להסיק ממנו את זהות המטופל, באמצעים סבירים, למשל, בהצלבה עם מאגרי מידע אחרים, הוא מידע שניתן לזיהוי (גם אם היכולת להסיק את הזהות אינה של מחזיק המידע אלא של גורם אחר). למשל, מידע מקודד שהמפתח לקוד מצוי בידי גורם מסוים במוסד הרפואי הוא מידע שניתן לזיהוי. מידע שניתן לזיהוי איננו מידע בלתי מזוהה.

מידע רפואי בלתי מזוהה

אם רוצים להשתמש במידע רפואי בלתי מזוהה, צריך לבצע התממה (אנונימיזציה) למידע הרפואי כך שלא ניתן לשחזר זהות המטופל. חוזר מנכ"ל משרד הבריאות בנושא שימוש משני במידע בריאותי דורש, כי מנגנון ההתממה יבדק ע"י סטטיסטיקאי, שיאשר בכתב שהמידע הותמם ברמה שלא מאפשרת למשתמשים לזהות את המטופלים באמצעות שימוש באמצעים ומשאבים סבירים הזמינים לציבור ובהנחה שהם מקיימים את התחייבויותיהם החוזיות. (הסדר דומה נקבע בטיוטת תקנות משרד הבריאות שטרם פורסמו).

מידע מזוהה או ניתן לזיהוי

אם משתמשים במידע רפואי מזוהה או ניתן לזיהוי (למשל, מידע מקודד), יהיה צורך לקבל את הסכמת המטופל להעברת המידע (במקרה של מחקר, ההסכמה להעברת המידע תהווה חלק מההסכמה מדעת).

מה עוד צריך לדעת?

במסגרת שימוש משני במידע רפואי לאבטחת המידע יש הסדרה משמעותית – הכללים קבועים בחוק הגנת הפרטיות, תקנות הגנת הפרטיות (אבטחת מידע) המגדירות מידע רפואי כמידע רגיש ונהלי משרד הבריאות (בין היתר, קובע חוזר מנכ"ל על שימוש משני במידע רפואי כי ככלל לא יוציאו את המידע הרפואי מהמוסד הרפואי). להעברת מידע בין מאגרי מידע של גופים ציבוריים או לחו"ל נדרשים אישורים רגולטוריים נוספים.

אם מדובר במידע גנטי או מידע ביומטרי, יש לכך כללים נוספים בחקיקה ייעודית.

לא לשכוח להסדיר היבטי קניין רוחני - יש צורך בהסכמי שיתוף פעולה ומסחור הידע מול בעלי מאגר המידע הרפואי – קופת החולים, בית החולים או במקרים מסוימים מול אוניברסיטה. לכל אחד מהגופים האלה יש תקנונים ונהלים לשיתוף פעולה מסוג זה וחשוב להכירם, כמו גם את נהלי משרד הבריאות בנוגע להתקשרויות מסחריות של בתי חולים וקופות חולים. סוגיות נוספות מתעוררות בחברה בה עובד רופא או חוקר שהוא גם עובד מוסד רפואי ציבורי או עובד מדינה, ואשר המדינה יכולה לטעון מכח כך לזכויות בתוצרי הידע.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.