הרשות להגנת הפרטיות הודיעה היום (רביעי) כי ארגון מד"א הפר את הוראות חוק הגנת הפרטיות בעקבות שני אירועי אבטחה חמורים שהובילו לדליפת מידע רגיש ממערכות הארגון.

הליך הפיקוח של הרשות נפתח בעקבות פניה כי קיימים כשלים באבטחת מידע באתר האינטרנט של מד"א, מה שהביא לחשיפת מידע רגיש של מטופלים הכולל בין היתר דוחות רפואיים המכילים מידע רפואי ומסמכי התחייבות שכוללים פרטים אישיים כגון שמות, כתובות, מספרי תעודות זהות ומספרי כרטיסי אשראי. ברשות מדגישים כי מד"א לא דיווח לרשות על אירועי האבטחה החמורים כנדרש בחוק.

בנוסף, בזמן אחר, התקבל ברשות מידע נוסף על פרצת אבטחה באפליקציה של ניהול המתנדבים במד"א. הפרצה אפשרה גישה לשרת עליו מותקנת האפליקציה, ולדלות ממנו מידע על מתנדבים במד"א, מידע רפואי על מטופלים ואפילו פתחה את האופציה לשלוח למטופלים הודעות שקריות על בסיס המידע.

בשני המקרים מדובר במערכות שפותחו ותוחזקו עבור מד"א על ידי ספקי מיקור חוץ. לפי תקנות הגנת הפרטיות (אבטחת מידע), ארגונים שעושים שימוש בשירותי מיקור חוץ צריכים לקבוע בהסכם עם הספקים שורה של דרישות בהתאם לסיכוני אבטחת המידע הקיימים בארגון.

ממצאי הפיקוח של הרשות העלו כי בזמן אירועי אבטחת המידע, ארגון מד"א לא הגדיר את הדרישות הקבועות בחוק. בשל כך, קבעה הרשת להגנת הפרטיות כי מד"א הפר את החוק להגנת הפרטיות וניתנו לו הנחיות לתיקון ליקויים.

 

ממד"א נמסר: "כל מערכות המידע של מד״א מאובטחות ברמה הגבוהה ביותר ובאמצעים הטכנולוגיים המתקדמים ביותר. יחד עם זאת, פרצות מתגלות לעיתים ככל שרמת ההאקרים עולה ולכן מיד כשנודע לנו על הפרצה נקטנו בכל האמצעים הנדרשים. יודגש ויובהר כי בשום שלב לא דלף מידע חסוי או משמעותי".

"מדובר באירוע שהיה לפני כשנה כאשר מתנדב מד״א לשעבר המתמחה בתוחם אבטחת מידע איתר את הפריצה. הוא מצא חריגה אחת באתר המתנדבים ומקרה נוסף בעמוד הטפסים באתר מד״א. הנושא טופל ותוקן מיידית ושום מידע לא דלף."