"משרד הביטחון נכשל - והמידע על נכי צה"ל פרוץ"
דוח ביקורת פנימי של משרד המשפטים: "משרד הביטחון סובל מכשל מערכתי ומזלזל בשמירה על סודיות בנוגע למידע רגיש". משרד הביטחון: "באגף קיימת ועדה שתפקידה לוודא שכללי אבטחת המידע נשמרים"
במשך יותר מ-3 שנים, שבמהלכן התריע רשם מאגרי המידע במשרד המשפטים על הפקרת מידע רפואי אישי של נכי צה"ל בידי גורמים מסחריים ואזרחיים - כתוצאה מעבירות על חוק הגנת הפרטיות, שהובילו לדליפת מידע ונתונים אישיים לגבי הנכים.
כפי שעולה מהדוח, משרד הביטחון לא נענה לדרישות משרד המשפטים והמשיך לזלזל ולהפקיר מידע אישי ורגיש של אחת האוכלוסיות החלשות ביותר, שהטיפול בה מסור בידו על-פי חוק.
הסיפור החל בשנת 2005, אז קיבלו נכי צה"ל מכתב מחברת טייר קלאב, שכלל כרטיסי חבר מועדון המעניקים להם הנחות ברכישת צמיגים מהרשת.
הנכים נדהמו לגלות כי הכרטיסים נושאים, מלבד שמם, את מספר התיק הרפואי שלהם באגף השיקום. ארגון נכי צה"ל דרש הבהרות מהחברה, וטייר קלאב השיבה כי קיבלה את המידע ישירות ממשרד הביטחון.
בארגון נכי צה"ל פנו אל משרד המשפטים בדרישה לבדוק את האופן שבו מוחזק מידע רגיש על אודותיהם במשרד הביטחון.
הבדיקה העלתה כי טייר קלאב היתה רק תחילתו של הסיפור. ב-2005 זכתה חברת פמי פרימיום במכרז של משרד הביטחון לניהול בקרה ומעקב אחר החשבונות שמגישים גורמי רפואה פרטיים לאגף השיקום בגין טיפול בנכי צה"ל.
פמי היתה אמורה לבדוק אם יש התאמה בין גובה החשבונית לבין הטיפול הניתן לנכים, ולהבטיח כי עלויות הטיפול אינן חורגות.
כדי לבצע את עבודת המעקב אגרה פמי, שהיא חברה מסחרית פרטית, פרטים חסויים הנוגעים לנכי צה"ל. עו"ד עומר יעבץ, נכה צה"ל שחשש לחיסיון המידע בעקבות תרחיש הצמיגים, העלה בפני רשם מאגרי המידע שבמשרד המשפטים חשש כי האמצעים שנוקט משרד הביטחון כדי להבטיח את חיסיון המידע אינם מספיקים.
בדיקה שערך רשם מאגרי המידע אישרה את סברתו של עו"ד יעבץ. בפברואר 2006 הוגש למשרד הביטחון דוח פיקוח של הרשם ובו ממצאים מדאיגים.
התברר כי משרד הביטחון השתמש במאגר שלא לפי מטרתו הרשומה, לא הנחה את פמי בעניין אבטחת המידע, לא קבע אחראי לטיפול בהיבטי הביטחון של הקשורים לפעילותה של פמי, לא ערך ביקורות שיבטיחו כי הוא מאוחסן כיאות, ולפי משרד המשפטים הוא אף איפשר לגורמים נוספים גישה אל המידע.
חברת פמי רשמה את מאגר המידע, שאותו היתה אמורה להחזיק אצלה בנאמנות, כנכס המצוי בבעלותה - וכך אכן נהגה בו, כשאיפשרה לגורמים חיצוניים לחברה להשתמש בו.
בשלב זה עוד ראו הגורמים המוסמכים במשרד המשפטים
60 יום חלפו עברו - ובעקבותיהם גם אפריל, מאי, יוני, יולי ומחצית מאוגוסט, שבמהלכם העניק משרד המשפטים לאגף השיקום ארכה.
אלא שאנשי אגף השיקום לא הקדישו מאמץ כלשהו לתיקון המעוות. משרד המשפטים החליט לעבור ממילים והתראות לאמצעים אחרים.
במשרד הביטחון לא טענו כי ממצאי הבדיקה של הרשם שגויים, אלא פשוט התעלמו מהרשם ומדיווחיו הטורדניים.
באוגוסט 2006 חודשים לאחר הפנייה, הורה הרשם בצעד ראשוני ויוצא דופן על התליית השימוש במאגר המידע בנקיטת צעדים מצד משרד הביטחון לשם אבטחת המידע, אסר על חברת פמי את השימוש בו ואסר על משרד הביטחון להעביר לחברה כל מידע.
במכתב שבו נימק הרשם צעד קיצוני זה חזר התיאור של מצב שבו המידע הרגיש של נכי צה"ל מופקר לחלוטין.
גם הפעם לא התרגשו במשרד הביטחון, ואפילו הצעד התקדימי והחריג לא הביא את המשרד לנסות לעמוד בדרישות החוק. בסופו של דבר החליט רשם מאגרי המידע להתקפל - וב-24 בספטמבר 2006 הוסרה התליה על השימוש במאגר המידע.
הרשם ציין כי אין בהפסקת הסנקציות כל הודאה או הבעת הסכמה עם התנהלותו של משרד הביטחון בטיפולו בנושא זה.
"הגנה על הפרטיות היא חלק מההגנה החוקתית על כבודו של אדם", אומר עו"ד קובי זכאי, נכה צה"ל שפנה למשרד המשפטים בבקשה לבדוק את התנהלות משרד הביטחון. "מידע רפואי נחשב תמיד למקרה מובהק ביותר של מידע פרטי".
"זו לא בושה להיות נכה צה"ל, אך לכל אחד יש זכות לשמור את נכותו ואת המידע הרגיש הקשור למצבו הרפואי בפרטיות מוחלטת - ולא משנה מה מהות הפגיעה והשלכותיה".
בעקבות פנייתו של עו"ד זכאי התברר כי באוגוסט 2006 ערכה חברה פרטית מטעם משרד הביטחון וארגון נכי צה"ל סקר שביעות רצון הנוגע לאספקת תרופות.
באותה תקופה, שבה חיכה משרד המשפטים לתגובת משרד הביטחון, המשיך משרד הביטחון למסור מידע רפואי רגיש לחברות פרטיות. לאחר שנחשפו מקרים נוספים של מסירת מידע, החליט משרד המשפטים להתערב ופתח בבדיקה נוספת.
הבדיקה הסתיימה במרץ 2009 וחשפה כי הכשל חמור הרבה יותר מהפקרת המידע של נכי צה"ל. מהבדיקה עלה כי אגף השיקום העביר את הנתונים הנוגעים לכל נכי צה"ל לעיריית ירושלים, ללא קשר למקום מגוריהם וללא כל הנחיות הנוגעות לביטחון המידע.
כל מי ששייך למחלקת הגבייה בעיריית הבירה נחשף למידע הרגיש, היות שלא הוגדר כל גורם האחראי לאבטחת המידע במשרד הביטחון, לא הוגדרו נהלים לשמירה על חיסיון המידע, ולא היתה כל התייחסות לנושא הגנת הפרטיות במכרזים שפרסם המשרד.
"מעיון בחומר האמור", סיכם הרשם את ביקורתו, "עולה כי הכשל אינו מקומי (לא רק באגף השיקום)אלא מערכתי ונוגע למשרד הביטחון ככלל".
"הפגיעה של אגף השיקום בפרטיותם של נכי צה"ל מקוממת במיוחד", אומר זכאי לנוכח הממצאים, "זו פגיעה בכבודם של נכי צה"ל. לפגיעה הראשונית כשלעצמה מתווספת במקרה זה ההתנהלות המקוממת של אגף השיקום מול ממצאיו של משרד המשפטים והוראותיו לתיקון הליקויים".
"זו אינה התנהלות נסבלת של מוסד ממשלתי בכלל, ובפרט כזה שכל תכליתו לפי חוק היא לטפל ולדאוג לנכי צה"ל".
הביקורת של רשם מאגרי המידע מחזקת את החשש כי במשרד הביטחון, המתעקש להתנהל כממלכה סגורה שאינה חשופה לביקורת, מופקרת כמות לא ידועה של מידע - ככל הנראה לא רק של נכים אלא של אוכלוסיות נוספות, חלקן אולי בעלות רגישות ביטחונית.
ביולי 2009 פרסם משרד הביטחון מכרז פומבי למתן שירותי ליווי רפואי לכ-900 נכי צה"ל קשים.
במכרז, שהוקפא זמנית, אין כל אזכור להוראות חוק הגנת הפרטיות, ולבטח אין דרישה מהספק שייבחר לשמור על חיסיון הנתונים המועברים אליו.
ממשרד הביטחון נמסר בתגובה לכתבה: "המכרז על ליווי הנכים בוטל. כל המכרזים הקשורים למחשוב המשרד נמצאים תחת פיקוח אגף מל"ן. באגף קיימת ועדה בראשות ראש אגף מל"ן, מר משה זעירא, שבאחריותה לוודא שכללי אבטחת המידע נשמרים".
נא להמתין לטעינת התגובות
