המאמר השני בסדרה יעסוק בנושא של ציות לחוק. במקרה זה, ציות לחוק הגנת הפרטיות.
במהלך כהונתי כמנהל אבטחת המידע של משרד הבריאות נשאלתי לא אחת ע"י מנהלי בתיה"ח הממשלתיים, מהן החובות שלו כמנהל מאגר המידע המרכזי של ביה"ח ובייחוד חובות שעל פניהן איננו יכול לעמוד בהן. דוגמה מובהקת הינו הסעיף הבא המגדיר את אחד מהמקרים המנויים בחוק לפגיעה בפרטיות, פרק א', סעיף 2, סעיף קטן 11:
פרסומו של ענין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד.
ונצטמצם ל: "פרסומו של עניין הנוגע... למצב בריאותו של אדם".
בלשון פשוטה, פרסום דבר אשפוזו של אדם בבי"ח (שכן אדם בריא איננו מתאשפז, אלא רק מי שחולה) מהווה פגיעה בפרטיות. למותר לציין שבמדינתנו רוויית אירועי ריבוי נפגעים, לא ניתן היה בעבר (וספק אם גם כיום) לציית לדרישת סעיף זה בחוק, והוא איננו הסעיף היחיד הבעייתי.
ומה הייתה תשובתי למנהלי בתיה"ח? בלשון של היום היינו מכנים אותה: ניהול סיכונים כולל, אלא שאז ניסחתי זאת כך:
מדינת ישראל מינתה אותך לנהל בית חולים. בתפקיד זה עליך למלא אחר מגוון דרישות חוק, רגולציות, צווים, הנחיות מקצועיות ומינהליות. כולם נועדו להגדיר ולסייע לבית החולים למלא את ייעודו כמוסד רפואי במדינת ישראל המטפל בחולים. לא התמנית למלא אחר שורה אחת, פסקה אחת או חוק אחד. התמנית כדי שתעצב על פי נסיונך המקצועי והניהולי ובעזרת ההנהלה של המוסד את התקן שעל פיו יפעל המוסד שאתה מנהלו. עליך למצוא את האיזון הנכון המתאים לאוכלוסיה אותה אתה משרת, החולים הבאים בשעריך, בני משפחותיהם וגם מעגלים רחבים יותר, ולהנחיות הפורמליות המוטלות עליך. אין בסמכותי מטעם משרד הבריאות לומר לך לא לציית לדרישה בחוק. בסמכותך לקבוע את סדרי העדיפויות על מנת לבצע את תפקידך ולעמוד על כך לביקורת הציבורית כפי הקבועה בחוק. ובכל תנאי, עליך לפרסם את ההנחיות שעל עובדי המוסד לעבוד על פיהן, לוודא הדרכתם בעת קבלתם לעבודה ובאופן תקופתי, ועיקר העיקרים, ולגבות אותם במידה ופעלו בהתאם להנחיותיך. זוהי תמציתה של מנהיגות ניהולית.
כך נהגתי אני עצמי בתהליכי קבלת ההחלטות בתחום אחריותי במשרד הבריאות. ניהול פירושו ללמוד את התחום, לקבל החלטות ולעמוד לביקורת הרלוונטית על אותן ההחלטות.
דוגמה א': החלטתי בזמנו כי מאחר ואין הפרדה חוקית בחוק ובתקנות להגנת הפרטיות בנושא סוגי מידע רפואי לחלקיו השונים, אזי נהלי אבטחת המידע להגנת המידע הרפואי במסגרת מערכת הבריאות הממשלתית יהיו אחידים ולא יבדילו בין סוגי מידע רפואי. חושבת החברה הישראלית כי מידע בתחום בריאות הנפש רגיש יותר, תתכבד החברה הישראלית באמצעות נציגיה בכנסת לשנות את החקיקה בעניין זה.
דוגמה ב': על הפרק מימוש דרישות אבטחת מידע בבתי החולים הממשלתיים הכלליים. השנה 1997. באותה השנה יוצא לדרך פרוייקט נמ"ר. פרוייקט שמשמעותו החלפת כל מערך המיחשוב בבתי חולים אלה בתוך מספר שנים. החלטתי לא "לטרטר" את בתי החולים בשיפור המצב הקיים ולהשקיע את כל המאמצים בשילוב דרישות אבטחת המידע בפרוייקט הנמ"ר.
פרסומו של ענין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד.
ונצטמצם ל: "פרסומו של עניין הנוגע... למצב בריאותו של אדם".
בלשון פשוטה, פרסום דבר אשפוזו של אדם בבי"ח (שכן אדם בריא איננו מתאשפז, אלא רק מי שחולה) מהווה פגיעה בפרטיות. למותר לציין שבמדינתנו רוויית אירועי ריבוי נפגעים, לא ניתן היה בעבר (וספק אם גם כיום) לציית לדרישת סעיף זה בחוק, והוא איננו הסעיף היחיד הבעייתי.
ומה הייתה תשובתי למנהלי בתיה"ח? בלשון של היום היינו מכנים אותה: ניהול סיכונים כולל, אלא שאז ניסחתי זאת כך:
מדינת ישראל מינתה אותך לנהל בית חולים. בתפקיד זה עליך למלא אחר מגוון דרישות חוק, רגולציות, צווים, הנחיות מקצועיות ומינהליות. כולם נועדו להגדיר ולסייע לבית החולים למלא את ייעודו כמוסד רפואי במדינת ישראל המטפל בחולים. לא התמנית למלא אחר שורה אחת, פסקה אחת או חוק אחד. התמנית כדי שתעצב על פי נסיונך המקצועי והניהולי ובעזרת ההנהלה של המוסד את התקן שעל פיו יפעל המוסד שאתה מנהלו. עליך למצוא את האיזון הנכון המתאים לאוכלוסיה אותה אתה משרת, החולים הבאים בשעריך, בני משפחותיהם וגם מעגלים רחבים יותר, ולהנחיות הפורמליות המוטלות עליך. אין בסמכותי מטעם משרד הבריאות לומר לך לא לציית לדרישה בחוק. בסמכותך לקבוע את סדרי העדיפויות על מנת לבצע את תפקידך ולעמוד על כך לביקורת הציבורית כפי הקבועה בחוק. ובכל תנאי, עליך לפרסם את ההנחיות שעל עובדי המוסד לעבוד על פיהן, לוודא הדרכתם בעת קבלתם לעבודה ובאופן תקופתי, ועיקר העיקרים, ולגבות אותם במידה ופעלו בהתאם להנחיותיך. זוהי תמציתה של מנהיגות ניהולית.
כך נהגתי אני עצמי בתהליכי קבלת ההחלטות בתחום אחריותי במשרד הבריאות. ניהול פירושו ללמוד את התחום, לקבל החלטות ולעמוד לביקורת הרלוונטית על אותן ההחלטות.
דוגמה א': החלטתי בזמנו כי מאחר ואין הפרדה חוקית בחוק ובתקנות להגנת הפרטיות בנושא סוגי מידע רפואי לחלקיו השונים, אזי נהלי אבטחת המידע להגנת המידע הרפואי במסגרת מערכת הבריאות הממשלתית יהיו אחידים ולא יבדילו בין סוגי מידע רפואי. חושבת החברה הישראלית כי מידע בתחום בריאות הנפש רגיש יותר, תתכבד החברה הישראלית באמצעות נציגיה בכנסת לשנות את החקיקה בעניין זה.
דוגמה ב': על הפרק מימוש דרישות אבטחת מידע בבתי החולים הממשלתיים הכלליים. השנה 1997. באותה השנה יוצא לדרך פרוייקט נמ"ר. פרוייקט שמשמעותו החלפת כל מערך המיחשוב בבתי חולים אלה בתוך מספר שנים. החלטתי לא "לטרטר" את בתי החולים בשיפור המצב הקיים ולהשקיע את כל המאמצים בשילוב דרישות אבטחת המידע בפרוייקט הנמ"ר.
שתי ההחלטות נבעו מהליך של ניתוח המצב הקיים על בסיס "ניהול סיכונים כולל", הצגת ההמלצה בפני דרגי הניהול במשרד הבריאות ובפני גורמי הביקורת הרלוונטיים כדוגמת מבקרת המדינה ושכנועם. בכך הוכח כי ישנה דרך אמיתית להתנהל בטווח קצר, בינוני וארוך במערכת הממשלתית כאשר לך כמנהל אבטחת המידע יש את הידע, היכולת והכושר הניהולי להתמודד, כמו גם גיבוי ניהולי בתוך המשרד עצמו.
אין תגובות:
הוסף רשומת תגובה