הגנת פרטיות - על ציות ואי ציות לחוק במדינת ישראל

המאמר השני בסדרה יעסוק בנושא של ציות לחוק. במקרה זה, ציות לחוק הגנת הפרטיות.

במהלך כהונתי כמנהל אבטחת המידע של משרד הבריאות נשאלתי לא אחת ע"י מנהלי בתיה"ח הממשלתיים, מהן החובות שלו כמנהל מאגר המידע המרכזי של ביה"ח ובייחוד חובות שעל פניהן איננו יכול לעמוד בהן. דוגמה מובהקת הינו הסעיף הבא המגדיר את אחד מהמקרים המנויים בחוק לפגיעה בפרטיות, פרק א', סעיף 2, סעיף קטן 11:
פרסומו של ענין הנוגע לצנעת חייו האישיים של אדם, לרבות עברו המיני, או למצב בריאותו, או להתנהגותו ברשות היחיד.
ונצטמצם ל: "פרסומו של עניין הנוגע... למצב בריאותו של אדם".
בלשון פשוטה, פרסום דבר אשפוזו של אדם בבי"ח (שכן אדם בריא איננו מתאשפז, אלא רק מי שחולה) מהווה פגיעה בפרטיות. למותר לציין שבמדינתנו רוויית אירועי ריבוי נפגעים, לא ניתן היה בעבר (וספק אם גם כיום) לציית לדרישת סעיף זה בחוק, והוא איננו הסעיף היחיד הבעייתי.
ומה הייתה תשובתי למנהלי בתיה"ח? בלשון של היום היינו מכנים אותה: ניהול סיכונים כולל, אלא שאז ניסחתי זאת כך:
מדינת ישראל מינתה אותך לנהל בית חולים. בתפקיד זה עליך למלא אחר מגוון דרישות חוק, רגולציות, צווים, הנחיות מקצועיות ומינהליות. כולם נועדו להגדיר ולסייע לבית החולים למלא את ייעודו כמוסד רפואי במדינת ישראל המטפל בחולים. לא התמנית למלא אחר שורה אחת, פסקה אחת או חוק אחד. התמנית כדי שתעצב על פי נסיונך המקצועי והניהולי ובעזרת ההנהלה של המוסד את התקן שעל פיו יפעל המוסד שאתה מנהלו. עליך למצוא את האיזון הנכון המתאים לאוכלוסיה אותה אתה משרת, החולים הבאים בשעריך, בני משפחותיהם וגם מעגלים רחבים יותר, ולהנחיות הפורמליות המוטלות עליך. אין בסמכותי מטעם משרד הבריאות לומר לך לא לציית לדרישה בחוק. בסמכותך לקבוע את סדרי העדיפויות על מנת לבצע את תפקידך ולעמוד על כך לביקורת הציבורית כפי הקבועה בחוק. ובכל תנאי, עליך לפרסם את ההנחיות שעל עובדי המוסד לעבוד על פיהן, לוודא הדרכתם בעת קבלתם לעבודה ובאופן תקופתי, ועיקר העיקרים, ולגבות אותם במידה ופעלו בהתאם להנחיותיך. זוהי תמציתה של מנהיגות ניהולית.
כך נהגתי אני עצמי בתהליכי קבלת ההחלטות בתחום אחריותי במשרד הבריאות. ניהול פירושו ללמוד את התחום, לקבל החלטות ולעמוד לביקורת הרלוונטית על אותן ההחלטות.
דוגמה א': החלטתי בזמנו כי מאחר ואין הפרדה חוקית בחוק ובתקנות להגנת הפרטיות בנושא סוגי מידע רפואי לחלקיו השונים, אזי נהלי אבטחת המידע להגנת המידע הרפואי במסגרת מערכת הבריאות הממשלתית יהיו אחידים ולא יבדילו בין סוגי מידע רפואי. חושבת החברה הישראלית כי מידע בתחום בריאות הנפש רגיש יותר, תתכבד החברה הישראלית באמצעות נציגיה בכנסת לשנות את החקיקה בעניין זה.
דוגמה ב': על הפרק מימוש דרישות אבטחת מידע בבתי החולים הממשלתיים הכלליים. השנה 1997. באותה השנה יוצא לדרך פרוייקט נמ"ר. פרוייקט שמשמעותו החלפת כל מערך המיחשוב בבתי חולים אלה בתוך מספר שנים. החלטתי לא "לטרטר" את בתי החולים בשיפור המצב הקיים ולהשקיע את כל המאמצים בשילוב דרישות אבטחת המידע בפרוייקט הנמ"ר.

שתי ההחלטות נבעו מהליך של ניתוח המצב הקיים על בסיס "ניהול סיכונים כולל", הצגת ההמלצה בפני דרגי הניהול במשרד הבריאות ובפני גורמי הביקורת הרלוונטיים כדוגמת מבקרת המדינה ושכנועם. בכך הוכח כי ישנה דרך אמיתית להתנהל בטווח קצר, בינוני וארוך במערכת הממשלתית כאשר לך כמנהל אבטחת המידע יש את הידע, היכולת והכושר הניהולי להתמודד, כמו גם גיבוי ניהולי בתוך המשרד עצמו.

ניהול כולל של סיכונים

1. קצת על אוסטרליה

אוסטרליה חוותה בשבועות האחרונים אסון טבע בקנה מידה שקשה לתאר אותו, שטחים בגודל של צרפת וגרמניה ביחד הוצפו, ביניהן העיר השלישית בגודלה באוסטרליה, בריסביין.
יחד עם זאת, מספר הנפגעים בנפש יחסית קטן. עשרות בודדות. נכון, הרוב התרחש באיזורים לא מיושבים. גם אם ניקח את זה בחשבון, עדיין זה איננו מובן מאליו יחסית לכמות הבתים שנפגעו: עשרות אלפי בתים. כיצד זה קורה? האם זה נס?
זה לא נס. זוהי מקצוענות ולה שם אחד: ניהול כולל של סיכונים.
באתר של הגורם האחראי באוסטרליה להגנה על תשתיות לאומיות מופיע המשפט הבא:

It is vital that owners and operators of critical infrastructure, both the private sector and government organisations, are able to plan for, withstand and respond to a broad range of threats and hazards, including pandemics, negligence, accidents, criminal activity, cyber attack, and natural disasters that have the potential to disrupt their operations.

לא נעשית אבחנה בין לדוגמה: רשלנות (negligence), מתקפת מחשבים (Cyber attack), או אסון טבע (natural disaster), לכולם יש לספק מענה.

לדעתי, הסיבה שלא נעשית האבחנה ברמה האסטרטגית נובעת מהבנה בסיסית של ניהול סיכונים, כיוון שלשלל האיומים המתוארים ישנו פוטנציאל ליצור תוצאה סופית זהה. זאת למרות שהסיכויים שזו תתרחש כתוצאה מרשלנות, ככל הנראה שונה מאשר שתתרחש כתוצאה מאסון טבע, והסיכוי שיתרחש אסון טבע בהיקף שהתרחש בשבועות האחרונים הוא מזערי לעומת הסיכוי של תאונות, או מתקפת מיחשוב זדונית. ועדיין, ללא קשר לסיבה, התוצאה עלולה להיות אסון בממדים עצומים ועל כן המערך כולו מטפל גם בסיבות (כל אחת דורשת התייחסות מקצועית נפרדת) וגם בתוצאות (אלו דווקא עלולות להיות זהות וללא קשר לסיבות שגרמו להן).

2. קצת על אירוע ההאפלה הגדול בהיסטוריה של ארה"ב, אוגוסט 2003
במהלך חודש אוגוסט 2003, אירעה תקלת החשמל החמורה בתולדות ארה"ב. 50 מליון אזרחי החוף המזרחי (חלקם בקנדה) זכו לכבוד המפוקפק של עלטת חשמל. זו נמשכה עבור אחדים מהם כשבוע.
הדוח המפורט של וועדת חקירה רשמית משותפת לארה"ב ולקנדה קבעה רשימה של סיבות לכשל המחריד. החל מאי ציות לנהלי גיזום עצים גבוהים שפגעו בחוטי הולכת החשמל, דרך חוסר מקצועיות של מפעילים בטיפול במשבר במערך הולכת החשמל ועד כשל בתוכנת ניהול המערכת, כשל מקצועי הידוע כ: race condition.
חלק מהכשלים היו כשלים חוזרים שכבר הופיעו באירועי עלטה קודמים, צויינות בדוחות ביקורת פומביים ולא טופלו כיאות על מנת שלא יחזרו על עצמם. (הלו, זה ארה"ב, נשמע יותר כמו ישראל?).
כלומר, אירוע חמור ביותר נגרם מרצף שניתן לתאר אותו במילה אחת: רשלנות. לא יותר, לא פחות. לרשלנות זו חברו גורמים שונים במקומות שונים במערכת הולכת החשמל בחוף המזרחי באותה העת, אך אם יש לנקוב בסיבה אחת, המילה רשלנות הינה התאור הנאמן ביותר.

3. קצת על ישראל
המדינה חוותה מספר אירועים שבהחלט נכנסים לקטגוריה של אירועים "אסוניים" בקנה מידה לאומי. שניים בתחום הטלקום: פגיעה ממשית בשירותי חברת סלקום בתחילת חודש דצמבר 2010, ודבר דומה בחברת בזק לפני ימים מספר והאירוע השלישי אירוע השריפה בכרמל שהתרחש מיד לאחר שהתרחשה התקלה בחברת סלקום.
כל שלושת האירועים נמצאים בתהליך בדיקה וחקירה ואיננו יודעים בדיוק מה הסיבה לכל אחד מהם. על כן במסגרת זו מותר להניח שהתרחשו מאחת הסיבות המנויות במסמך האוסטרלי.
אם ללמוד מהנסיון האוסטרלי, ניתן לומר שיש לספק מענה לאיומים, דהיינו, לסיבות הספציפיות הדורשות מיומנויות מוגדרות ויחד עם זאת לקחת בחשבון שגם תקלה כתוצאה מטעות אנוש (מענה באמצעות מכלול כלים ושיטותלצמצום טעויות אנוש), חוסר מקצועיות (מענה אפשרי הינו הדרכה מסיבית בבצוע פעילות הדורשת ידע מקצועי), רשלנות (מענה עשוי להיות נהלים ברורים, אכיפתם וענישה על חריגות), או תאונה פשוטה עלולה להביא לאסון ממשי ולא רק מתקפת טילים של חיבאללה או אירועי טרור אחרים.