מה הם הדרישות של תיקון 13 למרפאות פרטיות?

תיקון 13 מחייב הצפנת מלאה של רשומות רפואיות, בקרת גישה הגבלה לכל רופא, אימות דו-שלבי, חוזה עיבוד מידע עם הספקים, נוהל התגובה לאירוע אבטחה, וגיבוי יומי מוצפן.

מה קורה אם מרפאה יעברה מתקפת כופרה (ransomware)?

כופרה על מרפאה היא חמורה במיוחד: היא מצפינה את הקבצים וכן עוצרת את הקליניקה כולה. ללא גישה לרשומות רפואיות לא ניתן לתת טיפול. בנוסף יש איום של חשיפת נתוני חולים.

האם מותר לשמור רשומות מטופלים בגוגל דרייב או דרופבוקס אישי?

לא. שיתוף רשומות רפואיות בשירותי ענן אישיים הוא הפרה ברורה של תיקון 13. מרפאות חייבות להשתמש בחוזה עיבוד מידע עם ספק מערכת רשומות רפואיות מאובטח.

🏥 תיקון 13 — ענף הרפואה

מרפאות פרטיות ותיקון 13: המידע הרפואי הוא הנכס הכי רגיש שלכם

רשומות חולים, אבחנות, תרופות, תוצאות בדיקות — כולם "מידע רגיש במיוחד" לפי החוק. דליפה אחת עלולה לעלות לכם בקנס כבד, ובעיקר — בפגיעה בלתי הפיכה באמון המטופלים.

📅 מרץ 2026 ⏱ ~7 דקות ✍️ VARNOXX

מדוע מרפאות פרטיות בסיכון מיוחד

תיקון 13 לחוק הגנת הפרטיות 1981 מסווג מידע רפואי כ"רגיש במיוחד" — הרמה העליונה של הגנה. זה לא סתם "מידע רגיש". זה משום שדליפה של נתונים רפואיים גורמת נזק בלתי הפיך לפרטיות וליחסי רופא-חולה.

רמת אבטחה נדרשת

בינונית עד גבוהה — בהתאם לגודל הקליניקה וסוג הנתונים שלה

סוג המידע

רגיש במיוחד — הרמה הגבוהה ביותר להגנה על פי החוק

חוקים חלים

חוק הגנת הפרטיות + חוק זכויות החולה + הנחיות משרד הבריאות

מה נחשב למידע רפואי "רגיש במיוחד"?

אבחנות — המחלה או התנאי הרפואי של החולה
תרופות מרשם — תרופות שנרשמו בייעוץ רפואי
תוצאות בדיקות מעבדה — בדיקות דם, בדיקות גנטיות, בדיקות כימיות
צילומים רפואיים — צילומי רנטגן, טומוגרפיה, בדיקות אולטרסאונד
רשומות בריאות נפשית — היסטוריית טיפול פסיכיאטרי או פסיכולוגי
מידע גנטי — כל סוג של בדיקה גנטית או נטיות תורשתיות

האיום הספציפי למרפאות

מרפאות פרטיות הן יעד מוביל להתקפות כופרה (ransomware) כי הן משלמות פדיון. למה? כי:

מתקפת כופרה על מרפאה לא רק מצפינה קבצים — היא עוצרת את הקליניקה כולה.

ללא גישה למערכת הרשומות הרפואיות (EMR — Electronic Medical Records), הקליניקה מושבתת לחלוטין: לא ניתן לאחזר אבחנות, לרשום תרופות, או לתאם טיפולים. עבור חולים התלויים בתרופות מרשם — ההשבתה עלולה להוות סכנה רפואית ממשית. בשנת 2024 הושבתו מספר מרפאות בישראל לימים שלמים בעקבות מתקפות סייבר.

הסיכון כפול:

כופרה (Ransomware) — הצפנת קבצים ודרישת פדיון
סחיטה כפולה (Double extortion) — איום להוציא לאור את רשומות החולים אם לא תשלמו
מערכת רשומות (EMR) כיעד ראשוני — מערכת הרשומות היא ה"לב" של הקליניקה

מה נדרש מכם — לפי סוג הקליניקה

רוב הקליניקות הפרטיות בישראל נופלות לקטגוריית "בינונית" בדרישות אבטחה. קליניקות גדולות יותר (עם 1,000 רשומות חולים ומעלה) עשויות להידרש לרמה גבוהה.

הנה רשימת החובות המעשית לכל קליניקה:

הצפנת מלאה של רשומות המטופלים — הן בשרתים, הן בגיבוי, הן בהעברה
בקרת גישה מדורגת — כל רופא או מטפל רואה רק את המטופלים של אותו רופא
אימות דו-שלבי (2FA) — על כל גישה למערכת הרשומות הרפואיות
חוזה עיבוד מידע (DPA) — עם ספק מערכת הרשומות הרפואיות ואתרי ענן
נוהל לאירוע אבטחה — כולל הודעה למטופלים בתוך 72 שעות אם מידע נחשף
גיבוי יומי מוצפן ומנותק — כדי לוודא שאתם יכולים להתאושש גם בעת מתקפה

הסיכון שרוב הקליניקות לא חושבות עליו

בחוק הפרטיות מדברים על "שרת מאובטח" ו"הצפנה". אבל בפועל, קליניקות משתמשות ב:

מחשב משותף לפקידת הקבלה ולרופא — שניהם מחוברים אותו חשבון Windows. זה הפרה ברורה של "בקרת גישה מדורגת".
קבוצות WhatsApp עם שמות חולים ואבחנות — הרופאים שולחים עדכונים על חולים. WhatsApp לא עוצר בקבוצה, ורשומות שם לא מוצפנות כראוי.
שימוש ב-Google Drive אישי או ב-Dropbox לקבצי חולים — "קל בשימוש ויש לי גישה מכל מקום." זו הפרה חמורה של תיקון 13.
מחשבים עם מערכת הפעלה ישנה — כגון Windows 7 או גרסאות מיושנות של Windows 10, שאינן מקבלות עוד עדכוני אבטחה. פגיעות גבוהה לתקיפות כופרה.

רשומות רפואיות שאינן מסווגות כראוי, משותפות, או מאוחסנות בענן אישי הן בהגדרה חסרות הגנה.

אם תתרחש ביקורת או תקרית אבטחה, המפקח על הגנת הפרטיות יראה את זה כהפרה של החוק.

שאלות נפוצות

איך מתחילים עם הסכמי עיבוד מידע (DPA) מול ספק מערכת הרשומות? ﹢

VARNOXX ממפה את כל הספקים שנדרש עמם DPA — כמו ספק מערכת הרשומות (אופק, מדיק וכד׳) וכלים נוספים שנזהה ביחד — מספקת תבנית סטנדרטית מוכנה לשימוש, ומלווה אתכם בתהליך. הניסוח הסופי והחתימה הם שלכם מול הספקים — אנחנו כאן כדי להפוך את זה לפשוט ומהיר.

האם שיתוף מידע רפואי בקבוצת WhatsApp בין צוות הרפואה מותר? ﹢

לא. שיתוף פרטי מטופלים, אבחנות, או תוצאות בדיקות דרך WhatsApp מהווה הפרה של תיקון 13 וחוק זכויות החולה. יש להשתמש בערוץ מאובטח ומוצפן שמיועד לתקשורת רפואית בלבד.

מה קורה אם נפרצנו ויש חשש לדליפת רשומות מטופלים? ﹢

חובה לדווח לרשות להגנת הפרטיות תוך 72 שעות, וכן ליידע את המטופלים שנפגעו. נטל ההוכחה עובר לקליניקה — עליכם להראות שנקטתם בכל האמצעים הסבירים מראש. ללא תיעוד ולוגים, הקנס יהיה כמעט בלתי נמנע.

בדקו את רמת ההגנה של הקליניקה שלכם

VARNOXX עובדת עם מרפאות פרטיות וקליניקות באזור השפלה. בדיקת חשיפה ראשונית שלנו כוללת בדיקה עמוקה של אבטחת מערכת הרשומות הרפואיות וסקר שלם של עמידות בתקנות.

✓ בדיקת אבטחת מערכת הרשומות

✓ בדיקת נקודות גישה

✓ דו"ח עמידה בתקנות

✓ המלצות מעשיות ליישום

₪ 1,900 ₪ 1,500 בלבד

לקביעת בדיקת חשיפה ←

או התקשרו: 058-634-0063

ראו גם — מדריכים לענפים אחרים:

⚖️ תיקון 13 למשרדי עורכי דין ← 📊 תיקון 13 למשרדי רואי חשבון ← 🖥️ שירותי מחשוב מנוהלים לעסקים ← 💾 גיבוי ושחזור מידע לעסקים ←

← חזרה למדריך תיקון 13

🏥 Amendment 13 — Healthcare Sector

Private Medical Clinics and Amendment 13: Medical Data Is Your Most Sensitive Asset

Patient records, diagnoses, prescriptions, test results — all are classified as "especially sensitive" under Israeli law. A single breach can cost you significant fines and irreversible damage to patient trust.

📅 March 2026 ⏱ ~7 minutes ✍️ VARNOXX

Why Private Medical Clinics Face Special Risk

Amendment 13 to Israel's Privacy Protection Law (1981) classifies medical information as "especially sensitive" — the highest tier of protection. This is not just "sensitive data." It exists because medical data breaches cause irreversible harm to privacy and doctor-patient relationships.

Required Security Level

Intermediate to High — depending on clinic size and data types

Data Classification

Especially Sensitive (highest tier) — not ordinary sensitive data

Applicable Laws

Privacy Law + Patient Rights Law + Ministry of Health directives

What counts as "especially sensitive" medical information?

Diagnoses — the patient's medical condition or illness
Prescription medications — medications prescribed under medical supervision
Laboratory test results — blood tests, genetic tests, chemical panels
Medical imaging — X-rays, CT scans, ultrasounds
Mental health records — psychiatric or psychological treatment history
Genetic information — any genetic test or hereditary risk data

The Specific Threat to Medical Clinics

Private clinics are prime targets for ransomware attacks because they typically pay the ransom. Why? Because:

Ransomware on a clinic does not just encrypt files — it shuts down the entire clinic.

Without access to Electronic Medical Records (EMR), treatment cannot be provided. For patients on prescription medications, loss of access can be life-critical. In 2024, several Israeli clinics were offline for days following cyber attacks, causing treatment disruptions and patient safety risks.

The dual threat:

Ransomware — file encryption + ransom demand
Double extortion — threat to publish patient records if you don't pay
EMR as primary target — the records system is the clinic's lifeline

What Is Required — By Clinic Type

Most private Israeli clinics fall into the "Intermediate" security tier. Larger clinics (1,000+ patient records) may require the High tier.

Here is the practical checklist for all medical clinics:

Full encryption of patient records — on servers, in backups, in transit
Tiered access controls — each doctor or staff member sees only their own patients
Two-factor authentication (2FA) — on all access to the EMR system
Data Processing Agreement (DPA) — with your EMR vendor and any cloud providers
Incident response procedure — including notification to affected patients within 72 hours if data is exposed
Daily encrypted, offline backups — ensuring you can recover even during an active attack

The Risk No One Thinks About

The Privacy Law speaks of "secure servers" and "encryption." But in reality, clinics often use:

Shared computers for receptionist and doctor — both logged into the same Windows account. This is a clear violation of "tiered access control."
WhatsApp groups with patient names and diagnoses — doctors send updates about patients. WhatsApp does not isolate messages securely, and chat histories are not encrypted properly.
Personal Google Drive or Dropbox for patient files — "It's easy to use and I can access it from anywhere." This is a serious violation of Amendment 13.
Legacy systems (Windows 7, old Windows 10) — no security updates available. Easy targets for ransomware and malware attacks.

Patient records that are unmarked, shared, or stored on personal cloud services are by definition unprotected.

If there is an audit or security incident, the Data Protection Authority will view this as a clear violation of law.

Assess Your Clinic's Security Level

VARNOXX works with private clinics and healthcare practices in the Shfela region. Our initial security assessment includes a comprehensive review of EMR security and a full regulatory compliance audit with practical recommendations.

✓ EMR Security Assessment

✓ Access Point Audit

✓ Compliance Report

✓ Actionable Recommendations

₪ 1,900 ₪ 1,500 Only

Schedule Your Assessment →

Or call us: 058-634-0063

See also — guides for other industries:

⚖️ Amendment 13 for Law Firms → 📊 Amendment 13 for Accounting Firms → 🖥️ Managed IT Services for Business → 💾 Business Data Backup & Recovery →

← Back to Amendment 13 Guide