שירות לקוחות AI בבריאות: פרטיות, חוקיות ואיך עושים נכון
עודכן לאחרונה: מרץ 2026
**מאת: איתמר מלול, מייסד ומנכ"ל AI BUDDY**
# שירות לקוחות AI בבריאות: פרטיות, חוקיות ואיך עושים נכון
## למה הנושא הזה קריטי
קליניקות רבות שמאמצות AI עושות זאת בחיפזון, בלי לשים לב לדרישות החוקיות. ואז מגיעה בדיקה של הרשות להגנת הפרטיות, או תלונה של מטופל, וקליניקה שחשבה שחסכה כסף מגלה שהפסידה הרבה יותר.
הפוסט הזה הוא מדריך פרקטי לעשות את זה נכון מהפעם הראשונה: מה מותר, מה אסור, מה החוק אומר, ואיך בונים מערכת AI לשירות לקוחות רפואי שעומדת בכל הדרישות.
---
## החוק הישראלי: מה שצריך לדעת
### חוק הגנת הפרטיות תשמ"א-1981
זהו החוק הבסיסי שחל על כל מאגר מידע בישראל, כולל מערכות AI רפואיות.
**מה הוא מחייב:**
1. **רישום מאגר מידע:** כל מאגר המכיל מידע רגיש (כולל רפואי) מחייב רישום ברשות להגנת הפרטיות. קנס על אי-רישום: עד 17,500 ₪
2. **הסכמה מפורשת:** לפני איסוף מידע, המטופל צריך לדעת מה נאסף, לאיזה מטרה, ולמי יועבר
3. **מינימום מידע:** אוסף רק מה שנחוץ למטרה המוצהרת
4. **זכות עיון ומחיקה:** מטופל רשאי לבקש לראות את המידע ולמחוק אותו
5. **אבטחה מתאימה:** רמת אבטחה שמתאימה לרגישות המידע
### תקנות הגנת הפרטיות (אבטחת מידע) תשע"ז-2017
אלה תקנות ספציפיות יותר שמגדירות מינימום טכני:
| רמת אבטחה | למי? | דרישות עיקריות |
|-----------|------|----------------|
| בסיסית | מאגרים עם מידע לא רגיש | גיבוי, סיסמאות |
| בינונית | מאגרים עם מידע אישי | הצפנה, יומן גישה |
| גבוהה | מאגרים עם מידע רגיש (רפואי) | הצפנה חזקה, בקרת גישה, סקר סיכונים שנתי |
**קליניקות רפואיות שמנהלות מידע דיגיטלי חייבות ברמת אבטחה גבוהה.**
### חוק זכויות החולה תשנ"ו-1996
מוסיף שכבה נוספת:
- מידע רפואי שייך למטופל
- העברת מידע לצד שלישי דורשת הסכמת מטופל
- מטופל רשאי לבקש עותק של תיקו הרפואי
### כל ממשק דיגיטלי נחשב כ"ערוץ תקשורת"
ווטסאפ ביזנס, אימייל, אתר אינטרנט, כל אחד מהם הוא ערוץ תקשורת שצריך לעמוד בדרישות. לא מספיק "לשים מדיניות פרטיות באתר". צריך שהמטופל יסכים לה בפועל.
---
## מה AI יכול ומה הוא לא יכול לעשות: מפת שטח
### מה מותר לחלוטין
| פעולה | מותר? | הערה |
|-------|-------|------|
| קביעת תורים | כן | עם הסכמת מטופל |
| שליחת תזכורות | כן | מטופל מסכים לקבל |
| ניהול ביטולים | כן | |
| FAQ: שעות, מחיר, כתובת | כן | מידע ציבורי |
| שאלות כלליות על הקליניקה | כן | |
| שליחת חשבוניות | כן | עם הסכמה |
| בקשת ביקורות גוגל | כן | בזהירות |
### מה מצריך הסכמה מפורשת נוספת
| פעולה | מצריך הסכמה? |
|-------|-------------|
| שמירת היסטוריית שיחות | כן |
| שליחת מידע על תרופות | כן |
| שיתוף מידע עם גורם שלישי | כן |
| מעקב אחרי מדדים בריאותיים | כן |
| שליחת חומרים רפואיים | כן |
### מה אסור לחלוטין
| פעולה | מותר? | מדוע |
|-------|-------|------|
| AI שנותן אבחנה | אסור לחלוטין | שימוש לא מוסמך |
| AI שמייעץ על תרופות | אסור לחלוטין | שימוש לא מוסמך |
| שמירת מידע רפואי בשרת לא מאובטח | אסור | חוק הגנת פרטיות |
| העברת מידע לצד ג' ללא הסכמה | אסור | חוק |
| שימוש בנתוני מטופלים לשיווק | אסור | חוק |
| AI שמחליט לבד על דחיפות רפואית | אסור | סיכון חיים |
---
## בניית מסגרת תאימות: צעד אחרי צעד
### שלב 1: מיפוי מאגרי מידע
לפני כל הטמעת AI, ענו על שאלות אלה:
- אילו נתוני מטופלים יש לנו?
- היכן הם שמורים?
- מי יש לו גישה?
- האם הם מוצפנים?
- כמה זמן אנחנו שומרים אותם?
### שלב 2: רישום מאגר
אם אין כבר רישום ברשות להגנת הפרטיות, יש לרשום את המאגר. הרישום מתבצע דרך פורטל הרשות ועלות הרישום: אפס (בחינם).
### שלב 3: עדכון מדיניות פרטיות
מדיניות הפרטיות של הקליניקה צריכה לכסות:
- סוגי המידע שנאסף
- מטרות האיסוף
- מי יש לו גישה
- כיצד מבקשים מחיקה
- פרטי צור קשר לשאלות פרטיות
- מידע על כלים דיגיטליים שבהם משתמשים (כולל AI)
### שלב 4: טופס הסכמה למטופלים
כל מטופל חדש, ולמטופלים קיימים עם הסדרת ה-AI, חייב לחתום על:
**הסכמה לאיסוף ועיבוד מידע**
"אני מסכים/ה שקליניקת [שם] תשמור את פרטיי האישיים לצורך ניהול תורים, תשלומים, ותקשורת שוטפת. אני מבין/ה שפרטים רפואיים מפורטים לא ישמרו בשיחות ווטסאפ. ניתן לבקש מחיקת נתונים בכל עת בפנייה ל-[אימייל]."
**הסכמה לקבלת הודעות**
"אני מסכים/ה לקבל תזכורות תורים, עדכונים, וחשבוניות דרך WhatsApp/SMS."
### שלב 5: בחירת ספק תואם חוק
לא כל ספקי AI שווים מבחינת תאימות. שאלות לשאול לפני רכישה:
1. היכן שרתי הנתונים? (עדיף EU או ישראל)
2. האם יש הסכם עיבוד נתונים (DPA)?
3. מה מדיניות שמירת הנתונים?
4. האם יש הצפנה AES-256 לנתונים שמורים?
5. האם יש תאימות GDPR?
6. מה קורה עם הנתונים אם מפסיקים את השירות?
---
## מה שיכול להשתבש: שגיאות נפוצות
### שגיאה 1: שמירת מידע רפואי בווטסאפ
מטופל ששולח תוצאות בדיקה, אבחנה, או מידע רפואי בווטסאפ. אם הנתון נשמר בשרתי הבוט ללא הצפנה ראויה, זה הפרת פרטיות.
**הפתרון:** בוט שמוחק מידע רפואי שמגיע בשיחה תוך 24-48 שעות ומעביר אותו למערכת הסגורה.
### שגיאה 2: שימוש בנתוני מטופלים לשיווק
"שלום [שם], בהתאם לביקורכם אצלנו, אנחנו ממליצים על..." שימוש בנתוני טיפול לשיווק ישיר אסור ללא הסכמה מפורשת.
**הפתרון:** הפרדה ברורה בין נתוני תורים (לוגיסטיקה) לנתוני שיווק.
### שגיאה 3: AI שנותן ייעוץ רפואי
"כאב ראש? כנראה שהגיע הזמן להוריד קצת מלח מהתזונה." גם אם זה נשמע שפוי, זה ייעוץ רפואי שAI לא מורשה לתת.
**הפתרון:** הוראות ברורות לבוט: כל שאלה שנראית רפואית מועברת לרופא.
### שגיאה 4: שאינם מצפינים גיבויים
גיבויים של נתוני מטופלים שמאוחסנים ב-Google Drive ללא הצפנה הם הפרת חוק.
**הפתרון:** כל גיבוי מוצפן. כל גישה לגיבוי מתועדת.
### שגיאה 5: אי-מחיקת נתונים לפי בקשה
מטופל שמבקש למחוק את נתוניו, אין לדחות. זכות המחיקה מוגנת בחוק.
**הפתרון:** תהליך מוגדר ומתועד למחיקת נתונים שמושלם תוך 30 יום.
---
## רשימת תאימות לקליניקות ישראליות
### תאימות בסיסית (חובה)
- [ ] מאגר מידע רשום ברשות להגנת הפרטיות
- [ ] מדיניות פרטיות מעודכנת ונגישה
- [ ] טופס הסכמה לכל מטופל
- [ ] הסכם עיבוד נתונים עם ספק ה-AI
- [ ] הצפנה של נתוני מטופלים
- [ ] יומן גישה למידע רגיש
### תאימות מתקדמת (מומלץ)
- [ ] סקר סיכוני אבטחה שנתי
- [ ] מינוי ממונה על הגנת פרטיות
- [ ] נוהל תגובה לאירוע אבטחה
- [ ] בדיקות חדירה שנתיות
- [ ] הדרכת צוות על פרטיות
- [ ] מדיניות BYOD (מכשירים אישיים)
### תאימות לשירות AI ספציפי
- [ ] AI לא שומר מידע רפואי מפורט
- [ ] AI מפנה שאלות רפואיות לרופא
- [ ] AI כולל פרוטוקול למצבי חירום
- [ ] AI מציג עצמו ככלי, לא כרופא
- [ ] AI שולח מידע רק למי שהסכים
- [ ] ניתן לבטל הסכמה בכל עת
---
## עלויות תאימות: כמה זה עולה
### הוצאה חד-פעמית
| פריט | עלות משוערת |
|------|-------------|
| ייעוץ משפטי ועריכת מסמכים | 3,000-8,000 ₪ |
| הקמת תשתית מאובטחת | 2,000-5,000 ₪ |
| הדרכת צוות | 500-2,000 ₪ |
| **סה"כ** | **5,500-15,000 ₪** |
### הוצאה שוטפת
| פריט | עלות שנתית |
|------|-----------|
| סקר אבטחה שנתי | 2,000-5,000 ₪ |
| ביקורת קצר | 1,000-3,000 ₪ |
| עדכוני מדיניות | 500-1,500 ₪ |
| **סה"כ** | **3,500-9,500 ₪** |
### עלות אי-תאימות
| עבירה | קנס אפשרי |
|-------|----------|
| אי-רישום מאגר | עד 17,500 ₪ |
| פרצת אבטחה | עד 220,000 ₪ |
| שימוש לא מורשה במידע | עד 73,600 ₪ |
| פגיעה חמורה בפרטיות | אחריות פלילית |
---
## שאלות נפוצות
### האם ווטסאפ מותר לשימוש רפואי בישראל?
ווטסאפ אינו אסור. הוא לא "מאושר" רפואית, אלא פלטפורמה כללית. השאלה היא לא האם ווטסאפ מותר, אלא האם אתם מטפלים במידע הנשלח דרכו בצורה תואמת חוק.
### כמה מידע רשאי הבוט לשמור?
ברמה המינימלית: שם, טלפון, ותאריכי תורים. כל מידע נוסף דורש הסכמה ספציפית.
### האם הסכמה בווטסאפ תקפה משפטית?
כן, בתנאים מסוימים. המטופל צריך לקבל טקסט מלא של מה שהוא מסכים לו, ולבחור בפעולה אקטיבית (כלומר לכתוב "מסכים" או ללחוץ כפתור), לא הסכמה סמויה.
### האם צריך עורך דין לפני הטמעת AI?
מומלץ, לא חובה. עורך דין שמתמחה בפרטיות ובדיני בריאות יכול לחסוך הרבה כאב ראש בהמשך. עלות: 1,500-5,000 ₪ לפגישת ייעוץ וסקירת מסמכים.
### מה ה-GDPR ומתי הוא חל?
GDPR הוא תקנת הפרטיות האירופאית. חלה כאשר: הספק שלכם מאחסן נתונים ב-EU, או כאשר אתם מטפלים בנתונים של מטופלים אזרחי EU. לרוב קליניקות ישראליות זה רלוונטי אם בוחרים בשרתים אירופאיים.
### מה ההבדל בין הצפנה "בתנועה" לבין "במנוחה"?
הצפנה בתנועה (TLS) מגנה על הנתונים כשהם עוברים בין מכשיר למכשיר. הצפנה במנוחה (AES) מגנה על הנתונים כשהם שמורים בשרת. שתיהן נחוצות.
### מה קורה עם נתוני מטופל שנפטר?
שמירת נתוניהם כפופה לאותן ההגבלות. אין אוטומציה מיוחדת לזה; אדם מסביר את המצב, ומשפחה רשאית לבקש העברת מידע לפי הנחיות חוק זכויות החולה.
### האם AI יכול לשלוח תוצאות בדיקה דרך ווטסאפ?
לא מומלץ. תוצאות בדיקה הן מידע רפואי. ניתן לשלוח הודעה: "התוצאות שלכם מוכנות, ניתן לצפות בהן דרך מערכת המידע המאובטחת שלנו", עם לינק למערכת מוצפנת.
### מה קורה אם ספק ה-AI שלנו נפרץ?
אם ספק ה-AI נפרץ, ויש לו נתוני מטופלים שלכם, אתם אחראים להודיע לרשות הפרטיות ולמטופלים המושפעים תוך 72 שעות מרגע ההתגלות. לכן חשוב לבחור ספק עם ביטוח סייבר.
### האם יש חובת ביטוח סייבר לקליניקות?
אין חובה חוקית, אבל מומלץ מאוד. ביטוח סייבר מכסה עלויות תגובה לפרצה, קנסות, ותביעות. עלות לקליניקה קטנה: 1,500-4,000 ₪ לשנה.
### כמה תדיר לסקור ולעדכן מדיניות פרטיות?
לפחות פעם בשנה, ובכל פעם שמשנים כלים, ספקים, או תהליכים שמשפיעים על אופן עיבוד נתונים.
### האם קבוצת ווטסאפ של מטופלים (לדוגמה: קבוצת תמיכה) מותרת?
מורכב. קבוצה שבה מטופלים עם מחלה משותפת חושפים מידע אישי, מחייבת הסכמה של כל החברים ונהלים ברורים. מומלץ לקבל ייעוץ משפטי לפני.
### מה לגבי שיחות קוליות אוטומטיות?
שיחות קוליות אוטומטיות (IVR) חייבות גם הן בהסכמה. מטופל שלא ביקש לקבל שיחות אוטומטיות ומקבל אחת יכול להגיש תלונה.
---
## סיכום
תאימות לחוק בתחום הבריאות אינה מכשול, היא הבסיס לאמון. מטופלים שיודעים שהמידע שלהם מוגן, ושהקליניקה פועלת בשקיפות, הם מטופלים נאמנים יותר. AI שמיושם נכון, עם תאימות מלאה, הוא נכס. AI שמיושם בצורה לא מחושבת הוא חבות.
ההשקעה בתאימות היא חד-פעמית. האמון שהיא בונה הוא לטווח ארוך.
---
## רוצים סוכן AI לקליניקה שלכם?
AI Buddy בנתה סוכני AI לקליניקות ורופאים בישראל. תורים, תזכורות, ושירות לקוחות, הכל אוטומטי.
[השאירו פרטים כאן](https://aibuddy.co.il/contact?utm_source=blog&utm_medium=article&utm_campaign=medical)
או התקשרו: **054-2539582**