הבלוג · רגולציה 28 במאי 2026 · 7 דקות קריאה

תיקון 13 לחוק הגנת הפרטיות — המדריך המעשי לבעלי קליניקה בישראל

באוגוסט 2025 נכנס לתוקף תיקון 13 לחוק הגנת הפרטיות הישראלי. השינוי הגדול: פחות בירוקרטיה של רישום מאגרים, יותר אחריות אישית-מקצועית של בעל הקליניקה. הנה חמישה תחומי הקפדה מעשיים — וצ׳קליסט שאפשר להריץ מול הקליניקה שלכם בשעה.

מה השתנה ב-14 באוגוסט 2025?

חוק הגנת הפרטיות הישראלי קיים מ-1981. הוא עבר עדכונים רבים לאורך השנים. תיקון 13, שנכנס לתוקף ב-14 באוגוסט 2025, הוא העדכון הגדול ביותר זה עשורים — ומשנה את האופן שבו מטפלים בעלי קליניקה נדרשים לנהל את המידע על המטופלים שלהם.

השינוי המרכזי, במשפט אחד: פחות בירוקרטיה, יותר אחריות אישית-מקצועית.

עד לתיקון 13, רוב בעלי הקליניקות היו נדרשים לרשום את מאגר המידע שלהם מול הרשות להגנת הפרטיות — תהליך בירוקרטי שלא תמיד יצר ערך בפועל לאבטחת המידע. אחרי התיקון, חובת הרישום הזו בוטלה עבור רוב המאגרים הקטנים. אבל זה לא אומר שאפשר להירגע — להפך. החובות עברו מ"ברישום פורמלי" ל"בקיום מעשי". בעל הקליניקה הוא עכשיו אישית אחראי על אבטחת המידע, השקיפות, וניהול הרשומות, בלי תלות אם הקליניקה רשומה או לא.

חמישה תחומי הקפדה מעשיים

תיקון 13 בא לידי ביטוי בקליניקה דרך חמישה תחומי הקפדה. הם אינם מסובכים — אבל הם כן דורשים פעולה מצידכם.

1. ניהול רשומות המטופלים ברמת אבטחה בינונית

מידע רפואי נחשב למידע רגיש במיוחד תחת החוק. הוא נדרש לרמת אבטחה בינונית — לא הגבוהה ביותר, אבל בהחלט יותר ממידע יום-יומי. בפועל:

  • תיקי נייר — בכספת או בארון נעול. גם כשאתם לא בקליניקה. גם בלילה. גם בסוף שבוע.
  • תיקים דיגיטליים על מחשב אישי — הצפנת הדיסק חובה (FileVault במק, BitLocker בחלונות). סיסמה חזקה. אימות דו-שלבי.
  • תוכנת ניהול קליניקה — אם אתם משתמשים בכלי ייעודי, ודאו שהוא משתמש בהצפנה במנוחה ובתעבורה (TLS), עם בקרות גישה לפי תפקיד.
  • גיבויים — מוצפנים. לא בטלפון. לא בכונן USB חשוף.

אם הקליניקה שלכם משלבת בין נייר ודיגיטלי, החלק החלש קובע את רמת האבטחה הכוללת. שווה לעבור על שני הצדדים.

2. הודעת שקיפות ללקוח

המטופל צריך לדעת — מראש, לא בדיעבד — מה קורה עם המידע שלו. ספציפית:

  • איזה מידע אתם שומרים עליו (תיק קליני, פרטי התקשרות, היסטוריית פגישות).
  • היכן המידע נשמר (מחשב פרטי? תוכנת ניהול? שירותי ענן?).
  • למה — לאיזו מטרה.
  • מי עוד עשוי לראות את המידע (ספקי תוכנה, רואה חשבון, מבטחים).
  • מה הזכויות של המטופל — לעיין, לתקן, ולמחוק.

בפועל זה לרוב סעיף קצר בטופס הקבלה הראשוני שאתם מחתימים עליו את המטופל בפגישה הראשונה. אין צורך בעורך דין כדי לנסח אותו — אבל הוא צריך להיות שם.

3. רשימות תפוצה ושיווק

אם אתם שולחים ניוזלטר, תזכורות לפגישות שיווקיות, או מבקשים מהמטופלים להצטרף לרשימת תפוצה — דרישות נוספות חלות עליכם:

  • הסכמה מפורשת של הלקוח להצטרף לרשימה — לא ברירת מחדל.
  • אפשרות הסרה פשוטה וזמינה בכל הודעה.
  • תיעוד פנימי של מי הסכים מתי.

זה נכנס לקטגוריית "אבטחה בסיסית" — דרגה נמוכה יותר מתיקי המטופלים עצמם.

4. מדיניות פרטיות באתר האינטרנט

אם יש לכם אתר אינטרנט לקליניקה — גם אם זה רק "כרטיס ביקור" עם פרטי קשר — חובה לפרסם בו מדיניות פרטיות. היא צריכה להסביר:

  • איזה מידע נאסף ממבקרי האתר (גם אם זה רק Google Analytics).
  • מה נעשה במידע הזה.
  • מי הצדדים השלישיים שיש להם גישה (Google, ספק האחסון, וכו׳).
  • מהן זכויות המבקרים.

זה מסמך נפרד מטופס הקבלה הראשוני — זה לא על המטופלים שלכם, זה על המבקרים באתר.

5. מסמך נהלי אבטחת מידע פנימי

אולי הסעיף הכי מתעלמים ממנו, ולכן הכי חשוב. תיקון 13 דורש שיהיה לכם מסמך כתוב שמתאר את נהלי אבטחת המידע בקליניקה. אם הרשות להגנת הפרטיות באה לבדוק, אתם צריכים להיות מסוגלים להראות אותו.

החדשות הטובות: הוא יכול להיות פשוט ביותר. אפילו עמוד אחד מספיק, כל עוד הוא מכסה:

  • מי ניגש למידע, ובאיזה תפקיד.
  • איך נשמרים גיבויים, כל כמה זמן, היכן.
  • מה הנוהל במקרה של אירוע אבטחת מידע (גנבת מחשב, פריצה, איבוד טלפון).
  • מתי המסמך נכתב ומתי עודכן.

המסמך הוא פנימי — אתם לא מפרסמים אותו. אבל הוא צריך להיות קיים, וכתוב.

צ׳קליסט מהיר: עמידה בתיקון 13 בקליניקה שלי

אפשר להריץ את הצ׳קליסט הזה מול הקליניקה שלכם בשעה. אם יש לכם ✗ ליד אחד הסעיפים — זה התחום שבו כדאי לפעול קודם.

  • ☐ תיקי נייר נשמרים בארון נעול גם כשאני לא במשרד
  • ☐ המחשב שלי מוצפן (FileVault / BitLocker)
  • ☐ אני משתמש בסיסמה חזקה ובאימות דו-שלבי
  • ☐ הגיבויים שלי מוצפנים
  • ☐ יש סעיף שקיפות פרטיות בטופס הקבלה הראשוני
  • ☐ אם יש לי רשימת תפוצה — כל מי שמופיע בה הסכים במפורש
  • ☐ יש אפשרות הסרה בכל הודעה שאני שולח
  • ☐ אם יש לי אתר — יש בו מדיניות פרטיות מעודכנת
  • ☐ יש לי מסמך נהלי אבטחת מידע כתוב (לפחות עמוד אחד)
  • ☐ אני יודע מה לעשות אם יקרה אירוע אבטחה

קישור למקור הרשמי

המקור הרשמי לתיקון 13, ומידע מעודכן מהרשות להגנת הפרטיות:

תיקון 13 — האתר הרשמי

בשורה התחתונה

תיקון 13 לא נועד להקשות על מטפלים — להפך. הוא נועד לעבור מ"רישום פורמלי שלא משנה" ל"ניהול אחראי שמשנה". בפועל זה אומר שבמקום לבזבז זמן על טופס רישום, אתם בונים פעם אחת תשתית מסודרת בקליניקה — והיא תשמש אתכם גם להגנה משפטית, גם להגנה אתית, וגם לאמון של המטופלים.

השאלה האמיתית היא: אם הרשות להגנת הפרטיות הייתה דופקת מחר על דלת הקליניקה שלכם — האם הייתם יכולים להראות מסמך נהלי אבטחה, חוזה DPA עם ספקי המשנה, וטופס שקיפות חתום על ידי כל המטופלים? אם התשובה היא "אולי" — זה הזמן לפעול.

שאלות נפוצות

האם תיקון 13 מבטל את חובת רישום מאגרי המידע?

במידה רבה כן. תיקון 13 ביטל את חובת רישום המאגרים עבור רוב הקליניקות הפרטיות בישראל — לא יותר רישום מול הרשות להגנת הפרטיות. אבל במקום החובה הבירוקרטית נכנסה אחריות אישית-מקצועית של בעל הקליניקה לעמידה בכללי האבטחה, השקיפות, וניהול הרשומות. פחות בירוקרטיה, יותר אחריות.

אני מטפל עצמאי בלי שותפים — האם אני חייב במסמך נהלי אבטחת מידע?

כן. גם קליניקה של מטפל בודד עם כמה עשרות מטופלים נדרשת לעמוד בתחומי ההקפדה של תיקון 13. מסמך נהלי אבטחת מידע פנימי הוא דרישה. הוא יכול להיות פשוט וברור — אפילו עמוד אחד. המטרה היא להראות שחשבתם מראש על איך אתם מנהלים את המידע, מי ניגש אליו, ואיך תגיבו אם משהו ישתבש.

מה הסיכון אם לא אעמוד בתיקון 13?

הסיכונים הם שלושה: (1) סיכון רגולטורי — קנסות ופעולות מצד הרשות להגנת הפרטיות; (2) סיכון מקצועי-אתי — תלונה לוועדות האתיקה של הסתדרות הפסיכולוגים או איגוד מקצועי אחר; (3) סיכון משפטי-אזרחי — תביעה אזרחית של מטופל במקרה של הדלפת מידע. הסיכון הגדול ביותר, מעבר לכל אלה, הוא לאמון של המטופלים בקליניקה.

לכל הכתבות