חוק ניידות מידע רפואי 2024 — מדריך לסטארטאפ Digital Health
אם המוצר שלכם נוגע במידע רפואי של ישראלים, חוק ניידות מידע רפואי 5784-2024 חל עליכם. הנה מה שאתם צריכים לדעת — ואיך AI Integrity עוזר לעמוד בו בלי לבנות תשתית חדשה.
מה זה חוק ניידות מידע רפואי?
חוק ניידות מידע רפואי, תשפ״ד-2024 הוא חוק ישראלי שמטרתו לאפשר העברת מידע רפואי בין גופי בריאות בצורה סטנדרטית, מאובטחת, ומבוקרת. החוק מחייב:
- שימוש בתקן FHIR (Fast Healthcare Interoperability Resources) להעברת מידע
- רישום של כל גישה למידע רפואי אישי (PHI)
- הסכמת מטופל מפורשת לפני שיתוף מידע בין גופים
- Audit trail עם tamper-evidence לכל פעולה
- זכות מטופל לגישה, תיקון, ומחיקה תוך זמן סביר
החוק נכנס לתוקף בהדרגה. הדרישות הראשונות חלות מ-2024, ויישום מלא מתוכנן ל-2027.
למה החוק הזה חשוב לסטארטאפ?
עד החוק הזה, העברת מידע רפואי בין קופת חולים לבית חולים, או מרופא פרטי לסטארטאפ, הייתה כאוס טכני: כל גוף השתמש בפורמט אחר, אין סטנדרט, וכל העברה הייתה דורשת משא ומתן טכני.
החוק משנה את זה בשני אופנים קריטיים:
1. פותח שוק
סטארטאפ שעובד עם תקן FHIR יכול להתחבר לכל קופת חולים, בית חולים, או מרפאה בלי לבנות אינטגרציה נפרדת לכל אחד. זה מוריד את ה-entry barrier בצורה דרמטית.
2. מחייב אמון
בלי tamper-evident audit trail, סטארטאפ לא יכול להוכיח שהוא לא ראה מידע שלא היה צריך. הרופא לא יסכים להעביר לכם מידע מטופל אם הוא לא יכול לראות מי נגע במה.
דרישות החוק שצריכות לעניין אתכם
1. תקן FHIR
החוק מחייב FHIR R4 כתקן. זה תקן פתוח של HL7, ויש לו קהילה גדולה של ספריות ב-Python, Java, JavaScript, ועוד. רוב הסטארטאפים ישתמשו ב-HAPI FHIR או fhirclient.
2. Audit Trail
כל גישה למידע רפואי חייבת להירשם עם:
- מי ביצע את הפעולה (מזהה המשתמש או ה-AI agent)
- מתי (חותמת זמן מדויקת)
- איזה פעולה (קריאה, כתיבה, מחיקה)
- אילו נתונים ניגשו אליהם
- למה (purpose — טיפול, מחקר, אדמיניסטרציה)
3. הסכמת מטופל
הסכמה חייבת להיות:
- מפורשת (לא "תנאי כלליים")
- מתועדת (proof of consent)
- ניתנת לביטול (opt-out קל)
- ספציפית ל-AI (תיקון 13 + הנחיות PPA)
4. Tamper-Evidence
הלוג חייב להיות חסין שיבוש. במילים פשוטות: אם מישהו בארגון שלכם מחק או שינה רישום אחרי שנכתב, זה צריך להיות ניתן לזיהוי.
החיבור ל-AI
החוק לא מדבר על AI במפורש. אבל ברגע שה-AI agent שלכם ניגש ל-PHI, זו "גישה" במובן החוק. זה אומר:
- כל קריאה של ה-agent למידע רפואי צריכה להירשם
- ההסכמה חייבת לכלול שימוש ב-AI
- אם ה-agent מסיק מידע (למשל סיכון למחלה), זו "החלטה אוטומטית" שדורשת הסבר
- הרופא המטפל חייב לאמת כל המלצה קלינית לפני יישום
איך AI Integrity עוזר?
חבילת il_health_digital_health שלנו נבנתה בדיוק עבור הצורך הזה. הנה איך היא עונה על הדרישות:
רישום כל גישה ל-PHI
כל קריאה, כתיבה, או מחיקה של מידע רפואי נרשמת אוטומטית. הרישום כולל את כל המטא-דאטה שדורש החוק: מי, מתי, מה, למה.
אכיפת הסכמה
אפשר להגדיר policy שאומר: "אסור לקרוא PHI ללא proof of consent". המערכת חוסמת פעולות לפני שהן קורות.
Tamper-Evidence
כל רישום מקושר ב-hash chain לקודמו. שינוי אחד בעבר = השרשרת נשברת. משרד הבריאות יכול לאמת בלי להתקין שום דבר.
זכות מטופל
כל פעולה של AI שמשפיעה על מטופל נרשמת עם הסבר. אם מטופל מבקש "לראות מי הסתכל על המידע שלי", זה בלחיצת כפתור.
שאלות נפוצות
צריכים את ה-pack לדיגיטל-הלת'?
14 כללים מוכנים לחוק ניידות מידע רפואי, תיקון 13, והנחיות משרד הבריאות. מותקן ב-curl אחד.
להורדת ה-Pack ←