הסכם זה ("ההסכם") מסדיר את עיבוד המידע האישי והרפואי של מטופליך על ידי Clinic AI, ומהווה חלק בלתי נפרד מתנאי השימוש ומדיניות הפרטיות. הוא נכרת בעת אישורך במערכת, בהתאם לחוק הגנת הפרטיות, התשמ"א-1981, לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, ולתיקון 13 לחוק.
1. תפקידים והגדרות
- אתה, המטפל — "בעל המידע" (Controller). אתה קובע את מטרות העיבוד ואמצעיו, ונושא באחריות הישירה כלפי מטופליך, לרבות הבסיס החוקי לעיבוד וקבלת הסכמות.
- Clinic AI — "מחזיק/מעבד המידע" (Processor). מעבדת את המידע אך ורק מטעמך ולפי הוראותיך, לצורך אספקת שירותי המערכת.
- "מידע" — כל מידע אישי או רפואי של מטופליך המוזן או נוצר במערכת (פרטי קשר, תיעוד טיפולי, סיכומים, הקלטות ותמלולים, מסמכים, מדדים).
2. מהות העיבוד, מטרתו ומשכו
- מטרה: אחסון, ניהול ועיבוד מידע מטופלים לצורך ניהול הקליניקה שלך בלבד (תיעוד, זימון, סיכומי AI, תקשורת, תשלומים).
- נושאי המידע: מטופליך והלידים שהזנת.
- משך: לאורך תקופת ההתקשרות, ובכפוף לסעיף 8 בסיומה.
- הוראות: Clinic AI לא תעבד את המידע לכל מטרה אחרת, ולא תמכור, תשכיר או תשתף אותו עם צד שלישי, למעט ספקי-המשנה בסעיף 5 ולמעט חובה שבדין.
3. אמצעי אבטחה
Clinic AI מיישמת אמצעי אבטחה ההולמים מאגר ברמת אבטחה גבוהה (מידע רפואי), ובכללם:
- הצפנת נתונים במנוחה בתקן AES-256 (SQLCipher) — בסיס הנתונים והגיבויים מוצפנים על הדיסק.
- הצפנת תקשורת TLS 1.3 בכל התעבורה.
- בידוד מלא בין מטפלים (multi-tenant) ובקרת הרשאות בכל בקשה.
- אימות דו-שלבי (2FA), מדיניות סיסמאות והגבלות קצב מפני תקיפה; סיסמאות בגיבוב חד-כיווני בלבד.
- יומן ביקורת לפעולות רגישות, ונעילת/חתימת רשומות רפואיות עם תיעוד תיקונים.
- גיבויים אוטומטיים מוצפנים עם אימות שחזוריות שוטף.
4. סודיות
מי מטעם Clinic AI המורשה לגשת למידע מחויב בסודיות, ורק ההרשאות ההכרחיות לאספקת השירות ניתנות.
5. ספקי-משנה (Sub-processors)
לצורך אספקת השירות, Clinic AI נעזרת בספקי-משנה (אירוח, גיבוי, עיבוד AI, תמלול, סליקה, דוא"ל). הרשימה המלאה, מטרותיה ומיקומי העיבוד מפורטים במדיניות הפרטיות. Clinic AI מתקשרת עם ספקי-המשנה בהתחייבויות אבטחה וסודיות מתאימות, ותעדכן על שינוי מהותי. עצם אישור הסכם זה מהווה הסכמתך לספקי-המשנה המפורטים.
6. העברת מידע אל מחוץ לישראל
חלק מהעיבוד מתבצע בשרתים מחוץ לישראל (ראה טבלת ספקי-המשנה במדיניות הפרטיות). ההעברה מתבצעת בהתאם לחריגי תקנות הגנת הפרטיות (העברת מידע למאגרים שמחוץ לגבולות המדינה), התשס"א-2001, ובכפוף להתחייבויות אבטחה מצד הספקים.
7. סיוע לבעל המידע ואירועי אבטחה
- זכויות נושאי מידע: המערכת מספקת כלים לעיון, תיקון, ייצוא ומחיקה של מידע מטופל, כדי לסייע לך לממש בקשות מטופליך.
- אירוע אבטחה חמור: Clinic AI תיידע אותך ללא דיחוי בלתי-סביר עם היוודע אירוע אבטרה חמור הנוגע למידע מטופליך, ותשתף פעולה בהתאם לנדרש בדין.
8. החזרה ומחיקה בסיום ההתקשרות
עם סיום ההתקשרות תוכל לייצא את מלוא המידע. לאחר תקופת חסד סבירה, המידע יימחק מסביבת הייצור והגיבויים במחזור הגיבויים הרגיל, למעט מידע שיש לשמרו לפי דין.
9. אחריות בעל המידע
אתה אחראי: (א) לקיים בסיס חוקי לעיבוד; (ב) ליידע את מטופליך ולקבל הסכמותיהם כנדרש (המערכת כוללת סעיף לכך בתבנית הקליטה); (ג) להזין רק מידע שאתה מוסמך לעבד; (ד) לשמור על סודיות פרטי ההתחברות שלך.
10. אחריות, כפיפות ודין
הסכם זה כפוף לתנאי השימוש, לרבות הגבלות האחריות שבהם. על הסכם זה יחולו דיני מדינת ישראל, וסמכות השיפוט הבלעדית נתונה לבתי המשפט המוסמכים במחוז המתאים.
11. תוקף ועדכונים
ההסכם נכנס לתוקף עם אישורך במערכת, ותקף לאורך ההתקשרות. עדכון מהותי יובא לידיעתך, והמשך שימוש לאחר עדכון מהווה הסכמה לגרסה המעודכנת.