הסכם עיבוד מידע (DPA)
גרסה 2.1 · עדכון אחרון: 12.06.2026
הסכם עיבוד מידע זה ("ההסכם") נכרת בין המרפאה המנויה לשירותי ClinicaOS ("הלקוח" או "בעל המאגר"), המהווה את הבקר (Controller) של המידע האישי, לבין קליניקה או.אס בע״מ ("ClinicaOS", "החברה" או "המעבד"), המהווה את מעבד המידע (Processor). ההסכם מהווה נספח בלתי נפרד לתנאי השימוש של השירות ונכנס לתוקף עם הרשמת הלקוח לשירות.
ההסכם מסדיר את אופן עיבוד המידע האישי והרפואי על ידי המעבד בשם הלקוח ועבורו, בהתאם לחוק הגנת הפרטיות, התשמ"א-1981 ("החוק"), לתיקון מס׳ 13 לחוק (תיקון 13), ולתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 ("תקנות אבטחת מידע"). הצדדים מסכימים כי הלקוח הוא הקובע את מטרות העיבוד ואמצעיו, וכי המעבד פועל אך ורק בהתאם להוראותיו המתועדות של הלקוח.
1. הגדרות ותפקידי הצדדים
"מידע אישי" — כל מידע הנוגע לאדם מזוהה או הניתן לזיהוי, כהגדרתו בחוק הגנת הפרטיות, התשמ"א-1981, לרבות פרטי קשר, מספרי זהות ומזהים מקוונים.
"מידע רפואי" — מידע אישי הנוגע למצב בריאותו הגופנית או הנפשית של אדם, לרבות אבחנות, תוכניות טיפול, מרשמים, צילומים רפואיים (DICOM ותוך-פומיים) ורשומות פריודונטליות. מידע זה מחייב רמת אבטחה "גבוהה" לפי תקנות אבטחת מידע.
"עיבוד" — כל פעולה או מערכת פעולות המבוצעות במידע אישי, לרבות איסוף, רישום, ארגון, אחסון, התאמה, עדכון, שליפה, שימוש, גילוי בהעברה, מחיקה או השמדה.
"הבקר" / "בעל המאגר" (Controller) — הלקוח (המרפאה), הקובע את מטרות עיבוד המידע ואת אמצעיו ונושא באחריות לבסיס החוקי לעיבוד ולקבלת הסכמת נושאי המידע.
"המעבד" (Processor) — קליניקה או.אס בע״מ, המעבדת מידע אישי בשם הבקר ועבורו, אך ורק בהתאם להוראותיו המתועדות.
"קבלן משנה" (Sub-Processor) — צד שלישי שהמעבד נעזר בו לביצוע פעולות עיבוד ספציפיות בשם הבקר, כמפורט בנספח ב׳.
"נושא מידע" — האדם שאליו מתייחס המידע האישי, ובכלל זה מטופלי המרפאה, עובדיה ובעלי תפקידים בה.
"אירוע אבטחה" — אירוע שבמהלכו אירעה שימוש במידע ללא הרשאה, פגיעה בשלמות המידע או חשיפתו, גישה אליו, השמדתו או אובדנו, באופן בלתי מורשה.
2. היקף, אופי ומטרת העיבוד
נושא ההסכם ואופיו: המעבד מספק לבקר פלטפורמת תוכנה כשירות (SaaS) לניהול מרפאת שיניים, הכוללת ניהול תורים, רשומות קליניות, חיוב ותשלומים, הדמיה, טפסי הסכמה ותקשורת עם מטופלים. עיבוד המידע נעשה אך ורק לצורך אספקת השירות והפעלתו.
מטרת העיבוד: אספקת השירות לבקר וניהול חשבונו, ובכלל זה אחסון, ארגון ושליפה של מידע מטופלים ומידע מנהלי, לפי הוראות הבקר בלבד. המעבד לא יעבד את המידע לכל מטרה אחרת, ובכלל זה לא לצרכיו שלו, אלא אם נדרש לכך על פי דין.
משך העיבוד: כל עוד ההסכם בין הצדדים בתוקף וקיים מנוי פעיל לשירות, ולאחר מכן בכפוף להוראות סעיף 9 (החזרה ומחיקה) ולחובות שמירת מידע על פי דין.
קטגוריות נושאי המידע:
- מטופלי המרפאה (לרבות קטינים, בכפוף להסכמת אפוטרופוס)
- עובדי המרפאה ובעלי תפקידים (רופאים, שינניות, מזכירוּת, הנהלה)
קטגוריות המידע המעובד:
- מידע מזהה: שם, מספר זהות (תעודת זהות), תאריך לידה, מין
- פרטי קשר: טלפון, דואר אלקטרוני, כתובת
- מידע רפואי: אבחנות, תוכניות טיפול, מרשמים, צילומים, רשומות פריו
- מידע פיננסי: חשבוניות, תשלומים, פרטי חיוב
- מידע על שימוש ותקשורת: יומני מערכת, תכתובות SMS/WhatsApp ודוא״ל
3. חובות המעבד
המעבד מתחייב כלפי הבקר כדלקמן:
- לעבד את המידע האישי אך ורק בהתאם להוראות המתועדות של הבקר ולמטרות המוגדרות בהסכם זה ובתנאי השימוש, לרבות בכל הנוגע להעברת מידע אל מחוץ לגבולות המדינה. נדרש מהמעבד על פי דין לסטות מהוראות אלו — יודיע על כך לבקר טרם העיבוד, אלא אם הדבר אסור על פי דין.
- להבטיח כי כל אדם המוסמך לעבד את המידע מטעם המעבד התחייב לסודיות או כפוף לחובת סודיות חוקית מתאימה, וכי הגישה למידע ניתנת על בסיס הצורך לדעת בלבד.
- ליישם ולקיים את אמצעי האבטחה הטכניים והארגוניים המפורטים בנספח א׳, בהתאם לרמת האבטחה הגבוהה הנדרשת בתקנות אבטחת מידע.
- לסייע לבקר, באמצעים טכניים וארגוניים סבירים, במילוי חובותיו כלפי נושאי המידע וכלפי הרשות להגנת הפרטיות (רגולטור), לרבות בכל הנוגע לבקשות נושאי מידע ולדיווח על אירועי אבטחה, כמפורט בסעיפים 6 ו-7.
- להעמיד לרשות הבקר את המידע הדרוש להוכחת עמידתו בהתחייבויותיו לפי הסכם זה, בכפוף לסעיף 8 (זכות ביקורת).
- שלא לעשות במידע כל שימוש לצרכיו שלו, ולא להעבירו לצד שלישי כלשהו, למעט קבלני משנה מאושרים לפי נספח ב׳.
4. נספח א׳ — אמצעי אבטחה טכניים וארגוניים (רמה גבוהה)
המעבד מיישם את אמצעי האבטחה הבאים, התואמים את רמת האבטחה הגבוהה הנדרשת בתקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017, בשל אופי המידע הרפואי המעובד:
4.1. הצפנה
- הצפנת שדות רגישים במנוחה באמצעות AES-256-GCM (לרבות מספרי תעודת זהות), עם ניהול מפתחות ייעודי והפרדת מפתחות.
- הצפנת מידע בהעברה באמצעות TLS על כל ערוצי התקשורת בין הלקוח, השרתים וקבלני המשנה.
4.2. בקרת גישה והפרדת לקוחות
- בידוד לוגי מלא בין נתוני מרפאות שונות (clinic isolation) ברמת השורה במסד הנתונים — כל פנייה למידע מסוננת לפי מזהה המרפאה, כך שמרפאה אינה יכולה לגשת למידע של מרפאה אחרת.
- בקרת גישה מבוססת תפקידים (RBAC) עם עקרון ההרשאה המינימלית, על פני שישה תפקידים מוגדרים.
- אחסון סיסמאות באמצעות גיבוב bcrypt בעלות (cost) 13; סיסמאות אינן נשמרות בטקסט גלוי.
- ולידציה מחודשת של הרשאות ומצב חשבון מול מסד הנתונים במהלך מושב המשתמש; ניתוק עקב חוסר פעילות.
- הגבלת קצב בקשות (rate limiting) על נתיבי אימות וממשקי API רגישים.
4.3. תיעוד וביקורת (Audit)
- יומני ביקורת (audit logs) בלתי ניתנים לשינוי, המוגנים על ידי טריגר במסד הנתונים החוסם כל עדכון או מחיקה, בנוסף למדיניות הגנת שורה (Row-Level Security).
- תיעוד פעולות רגישות, לרבות גישה למידע רפואי (PHI), כניסות שנכשלו, נעילות חשבון ושינויי הרשאות.
4.4. תשתית, ניטור והמשכיות
- ניטור שגיאות עם סינון מידע רפואי (PHI scrubbing) לפני שליחה למערכת הניטור.
- אימות חתימה (HMAC) והגנה מפני שידור חוזר (replay) על Webhooks; כשל סגור (fail-closed) בהיעדר אסימון תקין.
- מדיניות אבטחת תוכן (CSP) מבוססת nonce, ללא הרצת קוד inline בלתי מאומת.
- גיבויים מנוהלים ברמת התשתית והפרדת סביבות פיתוח, בדיקות וייצור.
4.5. אמצעים ארגוניים
- מדיניות אבטחת מידע מתועדת והדרכת עובדים בנושאי אבטחה ופרטיות.
- נהלי תגובה לאירועי אבטחה ובקרה שוטפת על קבלני משנה.
- מנגנון הסרת פרטים מזהים (פסאודונימיזציה) ומזעור מידע למידע אישי לפני העברה לספקי בינה מלאכותית: שמות מומרים למזהה אקראי והיסטוריה רפואית מצומצמת לשדות מובנים בלבד.
5. נספח ב׳ — קבלני משנה
הבקר מעניק למעבד הרשאה כללית להיעזר בקבלני משנה לצורך אספקת השירות, בכפוף לתנאי סעיף זה. רשימת קבלני המשנה העדכנית מתפרסמת בעמוד קבלני משנה ומהווה חלק בלתי נפרד מהסכם זה.
- הודעה על שינוי: המעבד יודיע לבקר מראש על כל תוספת או החלפה מהותית של קבלן משנה, ויאפשר לבקר פרק זמן סביר להתנגד מטעמים סבירים הנוגעים להגנת המידע. בהתנגדות מוצדקת — יפעלו הצדדים בתום לב למציאת פתרון חלופי, ובהיעדרו רשאי הבקר לסיים את ההסכם.
- השלכת חובות (flow-down): המעבד יתקשר עם כל קבלן משנה בהסכם בכתב המטיל עליו חובות הגנת מידע, אבטחה וסודיות שאינן פחותות מהמפורטות בהסכם זה.
- אחריות: המעבד יישא באחריות כלפי הבקר לכל מעשה או מחדל של קבלני המשנה מטעמו, כאילו היו מעשיו או מחדליו שלו.
- העברה לחו״ל: ככל שקבלן משנה ממוקם מחוץ לישראל, יחולו אמצעי ההגנה המפורטים בסעיף 10 (העברות בין-לאומיות).
6. סיוע בבקשות נושאי מידע
נושאי המידע יממשו את זכויותיהם מול הבקר, שהוא האחראי לטיפול בבקשות. המעבד יסייע לבקר במימוש זכויות נושאי המידע בהתאם לחוק הגנת הפרטיות, ובכלל זה:
- זכות העיון (סעיף 13 לחוק) — סיוע באיתור ובהפקה של המידע האישי המוחזק במערכת אודות נושא מידע מסוים.
- זכות התיקון (סעיף 14 לחוק) — סיוע בתיקון, עדכון או השלמה של מידע שאינו נכון, שלם או מעודכן.
- מחיקה והסרה — סיוע במחיקת מידע ובהסרת נושא מידע מרשימת דיוור (סעיף 17ו לחוק), בכפוף לחובות שמירה על פי דין.
פנה נושא מידע ישירות אל המעבד, יפנה המעבד אותו אל הבקר ולא יענה לבקשה באופן עצמאי, אלא לפי הוראת הבקר. המעבד יסייע במסגרת לוחות הזמנים המאפשרים לבקר לעמוד בחובתו להשיב לנושא המידע בתוך 30 יום.
7. סיוע בדיווח על אירוע אבטחה
המעבד יודיע לבקר על כל אירוע אבטחה הנוגע למידע המעובד עבורו ללא דיחוי בלתי סביר מרגע שנודע לו על האירוע, על מנת לאפשר לבקר לעמוד בחובת הדיווח שלו לרשות להגנת הפרטיות בתוך 72 שעות, ככל שהאירוע מחייב דיווח על פי תקנות אבטחת מידע.
ההודעה לבקר תכלול, ככל שידוע למעבד באותו מועד:
- תיאור האירוע, מהותו ומועד גילויו
- סוגי המידע וקטגוריות נושאי המידע שעלולים להיות מושפעים והיקפם המשוער
- ההשלכות הצפויות של האירוע
- הצעדים שננקטו או המתוכננים לטיפול באירוע ולצמצום נזקיו
- פרטי איש קשר לקבלת מידע נוסף
המעבד ישתף פעולה באופן מלא עם הבקר בחקירת האירוע, בצמצום נזקיו ובדיווח לרשויות ולנושאי המידע כנדרש, ויתעד את האירוע ואת הצעדים שננקטו. ההכרעה אם וכיצד לדווח לרשות ולנושאי המידע נתונה לבקר, כבעל המאגר.
8. זכות ביקורת
- המעבד יעמיד לרשות הבקר את המידע הסביר הדרוש להוכחת עמידתו בהתחייבויותיו לפי הסכם זה.
- הבקר רשאי לבצע, או למנות מבקר חיצוני עצמאי הכפוף לסודיות לביצוע, ביקורת או בדיקה על עמידת המעבד בהתחייבויותיו, בכפוף להודעה מוקדמת סבירה ובתיאום מראש.
- הביקורת תתבצע בשעות העבודה הרגילות, באופן שלא יפגע יתר על המידה בפעילות המעבד ובאבטחת המידע של לקוחותיו האחרים, ולא תחשוף מידע סודי או מידע של לקוחות אחרים.
- לא יותר מפעם בשנה, אלא אם נדרש אחרת על פי דין, בהוראת רגולטור או בעקבות אירוע אבטחה מהותי.
- עלות הביקורת תחול על הבקר, אלא אם חשפה הביקורת אי-עמידה מהותית של המעבד בהתחייבויותיו.
9. החזרה ומחיקה של מידע
- בתום ההסכם, או לפי בקשת הבקר, יעמיד המעבד לרשות הבקר את המידע האישי בפורמט מובנה, נפוץ וקריא מכונה (כגון JSON או CSV), בתוך חלון זמן סביר המאפשר ייצוא מלא של הנתונים.
- לאחר תום חלון הייצוא, ובכפוף לאישור הבקר, ימחק המעבד את כל העותקים של המידע האישי ממערכותיו, לרבות מגיבויים, בתוך פרק זמן סביר, ויספק לבקר אישור בכתב על השלמת המחיקה לפי בקשתו.
- חריג לשמירה: המעבד רשאי להוסיף ולשמור מידע ככל שהוא נדרש לכך על פי דין (לרבות חובות שמירת רשומות לצורכי מס וחובות שמירת רשומות רפואיות), ובלבד שיוסיף לשמור עליו בהתאם לאמצעי האבטחה שבהסכם זה ולא יעבדו לכל מטרה אחרת.
- אחריות הבקר: הבקר אחראי לייצא את נתוניו במהלך חלון הזמן הקבוע; משלא עשה כן, לא יישא המעבד באחריות לאובדן מידע לאחר השלמת המחיקה.
10. העברות בין-לאומיות
ככל שעיבוד המידע כרוך בהעברתו אל מחוץ לגבולות מדינת ישראל, לרבות באמצעות קבלני משנה (נספח ב׳), תתבצע ההעברה בכפוף לדרישות חוק הגנת הפרטיות ותקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמחוץ לגבולות המדינה).
- ההעברה תיעשה אל יעד המבטיח רמת הגנה ההולמת את הוראות הדין הישראלי, או בכפוף לתנאים חוזיים מחייבים המבטיחים רמת הגנה שאינה נופלת מהנדרש בדין הישראלי.
- המעבד יחיל על קבלני משנה בחו״ל חובות הגנה, אבטחה וסודיות שאינן פחותות מהמפורטות בהסכם זה (flow-down).
- פירוט מיקומי קבלני המשנה ואמצעי ההגנה החלים על כל אחד מהם מופיע בעמוד קבלני משנה.
11. אחריות, דין חל וסמכות שיפוט
- הסכם זה כפוף לדיני מדינת ישראל ויפורש בהתאם להם, ובפרט בהתאם לחוק הגנת הפרטיות, התשמ"א-1981, לתיקון 13 ולתקנות אבטחת מידע.
- סמכות השיפוט הבלעדית בכל מחלוקת הנובעת מהסכם זה או הקשורה אליו תהיה נתונה לבתי המשפט המוסמכים בתל אביב–יפו.
- הגבלת האחריות של המעבד והבקר תהיה כפופה למגבלות, לתקרות ולחריגי האחריות הקבועים בתנאי השימוש, אשר יחולו על הסכם זה בשינויים המחויבים. אין באמור כדי לגרוע מאחריות שאינה ניתנת להגבלה על פי דין.
- בכל מקרה של סתירה בין הסכם זה לבין תנאי השימוש, יגברו הוראות הסכם זה ככל שהסתירה נוגעת להגנת מידע אישי ולעיבודו.
יצירת קשר
לפניות בנושא עיבוד מידע, חתימה על הסכם זה או מימוש זכויות לפיו, ניתן לפנות אל איש הקשר לענייני פרטיות של החברה:
מסמך זה מתפרסם לצורכי שקיפות וכפוף לבדיקה סופית של עורך דין מוסמך בישראל.