מדיניות פרטיות ואבטחת מידע – Scribe It

תאריך עדכון אחרון: אפריל 2026

החברה רואה באבטחת המידע הרפואי ובהגנה על פרטיות המטופלים והרופאים ערך עליון. המערכת נבנתה תוך התאמה לדרישות חוק הגנת הפרטיות, התשמ"א-1981, תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, וחוזר משרד הבריאות 02/2021 (מחשוב ענן).

1. מעמד משפטי: בעל מאגר מול מחזיק

1.1. למען הסר ספק, המשתמש (הרופא/המרפאה) הינו "בעל מאגר המידע" (Data Controller) כמשמעותו בחוק.

1.2. החברה פועלת אך ורק כ"מחזיק" ו/או מעבד נתונים (Data Processor) מטעמו של המשתמש.

2. אילו נתונים אנו אוספים?

2.1. נתוני משתמש (הרופא): שם, דוא"ל, זיהוי (Google Auth), היסטוריית תשלומים, ורישומי פעילות ומכסות (Logs).

2.2. נתונים רפואיים (PHI): קבצי שמע (הקלטות), תמונות של מסמכים רפואיים, ותוצרי טקסט (סיכומי ביקור). נתונים אלו נשמרים באופן זמני בלבד.

3. מדיניות אי-שמירת נתונים (Zero Retention / Ephemeral Storage)

בכדי להבטיח את פרטיות המטופלים, החברה מיישמת מדיניות "מחיקה אוטומטית":

3.1. קבצי שמע ותמונות המועלים לשרת באמצעות האפליקציה נשמרים בענן מאובטח (Google Cloud Storage) ונמחקים לחלוטין וללא יכולת שחזור בתוך 48 שעות לכל היותר.

3.2. סיכומי הטקסט (התוצרים) מוחזקים במסד הנתונים הזמני של המערכת ונמחקים אוטומטית עם תום תקופת ההשהיה (עד 48 שעות). חובת הגיבוי והשמירה של הסיכום בתיק המטופל הקבוע (EMR) מוטלת על המשתמש.

4. צדדים שלישיים והעברת מידע (Sub-Processors)

4.1. המערכת מתארחת ועושה שימוש בשירותי התשתית של Google Cloud Platform (GCP).

4.2. שירותי הבינה המלאכותית מבוצעים באמצעות Google Vertex AI. החברה מצהירה כי התקשרה עם חברת Google בהסכם רפואי מחמיר (HIPAA BAA), האוסר באופן מוחלט על Google לעשות שימוש בנתונים הרפואיים לצורך אימון מודלי צד ג' (No Training on Customer Data).

4.3. נתונים במנוחה (Data at Rest) נשמרים בחוות השרתים של Google בישראל (אזור Tel Aviv - me-west1). עם זאת, עיבוד בינה מלאכותית בחלק מהמודלים עשוי להתבצע בשרתים גלובליים בצורה מוצפנת, בהתאם לדרישות החוק.

5. אבטחת מידע והצפנה

5.1. כלל הנתונים העוברים בין האפליקציה לשרתים מוצפנים בתעבורה (Encryption in Transit) בסטנדרט TLS 1.3.

5.2. הנתונים השמורים זמנית בשרת מוצפנים במנוחה (Encryption at Rest) בסטנדרט AES-256.

5.3. גישה ישירה לקבצי שמע מהאפליקציה מבוצעת באמצעות "כתובות אתר חתומות" (Signed URLs) שתוקפן פג תוך דקות ספורות.

5.4. המערכת מנהלת יומני גישה (Audit Logs) מקיפים המאפשרים בקרה וניטור אחר הגישה למידע, כנדרש בדין.

6. זכויות המטופלים

מכיוון שהחברה מהווה "מחזיק" בלבד, פניות מצד מטופלים לעיון במידע או למחיקתו (Right to Erasure) צריכות להיות מופנות ישירות לרופא המטפל (בעל המאגר). החברה תשתף פעולה עם הרופא ותסייע טכנית בכל בקשה חוקית כאמור, הגם שכאמור, המידע מושמד ממילא בתוך 48 שעות.

7. רישום מאגר מידע

מאגרי המידע של החברה מנוהלים על פי חוק, והחברה מצויה בתהליכי רישום/רשומה כדין בפנקס מאגרי המידע של הרשות להגנת הפרטיות בישראל.

8. דיווח על אירועי אבטחה

במקרה של דלף מידע או אירוע סייבר (Data Breach), החברה מתחייבת לדווח למשתמש (הרופא) ולרשות להגנת הפרטיות בהקדם האפשרי ובהתאם לזמנים הקבועים בתקנות הגנת הפרטיות, וכן לנקוט בכל האמצעים המיידיים למזעור הנזק.

צור קשר: לכל שאלה בענייני משפט, פרטיות או אבטחת מידע, יש לפנות לקצין אבטחת המידע של החברה (DPO) בדוא"ל: privacy@scribeit.co.il