הסכם מטפל וטיפול במידע

מסמך זה מסדיר את היחסים בינך, המטפל/ת, לבין השירות "למטפל" ביחס למידע המטופלים שיעובד בפלטפורמה. הוא נדרש לפי סעיף 15 לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017. אישור הסכם זה נדרש בעת הרישום לשירות.

1. הצדדים

• השירות: "למטפל", מופעל על-ידי איתי דרסלר (עוסק), [email protected] (להלן: "למטפל").
• המטפל/ת: המשתמש/ת הרשום/ה בשירות, בעל/ת רישיון תקף מטעם משרד הבריאות או הגוף המקצועי הרלוונטי, הפועל/ת כבעל מאגר ובקר המידע ביחס למטופליו/ה (להלן: "המטפל").

2. הגדרות

• "מידע מטופל" — כל מידע, לרבות הקלטות, תמלולים, סיכומים, רשומות קליניות, פרופילים והערות, הקשור למטופל של המטפל ומעובד בפלטפורמה.
• "מידע בעל רגישות מיוחדת" — כהגדרתו בתיקון 13 לחוק הגנת הפרטיות; בפרט, מידע על מצב נפשי או רפואי.
• "ספק משנה" — ספק שירות חיצוני שעובד נתונים מטעם "למטפל" (רשימה מעודכנת במדיניות הפרטיות).

3. תפקידי הצדדים

3.1 המטפל הוא בעל המאגר ובקר המידע ביחס למידע המטופל. הוא הקובע את מטרות העיבוד ואמצעיו, ועליו חלות החובות לפי חוק הגנת הפרטיות, חוק זכויות החולה, חוק הפסיכולוגים (לפי הרלוונטיות), ויתר חיקוקי הסודיות המקצועית.

3.2 "למטפל" הוא מעבד מידע לפי סעיף 15 לתקנות אבטחת מידע. הוא מעבד את המידע אך ורק לפי הוראות המטפל ולמטרות שהוסכמו במסמך זה ובמדיניות הפרטיות.

3.3 "למטפל" אינו עושה במידע שימוש עצמאי, אינו מעביר אותו לצד שלישי שלא הוגדר במדיניות הפרטיות, ואינו משתמש בו לאימון מודלים.

4. הסכמה מדעת של המטופלים — חובת המטפל

4.1 המטפל מתחייב לקבל הסכמה מדעת בכתב מכל מטופל לפני הקלטת פגישותיו או העלאת מידע אישי אודותיו לפלטפורמה.

4.2 ההסכמה תכלול לפחות את אלה:

• עצם ההקלטה.
• עיבוד אוטומטי באמצעות שירותי בינה מלאכותית של ספקי משנה חיצוניים.
• העברת מידע לחו"ל (ראה רשימת ספקים במדיניות הפרטיות).
• תקופת השמירה (7 שנים לפי חוק זכויות החולה §17).
• הזכויות העומדות למטופל ודרכי המימוש.
• הזכות לחזור מהסכמה ללא נימוק.

4.3 תבנית מומלצת של טופס הסכמה זמינה בתוך השירות. שימוש בתבנית זו כלשונה ייחשב לעמידה בחובה זו.

4.4 המטפל ישמור את ההסכמה החתומה בתיק הקליני של המטופל, בהתאם לחובת השמירה לפי חוק זכויות החולה.

4.5 קטינים: עד גיל 14 — הסכמת הורה/אפוטרופוס; 14-18 — הסכמת הורה/אפוטרופוס, ויש לרשום את עמדת הקטין/ה; מעל 18 — חתימה עצמית.

4.6 חזרת מטופל מהסכמתו מטופלת על-ידי המטפל במערכת — מחיקה רכה של המטופל, ולאחר תקופת המתנה — מחיקה בלתי הפיכה לפי בקשת המטפל.

5. שימוש מותר במידע

המידע יעובד בפלטפורמה אך ורק לצורך:

1. הקלטה ושמירה של פגישות.
2. תמלול אוטומטי.
3. הפקת סיכומי פגישה ורשומות קליניות מובנות.
4. תחזוקת זיכרון רציף של היסטוריית הטיפול.
5. ממשק עוזר AI לחיפוש במידע המטופלים של המטפל.
6. תפעול שוטף של השירות (אימות, חשבוניות, ניטור באגים).

6. ספקי משנה

6.1 "למטפל" רשאי להשתמש בספקי משנה לצורך אספקת השירות. הרשימה המלאה והמיקום הגיאוגרפי של כל ספק זמינים במדיניות הפרטיות.

6.2 לכל ספק משנה — הסכם עיבוד מידע (DPA) המחייב סטנדרטים מקבילים לדין הישראלי, אי-שימוש במידע לאימון מודלים, ואי-העברה לצד שלישי.

6.3 הוספת ספק משנה חדש שמעבד מידע קליני — תידווח למטפלים בדוא"ל לפחות 14 יום מראש. המטפל רשאי להתנגד לעיבוד על-ידי ספק חדש בתוך 14 יום מההודעה; "למטפל" יציע פתרון חלופי או יאפשר יציאה מהשירות ללא עלות.

7. שמירה ומחיקה

7.1 הקלטות שמע גולמיות נמחקות מיד עם סיום העיבוד.

7.2 תמלולים, סיכומים, רשומות קליניות והערות אישיות נשמרים למשך 7 שנים מסיום הטיפול בהתאם לחוק זכויות החולה, התשנ"ו-1996, סעיף 17 (לקטינים — עד גיל 25).

7.3 בסיום ההתקשרות בין המטפל ל"למטפל" — המטפל יבחר בין ייצוא נתוניו לבין השארתם בשירות עד תום תקופת השמירה החוקית.

8. אבטחת מידע

"למטפל" מתחייב:

• לעמוד בתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017, ברמת אבטחה גבוהה.
• הצפנה במנוחה ובמעבר.
• בקרת גישה לפי תפקיד.
• יומני גישה וביקורת.
• מבדקי חדירה תקופתיים.
• תוכנית תגובה לאירועי אבטחת מידע.

9. אירועי אבטחת מידע

9.1 "למטפל" יודיע למטפל על אירוע אבטחת מידע חמור הנוגע למידע המטופלים שלו בתוך 24 שעות מגילוי האירוע.

9.2 במקרים בהם נדרש דיווח לרשות להגנת הפרטיות לפי תקנה 11 לתקנות אבטחת מידע — "למטפל" ידווח באופן עצמאי וירפה את המטפל מהחובה הזו ביחס למידע שבמערכת.

9.3 המטפל מצדו ידווח ל"למטפל" על כל אירוע שנגלה אצלו ומשפיע על מידע מטופל בפלטפורמה.

10. ביקורת והוכחת עמידה

המטפל רשאי לבקש, אחת לשנה, דו"ח עמידה ב"למטפל": פירוט בקרות אבטחה, רשימת ספקי משנה, מספר אירועי אבטחה ופעולות שננקטו.

11. סיום ההתקשרות

11.1 המטפל רשאי לסיים את ההתקשרות בכל עת על-ידי ביטול חשבונו.

11.2 בסיום: המטפל יוכל לייצא את כל מידע המטופלים שלו בפורמט עמיד למשך 30 יום. לאחר מכן — המידע יימחק, למעט מה שנדרש לשמירה לפי חוק זכויות החולה (סעיף 7).

11.3 "למטפל" רשאי לסיים את ההתקשרות בהודעה של 30 יום, או באופן מיידי במקרה של הפרה מהותית של ההסכם — ובפרט הפרת חובת ההסכמה מדעת מהמטופלים (סעיף 4).

12. אחריות וגבולות

12.1 המטפל אחראי על: עמידה בחובות סודיות מקצועית, קבלת הסכמת המטופלים, נכונות המידע שהוא מזין, ותפקודו המקצועי.

12.2 "למטפל" אחראי על: הפעלת השירות בהתאם להסכם זה, אבטחת מידע ברמה הנדרשת, וטיפול בפניות נושאי מידע שהופנו אליו.

12.3 "למטפל" אינו אחראי לתוצרי הבינה המלאכותית עצמם (סיכומים, רשומות) — אלה כלי עזר; האחריות המקצועית על תיעוד הטיפול נשארת על המטפל.

13. דין וסמכות שיפוט

הסכם זה כפוף לדין הישראלי. סמכות שיפוט בלעדית — בתי המשפט בתל אביב-יפו.

14. שינויים בהסכם

שינוי מהותי בהסכם — תינתן הודעה למטפלים בדוא"ל 14 יום לפחות לפני התחילה. המשך שימוש בשירות לאחר התחילה משמעו הסכמה לגרסה החדשה.