מדיניות פרטיות ואבטחת מידע

מהי מערכת התמלול?

מערכת התמלול היא כלי עבודה אישי שנועד להוות עוזר דיגיטלי למטפל. המערכת מאפשרת לך להפוך שיחות לסיכומים מאורגנים ותובנות קליניות תוך דקות, ומספקת סביבת עבודה מאובטחת לניהול המחשבות והמעקב המקצועי שלך. הכלי אינו מהווה תחליף לתיעוד רפואי רשמי, אלא נועד להעצים את היכולת שלך לנהל את הקליניקה הפרטית ביעילות ובשקט נפשי.

ערך מוסף למטפל

• ייעול העבודה האדמיניסטרטיבית: הכלי נועד לחסוך זמן יקר בניסוח סיכומי פגישות, ולאפשר למטפל להתמקד בתהליך הטיפולי עצמו
• שיפור איכות התיעוד האישי: המערכת מסייעת בארגון מחשבות, זיהוי תמות מרכזיות בשיחה ומעקב אחר התקדמות המטופל לאורך זמן עבור המטפל

למי זה מתאים?

• מטפלים עצמאיים: פסיכולוגים, עובדים סוציאליים ומטפלים רגשיים המנהלים קליניקה פרטית
• אנשי מקצוע בייעוץ: יועצים ומאמנים המעוניינים בתיעוד איכותי של תהליכי עבודה אישיים

✅ שימושים מתאימים:

• כלי עזר לסיכום פגישות: הפקת טיוטה ראשונית לסיכום פגישה עבור הרישומים האישיים של המטפל
• ניהול קליני אישי: ריכוז תובנות ומחשבות קליניות עבור מטפלים בקליניקה פרטית, שאינם נדרשים לתיעוד מוסדי פורמלי
• תזכורות וארגון מידע: ניהול תובנות ומידע עבור השימוש האישי של המטפל
• מעקב התקדמות: תכנון טיפולי ומעקב אחר התקדמות המטופל לאורך זמן

❌ שימושים שאינם בהיקף השירות:

• דוחות רשמיים לביטוח לאומי או גופי ממשלתיים
• תיעוד רפואי פורמלי למוסדות רפואיים
• שיתוף מידע עם גורמים חיצוניים (קופות חולים, בתי משפט)
• ארכיון משפטי או תיעוד למטרות משפטיות

פרוטוקול הצפנה

המערכת מיישמת הצפנה היברידית דו-שכבתית להבטחת רמת אבטחה מירבית:

• שכבת הצפנה ראשונית: הצפנה מבוססת מפתח שנגזר מסיסמת המשתמש (Scrypt KDF)
• שכבת הצפנה משנית: הצפנה נוספת מבוססת מפתח שחזור (Recovery Key)
• תקן הצפנה: Fernet AES-128 - תקינה בנקאית מקובלת
• ארכיטקטורת Zero-Knowledge: המערכת פועלת במודל של אפס ידיעה

אחסון ומיקום נתונים

• שרתי ייצור: Fly.io (גרמניה, אזור האיחוד האירופי)
• גיבויים: AWS S3 במצב מוצפן - גיבוי אוטומטי תקופתי
• בסיס נתונים: SQLite מוצפן, מאוחסן מקומית על שרת הייצור

בקרת גישה למידע

גישה למידע מוגבלת למשתמש בעל פרטי ההזדהנות המורשים בלבד. המערכת פועלת במודל Zero-Knowledge, כך שלצוות הפיתוח והתחזוקה אין גישה לתוכן המוצפן. גם במקרה של פרצת אבטחה חיצונית, הנתונים המוצפנים אינם ניתנים לפענוח ללא פרטי האימות של המשתמש.

תהליך העיבוד

• המערכת משתמשת בספקי AI חיצוניים (Groq, Whisper) לצורך הפקת התמלול והסיכומים
• אי-שמירת נתונים (Zero Data Retention): ספקי השירות מצהירים במדיניות הפרטיות שלהם כי נתוני API:
  • אינם משמשים לאימון מודלים
  • אינם נשמרים באופן קבוע (No Persistent Data Storage)
  • מעובדים באופן זמני בלבד ונמחקים לאחר השלמת הפעולה
  📋 מדיניות הפרטיות של Groq
  📋 מדיניות הפרטיות של OpenAI (Whisper)

מגבלות והבהרות משפטיות

• המערכת עושה שימוש בתשתיות צד שלישי שאינן בשליטתה הישירה; לפיכך, המערכת אינה יכולה לאכוף פיזית או לאמת את יישום המדיניות בשרתי הספקים
• ההסתמכות על אופן הטיפול בנתונים מבוססת על הצהרותיהם הרשמיות של הספקים בלבד
• עיבוד המידע בענן של צד שלישי כרוך בחשיפה טכנית זמנית של המידע בזמן העיבוד

אנונימיזציה ואחריות המשתמש

• כשכבת הגנה נוספת, המערכת מבצעת אנונימיזציה אוטומטית של הטקסט (הסרת שמות, מספרי טלפון, תעודות זהות וכתובות) לפני השליחה לספקי ה-AI
• אנו ממליצים למשתמשים להשמיט פרטים מזהים (כגון שמות מלאים או תעודות זהות) לפני תחילת ההקלטה
• המשתמש נושא באחריות הבלעדית לבחון האם רמת הפרטיות והאבטחה המוצעת תואמת את דרישות המקצוע והרגולציה החלות עליו

הגדרת תקן HIPAA

HIPAA (Health Insurance Portability and Accountability Act) הוא חוק פדרלי אמריקאי המגדיר תקנים מחמירים להגנה על מידע רפואי רגיש.

דרישות התקן:

• הצפנה חזקה של כל המידע הרפואי
• בקרת גישה מתקדמת (Authentication & Authorization)
• רישום מלא של כל הפעולות (Audit Logs)
• הסכם BAA (Business Associate Agreement) עם כל ספק חיצוני
• תהליכי גיבוי ושחזור מאובטחים

יישום סטנדרטי אבטחה ברמה טכנית

• הצפנה: Scrypt + AES-128 מקצה לקצה
• בקרת גישה: אימות דו-שלבי עם סיסמה ושאלות אבטחה
• גיבויים: גיבוי אוטומטי מוצפן ל-AWS S3
• Audit Trails: תיעוד פעולות משתמש בסיסי
• Zero-Knowledge Architecture: אפס גישה לתוכן מוצפן

שימוש בשירותי צד שלישי

המערכת משתמשת בשירותי בינה מלאכותית חיצוניים (Whisper AI, Groq AI) לצורך תמלול ועיצוב תוכן. ספקים אלו אינם בעלי הסכם BAA (Business Associate Agreement) כנדרש על פי תקן HIPAA. בעת תהליך העיבוד, המידע עובר באופן זמני דרך שרתי הספקים החיצוניים.

הצהרת התאמה

המערכת מיישמת את סטנדרטי האבטחה הנדרשים על ידי HIPAA ברמה הטכנית, אך אינה מהווה תחליף לייעוץ משפטי או הסכם BAA פורמלי עם ספקי AI חיצוניים. השימוש בשירותי בינה מלאכותית חיצוניים מהווה את הגורם המרכזי לאי-תאימות מלאה לתקן.

מתאימות השירות והגבלת אחריות

• השימוש במערכת הינו באחריות המשתמש בלבד ונועד למטפלים המנהלים רשומות אישיות שאינן דורשות תאימות HIPAA פורמלית
• המערכת אינה מתאימה למוסדות רפואיים, בתי חולים, או קליניקות הדורשות תאימות HIPAA מלאה והסכמי BAA
• המשתמש אחראי לבחון את התאמת השירות לצרכיו המקצועיים והמשפטיים

הגדרת תקינת GDPR

GDPR (General Data Protection Regulation) היא תקינה אירופאית להגנה על פרטיות האזרחים באיחוד האירופי ושמירה על זכויותיהם הדיגיטליות.

עמידה בדרישות התקינה:

• אחסון באזור האיחוד האירופי: שרתי הייצור ממוקמים ב-Fly.io גרמניה
• זכות למחיקה (Right to be Forgotten): אפשרות למחיקה מלאה וצמיתה של כלל הנתונים
• זכות לייצוא נתונים (Data Portability): ייצוא המידע בפורמטים נגישים (Word/PDF)
• הסכמה מפורשת: תהליך הרשמה מותנה בהסכמה מלאה ומודעת
• הצפנה ואבטחה: יישום פרוטוקולי הצפנה מתקדמים

שליטה ובעלות על המידע

למשתמש הרשום במערכת עומדות הזכויות הבאות:

• זכות גישה: צפייה בכלל הנתונים המאוחסנים בחשבון בכל עת
• זכות לייצוא: הורדת כלל התמלולים בפורמטים סטנדרטיים (Word/PDF)
• זכות למחיקה: למשתמש עומדת הזכות למחיקה מלאה וצמיתה של כלל המידע המאוחסן בחשבונו בכל עת, לרבות מחיקת רשומות מטופלים, סשנים או החשבון כולו
• זכות לעדכון: שינוי ועדכון פרטים אישיים בכל עת
• זכות לביטול: ביטול מנוי ללא התחייבות או תקופת הודעה מוקדמת
• זכות לתמיכה: פנייה לצוות התמיכה בכל שאלה או בעיה

פרטי יצירת קשר

• דוא"ל: record.to.text@gmail.com
• WhatsApp: 052-3121626
• שעות פעילות: ימים א'-ה', 09:00-18:00