نظرة عامة
توفّر The Clinic («The Clinic» أو «نحن» أو «لنا») منصة عمليات سريرية يستخدمها مقدّمو الرعاية الصحية المرخّصون لإدارة المواعيد والسجلات الطبية والفوترة والاتصالات. توضّح سياسة الخصوصية هذه المعلومات التي نجمعها وكيفية استخدامها وحقوقك المتعلقة ببياناتك عند تفاعلك مع مواقعنا وتطبيقاتنا والخدمات المرتبطة بها («الخدمات»).
إذا كنت مريضاً تُدار سجلاتك داخل The Clinic من قِبَل مقدّم رعاية صحية، فإن مقدّم الرعاية هو المتحكّم في معلوماتك الصحية ويسري إشعار الخصوصية الخاص به. نقوم بمعالجة هذه المعلومات نيابةً عنه بصفتنا مقدّم خدمة أو شريكاً تجارياً (Business Associate) أو معالجاً للبيانات حسب التعريف الوارد في القوانين المعمول بها.
المعلومات التي نجمعها
نجمع الفئات التالية من المعلومات:
- بيانات الحساب — الاسم، البريد الإلكتروني، الهاتف، الدور الوظيفي، الانتماء للعيادة، بيانات اعتماد المصادقة، والتفضيلات.
- البيانات السريرية — البيانات الديموغرافية للمرضى، ملاحظات الزيارات، الوصفات الطبية، النتائج التشخيصية، البيانات الوصفية للصور الطبية، وغيرها من المعلومات الصحية المحمية (PHI) التي يُدخلها المستخدمون المعتمدون في المنصة.
- البيانات التشغيلية — جداول المواعيد، سجلات الفوترة، مطالبات التأمين، والبيانات الوصفية لسير العمل.
- بيانات الجهاز والاستخدام — عنوان IP، نوع المتصفح، معرّفات الجهاز، الصفحات التي تتم زيارتها، والتفاعلات مع الخدمات، التي يتم جمعها عبر ملفات تعريف الارتباط (Cookies) وتقنيات مماثلة.
- بيانات الدعم — المعلومات التي تشاركها عند تواصلك معنا للحصول على المساعدة، بما في ذلك النصوص والمرفقات.
كيف نستخدم المعلومات
نستخدم المعلومات التي نجمعها من أجل:
- تقديم الخدمات وصيانتها وتحسينها؛
- مصادقة المستخدمين، وتطبيق ضوابط الوصول، والحدّ من الاحتيال أو إساءة الاستخدام؛
- معالجة المعاملات، بما في ذلك فوترة الاشتراكات ومعالجة المطالبات عند الاقتضاء؛
- إرسال تذكيرات المواعيد والإشعارات السريرية وإعلانات الخدمة نيابةً عن مقدّمي الرعاية؛
- إجراء تحليلات مجمّعة ومجهولة الهوية لمراقبة الأداء وتخطيط السعة؛
- الامتثال للالتزامات القانونية والتنظيمية والتعاقدية.
المعلومات الصحية المحمية
عندما نعالج المعلومات الصحية الشخصية (PHI) نيابةً عن عيادة، فإننا نتصرّف بصفتنا مزوّد الخدمة الإلكترونية للعيادة، وفي أونتاريو بصفتنا مزوّد شبكة معلومات صحية بموجب قانون حماية المعلومات الصحية الشخصية لعام 2004 (PHIPA، المادة 10(4)). وتظل العيادة هي أمين المعلومات الصحية؛ ولا نعالج المعلومات الصحية المحمية إلا نيابةً عنها بموجب ملحق معالجة بيانات (DPA) مكتوب. وبالنسبة للعيادات في ولايات قضائية أخرى، نُبرم شروط معالجة معادلة — بما في ذلك اتفاقية شراكة تجارية (BAA) للكيانات المشمولة بقانون HIPAA الأمريكي، وملحق معالجة بيانات متوافق مع اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي والمملكة المتحدة.
لن نستخدم أو نُفصح عن المعلومات الصحية المحمية إلا وفق ما تجيزه أو تتطلبه اتفاقية مقدّم الرعاية الأساسية، أو اتفاقية BAA/DPA، أو القانون المعمول به. نُقيّد الوصول الداخلي إلى المعلومات الصحية المحمية على الموظفين الذين يحتاجونها لتشغيل الخدمات، ونسجّل كل وصول لأغراض المراجعة والتدقيق.
المشاركة والمعالجون من الباطن
نشارك المعلومات فقط بالقدر اللازم لتقديم الخدمات. وتشمل فئات المتلقّين لدينا:
- مزوّدو البنية التحتية السحابية الذين يستضيفون المنصة، والمُلزَمون بالتزامات السرية والأمان التعاقدية؛
- مزوّدو الاتصالات لتوصيل البريد الإلكتروني والرسائل النصية وواتساب والصوت بناءً على توجيه مقدّم الرعاية؛
- معالجو المدفوعات لفوترة الاشتراكات، ومدفوعات المرضى إذا فعّلها مقدّم الرعاية؛
- مزوّدو التحليلات ومراقبة الأخطاء، المُهيّأون لاستبعاد المعلومات الصحية المحمية حيثما أمكن؛
- المستشارون المهنيون والجهات الرسمية حيثما اقتضى القانون أو لحماية الحقوق والسلامة.
تتوفر قائمة محدّثة بالمعالجين من الباطن عند الطلب عبر dpo@the-clinic.net.
عمليات النقل الدولية
تُشغّل The Clinic مناطق إقامة بيانات تشمل كندا والاتحاد الأوروبي والولايات المتحدة. تُخزَّن بيانات الإنتاج لكل عميل في المنطقة المُهيّأة لمستأجره؛ وبالنسبة للعيادات في كندا تُخزَّن بيانات الإنتاج داخل كندا. وعندما يلزم نقل البيانات بين المناطق — مثلاً لأغراض الدعم العالمي، أو اختبار التعافي من الكوارث، أو عندما يعمل معالِج من الباطن في منطقة أخرى — نستخدم ضمانات مناسبة، تشمل متطلبات الحماية المكافئة بموجب قانون PIPEDA الكندي، والبنود التعاقدية القياسية للاتحاد الأوروبي (SCCs)، وملحق نقل البيانات الدولي للمملكة المتحدة.
حقوقك
قد يكون لك — حسب مكان إقامتك — الحق في الوصول إلى بياناتك الشخصية أو تصحيحها أو حذفها أو نقلها، أو الاعتراض على أنواع معيّنة من المعالجة، أو سحب موافقتك. ينبغي للمرضى توجيه هذه الطلبات إلى مقدّم الرعاية الصحية الذي يحتفظ بسجلاتهم. أما مستخدمو القوى العاملة فيمكنهم التواصل معنا مباشرةً عبر dpo@the-clinic.net.
سنردّ خلال المُدد التي تتطلبها القوانين المعمول بها، عادةً في غضون ثلاثين (30) يوماً. وقد نحتاج إلى التحقق من هويتك قبل اتخاذ أي إجراء بشأن الطلب.
الاحتفاظ بالبيانات
نحتفظ بالبيانات الشخصية طوال مدة الاشتراك النشط، مضافاً إليها المدة التي يتطلبها القانون المعمول به أو اتفاقية العميل. بعد إنهاء الاشتراك، تُعاد بيانات العميل أو تُحذف وفقاً لاتفاقية DPA، عادةً في غضون تسعين (90) يوماً، ما لم يلزم الاحتفاظ بها لمدة أطول لأسباب قانونية أو تنظيمية. تُمحى النسخ الاحتياطية وفق جدولنا للتعافي من الكوارث.
الأمان
نُحافظ على برنامج لأمن المعلومات متوافق مع ISO/IEC 27001 ومعايير خدمات الثقة SOC 2. تشمل التدابير: التشفير أثناء النقل (TLS 1.2+) والتخزين (AES-256)، وعزل الشبكة، وضوابط الوصول المستندة إلى الأدوار، وفحوصات الثغرات الفصلية، واختبار الاختراق السنوي، وإجراءات رسمية للاستجابة للحوادث. لا يوجد نظام آمن تماماً، لكننا نسعى لتقليل المخاطر وإخطار الأطراف المتأثرة فور وقوع أي حادثة.
خصوصية الأطفال
الخدمات مخصّصة للاستخدام من قِبَل المؤسسات الصحية المرخّصة وموظفيها المعتمدين. وهي ليست موجّهة للأطفال، ولا نجمع عن قصد معلومات مباشرةً منهم. عندما يُدخل مقدّم رعاية سجلاً لمريض من الأطفال، تتم معالجته على أساس قانوني خاص بمقدّم الرعاية ويخضع لإشعار الخصوصية الخاص به.
تغييرات على هذه السياسة
قد نقوم بتحديث سياسة الخصوصية هذه من حين لآخر. سيتم الإعلان عن التغييرات الجوهرية داخل المنتج أو عبر البريد الإلكتروني قبل سريانها بثلاثين (30) يوماً على الأقل. ويعكس تاريخ «آخر تحديث» في أعلى هذا المستند الإصدار الحالي دائماً.
التواصل
تُوجَّه الأسئلة المتعلقة بسياسة الخصوصية هذه أو الطلبات الخاصة ببياناتك الشخصية إلى مسؤول حماية البيانات لدينا عبر dpo@the-clinic.net. كما يمكنك الكتابة إلينا على العنوان: Expand IT Inc., Attn: Data Protection Officer, 5980 Whitehorn Ave, Unit 169, Mississauga, ON L5V 2Y3, Canada.