גרסה חדשה של אפליקציית איזיביזי!

לשיחת היכרות
כניסה למערכת

הסכם עיבוד נתונים - DPA

בין: הלקוח, אשר פרטיו יימסרו במועד ההתקשרות עם החברה (להלן: "בעל המאגר");

לבין: איזיביזי לעסקים בע"מ ח.פ. 514962984 (להלן: "המעבד" או "החברה");

הואיל:    ובין הצדדים נחתם הסכם למתן שירותים (להלן: "ההסכם העיקרי") במסגרתו המעבד מספק לבעל המאגר שירותי מחשוב ענן, לרבות, ניהול יומן, ניהול קופה, ניהול מידע, ניתוח נתונים, מערכת לזימון תורים, מערכת ליצירת טפסים רפואיים ושליחת הודעות בתפוצה;

והואיל: ובמסגרת מתן השירותים, המעבד עשוי להיחשף, לקבל או לעבד מידע אישי ורפואי השייך לבעל המאגר או המוחזק על ידו על לקוחותיו ו/או מטופליו (להלן, בהתאמה: "המידע" ו-"נושאי המידע");

והואיל:  והצדדים מאשרים כי המידע כולל או עשוי לכלול נתונים רפואיים ואישיים בהיקף משמעותי, ולפיכך המאגר עונה על הגדרת מאגר ברמת אבטחה גבוהה בהתאם לתקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017 (להלן: "התקנות");

והואיל: ותקנה 15 לתקנות מחייבת כי התקשרות בין בעל מאגר לבין מעבד מידע תעוגן בהסכם בכתב הכולל הוראות ספציפיות המפורטות בתקנה;

והואיל:  והצדדים מעוניינים להסדיר בכתב את התחייבויות המעבד בנוגע לאבטחת המידע, סודיותו ואופן העיבוד שלו, הכל כפי שיפורט בנספח זה להלן.

לפיכך הוסכם והותנה בין הצדדים כדלקמן:

  1. מבוא והצהרות
    1.1 הסכם זה מהווה נספח בלתי נפרד מהסכם ההתקשרות העיקרי שבין הצדדים.

    1.2 המעבד מאשר כי ידוע לו שהמידע המועבר לעיבודו כולל או עשוי לכלול מידע רפואי ואישי בהיקף נרחב של מעל 100,000 נושאי מידע, ולפיכך המאגר מוגדר כבעל רמת אבטחה גבוהה לפי התקנות;

    1.3 המעבד מצהיר כי הוא עומד בכל דרישות התקנות וכי הוא מחזיק בתשתיות ובידע הנדרשים לעיבוד מידע ברמת אבטחה גבוהה.

  2. מטרות העיבוד והוראות המעבד (תקנה 15(א)(1)
    2.1 המעבד מתחייב לעבד את המידע אך ורק בהתאם להוראות בעל המאגר ובכתב, ולצורך מתן השירותים המוגדרים בהסכם העיקרי בלבד.

    2.2 חל איסור על המעבד לעשות כל שימוש במידע לכל מטרה אחרת, לרבות שימוש לצרכיו הפרטיים או לצרכי צד ג'.

  3. פירוט סוגי המידע ופעולות העיבוד (תקנה 15(א)(2)
    3.1 סוגי המידע המועברים:
  • פרטי קשר של בעל המאגר ושל נושאי המידע (מס' טלפון, כתובת דואר אלקטרוני);
  • מספר תעודת זהות של נושאי המידע;
  • נתונים רפואיים, אבחנות, סוגי טיפול;
  • צילומים רפואיים וקוסמטיים;
  • הצהרות בריאות של נושאי המידע;
  • תיעוד על הטיפול של נושאי המידע על ידי בעל המאגר;
  • תיעוד של פגישות של נושאי המידע אצל בעל המאגר;

    3.2 פעולות העיבוד המותרות:

  • אחסון נתונים ורישומים רפואיים של נושאי המידע;
  • ניתוח נתונים והפקת דוחות;
  • שמירה על נתונים;

    3.3 משך העיבוד: לאורך תקופת ההתקשרות, אלא אם יורה בעל המאגר אחרת בכתב, או על פי דין, המאוחר מביניהם.

  1. כוח אדם, הרשאות וסודיות (תקנה 15(א)(3)
    4.1 המעבד יקבע רשימת מורשי גישה מצומצמת למידע, בהתאם לעיקרון "הצורך לדעת" (Need to Know).

    4.2 המעבד מתחייב לבצע בדיקות מהימנות תקופתיות לכלל עובדיו בעלי הגישה למידע, בהתאם לדרישות רמת אבטחה גבוהה הקבועות בתקנה 8 לתקנות.

    4.3 המעבד יחתים את כל עובדיו וקבלני המשנה מטעמו על התחייבות לשמירה על סודיות המידע הרפואי והאישי של נושאי המידע.

    4.4 כל בקשה מצד העובדים בחברה, נשמרת ומתועדת אצל החברה.

  2. אמצעי אבטחת מידע ודיווח על אירועים (תקנה 15(א)(4))
    5.1 המעבד יישם את כלל אמצעי האבטחה הנדרשים לרמת אבטחה גבוהה, לרבות הצפנת המידע במנוחה ובמעבר, הפרדת רשתות, ניהול רישום גישה אוטומטי (Logs) ואימות רב-שלבי (MFA)כמפורט להלן.

    5.2 הצפנת מידע. החברה פועלת לשמירה ולהצפנה של המידע שעובר במערכת, באופן הבא:

  • הסיסמאות מוצפנות באמצעות Salted password hashing using bcrypt ;
  • מידע על כרטיסי אשראי ומידע על חיובי אשראי של לקוחות ו/או של נושאי המידע  – נמצא בידי Z קרדיט (לא אצל החברה);
  • קבצים של טפסים רפואיים (pdf) מוצפנים על גבי s3 Server-Side Encryption with Amazon S3 managed keys (SSE-S3) – לרבות טפסים שמולאו וקבצים שצורפו על ידי הלקוח ו/או נושא/י המידע.

    5.3 ניהול לוגים. לוגים של פעילות המערכת של החברה והאפליקציה נוצרים ונשמרים באופן אוטומטי על גבי שרתי המערכת. ניהול הלוגים מתבצע באמצעות תשתית השרת והריצה (PM2 עבור שירותי js ו-IIS עבור שירותים מבוססי Windows), ומאפשר ניטור, איתור תקלות ובקרה תפעולית.

    5.3.1 המעבד ידווח לבעל המאגר על כל אירוע אבטחה, חשש לאירוע כזה, או חריגה מהרשאות גישה ללא דיחוי ולא יאוחר ממועד סביר בנסיבות העניין.

    5.3.2 יפעל ליישום אמצעי אבטחת מידע ובקרה התואמים את דרישות הדין החל, נהלי האבטחה הנהוגים והסטנדרטים המקובלים בתחום

  1. החזרת מידע והשמדתו בסיום ההתקשרות (תקנה 15(א)(5))

    6.1 עם סיום ההתקשרות, ישיב המעבד לבעל המאגר את כלל המידע וימחק לצמיתות כל עותק קיים ממערכותיו וסביבותיו, למעט מידע שהמעבד נדרש לשמור בהתאם להוראות הדין.

    6.2 המחיקה תבוצע בשיטה שתיקבע על ידי המעבד ותתועד על ידו במועד הרלוונטי, באופן שנועד למנוע שחזור של המידע באמצעים טכנולוגיים סבירים.

    6.3 תוך שלושים (30) יום מסיום המחיקה, ימציא המעבד אישור בכתב חתום על ידי ממונה אבטחת מידע (CISO) המאשר את ביצוע המחיקה המוחלטת, בנוסח המצ"ב כנספח 3 להסכם זה.

  2. החזרת מידע ומחיקתו בהתאם לבקשת לקוח קצה

    7.1 כל פניה של נושא מידע למעבד בדבר בקשה למחיקת מידע הנוגע אליו ו/או אל לקוח קצה תועבר אל בעל העסק ללא דיחוי.

    7.2 בנוסף, יודיע המעבד לנושא המידע בדבר הטיפול בבקשה ויפנה אותו לבעל המאגר.

    7.3 בעל המאגר (בית העסק) יודיע מיידית, ולא יאוחר מ-5 ימים ממועד פניית המעבד לבעל המאגר, לגבי היתכנות מחיקת המידע המבוקש בהתאם להוראות הדין החלות עליו ועל המידע שאסף בכפוף לגבלות ההתיישנות (בהתאם לסוג המידע – רפואי, פיננסי, דיוור ישיר או אחר).

    7.4 בהתאם להנחיות בעל המאגר כאמור לעיל, יפעל המעבד וימחק, אם וככל שניתן, את המידע, כמפורט בבקשת המחיקה מטעם נושא המידע ויודיע לבעל מאגר המידע (הבית העסק) שהפעולה בוצעה. על בעל מאגר המידע ליידע את נושא המידע בדבר המחיקה שבוצעה (או שלא בוצעה).

    7.5 למען הסר ספק, האחריות המלאה לביצוע המחיקה, לעדכון הלקוח בדבר מחיקת המידע ותוצאותיו, לרבות ההחלטה למחוק את המידע או האם יש דרישה רגולטורית שלא למחוק את המידע או כל חלק ממנו, חלה על בעל המאגר (בית העסק) בלבד, ולמעבד לא תהיה כל אחריות בנושא זה.

  3. העברת מידע אל מחוץ לגבולות המדינה ושימוש בתשתית ענן

    8.1 החברה אינה מעבירה מידע או מידע אישי או מידע אישי רגיש אל מחוץ לגבולות ישראל. המידע יאוחסן בשרתים הממוקמים בענן של clubvs ובענן של AWS (Amazon) בישראל.

    8.2 העברת המידע מתבצעת בהתאם לתקנות הגנת הפרטיות (העברת מידע אל מאגרי מידע שמעבר לגבולות המדינה), התשס"א-2001.

    8.3 החברה עושה שימוש בתשתיות הענן של Amazon Web Services ‏(AWS) ובפרט באזור השירות בישראל (AWS Tel Aviv Region) לצורך עיבוד, אחסון ואבטחת מידע אישי.

    8.4 החברה מצהירה כי, למיטב ידיעתה ובהתאם לפרסומי AWS , שירותי AWS מופעלים בהתאם לסטנדרטים בינלאומיים מחמירים בתחום אבטחת המידע והגנת הפרטיות, ובכלל זה בהתאם להוראות ה-GDPR  ולתנאי נספח עיבוד הנתונים של AWS (AWS Data Processing Addendum (DPA)) הזמין בכתובת: https://docs.aws.amazon.com/whitepapers/latest/navigating-gdpr-compliance/aws-data-processing-addendum-dpa.html

    8.5 החברה נוקטת באמצעים סבירים על מנת לוודא כי המידע האישי נשמר ומעובד באזור השירות בישראל של AWS בלבד, וכי מיושמים ביחס אליו אמצעים טכנולוגיים, ארגוניים ומשפטיים התואמים סטנדרטים מקובלים של אבטחת מידע והגנת פרטיות, בהתאם להוראות הדין החל בישראל.

  4. חובות פיקוח וזכות ביקורת (תקנה 15(ב))

    9.1 המעבד יאפשר לבעל המאגר, או למי מטעמו, לבצע בדיקות וביקורות תקופתיות (Audits) סבירות הנוגעות לעמידת המעבד בהתחייבויותיו לפי נספח זה, בתיאום מראש, בשעות העבודה המקובלות, בתדירות סבירה, ובכפוף לשמירה על סודיות, אבטחת מידע והגנה על מידע של לקוחות אחרים ושל צדדים שלישיים.

    9.2 המעבד ימסור לבעל המאגר דיווח שנתי אודות אופן עמידתו בחובותיו לפי תקנה 15.

    9.3 המעבד לא יסתייע בקבלן משנה (Sub-processor) לצורך עיבוד המידע בכפוף לכך שקבלן המשנה יחויב בהתחייוביות מהותיות תואמות לשאלו הקבועות בנספח זה ככל שהן רלוונטיות לשירותיו.

באתר שלנו עושים שימוש בקבצי cookies ובכלים דומים, כדי לשפר את חווית הגלישה. המשך גלישתך באתר מהווה הסכמה לכך. אפשר לקרוא על זה במדיניות הפרטיות

הבנתי
X