اتفاقية معالجة البيانات (DPA)

آخر تحديث: 17 أبريل 2026 تاريخ السريان: 17 أبريل 2026

أهمية الاتفاقية: الاتفاقية دي بتوضح الأدوار والمسؤوليات في معالجة بيانات مرضاك. إنت (العيادة) = Data Controller. إحنا (iClinicOS) = Data Processor. الاتفاقية جزء من شروط الخدمة وبتلزم الطرفين.

١. الأطراف والأدوار

الطرف	الدور	المسؤولية
العيادة / الدكتور	Data Controller	بيحدد أي بيانات تُجمع وإزاي تُستخدم، وبيضمن موافقة المرضى
iClinicOS	Data Processor	بيعالج البيانات بالنيابة عن العيادة، فقط حسب تعليماتها
Sub-processors (Resend, Anthropic, إلخ)	Sub-processors	معالجة متخصصة (إيميل، AI) تحت إشراف iClinicOS

٢. نطاق المعالجة

أنواع البيانات اللي بنعالجها:

بيانات تعريفية: اسم، تليفون، إيميل، عمر، نوع
بيانات طبية (PHI): تشخيصات، روشتات، تحاليل، تاريخ مرضي، علامات حيوية
بيانات حجوزات: مواعيد، نوع الزيارة، ملاحظات
محادثات: رسايل البوت الذكي مع المريض

أنشطة المعالجة:

التخزين الآمن في قواعد بيانات مُشفّرة
العرض في الـ dashboard للطبيب والفريق المُصرّح
إرسال إشعارات وتذكيرات (إيميل/واتساب)
التحليل الذكي (AI) للمساعدة في تقديم الخدمة
Backups يومية
الحذف الآمن عند الطلب

٣. تعليمات المعالجة

iClinicOS بتعالج البيانات فقط:

حسب الإجراءات اللي تعملها في الـ dashboard.
حسب إعدادات العيادة اللي بتحددها (إرسال إيميلات، تذكيرات، إلخ).
لتوفير الخدمة المنصوص عليها في شروط الخدمة.
للامتثال للقوانين المصرية.

ممنوع: iClinicOS مش بتستخدم بيانات مرضاك لأغراض إعلانية، تدريب AI خارجي بدون موافقتك، أو مشاركة مع أطراف تانية خارج قائمة الـ sub-processors.

٤. التزامات iClinicOS (Data Processor)

تطبيق إجراءات الأمان التقنية والتنظيمية (موضحة في قسم 5).
ضمان أن كل موظف يتعامل مع البيانات مُلزم بالسرية.
عدم نقل البيانات خارج مصر بدون ضمانات قانونية مكافئة.
إبلاغ العيادة خلال 72 ساعة من اكتشاف أي اختراق بيانات.
مساعدة العيادة في الاستجابة لطلبات المرضى (الوصول، الحذف، إلخ).
توفير audit logs عند الطلب.
حذف كل البيانات عند انتهاء العقد (حسب اختيارك).

٥. إجراءات الأمان

تقنية:

تشفير TLS 1.3 لكل البيانات المنقولة
تشفير كلمات السر بـ bcrypt
عزل قواعد البيانات (network segmentation)
Firewall + WAF + DDoS protection
SQL injection prevention
Automated security patching

تنظيمية:

مراجعات أمان دورية
Access control صارم — least privilege principle
Audit logs شاملة
Incident response plan
تدريب الفريق على حماية البيانات

٦. Sub-processors المُعتمدين

Sub-processor	الغرض	الموقع	الضمانات
Anthropic (Claude API)	الذكاء الاصطناعي للبوت	US	DPA + SOC 2
Resend	إرسال الإيميل	US/EU	DPA + GDPR compliant
DigitalOcean	استضافة السيرفرات	EU/US	ISO 27001 + SOC 2
WhatsApp/Meta	بوت الواتساب (قريباً)	Global	DPA
Paymob/Fawry	معالجة الدفع (قريباً)	Egypt	PCI DSS

بنبلّغك بأي sub-processor جديد 30 يوم قبل إضافته. عندك الحق تعترض خلال الفترة دي.

٧. حقوق المرضى (Data Subjects)

العيادة مسؤولة عن الاستجابة لطلبات المرضى، وiClinicOS بتساعد من خلال:

Export بيانات المريض بصيغة JSON/CSV في 48 ساعة.
Delete بيانات المريض من النظام عند الطلب.
Correct البيانات الغلط عبر الـ dashboard.
توفير ال audit log لاي نشاط على بيانات المريض.

٨. إبلاغ اختراقات البيانات

لو حصل اختراق:

iClinicOS بتبلّغ العيادة خلال 72 ساعة من اكتشاف الاختراق.
البلاغ بيتضمن: طبيعة الاختراق، البيانات المتأثرة، الإجراءات المُتخذة.
العيادة مسؤولة عن إبلاغ المرضى المتأثرين (قانون رقم 151 لسنة 2020).
بنتعاون في التحقيق والتعافي.

٩. حقوق المراجعة (Audit Rights)

عندك الحق تطلب معلومات عن:

إجراءات الأمان المُطبقة.
قائمة الـ sub-processors.
Audit logs لبيانات عيادتك.
تقارير compliance (لو متوفرة).

١٠. إرجاع أو حذف البيانات

عند انتهاء الاتفاقية (إلغاء أو ترقية):

Option A: تصدير كل البيانات (JSON/CSV) خلال 30 يوم.
Option B: حذف كامل لكل البيانات خلال 30 يوم.
Option C: الاحتفاظ حسب القانون (7 سنين للسجلات الطبية).

١١. القانون الحاكم

الاتفاقية دي خاضعة لقوانين مصر، خاصة قانون حماية البيانات الشخصية رقم 151 لسنة 2020 وقوانين الممارسة الطبية.

🔒 Data Protection Officer

Ibrahim Maher

Email: privacy@iclinicos.com

Legal: legal@iclinicos.com

* This is not legal advice — consult a lawyer for final review.

Data Processing Agreement (DPA)

Last updated: April 17, 2026 Effective: April 17, 2026

Why this matters: This agreement clarifies roles and responsibilities for processing your patients' data. You (the clinic) = Data Controller. We (iClinicOS) = Data Processor. It is part of the Terms of Service and binding on both parties.

1. Parties and roles

Party	Role	Responsibility
Clinic / Doctor	Data Controller	Determines which data is collected and how it's used; ensures patient consent
iClinicOS	Data Processor	Processes data on the clinic's behalf per instructions
Sub-processors (Resend, Anthropic, etc.)	Sub-processors	Specialized processing (email, AI) under iClinicOS oversight

2. Scope of processing

Data types processed:

Identifiers: name, phone, email, age, gender
Medical (PHI): diagnoses, prescriptions, labs, medical history, vitals
Booking data: appointments, visit type, notes
Conversations: AI bot exchanges with patients

Processing activities:

Secure storage in encrypted databases
Display in dashboards for the doctor and authorized team
Sending notifications and reminders (email/WhatsApp)
AI-assisted analysis to support service delivery
Daily backups
Secure deletion upon request

3. Processing instructions

iClinicOS processes data only:

According to actions you perform in the dashboard.
According to clinic settings you configure (emails, reminders, etc.).
To provide the service described in the Terms of Service.
To comply with Egyptian law.

Prohibited: iClinicOS does NOT use patient data for advertising, external AI training without your consent, or sharing with third parties outside the sub-processor list.

4. iClinicOS obligations (Data Processor)

Apply technical and organizational security measures (detailed in section 5).
Ensure every staff member handling data is bound by confidentiality.
Not transfer data outside Egypt without equivalent legal safeguards.
Notify the clinic within 72 hours of discovering any data breach.
Assist the clinic in responding to patient requests (access, deletion, etc.).
Provide audit logs on request.
Delete all data on contract termination (per your choice).

5. Security measures

Technical:

TLS 1.3 encryption for all in-transit data
bcrypt password hashing
Database isolation (network segmentation)
Firewall + WAF + DDoS protection
SQL injection prevention
Automated security patching

Organizational:

Periodic security reviews
Strict access control — least privilege principle
Comprehensive audit logs
Incident response plan
Team training on data protection

6. Approved sub-processors

Sub-processor	Purpose	Location	Safeguards
Anthropic (Claude API)	AI bot	US	DPA + SOC 2
Resend	Email delivery	US/EU	DPA + GDPR compliant
DigitalOcean	Server hosting	EU/US	ISO 27001 + SOC 2
WhatsApp/Meta	WhatsApp bot (soon)	Global	DPA
Paymob/Fawry	Payment processing (soon)	Egypt	PCI DSS

We notify you of any new sub-processor 30 days before adding it. You have the right to object within that window.

7. Patient rights (data subjects)

The clinic is responsible for responding to patient requests; iClinicOS assists by:

Export patient data in JSON/CSV within 48 hours.
Delete patient data from the system on request.
Correct incorrect data via the dashboard.
Provide audit logs for any activity on patient data.

8. Data breach notification

If a breach occurs:

iClinicOS notifies the clinic within 72 hours of discovery.
Notice includes: breach nature, affected data, actions taken.
The clinic is responsible for notifying affected patients (Law 151/2020).
We cooperate on investigation and recovery.

9. Audit rights

You have the right to request information on:

Security measures in place.
The sub-processor list.
Audit logs for your clinic's data.
Compliance reports (when available).

10. Return or deletion of data

At contract end (cancellation or upgrade):

Option A: Export all data (JSON/CSV) within 30 days.
Option B: Full deletion within 30 days.
Option C: Legal retention (7 years for medical records).

11. Governing law

This agreement is governed by the laws of Egypt, particularly Personal Data Protection Law 151/2020 and medical practice laws.

🔒 Data Protection Officer

Ibrahim Maher

Email: privacy@iclinicos.com

Legal: legal@iclinicos.com

* This is not legal advice — consult a lawyer for final review.