سياسة الخصوصية

تُولِي وزارة الصحة بحكومة ليبيا — الجهة المُشغِّلة لنظام الإحالات الطبية — أهميةً قصوى لخصوصية المستخدمين وبيانات المرضى. توضِّح هذه السياسة كيفية جمع المعلومات واستخدامها وحمايتها داخل التطبيق والموقع.

1. الجهة المُتحكِّمة في البيانات (Data Controller)

وزارة الصحة — الحكومة الليبية هي المسؤولة عن معالجة جميع البيانات داخل النظام، وتعمل وفق التشريعات الليبية وأفضل ممارسات حماية البيانات الصحية الدولية (HIPAA-aligned).

2. ما البيانات التي نجمعها؟

2.1 بيانات الحسابات الطبية

  • الاسم الكامل والبريد الإلكتروني للأطباء والإداريين.
  • المستشفى/المنشأة الصحية المرتبطة بالحساب.
  • الدور الوظيفي (مدير مستشفى، طبيب مستقبِل، طبيب مُحوِّل).
  • كلمة المرور (مُشفَّرة بـ bcrypt — لا يمكن استعادتها كنص واضح).

2.2 بيانات المرضى

  • الاسم، رقم الهوية، رقم السجل الطبي (MRN)، الجوال، العنوان.
  • الجنس، تاريخ الميلاد/العمر، نوع الإقامة (زائر/إيواء).
  • سبب التحويل، التشخيص الأولي، التخصص المطلوب.
  • المرفقات الطبية (صور أشعة، تقارير، وصفات) — يرفعها الطبيب يدوياً.

2.3 بيانات تشغيلية

  • عنوان IP وزمن الدخول (لأغراض الأمان وكشف الاستخدام غير المصرَّح به).
  • FCM Token لإرسال إشعارات Push (يُحذف عند تسجيل الخروج).
  • سجل الأنشطة (Activity Log): من قام بأي إجراء على كل إحالة.

3. كيف نستخدم البيانات؟

  • الغرض الرئيسي: تسهيل إدارة وتتبع تحويلات المرضى بين المستشفيات الحكومية والخاصة.
  • إرسال إشعارات (داخل التطبيق، Push، بريد، واتساب) للأطراف المعنية بكل إحالة.
  • توليد إحصاءات وتقارير مجمَّعة لوزارة الصحة (بدون أي بيانات تعريف شخصية).
  • التدقيق الأمني وحماية النظام من إساءة الاستخدام.

4. مع مَن تتم مشاركة البيانات؟

لا نبيع ولا نشارك بياناتك مع أي طرف ثالث لأغراض تسويقية أو تجارية. تتم المشاركة فقط مع:

  • المستشفى المُستقبِل للإحالة (في حدود ما تحتاجه لقبول/رفض الحالة).
  • وزارة الصحة للأغراض الإحصائية والتنظيمية.
  • مزوِّدو الخدمات التقنية الذين يلتزمون باتفاقيات سرية صارمة:
    • Google Firebase (إشعارات Push وحدها).
    • Meta WhatsApp Business API (إرسال إشعارات نصية للمستشفيات).
    • Cloudflare (حماية من الهجمات + شهادات SSL).
  • السلطات القضائية عند صدور أمر قضائي رسمي ينص على ذلك.

5. كيف نحمي البيانات؟

  • تشفير قنوات الاتصال بـ TLS 1.2+ (HTTPS) في كل مكان.
  • تخزين كلمات المرور بـ bcrypt (cost factor عالٍ).
  • المصادقة الثنائية (MFA) إلزامية لحسابات الإدارة العليا.
  • تخزين Tokens على الجوال داخل Keystore المُشفَّر بالنظام (Android Keystore / iOS Keychain).
  • حماية ضد لقطات الشاشة (FLAG_SECURE على Android، Privacy Overlay على iOS).
  • منع backup التلقائي لبيانات التطبيق الحساسة.
  • عناوين بديلة (تعمية) للهوية الوطنية (مثلاً: 1234****5678) عند العرض.
  • مراجعات أمنية دورية + اختبارات اختراق.

6. مدة الاحتفاظ بالبيانات

  • بيانات المرضى والإحالات: تُحفَظ مدة لا تقل عن 10 سنوات وفقاً لقوانين السجلات الطبية الليبية.
  • بيانات الحسابات: تُحفَظ حتى طلب الحذف الصريح من المستخدم.
  • سجلات الدخول (IP, timestamps): 90 يوماً ثم تُحذف تلقائياً.
  • FCM Tokens: تُحذف عند تسجيل الخروج أو بعد 60 يوماً من عدم الاستخدام.

7. حقوقك

  • الوصول: طلب نسخة من بياناتك الشخصية.
  • التصحيح: طلب تعديل أي بيانات غير دقيقة.
  • الحذف: طلب حذف حسابك عبر صفحة طلب حذف الحساب.
  • الاعتراض: الاعتراض على معالجة بيانات بعينها.
  • سحب الموافقة: سحب موافقتك على استلام الإشعارات في أي وقت.

8. الأطفال والقاصرون

التطبيق مُوجَّه للطواقم الطبية والإدارية فقط (18+). لا نسمح بإنشاء حسابات للقاصرين. أما بيانات المرضى من القاصرين فتُعالَج تحت إشراف وَلِيّ الأمر ووفق قوانين حماية الطفل.

9. ملفات تعريف الارتباط (Cookies)

نسخة الويب تستخدم cookies تقنية ضرورية لـ:

  • تذكُّر جلسة الدخول.
  • حماية CSRF.
  • تذكُّر تفضيلات اللغة والثيم.

لا نستخدم cookies للتتبع الإعلاني أو التحليلات السلوكية.

10. تحديثات هذه السياسة

قد نُحدِّث هذه السياسة من وقتٍ لآخر. التحديثات الجوهرية ستُعلَن عبر إشعار داخل التطبيق + بريد إلكتروني. تاريخ آخر تحديث مذكور أعلى الصفحة.

11. التواصل معنا

لأي استفسار حول الخصوصية أو لممارسة حقوقك:

  • 📧 البريد: privacy@health-ly.org
  • 📞 الهاتف: +218 21 123 4567
  • 📍 العنوان: وزارة الصحة، طرابلس، ليبيا