سياسة الخصوصية
تُولِي وزارة الصحة بحكومة ليبيا — الجهة المُشغِّلة لنظام الإحالات الطبية — أهميةً قصوى لخصوصية المستخدمين وبيانات المرضى. توضِّح هذه السياسة كيفية جمع المعلومات واستخدامها وحمايتها داخل التطبيق والموقع.
1. الجهة المُتحكِّمة في البيانات (Data Controller)
وزارة الصحة — الحكومة الليبية هي المسؤولة عن معالجة جميع البيانات داخل النظام، وتعمل وفق التشريعات الليبية وأفضل ممارسات حماية البيانات الصحية الدولية (HIPAA-aligned).
2. ما البيانات التي نجمعها؟
2.1 بيانات الحسابات الطبية
- الاسم الكامل والبريد الإلكتروني للأطباء والإداريين.
- المستشفى/المنشأة الصحية المرتبطة بالحساب.
- الدور الوظيفي (مدير مستشفى، طبيب مستقبِل، طبيب مُحوِّل).
- كلمة المرور (مُشفَّرة بـ bcrypt — لا يمكن استعادتها كنص واضح).
2.2 بيانات المرضى
- الاسم، رقم الهوية، رقم السجل الطبي (MRN)، الجوال، العنوان.
- الجنس، تاريخ الميلاد/العمر، نوع الإقامة (زائر/إيواء).
- سبب التحويل، التشخيص الأولي، التخصص المطلوب.
- المرفقات الطبية (صور أشعة، تقارير، وصفات) — يرفعها الطبيب يدوياً.
2.3 بيانات تشغيلية
- عنوان IP وزمن الدخول (لأغراض الأمان وكشف الاستخدام غير المصرَّح به).
- FCM Token لإرسال إشعارات Push (يُحذف عند تسجيل الخروج).
- سجل الأنشطة (Activity Log): من قام بأي إجراء على كل إحالة.
3. كيف نستخدم البيانات؟
- الغرض الرئيسي: تسهيل إدارة وتتبع تحويلات المرضى بين المستشفيات الحكومية والخاصة.
- إرسال إشعارات (داخل التطبيق، Push، بريد، واتساب) للأطراف المعنية بكل إحالة.
- توليد إحصاءات وتقارير مجمَّعة لوزارة الصحة (بدون أي بيانات تعريف شخصية).
- التدقيق الأمني وحماية النظام من إساءة الاستخدام.
4. مع مَن تتم مشاركة البيانات؟
لا نبيع ولا نشارك بياناتك مع أي طرف ثالث لأغراض تسويقية أو تجارية. تتم المشاركة فقط مع:
- المستشفى المُستقبِل للإحالة (في حدود ما تحتاجه لقبول/رفض الحالة).
- وزارة الصحة للأغراض الإحصائية والتنظيمية.
- مزوِّدو الخدمات التقنية الذين يلتزمون باتفاقيات سرية صارمة:
- Google Firebase (إشعارات Push وحدها).
- Meta WhatsApp Business API (إرسال إشعارات نصية للمستشفيات).
- Cloudflare (حماية من الهجمات + شهادات SSL).
- السلطات القضائية عند صدور أمر قضائي رسمي ينص على ذلك.
5. كيف نحمي البيانات؟
- تشفير قنوات الاتصال بـ TLS 1.2+ (HTTPS) في كل مكان.
- تخزين كلمات المرور بـ bcrypt (cost factor عالٍ).
- المصادقة الثنائية (MFA) إلزامية لحسابات الإدارة العليا.
- تخزين Tokens على الجوال داخل Keystore المُشفَّر بالنظام (Android Keystore / iOS Keychain).
- حماية ضد لقطات الشاشة (FLAG_SECURE على Android، Privacy Overlay على iOS).
- منع backup التلقائي لبيانات التطبيق الحساسة.
- عناوين بديلة (تعمية) للهوية الوطنية (مثلاً: 1234****5678) عند العرض.
- مراجعات أمنية دورية + اختبارات اختراق.
6. مدة الاحتفاظ بالبيانات
- بيانات المرضى والإحالات: تُحفَظ مدة لا تقل عن 10 سنوات وفقاً لقوانين السجلات الطبية الليبية.
- بيانات الحسابات: تُحفَظ حتى طلب الحذف الصريح من المستخدم.
- سجلات الدخول (IP, timestamps): 90 يوماً ثم تُحذف تلقائياً.
- FCM Tokens: تُحذف عند تسجيل الخروج أو بعد 60 يوماً من عدم الاستخدام.
7. حقوقك
- الوصول: طلب نسخة من بياناتك الشخصية.
- التصحيح: طلب تعديل أي بيانات غير دقيقة.
- الحذف: طلب حذف حسابك عبر صفحة طلب حذف الحساب.
- الاعتراض: الاعتراض على معالجة بيانات بعينها.
- سحب الموافقة: سحب موافقتك على استلام الإشعارات في أي وقت.
8. الأطفال والقاصرون
التطبيق مُوجَّه للطواقم الطبية والإدارية فقط (18+). لا نسمح بإنشاء حسابات للقاصرين. أما بيانات المرضى من القاصرين فتُعالَج تحت إشراف وَلِيّ الأمر ووفق قوانين حماية الطفل.
9. ملفات تعريف الارتباط (Cookies)
نسخة الويب تستخدم cookies تقنية ضرورية لـ:
- تذكُّر جلسة الدخول.
- حماية CSRF.
- تذكُّر تفضيلات اللغة والثيم.
لا نستخدم cookies للتتبع الإعلاني أو التحليلات السلوكية.
10. تحديثات هذه السياسة
قد نُحدِّث هذه السياسة من وقتٍ لآخر. التحديثات الجوهرية ستُعلَن عبر إشعار داخل التطبيق + بريد إلكتروني. تاريخ آخر تحديث مذكور أعلى الصفحة.
11. التواصل معنا
لأي استفسار حول الخصوصية أو لممارسة حقوقك:
- 📧 البريد: privacy@health-ly.org
- 📞 الهاتف: +218 21 123 4567
- 📍 العنوان: وزارة الصحة، طرابلس، ليبيا