פרטיות · קראו לפני שמירת מידע על מטופלים

מדיניות פרטיות

Psycholog-it בנויה על עיקרון Zero-Knowledge — המפעיל לא רואה ולא יכול לראות את הנתונים שלכם. מסמך זה מסביר בדיוק מה זה אומר, מה כן ומה לא נשמר, ולמי יש גישה למה.

🛡️ תקציר — חמש נקודות לזכירה

אנחנו לא רואים את הנתונים שלכם. מוצפנים במכשיר שלכם לפני שהם עוזבים אותו. למפעיל אין מפתח פענוח.
הנתונים בענן שלכם. OneDrive או Google Drive — בחשבון הפרטי שלכם. אנחנו לא מחזיקים שרת לנתונים הקליניים שלכם.
אנחנו לא משתמשים ב-cookies, באנליטיקס או במעקב צד-שלישי. אין Google Analytics, אין Sentry. הרישום היחיד הוא "צ'ק-אין" ברמת החשבון בעת כניסה — לעולם לא הנתונים הקליניים.
צד שלישי שאתם כן פוגשים: Google Fonts ו-CDN לטעינת קוד (משתמשים רק ברגע שטוענים את האפליקציה), ו-Microsoft / Google בעת סנכרון לענן שלכם. פירוט בסעיף 7.
לפי החוק הישראלי, אתם בעלי מאגר המידע של המטופלים שלכם — לא אנחנו. החובות לרשום ולנהל את המאגר חלות עליכם.

01 מי אנחנו

Psycholog-it מופעלת על ידי עוסק מורשה יחיד בישראל ("המפעיל", "אנחנו"). השירות הוא תוכנת ניהול קליניקה ורשומה רפואית עבור פסיכולוגים עצמאיים. ליצירת קשר בענייני פרטיות: psychologitapp@gmail.com.

02 מודל ה-Zero-Knowledge — איך זה עובד

בניגוד לתוכנות SaaS רגילות שבהן הנתונים שלכם נשמרים בשרת של ספק התוכנה, Psycholog-it בנויה כך שהמפעיל אינו רואה את הנתונים לעולם:

הכל קורה במכשיר שלכם. Psycholog-it רצה כ-Progressive Web App (PWA) — בדפדפן שלכם, כאפליקציה מותקנת בטלפון, או על המחשב.
סיסמת ההצפנה שלכם לא עוזבת את המכשיר. היא משמשת לגזירת מפתח הצפנה בשיטת PBKDF2. אנחנו לא יודעים אותה, לא מקבלים אותה, ולא יכולים לדעת אותה.
הנתונים מוצפנים במכשיר לפני שמירה. שמות מטופלים, רשומות קליניות, יומן, קבלות, יומן רופא, מסמכים — הכל עובר הצפנת AES-GCM (AES-256) לפני שהוא יוצא מהמכשיר.
הסנכרון הוא לענן הפרטי שלכם בלבד. השימוש באפליקציה כולל חיבור לחשבון OneDrive או Google Drive הפרטי שלכם; הנתונים המוצפנים נשמרים שם — לא בשרת של המפעיל. אנחנו לא מחזיקים שרת לנתונים הקליניים שלכם.
גם אם תקבלו פניה משפטית — אין לנו מה לתת. בארכיטקטורה הזו, גם אם רשות חוקרת תפנה אלינו ותדרוש את הנתונים שלכם, אין לנו אותם. אין מסד נתונים שמחזיק רשומות פסיכולוגיות — שרת המנויים מחזיק רק מטא-דאטה של חשבון (ללא כל תוכן קליני).

למה זה חשוב במיוחד לפסיכולוגים: רשומות פסיכותרפיה הן בין סוגי המידע הרגישים ביותר. ה"חוק החדש" להגנת הפרטיות מסווג מידע רפואי כ"מידע רגיש" וקובע חובות אבטחה מחמירות. מודל Zero-Knowledge מצמצם משמעותית את הסיכון — אין שרת מרכזי שמחזיק את הנתונים הקליניים שלכם, כך שדליפת שרת לא יכולה לחשוף רשומות מטופלים. (שרת המנויים מחזיק רק מטא-דאטה של חשבון: hash של אימייל וזמני כניסה — ללא תוכן קליני.)

03 מה אנחנו לא רואים ולא אוספים

המפעיל אינו רואה, אוסף או מאחסן את הפרטים הבאים בשום שלב:

שמות מטופלים, תעודות זהות, פרטי קשר, מגדר, היסטוריה רפואית — לרבות אנשי קשר לחירום, אפוטרופוסים וייפויי כוח, ככל שמולאו.
תוכן רשומות קליניות, אבחנות, הערות אישיות, יומן רופא.
יומן הפגישות, מועדי פגישות, סטטוס נוכחות.
קבלות, סכומי תשלום, נתוני חשבונאות.
סיסמת ההצפנה שלכם או קוד השחזור שלכם.
מסמכים שהעליתם לספריית התבניות או כקבצים מצורפים למטופלים.
נתוני הקלטות קוליות או תמלולים (הקלטה מוצפנת ומאוחסנת בענן שלכם בלבד).

מה כן יודעים על קיומכם? אם רכשתם רישוי שנתי, יש לנו את כתובת הדוא"ל שלכם (לשליחת המפתח) ואת פרטי החשבונית. גם זה הוא קשר עסקי בלבד — לא דרך לראות את הנתונים בקליניקה.

04 מה נשמר במכשיר שלכם

האפליקציה משתמשת בשני סוגי אחסון מקומי בדפדפן שלכם:

IndexedDB — המידע הקליני המוצפן

כל הנתונים הקליניים (מטופלים, פגישות, רשומות, קבלות, יומן רופא, מסמכים) נשמרים ב-IndexedDB של הדפדפן — מוצפנים. ללא הסיסמה שלכם, התוכן בלתי קריא גם למי שיש לו גישה למכשיר.

localStorage — דגלים תפעוליים בלבד

בנוסף, האפליקציה שומרת ב-localStorage מספר ערכים תפעוליים שאינם מכילים מידע על מטופלים:

clinic_auth_mode — איזו שיטת התחברות בחרתם (Microsoft / Google / מקומי).
clinic_last_sync — מועד הסנכרון האחרון, להצגה בממשק.
clinic_local_pass — סיסמה מקומית ב-hash בלבד (במצב "מקומי") — לא הסיסמה עצמה.
clinic_security_q, clinic_security_a — שאלת שחזור ותשובה, שתיהן ב-hash (במצב "מקומי").
clinic_therapist_name, clinic_license_num, clinic_saved_signature — שם המטפל, מספר רישיון, וחתימה דיגיטלית — לשימוש בכותרת PDFs ובמסמכים.
clinic_templates — תבניות ניסוח של רשומה קלינית (JSON). תוכן התבניות בלבד — אינו מכיל תוכן רשומות מטופלים.
clinic_show_cancelled, clinic_show_holidays — העדפות תצוגה ביומן (האם להציג פגישות מבוטלות / חגי ישראל).
google_client_id — מזהה Client ID של Google Cloud, רק אם השתמשתם באשף "Client ID משלכם" לחיבור Google Drive. ריק אם השתמשתם בכפתור "כניסה עם חשבון Google" המובנה.
recovery_seed_optin_dismissed_v1 — דגל "אל תציע שוב" עבור ההזמנה להגדיר קוד שחזור.
install-prompt-never, install-prompt-snoozed-until — דגלי "אל תציג שוב" / "לא עכשיו" לחלון ההמלצה להתקין את האפליקציה כ-PWA.
pwa-sw-ever-installed — דגל האם Service Worker הופעל אי-פעם במכשיר זה (לאבחון). אינו מזהה משתמש.
clinic_session_persist_v1 — (אופציונלי, בנייד בלבד) מצביע לסשן הצפנה מתמשך — רק אם הפעלתם "📱 שמירת חיבור בנייד" בהגדרות. TTL של 15 דקות; מצביע ל-IndexedDB — לא חומר מפתח.

זה לא Cookies של מעקב. אלה ערכים שהאפליקציה צריכה כדי לפעול. הם אינם משותפים עם אף צד שלישי, ואינם משמשים למעקב או פרסום.

05 Cookies, אנליטיקס ומעקב

הצהרה: Psycholog-it אינה משתמשת ב-cookies, באנליטיקס או במעקב צד-שלישי. הרישום היחיד הוא "צ'ק-אין" ברמת החשבון בעת הכניסה (פירוט למטה) — לעולם לא תוכן קליני.

פירוט:

אין Cookies. השרת שלנו לא מגדיר cookies, והאפליקציה לא קוראת או כותבת ל-document.cookie.
אין Google Analytics, Mixpanel, Amplitude, PostHog, Hotjar, Sentry, Datadog או כל מערכת מעקב משתמשים אחרת.
אין pixel tracking של Facebook, Google Ads או דומיהם.
אין סקריפטים של פרסום.
אין fingerprinting של דפדפן או מכשיר.

לצורך אימות מנוי/רישיון, האפליקציה מבצעת "צ'ק-אין" בעת הכניסה: היא שולחת לשרת של המפעיל את כתובת האימייל של החשבון שאיתו התחברתם (Microsoft/Google) — בצורת hash — יחד עם חותמת זמן, גרסת האפליקציה וסטטוס הרישיון (ניסיון/בתשלום). כך המפעיל יודע כמה משתמשים רשומים ופעילים יש, ומתי כל חשבון נכנס. המפעיל אינו רואה מה אתם עושים בתוך האפליקציה — לא אילו מטופלים יש לכם, לא תוכן הרשומות, לא דרך הניווט, ולעולם לא נתונים קליניים. אין Google Analytics, אין cookies, אין מעקב צד-שלישי — רק הצ'ק-אין הראשוני ברמת החשבון.

מה בדיוק נשלח בצ'ק-אין:

hash (חד-כיווני) של כתובת האימייל של החשבון — לא האימייל עצמו.
חותמת זמן של הכניסה, גרסת האפליקציה, וסטטוס הרישיון (ניסיון / בתשלום).

המטרה: אימות מנוי/רישיון, ספירת משתמשים פעילים, ואפשרות לביטול גישה מרחוק. הנתונים נשמרים אצל המפעיל (שרת מנויים נפרד), ולעולם אינם כוללים תוכן קליני — לא מטופלים, לא רשומות, לא אבחנות.

06 "בעלי מאגר המידע" — אתם, לא אנחנו

לפי חוק הגנת הפרטיות, התשמ"א-1981, ותקנותיו (לרבות תקנות הגנת הפרטיות (אבטחת מידע), התשע"ז-2017), מי שמחזיק במאגר של נתונים אישיים נדרש להירשם, להגדיר מנהל מאגר, ולעמוד בחובות אבטחה מסוימות.

במודל Zero-Knowledge, המפעיל אינו מחזיק במאגר — אתם מחזיקים בו. משמעות הדבר:

אתם בעלי מאגר המידע של המטופלים שלכם ("Data Controller" בלשון GDPR).
חובת רישום המאגר ברשם מאגרי המידע (אם נדרש לפי גודל המאגר ורגישות המידע) חלה עליכם.
חובת הודעה למטופל על איסוף המידע, חובות סודיות מקצועית (חוק זכויות החולה, חוק הפסיכולוגים), וזכויות עיון של מטופל — חלות עליכם.
במקרה של אירוע אבטחת מידע במכשיר שלכם או בענן הפרטי שלכם — חובת הדיווח, ככל שחלה, היא עליכם בלבד.

Psycholog-it היא "מעבד" (Processor) בלבד — היא הכלי שאתם משתמשים בו לנהל את המאגר שלכם. אנו לא קובעים מטרות עיבוד, לא בוחרים אילו נתונים לשמור, ולא ניגשים לתוכן.

חשוב: אם אתם לא בטוחים האם חלה עליכם חובת רישום מאגר מידע — התייעצו עם עורך דין המתמחה בפרטיות או עם הרשות להגנת הפרטיות. Psycholog-it אינה ייעוץ משפטי.

07 צדדים שלישיים — מי נוגע במה

גם שבמודל Zero-Knowledge המפעיל אינו רואה את הנתונים, האפליקציה בעצמה רצה בדפדפן ולכן מעורבים כמה צדדים שלישיים. הנה רשימה מלאה ומה כל אחד מהם רואה:

7.1 בעת טעינת האפליקציה (תמיד)

שירות	דומיין	מה הוא רואה
Google Fonts	fonts.googleapis.com fonts.gstatic.com	כתובת ה-IP שלכם בעת טעינת הגופנים (Assistant, Heebo). זה מאפשר ל-Google לדעת שמישהו מאותו IP טען עמוד שמשתמש בגופנים האלה.
jsDelivr CDN	cdn.jsdelivr.net	IP בעת טעינת ספריית Microsoft Authentication (msal-browser). משמש לנגישות מהירה של הקוד.
SheetJS CDN	cdn.sheetjs.com	IP בעת טעינת ספריית קריאה/כתיבה של אקסל.

טעינות אלה מבוצעות פעם אחת, נשמרות ב-cache של הדפדפן, ולא חוזרות בכל שימוש. הן אינן משדרות מידע על המטופלים שלכם — רק את העובדה שטענתם את הקובץ.

7.2 בעת התחברות עם Microsoft (אם בחרתם)

שירות	דומיין	מה הוא רואה
Microsoft Identity	login.microsoftonline.com	תהליך OAuth — אתם מתחברים לחשבון Microsoft שלכם ומאשרים לאפליקציה גישה ל-OneDrive שלכם.
Microsoft Graph	graph.microsoft.com	כתובת הדוא"ל ושם החשבון Microsoft שלכם (לזיהוי), ובעת סנכרון — קבצי הנתונים המוצפנים נכתבים ל-OneDrive שלכם תחת תיקיית `/ClinicApp/`. התוכן מוצפן — Microsoft לא רואה אותו.

7.3 בעת התחברות עם Google (אם בחרתם)

שירות	דומיין	מה הוא רואה
Google Identity	accounts.google.com	תהליך OAuth — אישור גישה ל-Google Drive.
Google Drive API	googleapis.com	שם וכתובת הדוא"ל של חשבון Google שלכם, וקבצי הנתונים המוצפנים בעת סנכרון. התוכן מוצפן — Google לא רואה אותו.

7.4 כשאתם בחירה לשלוח מסמך למטופל

שירות	איך הוא מעורב	מה הוא רואה
WhatsApp	פתיחת WhatsApp Web/App עם הקובץ והודעה.	הקובץ הוא תבנית ריקה מספריית התבניות שלכם — ללא נתוני מטופל. רק מספר הטלפון של המטופל ותוכן ההודעה שכתבתם נראים על ידי WhatsApp. שיגור על ידכם באופן ידני. בידיהם של WhatsApp/Meta מאז שלחתם.
Email	פתיחת לקוח הדוא"ל שלכם.	הקובץ + הודעה + כתובת המטופל. בידי ספק הדוא"ל שלכם (Gmail / Outlook / וכו') ושל המטופל.

פעולות שיתוף אלה הן בידי המשתמש, יזומות במפורש, ולכל מסמך בנפרד. הספקים הללו פועלים תחת תנאי השימוש ומדיניות הפרטיות שלהם. המפעיל אינו צד להתקשרות.

חשוב מאוד: Microsoft ו-Google שולחים את הנתונים שלכם רק כשאתם בוחרים בסנכרון. בלי סנכרון, האפליקציה רצה Local-Only — שום נתון לא יוצא מהמכשיר שלכם בכלל. תוכלו לבדוק את הבחירה ב-⚙️ הגדרות.

08 אבטחה — איך אנחנו מגנים על הנתונים

הצפנת AES-GCM (AES-256) על כל נתון לפני שמירה.
גזירת מפתח ב-PBKDF2 עם 600,000 איטרציות (SHA-256), מה שמקשה משמעותית על ניסיונות פיצוח. (תואם להמלצת OWASP 2023.)
נעילת מסך אוטומטית לאחר 15 דקות של חוסר פעילות — ניתן להחזיר את האפליקציה למצב פעיל רק עם הסיסמה.
חתימה דיגיטלית על רשומות חתומות — לאחר חתימת רשומה היא הופכת לבלתי ניתנת לשינוי; תיקון יוצר גרסה חדשה תוך שמירת המקורית (Append-Only).
יומן ביקורת (Audit Log) — כל פעולה משמעותית מתועדת בלוג בלתי ניתן לעריכה.
HTTPS בלבד לטעינת האפליקציה ולכל תקשורת איתה.

אבל זה לא מספיק לבד: אבטחת המכשיר עצמו (סיסמה למחשב/טלפון, הצפנת דיסק, אנטי-וירוס עדכני, היעדר נוזקות), אבטחת חשבון הענן הפרטי שלכם (סיסמה חזקה, MFA / 2FA, היגיינת פישינג), ושמירת קוד השחזור במקום בטוח — הם באחריותכם הבלעדית. אבטחה היא שרשרת, ואנחנו מטפלים רק בחלק שלה.

09 זכויותיכם

בכל הקשור לנתונים שלכם בשירות:

זכות גישה — אתם הבעלים היחידים והגישה בידיכם תמיד.
זכות תיקון — אתם יכולים לערוך, לתקן או להוסיף הערה לכל רשומה (רשומה חתומה תיצור גרסה מתוקנת תוך שמירת הגרסה החתומה לפי דין).
זכות מחיקה (לפי דין) — חוקי שמירת רשומה רפואית בישראל מחייבים שמירה למשך פרק זמן מינימלי (לעיתים 7 שנים, לעיתים יותר). בכפוף לכך, אתם רשאים למחוק נתונים מהמכשיר ומהענן הפרטי שלכם בכל עת.
ניידות נתונים — ייצוא ל-PDF, Excel ו-JSON בכל עת, ללא נעילה בפורמט קנייני.

ביחס לנתונים שמטופל שלכם מסר לכם — חובות עיון, תיקון ומחיקה לפי חוק זכויות החולה וחוק הגנת הפרטיות חלות עליכם כבעלי המאגר.

10 העברה בינלאומית של מידע

המפעיל עצמו אינו מבצע העברה בינלאומית של מידע מטופלים — לא יש לנו את המידע כדי להעבירו.

אבל — אם בחרתם בסנכרון, הנתונים המוצפנים שלכם יישמרו במרכזי הנתונים של Microsoft או Google, שעשויים להיות מחוץ לישראל (האיחוד האירופי, ארה"ב, או אזורים אחרים בהתאם להגדרות החשבון שלכם). תנאי השימוש של Microsoft/Google מסדירים את העברת הנתונים אצלם.

מכיוון שהנתונים מוצפנים לפני שהם עוזבים את המכשיר שלכם, הסיכון המעשי בהעברה הוא נמוך — גם אם מישהו יקבל גישה לקבצים במרכז הנתונים, ללא המפתח הם בלתי קריאים.

11 מטופלים קטינים

השירות מיועד לאנשי מקצוע מורשים. אם הקליניקה שלכם מטפלת בקטינים, עליכם להבטיח שיש לכם הסכמה תקפה מהאחראי החוקי לפי חוק הכשרות המשפטית והאפוטרופסות, וכי הטיפול בנתוני קטינים תואם את הדינים החלים. המפעיל אינו מספק אבחנה אוטומטית של גיל המטופלים — הניהול הוא באחריותכם.

תקופת שמירה לרשומות של מטופלים קטינים: רשומה רפואית של מטופל קטין נשמרת לפחות עד הגיעו לגיל 25 (לפי הנחיות משרד הבריאות ומשרד החינוך). חובת קביעת תקופת השמירה והתאמתה לסוג הרשומה חלה עליכם כבעלי מאגר המידע.

12 שינויים במדיניות זו

מדיניות זו עשויה להתעדכן מעת לעת. הגרסה העדכנית תוצג תמיד בכתובת זו, עם תאריך עדכון אחרון. שינוי מהותי יובא לידיעת המשתמשים באמצעות הודעה באפליקציה או בדוא"ל.

13 שאלות פרטיות?

שאלות, פניות בנושאי פרטיות, או דיווח על אירוע אבטחה — psychologitapp@gmail.com.

אנו נשתדל לחזור בתוך זמן סביר. שימו לב שבגלל אופי Zero-Knowledge, איננו יכולים לחפש או לראות מידע על הקליניקה שלכם — לפניה מועילה, צרפו פרטים רלוונטיים על המקרה.

עודכן לאחרונה: 28 במאי 2026

תנאי שימוש · צרו קשר · דף הבית

Psycholog-it · תוכנת ניהול קליניקה לפסיכולוגים בישראל