מדיניות פרטיות למרפאה ב-Webflow: מידע רפואי, AWS ואינטגרציות CRM - הכל בציות מלא לחוק הישראלי
עודכן ב-14 ביולי 2025
מרפאה שבנתה את האתר ב-Webflow נהנית מעיצוב מרשים ומגמישות no-code - אבל מאחורי הקלעים, טפסי קביעת תור, שאלוני אנמנזה ואינטגרציות CRM אוספים מידע רפואי שהוא מידע בעל רגישות מיוחדת מובהק לפי סעיף 7 לחוק הגנת הפרטיות. Webflow מאחסן את הנתונים על תשתיות AWS ומאפשר חיבור לשירותי ענן חיצוניים לניהול לקוחות ולשיווק - כל אחד מהם מחייב הסדרה חוזית נפרדת לפי דין ישראלי. מסמך פרטיות גנרי שהורדתם מהאינטרנט אינו מכסה את הצומת הרגיש הזה; מרפאתכם זקוקה למסמך שנכתב בדיוק עבורה.
רקע: מה זה תיקון 13?
האתגרים הנפוצים
- טפסי Webflow לקביעת תור ואנמנזה מקוונת אוספים מידע רפואי - מידע בעל רגישות מיוחדת המחייב הסכמה מפורשת, יידוע מלא לפי סעיף 11 לחוק, ורמת אבטחה גבוהה למאגר. מסמך פרטיות שאינו מתאים לכך חושף את המרפאה לאכיפה מיידית.
- Webflow פועל על שרתי AWS, ואינטגרציות לכלי CRM ודיוור (כגון HubSpot, Mailchimp או ActiveCampaign) מהוות מיקור חוץ של טיפול במידע רפואי - חובה לחתום על הסכם מיקור חוץ מפורט עם כל ספק, בהתאם לתקנה 15 לתקנות אבטחת מידע. בלי הסכם כזה, האחריות נשארת כולה אצלכם.
- אירוע אבטחה במאגר רפואי ברמה גבוהה - דליפה, גישה לא מורשית לרשומות מטופלים, או כשל באינטגרציה - מחייב דיווח באופן מיידי לרשות להגנת הפרטיות. ללא נוהל כתוב ומוכן מראש, המרפאה כנראה תפספס את החלון הזה.
שאלות נפוצות
האם טופס קביעת תור ב-Webflow נחשב לאיסוף מידע בעל רגישות מיוחדת?
כן. ברגע שהטופס מכיל שדות שמזהים את המטופל ומקשרים אותו לרצון לקבל טיפול רפואי - זה מידע רפואי לפי סעיף 7 לחוק הגנת הפרטיות. חייבים לקבל הסכמה מפורשת לפני השליחה, ולכלול בטופס עצמו יידוע ברור: מטרת האיסוף, למי המידע יועבר ומהי זכות העיון של המטופל.
Webflow מאחסן את הנתונים על AWS - האם זה בסדר מבחינת החוק הישראלי?
אחסון על AWS אינו פסול כשלעצמו, אך הוא מהווה מיקור חוץ של טיפול במידע. לפי תקנה 15 לתקנות אבטחת מידע, חייב להיות הסכם מיקור חוץ בין המרפאה לבין Webflow (ובמקרה הצורך גם ל-AWS כספק תשתית). ההסכם חייב לכלול דרישות אבטחה מינימליות שלא נופלות מהדרישות החלות על המרפאה עצמה.
האינטגרציה של Webflow לכלי CRM ושיווק - מה הבעיה הספציפית?
כשמידע על מטופלים זורם מ-Webflow לכלי CRM חיצוני (כגון HubSpot), כל אותו ספק הופך להיות גורם שמטפל במידע רפואי רגיש בשמכם. חייבים להסדיר זאת בהסכם מיקור חוץ נפרד עם כל ספק, לוודא שאינו עושה שימוש עצמאי בנתונים, ולציין זאת במפורש במדיניות הפרטיות שמטופלים רואים.
מה קורה אם דלפו פרטי מטופל בגלל כשל ב-Webflow או באינטגרציה?
מאגר המכיל מידע רפואי מסווג ברמת אבטחה גבוהה. אירוע אבטחה בו מחייב דיווח באופן מיידי לרשות להגנת הפרטיות, לפי תקנה 11 לתקנות. בנוסף, יש לדווח למטופלים שנפגעו. בלי נוהל כתוב ומתורגל, הסיכוי לעמוד בחלון הזמן הצר הוא נמוך מאוד - וזה עלול להחמיר משמעותית כל ענישה.
האם המרפאה יכולה לשלוח תזכורות תור ועדכונים שיווקיים לאותה רשימת מטופלים?
לא בהכרח - זו טעות נפוצה. תזכורת תור היא תקשורת שירות לגיטימית, אבל דיוור שיווקי (ניוזלטר, מבצעים, הצעות לטיפולים נוספים) דורש הסכמה נפרדת ומפורשת לפי סעיף 30א לחוק התקשורת. חייבים להפריד בין שתי ההסכמות כבר בטופס הרישום ב-Webflow, ולאפשר ביטול הסכמה שיווקית בלי לפגוע בתקשורת השירות.