Data Processing Addendum (DPA)

Last updated: 23 May 2026 · Version 1.0-draft

⚠ This DPA is a working draft. The final binding version will be reviewed by qualified legal counsel in Egypt and the UAE before being executed with customers operating in healthcare contexts.

This Data Processing Addendum ("DPA") forms part of the Terms of Service between [SELLER LEGAL ENTITY] ("Processor", "we") and the customer organization ("Controller", "you") and applies whenever the Processor processes Personal Data on behalf of the Controller through the Aegis EMR Service.

This DPA is designed to comply with: Egyptian Personal Data Protection Law No. 151 of 2020 ("PDPL"), the EU General Data Protection Regulation (Regulation (EU) 2016/679) ("GDPR") where applicable, and UAE Federal Decree-Law No. 45 of 2021 on Personal Data Protection ("UAE PDPL").

1. Definitions

"Personal Data" means any information relating to an identified or identifiable natural person, including patient health data, processed under this DPA.
"Controller" means the customer (healthcare provider organization or solo practitioner) that determines the purposes and means of processing Personal Data.
"Processor" means Aegis EMR, which processes Personal Data on behalf of the Controller.
"Sub-processor" means any third party engaged by the Processor to process Personal Data (e.g., cloud infrastructure, AI inference providers).
"Personal Data Breach" means a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to Personal Data.

2. Subject Matter and Duration

The Processor will process Personal Data only for the purpose of providing the Service and as documented in the Terms of Service, throughout the term of the customer's subscription and for the limited retention period thereafter as described in Section 9.

3. Nature and Purpose of Processing

Processing activities include: storage of clinical records, generation of clinical summaries (with explicit consent), drug interaction checks, AI-assisted differential diagnosis (reference only, with explicit consent), audit logging, billing operations, and customer support.

4. Categories of Data Subjects and Personal Data

Data Subject Category	Personal Data Categories
Patients of the Controller	Identifiers, demographic data, contact details, medical history, diagnoses, prescriptions, lab results, imaging, clinical notes, allergies, vital signs
Healthcare staff (users)	Name, email, phone, role, professional credentials, login activity
Billing contacts	Name, email, billing address, tax identification (where applicable)

5. Obligations of the Processor

Process Personal Data only on documented instructions from the Controller, unless required to do so by applicable law.
Ensure that personnel authorized to process Personal Data have committed themselves to confidentiality.
Implement appropriate technical and organizational measures as described in Annex A.
Engage Sub-processors only with the Controller's prior general authorization and subject to equivalent contractual protections (Section 6).
Assist the Controller in responding to data subject requests (Section 7).
Notify the Controller without undue delay after becoming aware of a Personal Data Breach (Section 8).
Delete or return all Personal Data at the end of the provision of services, subject to Section 9.
Make available all information necessary to demonstrate compliance and allow audits.

6. Sub-processors

The Controller authorizes the Processor to engage Sub-processors for the provision of the Service. A current list of Sub-processors is maintained at /subprocessors (URL placeholder — to be published).

The Processor shall inform the Controller of any intended changes concerning the addition or replacement of Sub-processors at least 30 days in advance. The Controller may object on reasonable grounds, in which case the parties will work in good faith to resolve the objection or the Controller may terminate the affected Service.

Current Sub-processor categories include:

Sub-processor	Purpose	Location
Hostinger International Ltd.	Hosting (VPS)	EU
Anthropic PBC	AI inference (where Cloud AI Consent granted)	USA
Ollama / Inference Cloud	Open-weight model inference (where consent granted)	USA
[Payment Processor — TBD]	Payment processing	—
[Email/SMS Provider — TBD]	Transactional notifications	—

7. Data Subject Rights

The Processor shall, taking into account the nature of the processing, assist the Controller by appropriate technical and organizational measures, insofar as possible, for the fulfillment of the Controller's obligation to respond to requests from data subjects exercising their rights under PDPL Articles 12-14, GDPR Articles 15-22, or equivalent applicable laws (access, rectification, erasure, restriction, portability, objection).

8. Personal Data Breach Notification

The Processor will notify the Controller without undue delay and in any event within 72 hours of becoming aware of a Personal Data Breach affecting Controller Personal Data. The notification will include, at minimum:

Nature of the breach and categories/approximate number of data subjects and records affected.
Name and contact details of the Data Protection Officer.
Likely consequences of the breach.
Measures taken or proposed to address the breach and mitigate its effects.

9. Retention and Deletion

Upon termination of the Service or at the Controller's written request, the Processor will, at the Controller's choice, delete or return all Personal Data within 30 days, except where applicable law (e.g., Egyptian commercial record-keeping obligations under Law 17/1999, tax records under Law 67/2016) requires retention, in which case the data will be securely archived for the minimum period required.

10. International Data Transfers

Where Personal Data is transferred outside Egypt (or outside the UAE for Emirati customers), the Processor will ensure such transfers are conducted under one of the safeguards permitted by Article 14 of the PDPL: adequacy decisions, binding corporate rules, standard contractual clauses, explicit consent of the data subject, or other mechanisms approved by the relevant data protection authority.

📋 Annex A (Technical and Organizational Security Measures), Annex B (Sub-processor list with locations and contractual safeguards), and Annex C (List of Authorized Personnel) will be finalized following legal review and security audit.

11. Governing Law and Jurisdiction

This DPA shall be governed by the laws of [Arab Republic of Egypt / UAE — depending on seller entity]. Any dispute arising under or in connection with this DPA shall be subject to the exclusive jurisdiction of the competent courts, unless the parties agree to arbitration under the rules of CRCICA (Cairo) or DIAC (Dubai) respectively.

12. Contact

Data Protection Officer: dpo@electronicmedicalrecord.cloud
Legal: legal@electronicmedicalrecord.cloud

ملحق معالجة البيانات (DPA)

آخر تحديث: 23 مايو 2026 · النسخة 1.0 — مسودة

⚠ هذا الملحق مسودة عمل. النسخة النهائية الملزِمة ستخضع لمراجعة المستشار القانوني المؤهَّل في مصر والإمارات قبل توقيعها مع العملاء العاملين في قطاع الرعاية الصحية.

يُشكِّل هذا الملحق ("ملحق معالجة البيانات" أو "DPA") جزءاً من شروط الخدمة المُبرَمة بين الكيان البائع ("المعالِج") والمؤسسة العميلة ("المسؤول عن المعالجة")، ويُطبَّق كلما عالَج المعالِج بيانات شخصية نيابةً عن المسؤول عن المعالجة من خلال خدمة "إيجيس إي إم آر" (Aegis EMR).

صُمِّم هذا الملحق ليتوافق مع: قانون حماية البيانات الشخصية المصري رقم 151 لسنة 2020، واللائحة العامة لحماية البيانات الأوروبية (GDPR) عند انطباقها، والمرسوم الاتحادي الإماراتي رقم 45 لسنة 2021 بشأن حماية البيانات الشخصية.

1. التعريفات

"البيانات الشخصية": أي معلومات تتعلق بشخص طبيعي محدد أو يمكن تحديده، بما في ذلك بيانات صحة المريض.
"المسؤول عن المعالجة": العميل (مؤسسة تقديم خدمات الرعاية الصحية أو الطبيب الممارس الفردي) الذي يحدد أغراض ووسائل معالجة البيانات الشخصية.
"المعالِج": "إيجيس إي إم آر"، الذي يعالج البيانات الشخصية نيابةً عن المسؤول عن المعالجة.
"المعالِج من الباطن": أي طرف ثالث يُكلِّفه المعالِج بمعالجة البيانات الشخصية (مثل: البنية التحتية السحابية، مزودي خدمات استدلال الذكاء الاصطناعي).

2. موضوع المعالجة ومدتها

يعالج المعالِج البيانات الشخصية حصراً لغرض تقديم الخدمة وكما هو موثَّق في شروط الخدمة، طوال مدة اشتراك العميل ولفترة الاحتفاظ المحدودة بعد ذلك كما هو موضح في القسم 9.

3. التزامات المعالِج (المادة 7 من قانون 151)

معالجة البيانات الشخصية فقط بناءً على تعليمات موثَّقة من المسؤول عن المعالجة.
ضمان التزام الموظفين المُصرَّح لهم بمعالجة البيانات الشخصية بالسرية.
تنفيذ التدابير التقنية والتنظيمية المناسبة كما هو موضح في الملحق "أ".
إخطار المسؤول عن المعالجة دون تأخير غير مبرر بعد علمه بأي خرق للبيانات الشخصية (خلال 72 ساعة).
حذف أو إعادة جميع البيانات الشخصية عند انتهاء تقديم الخدمات، رهناً بمتطلبات القانون.

4. حقوق صاحب البيانات (المواد 12-14)

يساعد المعالِج المسؤول عن المعالجة، من خلال التدابير التقنية والتنظيمية المناسبة، في الاستجابة لطلبات أصحاب البيانات بممارسة حقوقهم في الوصول، التصحيح، الحذف، تقييد المعالجة، والنقل.

5. النقل عبر الحدود (المادة 14)

عند نقل البيانات الشخصية خارج جمهورية مصر العربية، يضمن المعالِج أن يتم هذا النقل وفقاً للضمانات المسموح بها في المادة 14 من القانون 151: قرارات التكافؤ، القواعد المُلزِمة للشركات، البنود التعاقدية القياسية، الموافقة الصريحة لصاحب البيانات، أو الآليات الأخرى التي يعتمدها المركز الوطني لحماية البيانات الشخصية.

📋 الملاحق التالية قيد الصياغة من قِبَل المستشار القانوني: الملحق "أ" — التدابير التقنية والتنظيمية للأمن. الملحق "ب" — قائمة المعالِجين من الباطن مع المواقع والضمانات التعاقدية. الملحق "ج" — قائمة الموظفين المُصرَّح لهم.

11. القانون الواجب التطبيق والاختصاص

يخضع هذا الملحق لقوانين [جمهورية مصر العربية / الإمارات العربية المتحدة — حسب الكيان البائع]. تختص المحاكم المختصة بالنظر في أي نزاع ينشأ عنه، ما لم يتفق الطرفان على التحكيم وفقاً لقواعد مركز القاهرة الإقليمي للتحكيم التجاري الدولي (CRCICA) أو مركز دبي للتحكيم الدولي (DIAC) على التوالي.

12. التواصل

مسؤول حماية البيانات: dpo@electronicmedicalrecord.cloud
الشؤون القانونية: legal@electronicmedicalrecord.cloud