Sehtak — UAE Healthcare Operating System

Why this exists

UAE doctors lose an average of 13.5 hours a week to documentation, and 50% of clinical time goes to a screen instead of the patient. Every existing EMR was built around billing, not care — and almost none speak Arabic at the layer that matters.

Sehtak is the first UAE platform that connects clinics, pharmacies, diagnostic centres and patients under one unified record while complying out-of-the-box with all four health authorities — DHA (Dubai), DOH (Abu Dhabi), SHA (Sharjah) and MOHAP (Northern Emirates) — and the three HIE systems (NABIDH, Malaffi, Riayati) on day one.

What we shipped

Eight surfaces from one monorepo: the marketing site, a patient web app, a patient mobile app (Expo / React Native), a clinic workspace and a pharmacy workspace (both Next.js + Tauri 2 desktop apps), an admin console, the API server, and per-facility microsites — every clinic gets a public booking site automatically.

Underneath: Drizzle ORM on PostgreSQL, Hono.js APIs, BullMQ workers, Redis sessions, Meilisearch on the drug and ICD-10 catalogues, S3 me-central-1 for PHI, and a Tauri shell that turns the clinic and pharmacy web apps into installable native desktops with offline cache and system-tray presence.

AI ambient scribe — fully UAE-resident

The doctor speaks. Sehtak listens. A SOAP note is drafted in Arabic or English, with ICD-10-CM and medication suggestions, and the encounter is closed in one review-and-approve. This single feature wins demos.

The hard constraint: UAE Federal Law No. 2 of 2019 prohibits health data leaving the UAE — even de-identified. We host the entire pipeline ourselves on EC2 me-central-1: Whisper large-v3 for transcription on a g5.xlarge, and Qwen 2.5 72B (AWQ int4) on vLLM across a g5.12xlarge, all inside a private VPC. Every transcript is de-identified server-side before any LLM call. Nothing leaves the country.

UAE Pass identity & national integrations

UAE Pass is wired in for real — not as a placeholder. Patients log in via OIDC with SOP3 (full Emirates ID verification) for any clinical access; SOP1 self-asserted accounts can only book. Clinic reception screens display a UAE Pass QR for one-tap check-in.

Three HIE systems live: NABIDH (HL7 v2.5.1, opt-out, Sheryan facility ID required on every MSH-4), Malaffi (FHIR R4 over mandatory e& Enterprise SD-WAN, opt-in), and Riayati (HL7 + FHIR for the Northern Emirates, opt-in). All three sync asynchronously through BullMQ — HIE never blocks an encounter.

Insurance claims, on auto-pilot

Clinics today employ full-time staff just to enter claims into DHPO and Shafafiya portals, and 15–25% rejection rates are normalised. Sehtak generates and submits the claim XML the moment an encounter completes — DHPO eClaimLink for Dubai, Shafafiya DOH for Abu Dhabi — with eligibility verified at check-in and prior-authorisation flows hitting the 6-hour, 24-hour and immediate SLAs.

Every Activity is coded automatically: CPT for procedures, HCPCS for supplies, DDC for medications (synced twice weekly from DHA), and ICD-10-CM diagnoses end-to-end. Resubmissions, remittance polling and the 141-day adjudication window are all tracked in-platform.

Bilingual & WhatsApp-first

Arabic isn't a translation layer — every component was built RTL-first, then adapted for LTR. The UAE has 96% WhatsApp penetration and Seha found 70% of patients explicitly demanded WhatsApp for booking and reminders. So WhatsApp is the primary channel: appointment confirmations, prescription notifications, refill reminders, payment links via Tap Payments — all delivered in WhatsApp first.

Compliance is the architecture

PDPL (UAE Federal Decree-Law No. 45 of 2021) and ADHICS v2.0 (Abu Dhabi's 692-control healthcare cybersecurity standard) shape every layer. Field-level AES-256-GCM on Emirates IDs, MFA secrets, integration credentials. Append-only audit logs with no UPDATE or DELETE permissions. Pre-signed S3 URLs with five-minute expiry. 25-year clinical retention. Right-to-export endpoints for PDPL Subject Access Requests.

Patient consent is gated per HIE: NABIDH is opt-out so the platform respects revocations, Malaffi and Riayati are opt-in so explicit consent must exist before a single message goes out. Controlled drugs are blocked from telehealth prescriptions per Federal Decree-Law No. 38 of 2024.

Outcome

10 real clinics targeted live in the first sprint, NABIDH messages flowing on day one of production, claims auto-submitted to DHPO and Shafafiya, and an investor-ready metrics dashboard showing approval rates, sync health and active facilities — engineered as production-grade and regulator-ready from commit one.

لماذا وُجد

يفقد الأطباء في الإمارات 13.5 ساعة أسبوعيًا في التوثيق، و50% من وقتهم السريري ينصرف إلى الشاشة بدل المريض. كل نظام طبي إلكتروني قائم بُني حول الفوترة لا حول الرعاية — وأغلبه لا يدعم العربية في المكان الذي يَهمّ.

صحتك هي أول منصة إماراتية تربط العيادات والصيدليات والمختبرات والمرضى في سجل موحّد، وتلتزم منذ اللحظة الأولى بمتطلبات الهيئات الصحية الأربعة — DHA وDOH وSHA وMOHAP — وبالأنظمة الثلاثة لتبادل المعلومات الصحية (NABIDH وMalaffi وRiayati).

ما الذي بنيناه

ثمانية واجهات من مستودع واحد: الموقع التعريفي، تطبيق ويب للمريض، تطبيق جوال للمريض (Expo / React Native)، فضاء عمل العيادة وفضاء عمل الصيدلية (تطبيقا Next.js مع غلاف سطح مكتب Tauri 2)، لوحة الإدارة، خادم الـAPI، وموقع تعريفي تلقائي لكل منشأة.

في العمق: Drizzle ORM فوق PostgreSQL، واجهات Hono.js، عمليات خلفية عبر BullMQ، جلسات Redis، فهارس Meilisearch لقاعدة الأدوية وICD-10، وS3 في المنطقة الوسطى الأولى لبيانات المرضى، وغلاف Tauri يحوّل تطبيقي العيادة والصيدلية إلى تطبيقات سطح مكتب أصلية بالعمل دون اتصال وأيقونة في شريط النظام.

المساعد الصوتي الذكي — مستضاف بالكامل داخل الإمارات

يتحدّث الطبيب. تستمع صحتك. تُصاغ ملاحظة SOAP بالعربية أو الإنجليزية مع اقتراحات ICD-10-CM وأدوية، ويُغلق اللقاء بمراجعة واحدة وموافقة واحدة. هذه الميزة وحدها تكسب أي عرض حيّ.

القيد الصارم: القانون الاتحادي رقم 2 لسنة 2019 يمنع خروج البيانات الصحية من الإمارات — حتى بعد إزالة الهوية. لذلك استضفنا كامل المنظومة ذاتيًا داخل EC2 منطقة me-central-1: نموذج Whisper large-v3 للنسخ الصوتي على g5.xlarge، ونموذج Qwen 2.5 72B بصيغة AWQ int4 يخدمه vLLM على g5.12xlarge، كلّها خلف شبكة خاصة. كل نص يُجرَّد من الهوية على الخادم قبل أي استدعاء للنموذج. لا شيء يغادر البلاد.

هوية UAE Pass والتكاملات الوطنية

تكامل UAE Pass حقيقي — لا مجرد عنصر وهمي. يُسجّل المرضى دخولهم عبر OIDC بمستوى SOP3 (تحقّق كامل من الهوية الإماراتية) لأي وصول سريري، أمّا حسابات SOP1 الذاتية فمحدودة بالحجز فقط. شاشات استقبال العيادات تعرض رمز QR لتسجيل الدخول بنقرة واحدة.

ثلاث منظومات لتبادل المعلومات الصحية تعمل فعليًا: NABIDH (HL7 v2.5.1، نظام opt-out، يستلزم Sheryan Facility ID في كل رسالة)، وMalaffi (FHIR R4 عبر شبكة SD-WAN من "e\&" بشكل إلزامي، نظام opt-in)، وRiayati للإمارات الشمالية (HL7 + FHIR، نظام opt-in). الثلاثة تتزامن لا تزامنيًا عبر BullMQ، ولا تُعيق إغلاق الزيارة أبدًا.

مطالبات التأمين على الطيار الآلي

العيادات اليوم تُوظّف موظفين بدوام كامل لإدخال المطالبات يدويًا في بوابات DHPO وShafafiya، ونسب الرفض بين 15% و25% أصبحت أمرًا معتادًا. صحتك تُولّد ملف XML للمطالبة وتُرسله لحظة إغلاق الزيارة — DHPO لدبي وShafafiya لأبوظبي — مع التحقق من الأهلية عند تسجيل الدخول وتنفيذ مسارات الإذن المسبق ضمن مدد الـ6 ساعات والـ24 ساعة والفوري.

كل بند يُكوَّد تلقائيًا: CPT للإجراءات، HCPCS للمستلزمات، DDC للأدوية (يُحدَّث مرّتين أسبوعيًا من DHA)، وتشخيصات ICD-10-CM طوال السلسلة. إعادة التقديم، ومتابعة الإشعارات، ونافذة الـ141 يومًا للبت بالمطالبة — كل ذلك يُتابَع داخل المنصة.

ثنائي اللغة وأولوية واتساب

العربية ليست طبقة ترجمة — كل مكوّن صُمِّم RTL أوّلاً ثم كُيِّف للإنجليزية. اختراق واتساب في الإمارات 96%، ودراسات "صحة" أظهرت أن 70% من المرضى يفضّلون صراحةً واتساب للحجز والتذكيرات. لذلك واتساب هو القناة الأساسية: تأكيد المواعيد، تنبيهات الوصفات، تذكيرات إعادة الصرف، روابط الدفع عبر Tap — كلّها تصل عبر واتساب أولاً.

الامتثال هو المعمارية

قانون حماية البيانات الشخصية (المرسوم الاتحادي رقم 45 لسنة 2021) ومعيار ADHICS v2.0 لأبوظبي بعناصره الـ692 — كلاهما يَحكُمان كل طبقة. تشفير AES-256-GCM على مستوى الحقل لرقم الهوية وأسرار التحقّق الثنائي ومفاتيح التكامل. سجلات تدقيق غير قابلة للتعديل أو الحذف. روابط S3 موقّعة مسبقًا تنتهي خلال 5 دقائق. حفظ السجلات السريرية لمدة 25 سنة. نقاط نهاية لتصدير بيانات المريض حسب طلباته.

موافقة المريض مُؤمَّنة لكل منظومة: NABIDH نظام opt-out يحترم سحب الموافقة، أمّا Malaffi وRiayati فنظاما opt-in يستلزمان موافقة صريحة قبل إرسال أي رسالة. الأدوية الخاضعة للرقابة محجوبة عن وصفات الطب عن بُعد التزامًا بالمرسوم الاتحادي رقم 38 لسنة 2024.

الأثر

10 عيادات حقيقية مستهدفة للإطلاق في أول مرحلة، رسائل NABIDH تتدفّق منذ اليوم الأول للإنتاج، مطالبات تُقدَّم تلقائيًا إلى DHPO وShafafiya، ولوحة مقاييس جاهزة للمستثمرين تعرض نسب القبول وصحة التزامن وعدد المنشآت النشطة — صُمِّم كل ذلك بمستوى إنتاجي وامتثال تنظيمي منذ الالتزام الأول بالكود.