Perjanjian Mitra Bisnis

1.1 "Pelanggaran" memiliki arti yang sama dengan istilah "breach" pada 45 CFR 164.402.

1.2 "Mitra Bisnis" berarti Ajentik AI Pte. Ltd.

1.3 "Entitas Tercakup" berarti organisasi layanan kesehatan yang telah menandatangani Perjanjian ini.

1.4 "Agregasi Data" memiliki arti yang sama dengan istilah "data aggregation" pada 45 CFR 164.501.

1.5 "Kumpulan Rekaman yang Ditunjuk" memiliki arti yang sama dengan istilah "designated record set" pada 45 CFR 164.501.

1.6 "Informasi Kesehatan Terlindungi Elektronik" atau "ePHI" berarti Informasi Kesehatan Terlindungi yang dibuat, diterima, dipelihara, atau ditransmisikan dalam media elektronik.

1.7 "Individu" memiliki arti yang sama dengan istilah "individual" pada 45 CFR 160.103 dan termasuk seseorang yang memenuhi syarat sebagai perwakilan pribadi sesuai dengan 45 CFR 164.502(g).

1.8 "Informasi Kesehatan Terlindungi" atau "PHI" memiliki arti yang sama dengan istilah "protected health information" pada 45 CFR 160.103.

1.9 "Diwajibkan oleh Hukum" memiliki arti yang sama dengan istilah "required by law" pada 45 CFR 164.103.

1.10 "Sekretaris" berarti Sekretaris Departemen Kesehatan dan Layanan Kemanusiaan atau pejabat yang ditunjuk.

1.11 "Insiden Keamanan" memiliki arti yang sama dengan istilah "security incident" pada 45 CFR 164.304.

1.12 "Informasi Kesehatan Terlindungi yang Tidak Diamankan" memiliki arti yang sama dengan istilah "unsecured protected health information" pada 45 CFR 164.402.

2.1 Tidak menggunakan atau mengungkapkan PHI selain sebagaimana diizinkan atau diwajibkan oleh Perjanjian ini atau sebagaimana Diwajibkan oleh Hukum.

2.2 Menggunakan perlindungan yang sesuai, dan mematuhi Subbagian C dari 45 CFR Bagian 164 sehubungan dengan ePHI, untuk mencegah penggunaan atau pengungkapan PHI selain sebagaimana diatur dalam Perjanjian ini.

2.3 Melaporkan kepada Entitas Tercakup setiap penggunaan atau pengungkapan PHI yang tidak diatur dalam Perjanjian ini yang diketahuinya, termasuk Pelanggaran terhadap PHI yang Tidak Diamankan sebagaimana diwajibkan oleh 45 CFR 164.410.

2.4 Sesuai dengan 45 CFR 164.502(e)(1)(ii) dan 164.308(b)(2), memastikan bahwa setiap subkontraktor yang membuat, menerima, memelihara, atau mengirimkan PHI atas nama Mitra Bisnis menyetujui pembatasan, ketentuan, dan persyaratan yang sama yang berlaku bagi Mitra Bisnis sehubungan dengan informasi tersebut.

2.5 Menyediakan PHI dalam Kumpulan Rekaman yang Ditunjuk kepada Entitas Tercakup sebagaimana diperlukan untuk memenuhi kewajiban Entitas Tercakup berdasarkan 45 CFR 164.524.

2.6 Melakukan perubahan terhadap PHI dalam Kumpulan Rekaman yang Ditunjuk sebagaimana diarahkan atau disetujui oleh Entitas Tercakup sesuai dengan 45 CFR 164.526, atau mengambil langkah-langkah lain yang diperlukan untuk memenuhi kewajiban Entitas Tercakup berdasarkan 45 CFR 164.526.

2.7 Memelihara dan menyediakan informasi yang diperlukan untuk memberikan laporan pengungkapan kepada Entitas Tercakup sebagaimana diperlukan untuk memenuhi kewajiban Entitas Tercakup berdasarkan 45 CFR 164.528.

2.8 Sejauh Mitra Bisnis melaksanakan satu atau lebih kewajiban Entitas Tercakup berdasarkan Subbagian E dari 45 CFR Bagian 164, mematuhi persyaratan Subbagian E yang berlaku bagi Entitas Tercakup dalam pelaksanaan kewajiban tersebut.

2.9 Menyediakan praktik internal, pembukuan, dan catatan-catatannya kepada Sekretaris untuk tujuan penentuan kepatuhan terhadap Aturan HIPAA.

3.1 Mitra Bisnis hanya boleh menggunakan atau mengungkapkan PHI sebagaimana diperlukan untuk melaksanakan layanan yang ditetapkan dalam Perjanjian Layanan.

3.2 Mitra Bisnis boleh menggunakan atau mengungkapkan PHI sebagaimana Diwajibkan oleh Hukum.

3.3 Mitra Bisnis setuju untuk melakukan penggunaan dan pengungkapan serta permintaan PHI sesuai dengan kebijakan dan prosedur kebutuhan minimum Entitas Tercakup.

3.4 Mitra Bisnis tidak boleh menggunakan atau mengungkapkan PHI dengan cara yang akan melanggar Subbagian E dari 45 CFR Bagian 164 jika dilakukan oleh Entitas Tercakup.

3.5 Mitra Bisnis boleh menggunakan PHI untuk pengelolaan dan administrasi yang tepat dari Mitra Bisnis atau untuk melaksanakan tanggung jawab hukum Mitra Bisnis, dengan ketentuan bahwa pengungkapan tersebut Diwajibkan oleh Hukum, atau Mitra Bisnis memperoleh jaminan yang wajar dari pihak yang menerima informasi bahwa informasi tersebut akan tetap dijaga kerahasiaannya dan hanya digunakan atau diungkapkan lebih lanjut sebagaimana Diwajibkan oleh Hukum atau untuk tujuan pengungkapan informasi tersebut kepada pihak yang bersangkutan, dan pihak tersebut memberitahukan kepada Mitra Bisnis tentang setiap kejadian yang diketahuinya di mana kerahasiaan informasi tersebut telah dilanggar.

3.6 Mitra Bisnis boleh menyediakan layanan Agregasi Data yang berkaitan dengan operasi layanan kesehatan Entitas Tercakup.

4.1 Perlindungan Administratif:

• Penunjukan dan tanggung jawab Petugas Keamanan
• Prosedur pelatihan tenaga kerja dan manajemen akses
• Prosedur otorisasi dan penghentian akses
• Program kesadaran dan pelatihan keamanan
• Prosedur tanggap insiden keamanan
• Perjanjian Mitra Bisnis dengan subkontraktor

4.2 Perlindungan Fisik:

• Kontrol akses fasilitas
• Kebijakan penggunaan dan keamanan stasiun kerja
• Kontrol perangkat dan media

4.3 Perlindungan Teknis:

• Identifikasi pengguna unik dan pemutusan otomatis
• Enkripsi dan dekripsi ePHI
• Log audit dan kontrol
• Kontrol integritas
• Keamanan transmisi

5.1 Mitra Bisnis wajib memberitahukan Entitas Tercakup tanpa penundaan yang tidak wajar dan selambat-lambatnya enam puluh (60) hari kalender setelah ditemukannya Pelanggaran terhadap PHI yang Tidak Diamankan.

5.2 Pemberitahuan tersebut wajib mencakup, sejauh memungkinkan:

• Identifikasi setiap Individu yang PHI Tidak Diamankannya telah, atau secara wajar diyakini oleh Mitra Bisnis telah, diakses, diperoleh, digunakan, atau diungkapkan selama Pelanggaran
• Uraian tentang apa yang terjadi, termasuk tanggal Pelanggaran dan tanggal penemuan
• Uraian tentang jenis-jenis PHI yang Tidak Diamankan yang terlibat
• Langkah-langkah yang harus diambil oleh Individu untuk melindungi diri dari potensi kerugian
• Uraian tentang apa yang dilakukan Mitra Bisnis untuk menyelidiki Pelanggaran, memitigasi kerugian, dan melindungi dari Pelanggaran di masa depan
• Prosedur kontak bagi Individu untuk mengajukan pertanyaan atau memperoleh informasi tambahan

5.3 Mitra Bisnis wajib menyediakan informasi lainnya sebagaimana diminta secara wajar oleh Entitas Tercakup.

5.4 Mitra Bisnis wajib memelihara dokumentasi dari semua pemberitahuan yang diwajibkan dan wajib, atas permintaan, menyediakan dokumentasi tersebut kepada Entitas Tercakup atau Sekretaris.

6.1 Mitra Bisnis wajib memastikan bahwa setiap agen, termasuk subkontraktor, yang menerima PHI darinya menyetujui secara tertulis pembatasan dan ketentuan yang sama yang berlaku bagi Mitra Bisnis sehubungan dengan PHI tersebut.

6.2 Mitra Bisnis wajib memastikan bahwa setiap agen, termasuk subkontraktor, yang menerima ePHI darinya menyetujui secara tertulis untuk menerapkan perlindungan yang wajar dan sesuai untuk melindungi ePHI tersebut.

6.3 Mitra Bisnis wajib memperoleh sertifikasi tertulis dari setiap agen atau subkontraktor bahwa agen atau subkontraktor tersebut telah menerapkan perlindungan administratif, fisik, dan teknis yang secara wajar dan sesuai melindungi kerahasiaan, integritas, dan ketersediaan ePHI.

7.1 Akses: Dalam sepuluh (10) hari kerja setelah diterimanya permintaan dari Entitas Tercakup untuk mengakses PHI tentang seorang Individu yang terdapat dalam Kumpulan Rekaman yang Ditunjuk, Mitra Bisnis wajib menyediakan PHI tersebut kepada Entitas Tercakup selama Mitra Bisnis memelihara informasi tersebut dalam Kumpulan Rekaman yang Ditunjuk.

7.2 Perubahan: Dalam sepuluh (10) hari kerja setelah diterimanya permintaan dari Entitas Tercakup untuk perubahan PHI seorang Individu yang terdapat dalam Kumpulan Rekaman yang Ditunjuk, Mitra Bisnis wajib memasukkan setiap perubahan terhadap PHI dalam Kumpulan Rekaman yang Ditunjuk yang diarahkan atau disetujui oleh Entitas Tercakup sesuai dengan 45 CFR 164.526.

9.1 Pengakhiran dengan Sebab: Setelah Entitas Tercakup mengetahui adanya pelanggaran material oleh Mitra Bisnis, Entitas Tercakup wajib:

• Memberikan kesempatan kepada Mitra Bisnis untuk memperbaiki pelanggaran atau menghentikan pelanggaran dan mengakhiri Perjanjian ini jika Mitra Bisnis tidak memperbaiki pelanggaran atau menghentikan pelanggaran dalam jangka waktu yang ditentukan oleh Entitas Tercakup; atau
• Segera mengakhiri Perjanjian ini jika Mitra Bisnis telah melanggar ketentuan material dari Perjanjian ini dan perbaikan tidak dimungkinkan.

9.2 Akibat Pengakhiran:

• Kecuali sebagaimana diatur dalam paragraf 9.3, setelah pengakhiran Perjanjian ini, dengan alasan apa pun, Mitra Bisnis wajib mengembalikan atau memusnahkan semua PHI yang diterima dari Entitas Tercakup, atau yang dibuat atau diterima oleh Mitra Bisnis atas nama Entitas Tercakup. Ketentuan ini berlaku untuk PHI yang berada dalam penguasaan subkontraktor atau agen Mitra Bisnis. Mitra Bisnis tidak boleh menyimpan salinan PHI.
• Dalam hal Mitra Bisnis menentukan bahwa pengembalian atau pemusnahan PHI tidak dapat dilaksanakan, Mitra Bisnis wajib memberikan pemberitahuan kepada Entitas Tercakup mengenai kondisi yang membuat pengembalian atau pemusnahan tidak dapat dilaksanakan. Setelah ditentukan bahwa pengembalian atau pemusnahan PHI tidak dapat dilaksanakan, Mitra Bisnis wajib memperluas perlindungan Perjanjian ini terhadap PHI tersebut dan membatasi penggunaan dan pengungkapan lebih lanjut terhadap PHI tersebut hanya untuk tujuan yang membuat pengembalian atau pemusnahan tidak dapat dilaksanakan, selama Mitra Bisnis memelihara PHI tersebut.

9.3 Keberlangsungan: Kewajiban Mitra Bisnis berdasarkan Bagian 9.2 akan tetap berlaku setelah pengakhiran Perjanjian ini.

11.1 Mitra Bisnis wajib memberikan ganti rugi, membela, dan membebaskan Entitas Tercakup, pejabat, direktur, karyawan, dan agennya dari dan terhadap setiap klaim, dasar gugatan, tanggung jawab, kerugian, biaya, atau pengeluaran (termasuk biaya pengacara yang wajar dan biaya litigasi) yang timbul dari atau sehubungan dengan pelanggaran Perjanjian ini oleh Mitra Bisnis atau pelanggaran HIPAA oleh Mitra Bisnis.

11.2 Entitas Tercakup wajib memberikan ganti rugi, membela, dan membebaskan Mitra Bisnis, pejabat, direktur, karyawan, dan agennya dari dan terhadap setiap klaim, dasar gugatan, tanggung jawab, kerugian, biaya, atau pengeluaran (termasuk biaya pengacara yang wajar dan biaya litigasi) yang timbul dari atau sehubungan dengan tindakan atau kelalaian yang bersifat lalai atau salah dari Entitas Tercakup sehubungan dengan kewajibannya berdasarkan Perjanjian ini atau HIPAA.

13.1 Rujukan Peraturan: Rujukan dalam Perjanjian ini terhadap suatu bagian dalam Aturan HIPAA berarti bagian tersebut sebagaimana berlaku atau sebagaimana telah diubah.

13.2 Tidak Ada Penerima Manfaat Pihak Ketiga: Tidak ada yang tersurat atau tersirat dalam Perjanjian ini yang dimaksudkan untuk memberikan, dan tidak ada ketentuan dalam Perjanjian ini yang memberikan, kepada pihak mana pun selain para pihak dan penerus atau penerima hak masing-masing dari para pihak, hak, upaya hukum, kewajiban, atau tanggung jawab apa pun.

13.3 Ketidakjelasan: Setiap ketidakjelasan dalam Perjanjian ini harus ditafsirkan untuk memungkinkan kepatuhan terhadap Aturan HIPAA.

13.4 Hukum yang Berlaku: Perjanjian ini diatur oleh hukum Singapura, tanpa memperhatikan ketentuan pertentangan hukumnya.