Perjanjian Rakan Perniagaan

1.1 "Pelanggaran" hendaklah mempunyai makna yang sama seperti istilah "breach" di 45 CFR 164.402.

1.2 "Rakan Perniagaan" hendaklah bermaksud Ajentik AI Pte. Ltd.

1.3 "Entiti Dilindungi" hendaklah bermaksud organisasi penjagaan kesihatan yang telah melaksanakan Perjanjian ini.

1.4 "Pengagregatan Data" hendaklah mempunyai makna yang sama seperti istilah "data aggregation" di 45 CFR 164.501.

1.5 "Set Rekod Yang Ditetapkan" hendaklah mempunyai makna yang sama seperti istilah "designated record set" di 45 CFR 164.501.

1.6 "Maklumat Kesihatan Terlindung Elektronik" atau "ePHI" bermaksud Maklumat Kesihatan Terlindung yang dicipta, diterima, diselenggara, atau dihantar dalam media elektronik.

1.7 "Individu" hendaklah mempunyai makna yang sama seperti istilah "individual" di 45 CFR 160.103 dan hendaklah termasuk seseorang yang layak sebagai wakil peribadi selaras dengan 45 CFR 164.502(g).

1.8 "Maklumat Kesihatan Terlindung" atau "PHI" hendaklah mempunyai makna yang sama seperti istilah "protected health information" di 45 CFR 160.103.

1.9 "Dikehendaki oleh Undang-Undang" hendaklah mempunyai makna yang sama seperti istilah "required by law" di 45 CFR 164.103.

1.10 "Setiausaha" hendaklah bermaksud Setiausaha Jabatan Kesihatan dan Perkhidmatan Kemanusiaan atau wakilnya.

1.11 "Insiden Keselamatan" hendaklah mempunyai makna yang sama seperti istilah "security incident" di 45 CFR 164.304.

1.12 "Maklumat Kesihatan Terlindung Tidak Selamat" hendaklah mempunyai makna yang sama seperti istilah "unsecured protected health information" di 45 CFR 164.402.

2.1 Tidak menggunakan atau mendedahkan PHI selain daripada yang dibenarkan atau dikehendaki oleh Perjanjian ini atau seperti yang Dikehendaki oleh Undang-Undang.

2.2 Menggunakan perlindungan yang sesuai, dan mematuhi Subbahagian C 45 CFR Bahagian 164 berkenaan ePHI, untuk mencegah penggunaan atau pendedahan PHI selain daripada yang diperuntukkan oleh Perjanjian ini.

2.3 Melaporkan kepada Entiti Dilindungi sebarang penggunaan atau pendedahan PHI yang tidak diperuntukkan oleh Perjanjian ini yang diketahuinya, termasuk Pelanggaran PHI Tidak Selamat seperti yang dikehendaki oleh 45 CFR 164.410.

2.4 Selaras dengan 45 CFR 164.502(e)(1)(ii) dan 164.308(b)(2), memastikan bahawa mana-mana subkontraktor yang mencipta, menerima, menyelenggara, atau menghantar PHI bagi pihak Rakan Perniagaan bersetuju dengan sekatan, syarat, dan keperluan yang sama yang terpakai kepada Rakan Perniagaan berkenaan maklumat tersebut.

2.5 Menyediakan PHI dalam Set Rekod Yang Ditetapkan kepada Entiti Dilindungi seperti yang diperlukan untuk memenuhi obligasi Entiti Dilindungi di bawah 45 CFR 164.524.

2.6 Membuat sebarang pindaan kepada PHI dalam Set Rekod Yang Ditetapkan seperti yang diarahkan atau dipersetujui oleh Entiti Dilindungi menurut 45 CFR 164.526, atau mengambil langkah lain yang diperlukan untuk memenuhi obligasi Entiti Dilindungi di bawah 45 CFR 164.526.

2.7 Menyelenggara dan menyediakan maklumat yang diperlukan untuk memberikan perakaunan pendedahan kepada Entiti Dilindungi seperti yang diperlukan untuk memenuhi obligasi Entiti Dilindungi di bawah 45 CFR 164.528.

2.8 Setakat Rakan Perniagaan hendak melaksanakan satu atau lebih obligasi Entiti Dilindungi di bawah Subbahagian E 45 CFR Bahagian 164, mematuhi keperluan Subbahagian E yang terpakai kepada Entiti Dilindungi dalam pelaksanaan obligasi tersebut.

2.9 Menyediakan amalan dalaman, buku, dan rekodnya kepada Setiausaha untuk tujuan menentukan pematuhan dengan Peraturan HIPAA.

3.1 Rakan Perniagaan hanya boleh menggunakan atau mendedahkan PHI seperti yang diperlukan untuk melaksanakan perkhidmatan yang dinyatakan dalam Perjanjian Perkhidmatan.

3.2 Rakan Perniagaan boleh menggunakan atau mendedahkan PHI seperti yang Dikehendaki oleh Undang-Undang.

3.3 Rakan Perniagaan bersetuju untuk membuat penggunaan dan pendedahan serta permintaan untuk PHI selaras dengan dasar dan prosedur minimum yang diperlukan oleh Entiti Dilindungi.

3.4 Rakan Perniagaan tidak boleh menggunakan atau mendedahkan PHI dengan cara yang akan melanggar Subbahagian E 45 CFR Bahagian 164 jika dilakukan oleh Entiti Dilindungi.

3.5 Rakan Perniagaan boleh menggunakan PHI untuk pengurusan dan pentadbiran Rakan Perniagaan yang wajar atau untuk melaksanakan tanggungjawab undang-undang Rakan Perniagaan, dengan syarat pendedahan tersebut Dikehendaki oleh Undang-Undang, atau Rakan Perniagaan memperolehi jaminan munasabah daripada orang yang kepadanya maklumat didedahkan bahawa maklumat tersebut akan kekal sulit dan digunakan atau didedahkan selanjutnya hanya seperti yang Dikehendaki oleh Undang-Undang atau untuk tujuan maklumat tersebut didedahkan kepada orang itu, dan orang tersebut memberitahu Rakan Perniagaan tentang sebarang kejadian yang diketahuinya di mana kerahsiaan maklumat telah dilanggar.

3.6 Rakan Perniagaan boleh menyediakan perkhidmatan Pengagregatan Data berkaitan dengan operasi penjagaan kesihatan Entiti Dilindungi.

4.1 Perlindungan Pentadbiran:

• Pelantikan dan tanggungjawab Pegawai Keselamatan
• Prosedur latihan tenaga kerja dan pengurusan akses
• Prosedur kebenaran akses dan penamatan
• Program kesedaran dan latihan keselamatan
• Prosedur respons insiden keselamatan
• Perjanjian Rakan Perniagaan dengan subkontraktor

4.2 Perlindungan Fizikal:

• Kawalan akses kemudahan
• Dasar penggunaan dan keselamatan stesen kerja
• Kawalan peranti dan media

4.3 Perlindungan Teknikal:

• Pengenalan pengguna unik dan log keluar automatik
• Penyulitan dan penyahsulitan ePHI
• Log dan kawalan audit
• Kawalan integriti
• Keselamatan penghantaran

5.1 Rakan Perniagaan hendaklah memberitahu Entiti Dilindungi tanpa kelewatan yang tidak munasabah dan dalam apa jua keadaan tidak lewat daripada enam puluh (60) hari kalendar selepas penemuan Pelanggaran PHI Tidak Selamat.

5.2 Pemberitahuan tersebut hendaklah termasuk, setakat yang mungkin:

• Pengenalpastian setiap Individu yang PHI Tidak Selamatnya telah, atau secara munasabah dipercayai oleh Rakan Perniagaan telah, diakses, diperoleh, digunakan, atau didedahkan semasa Pelanggaran
• Penerangan tentang apa yang berlaku, termasuk tarikh Pelanggaran dan tarikh penemuan
• Penerangan tentang jenis PHI Tidak Selamat yang terlibat
• Sebarang langkah yang perlu diambil oleh Individu untuk melindungi diri mereka daripada potensi kemudaratan
• Penerangan tentang apa yang Rakan Perniagaan sedang lakukan untuk menyiasat Pelanggaran, mengurangkan kemudaratan, dan melindungi daripada Pelanggaran pada masa hadapan
• Prosedur hubungan untuk Individu bertanya soalan atau mendapatkan maklumat tambahan

5.3 Rakan Perniagaan hendaklah menyediakan maklumat lain yang mungkin diminta secara munasabah oleh Entiti Dilindungi.

5.4 Rakan Perniagaan hendaklah mengekalkan dokumentasi semua pemberitahuan yang diperlukan dan hendaklah, atas permintaan, menyediakan dokumentasi tersebut kepada Entiti Dilindungi atau Setiausaha.

6.1 Rakan Perniagaan hendaklah memastikan bahawa mana-mana ejen, termasuk subkontraktor, yang kepadanya ia menyediakan PHI bersetuju secara bertulis dengan sekatan dan syarat yang sama yang terpakai kepada Rakan Perniagaan berkenaan PHI tersebut.

6.2 Rakan Perniagaan hendaklah memastikan bahawa mana-mana ejen, termasuk subkontraktor, yang kepadanya ia menyediakan ePHI bersetuju secara bertulis untuk melaksanakan perlindungan yang munasabah dan sesuai untuk melindungi ePHI tersebut.

6.3 Rakan Perniagaan hendaklah mendapatkan perakuan bertulis daripada mana-mana ejen atau subkontraktor bahawa ejen atau subkontraktor tersebut telah melaksanakan perlindungan pentadbiran, fizikal, dan teknikal yang secara munasabah dan sesuai melindungi kerahsiaan, integriti, dan ketersediaan ePHI.

7.1 Akses: Dalam tempoh sepuluh (10) hari perniagaan selepas menerima permintaan daripada Entiti Dilindungi untuk akses kepada PHI tentang Individu yang terkandung dalam Set Rekod Yang Ditetapkan, Rakan Perniagaan hendaklah menyediakan PHI tersebut kepada Entiti Dilindungi selagi Rakan Perniagaan mengekalkan maklumat tersebut dalam Set Rekod Yang Ditetapkan.

7.2 Pindaan: Dalam tempoh sepuluh (10) hari perniagaan selepas menerima permintaan daripada Entiti Dilindungi untuk pindaan PHI Individu yang terkandung dalam Set Rekod Yang Ditetapkan, Rakan Perniagaan hendaklah memasukkan sebarang pindaan kepada PHI dalam Set Rekod Yang Ditetapkan yang diarahkan atau dipersetujui oleh Entiti Dilindungi menurut 45 CFR 164.526.

9.1 Penamatan Atas Sebab: Apabila Entiti Dilindungi mengetahui pelanggaran material oleh Rakan Perniagaan, Entiti Dilindungi hendaklah sama ada:

• Memberikan peluang kepada Rakan Perniagaan untuk memperbaiki pelanggaran atau menamatkan pelanggaran dan menamatkan Perjanjian ini jika Rakan Perniagaan tidak memperbaiki pelanggaran atau menamatkan pelanggaran dalam tempoh yang ditetapkan oleh Entiti Dilindungi; atau
• Menamatkan Perjanjian ini dengan serta-merta jika Rakan Perniagaan telah melanggar terma material Perjanjian ini dan pembaikan tidak mungkin dilakukan.

9.2 Kesan Penamatan:

• Kecuali seperti yang diperuntukkan dalam perenggan 9.3, apabila Perjanjian ini ditamatkan, atas apa jua sebab, Rakan Perniagaan hendaklah memulangkan atau memusnahkan semua PHI yang diterima daripada Entiti Dilindungi, atau yang dicipta atau diterima oleh Rakan Perniagaan bagi pihak Entiti Dilindungi. Peruntukan ini hendaklah terpakai kepada PHI yang berada dalam milikan subkontraktor atau ejen Rakan Perniagaan. Rakan Perniagaan tidak boleh menyimpan sebarang salinan PHI.
• Sekiranya Rakan Perniagaan menentukan bahawa memulangkan atau memusnahkan PHI adalah tidak praktikal, Rakan Perniagaan hendaklah memberitahu Entiti Dilindungi tentang keadaan yang menjadikan pemulangan atau pemusnahan tidak praktikal. Apabila ditentukan bahawa pemulangan atau pemusnahan PHI adalah tidak praktikal, Rakan Perniagaan hendaklah melanjutkan perlindungan Perjanjian ini kepada PHI tersebut dan mengehadkan penggunaan dan pendedahan selanjutnya kepada tujuan yang menjadikan pemulangan atau pemusnahan tidak praktikal, selagi Rakan Perniagaan mengekalkan PHI tersebut.

9.3 Kelangsungan: Obligasi Rakan Perniagaan di bawah Seksyen 9.2 hendaklah kekal selepas penamatan Perjanjian ini.

11.1 Rakan Perniagaan hendaklah menanggung rugi, mempertahankan, dan membebaskan Entiti Dilindungi, pegawai, pengarah, pekerja, dan ejennya daripada dan terhadap sebarang tuntutan, sebab tindakan, liabiliti, kerosakan, kos, atau perbelanjaan (termasuk yuran peguam yang munasabah dan kos litigasi) yang timbul daripada atau berkaitan dengan sebarang pelanggaran Perjanjian ini oleh Rakan Perniagaan atau sebarang pelanggaran HIPAA oleh Rakan Perniagaan.

11.2 Entiti Dilindungi hendaklah menanggung rugi, mempertahankan, dan membebaskan Rakan Perniagaan, pegawai, pengarah, pekerja, dan ejennya daripada dan terhadap sebarang tuntutan, sebab tindakan, liabiliti, kerosakan, kos, atau perbelanjaan (termasuk yuran peguam yang munasabah dan kos litigasi) yang timbul daripada atau berkaitan dengan sebarang tindakan atau peninggalan cuai atau salah oleh Entiti Dilindungi berkaitan dengan obligasinya di bawah Perjanjian ini atau HIPAA.

13.1 Rujukan Peraturan: Rujukan dalam Perjanjian ini kepada seksyen dalam Peraturan HIPAA bermaksud seksyen tersebut seperti yang berkuat kuasa atau seperti yang dipinda.

13.2 Tiada Benefisiari Pihak Ketiga: Tiada apa-apa yang tersurat atau tersirat dalam Perjanjian ini bertujuan untuk menganugerahkan, dan tiada apa-apa di sini hendaklah menganugerahkan, kepada mana-mana orang selain pihak-pihak dan pengganti atau penerima serah hak masing-masing pihak, sebarang hak, remedi, obligasi, atau liabiliti apa jua pun.

13.3 Kekaburan: Sebarang kekaburan dalam Perjanjian ini hendaklah ditafsirkan untuk membenarkan pematuhan dengan Peraturan HIPAA.

13.4 Undang-Undang Pentadbir: Perjanjian ini hendaklah ditadbir oleh undang-undang Singapura, tanpa mengambil kira peruntukan konflik undang-undangnya.