Угода про діловому партнерстві

1.1 "Порушення" матиме те саме значення, що й термін "порушення" у 45 CFR 164.402.

1.2 "Діловий партнер" означає Ajentik AI Pte. Ltd.

1.3 "Застрахована організація" означає організацію охорони здоров'я, яка уклала цю Угоду.

1.4 "Агрегація даних" матиме те саме значення, що й термін "агрегація даних" у 45 CFR 164.501.

1.5 "Визначений набір записів" матиме те саме значення, що й термін "визначений набір записів" у 45 CFR 164.501.

1.6 "Електронна захищена медична інформація" або "ePHI" означає Захищену медичну інформацію, яка створюється, отримується, зберігається або передається в електронних носіях.

1.7 "Особа" матиме те саме значення, що й термін "особа" у 45 CFR 160.103 та включатиме особу, яка кваліфікується як персональний представник відповідно до 45 CFR 164.502(g).

1.8 "Захищена медична інформація" або "PHI" матиме те саме значення, що й термін "захищена медична інформація" у 45 CFR 160.103.

1.9 "Вимагається законом" матиме те саме значення, що й термін "вимагається законом" у 45 CFR 164.103.

1.10 "Секретар" означатиме Секретаря Департаменту охорони здоров'я та соціальних служб або призначену особу.

1.11 "Інцидент безпеки" матиме те саме значення, що й термін "інцидент безпеки" у 45 CFR 164.304.

1.12 "Незахищена захищена медична інформація" матиме те саме значення, що й термін "незахищена захищена медична інформація" у 45 CFR 164.402.

2.1 Не використовувати та не розкривати PHI іншим чином, ніж дозволено або вимагається цією Угодою або Вимагається законом.

2.2 Використовувати відповідні запобіжні заходи та дотримуватися Підрозділу C 45 CFR Частини 164 щодо ePHI, щоб запобігти використанню або розкриттю PHI іншим чином, ніж передбачено цією Угодою.

2.3 Повідомляти Застраховану організацію про будь-яке використання або розкриття PHI, не передбачене цією Угодою, про яке він дізнається, включаючи Порушення Незахищеної PHI, як того вимагає 45 CFR 164.410.

2.4 Відповідно до 45 CFR 164.502(e)(1)(ii) та 164.308(b)(2), забезпечувати, щоб будь-які субпідрядники, які створюють, отримують, зберігають або передають PHI від імені Ділового партнера, письмово погодилися з тими самими обмеженнями, умовами та вимогами, які застосовуються до Ділового партнера щодо такої інформації.

2.5 Надавати PHI у Визначеному наборі записів Застрахованій організації, якщо це необхідно для виконання зобов'язань Застрахованої організації відповідно до 45 CFR 164.524.

2.6 Вносити будь-які зміни до PHI у Визначеному наборі записів згідно з вказівками або за згодою Застрахованої організації відповідно до 45 CFR 164.526, або вживати інших необхідних заходів для виконання зобов'язань Застрахованої організації відповідно до 45 CFR 164.526.

2.7 Зберігати та надавати інформацію, необхідну для надання обліку розкриття інформації Застрахованій організації, якщо це необхідно для виконання зобов'язань Застрахованої організації відповідно до 45 CFR 164.528.

2.8 У тій мірі, в якій Діловий партнер повинен виконувати одне або більше зобов'язань Застрахованої організації відповідно до Підрозділу E 45 CFR Частини 164, дотримуватися вимог Підрозділу E, які застосовуються до Застрахованої організації при виконанні таких зобов'язань.

2.9 Надавати свої внутрішні практики, книги та записи Секретарю для визначення відповідності Правилам HIPAA.

3.1 Діловий партнер може використовувати або розкривати PHI лише за необхідності для виконання послуг, зазначених у Угоді про обслуговування.

3.2 Діловий партнер може використовувати або розкривати PHI, якщо це Вимагається законом.

3.3 Діловий партнер погоджується здійснювати використання та розкриття, а також запити PHI відповідно до політики та процедур мінімальної необхідності Застрахованої організації.

3.4 Діловий партнер не може використовувати або розкривати PHI у спосіб, який порушував би Підрозділ E 45 CFR Частини 164, якби це робила Застрахована організація.

3.5 Діловий партнер може використовувати PHI для належного управління та адміністрування Ділового партнера або для виконання юридичних обов'язків Ділового партнера, за умови, що розкриття Вимагається законом, або Діловий партнер отримує розумні гарантії від особи, якій розкривається інформація, що інформація залишатиметься конфіденційною та використовуватиметься або далі розкриватиметься лише у випадках, Вимагається законом, або для цілей, для яких вона була розкрита особі, і особа повідомляє Діловому партнеру про будь-які випадки, про які вона знає, коли конфіденційність інформації була порушена.

3.6 Діловий партнер може надавати послуги з Агрегації даних, пов'язані з операціями медичного обслуговування Застрахованої організації.

4.1 Адміністративні запобіжні заходи:

• Призначення та обов'язки офіцера безпеки
• Навчання персоналу та процедури управління доступом
• Процедури авторизації та припинення доступу
• Програми обізнаності та навчання з питань безпеки
• Процедури реагування на інциденти безпеки
• Угоди про діловому партнерстві з субпідрядниками

4.2 Фізичні запобіжні заходи:

• Контроль доступу до об'єктів
• Політики використання та безпеки робочих станцій
• Контроль пристроїв та носіїв

4.3 Технічні запобіжні заходи:

• Унікальна ідентифікація користувача та автоматичне вимкнення
• Шифрування та дешифрування ePHI
• Журнали аудиту та контролі
• Контроль цілісності
• Безпека передачі

5.1 Діловий партнер повинен повідомити Застраховану організацію без невиправданої затримки і в будь-якому випадку не пізніше шістдесяти (60) календарних днів після виявлення Порушення Незахищеної PHI.

5.2 Таке повідомлення повинно включати, наскільки це можливо:

• Ідентифікацію кожної Особи, чия Незахищена PHI була або обґрунтовано вважається Діловим партнером, що була доступна, отримана, використана або розкрита під час Порушення
• Опис того, що сталося, включаючи дату Порушення та дату виявлення
• Опис типів Незахищеної PHI, що були задіяні
• Будь-які кроки, які Особи повинні вжити, щоб захистити себе від потенційної шкоди
• Опис того, що Діловий партнер робить для розслідування Порушення, пом'якшення шкоди та захисту від майбутніх Порушень
• Контактні процедури для Осіб, щоб поставити запитання або дізнатися додаткову інформацію

5.3 Діловий партнер надасть таку іншу інформацію, яку Застрахована організація може обґрунтовано запросити.

5.4 Діловий партнер повинен зберігати документацію всіх необхідних повідомлень і, на вимогу, надавати таку документацію Застрахованій організації або Секретарю.

6.1 Діловий партнер повинен забезпечити, щоб будь-які агенти, включаючи субпідрядників, яким він надає PHI, письмово погодилися з тими самими обмеженнями та умовами, які застосовуються до Ділового партнера щодо такої PHI.

6.2 Діловий партнер повинен забезпечити, щоб будь-які агенти, включаючи субпідрядників, яким він надає ePHI, письмово погодилися впровадити розумні та відповідні запобіжні заходи для захисту такої ePHI.

6.3 Діловий партнер повинен отримати письмове підтвердження від будь-якого агента або субпідрядника, що агент або субпідрядник впровадив адміністративні, фізичні та технічні запобіжні заходи, які розумно та відповідно захищають конфіденційність, цілісність та доступність ePHI.

7.1 Доступ: Протягом десяти (10) робочих днів з моменту отримання запиту від Застрахованої організації на доступ до PHI про Особу, що міститься у Визначеному наборі записів, Діловий партнер повинен надати Застрахованій організації таку PHI до тих пір, поки Діловий партнер зберігає таку інформацію у Визначеному наборі записів.

7.2 Зміни: Протягом десяти (10) робочих днів з моменту отримання запиту від Застрахованої організації на внесення змін до PHI Особи, що міститься у Визначеному наборі записів, Діловий партнер повинен включити будь-які зміни до PHI у Визначеному наборі записів, які Застрахована організація вказує або погоджується відповідно до 45 CFR 164.526.

9.1 Припинення з причини: При знанні Застрахованою організацією про суттєве порушення Діловим партнером, Застрахована організація повинна або:

• Надати можливість Діловому партнеру виправити порушення або припинити порушення та припинити цю Угоду, якщо Діловий партнер не виправить порушення або не припинить порушення протягом часу, зазначеного Застрахованою організацією; або
• Негайно припинити цю Угоду, якщо Діловий партнер порушив суттєвий термін цієї Угоди і виправлення неможливе.

9.2 Наслідки припинення:

• За винятком випадків, передбачених у пункті 9.3, при припиненні цієї Угоди з будь-якої причини Діловий партнер повинен повернути або знищити всю PHI, отриману від Застрахованої організації, або створену або отриману Діловим партнером від імені Застрахованої організації. Це положення застосовується до PHI, що знаходиться у володінні субпідрядників або агентів Ділового партнера. Діловий партнер не повинен зберігати копії PHI.
• У випадку, якщо Діловий партнер визначить, що повернення або знищення PHI є недоцільним, Діловий партнер повинен надати Застрахованій організації повідомлення про умови, які роблять повернення або знищення недоцільним. При визначенні, що повернення або знищення PHI є недоцільним, Діловий партнер повинен поширити захист цієї Угоди на таку PHI та обмежити подальше використання та розкриття такої PHI тими цілями, які роблять повернення або знищення недоцільним, доки Діловий партнер зберігає таку PHI.

9.3 Збереження чинності: Зобов'язання Ділового партнера відповідно до Розділу 9.2 залишаються чинними після припинення цієї Угоди.

11.1 Діловий партнер повинен відшкодувати збитки, захищати та утримувати від шкоди Застраховану організацію, її посадових осіб, директорів, співробітників та агентів від будь-яких претензій, причин позову, відповідальності, збитків, витрат або витрат (включаючи розумні гонорари адвокатів та судові витрати), що виникають з або у зв'язку з будь-яким порушенням цієї Угоди Діловим партнером або будь-яким порушенням HIPAA Діловим партнером.

11.2 Застрахована організація повинна відшкодувати збитки, захищати та утримувати від шкоди Ділового партнера, його посадових осіб, директорів, співробітників та агентів від будь-яких претензій, причин позову, відповідальності, збитків, витрат або витрат (включаючи розумні гонорари адвокатів та судові витрати), що виникають з або у зв'язку з будь-якими недбалими або неправомірними діями або бездіяльністю Застрахованої організації у зв'язку з її зобов'язаннями відповідно до цієї Угоди або HIPAA.

13.1 Нормативні посилання: Посилання в цій Угоді на розділ у Правилах HIPAA означає розділ у чинній редакції або з внесеними змінами.

13.2 Відсутність третіх осіб-вигодонабувачів: Ніщо прямо або опосередковано в цій Угоді не призначено для надання і нічого в цьому документі не надаватиме будь-якій особі, окрім сторін та відповідних правонаступників або правонаступників сторін, будь-яких прав, засобів захисту, зобов'язань або відповідальності.

13.3 Неоднозначності: Будь-яка неоднозначність у цій Угоді повинна тлумачитися для забезпечення відповідності Правилам HIPAA.

13.4 Застосовне право: Ця Угода регулюється законами Сінгапуру без урахування його положень про колізію законів.