ADENDUM PERJANJIAN KERJA SAMA BISNIS DUKUNGAN ini ("Adendum") dimasukkan ke dalam Ketentuan Pembagian Informasi antara InterSystems Corporation, sebuah perusahaan Massachusetts dengan tempat usaha utama di 1 Memorial Drive, Cambridge, MA 02142 AS ("InterSystems"), dan Rekening yang Didukung, yang didefinisikan di sini, dan, jika relevan, menjadi bagian dari Lisensi, Dukungan, atau Perjanjian Mitra ("Perjanjian"). Akun yang Didukung berarti Pengguna Akhir, Mitra Aplikasi, Mitra Implementasi, Mitra Solusi, Integrator Sistem, atau pihak mana pun yang berinteraksi dengan InterSystems dalam konteks kebutuhan pihak tersebut untuk mengungkapkan Informasi Kesehatan yang Dilindungi, sebagaimana didefinisikan di bawah ini, kepada InterSystems yang sesuai dengan Ketentuan Pembagian Informasi. InterSystems dan Rekening yang Didukung adalah pihak-pihak dalam Adendum ini (masing-masing secara terpisah disebut "Pihak", secara keseluruhan disebut "Para Pihak"). Dengan mempertimbangkan perjanjian dan janji timbal balik yang terkandung di dalam Adendum ini dan pertimbangan lain yang baik dan berharga, yang penerimaan dan kecukupannya dengan ini diakui oleh Para Pihak dalam Perjanjian ini, Para Pihak setuju sebagai berikut:
Semua istilah dalam huruf besar yang digunakan dalam Adendum ini dan tidak didefinisikan di tempat lain di dalam Perjanjian ini atau dalam Perjanjian memiliki arti yang sama dengan istilah tersebut sebagaimana yang digunakan atau didefinisikan dalam HIPAA. Ketentuan-ketentuan dalam Adendum ini menggantikan ketentuan-ketentuan yang bertentangan dalam Perjanjian Layanan.
Para Pihak mengakui bahwa Akun yang Didukung, dalam keadaan tertentu, mungkin diharuskan untuk mematuhi Peraturan HIPAA, sebagaimana didefinisikan di bawah ini dan bahwa InterSystems dapat memberikan layanan tertentu dari waktu ke waktu kepada Akun yang Didukung, yang mungkin menyebabkan InterSystems memiliki akses ke Informasi Kesehatan yang Dilindungi, sebagaimana didefinisikan di bawah ini. Para Pihak mengakui bahwa layanan yang disediakan oleh InterSystems tidak dimaksudkan untuk mengakibatkan InterSystems membuat, menerima, memelihara, mentransmisikan, menggunakan, atau mengungkapkan informasi kesehatan yang terkait dengan Individu yang merupakan Informasi Kesehatan yang Dilindungi; namun, Para Pihak mengakui bahwa Akun yang Didukung mengharuskan penyedia layanannya yang berhubungan dengan Informasi Kesehatan yang Dilindungi untuk menandatangani perjanjian rekanan bisnis dengan Akun yang Didukung, dan InterSystems bersedia untuk menandatangani perjanjian semacam itu jika InterSystems berhubungan dengan Informasi Kesehatan yang Dilindungi dan tanpa mengakui bahwa InterSystems pada umumnya adalah rekanan bisnis sebagaimana didefinisikan oleh Peraturan HIPAA.
Definisi.
1.1. Rekan Bisnis. "Rekanan Bisnis" secara umum memiliki arti yang sama dengan istilah "rekanan bisnis" pada 45 CFR § 160.103, dan, ketika digunakan sebagai referensi dalam Adendum ini, akan merujuk pada InterSystems ketika (1) InterSystems dan Rekening yang Didukung saling menyetujui bahwa InterSystems adalah Rekanan Bisnis Rekening yang Didukung untuk layanan tertentu dan teridentifikasi sebagaimana didefinisikan dalam dokumen Aturan Keterlibatan yang bersifat spesifik dan individual (templatnya ditautkan di bawah ini di dalam Adendum ini) yang disetujui oleh InterSystems dan Rekening yang Didukung dan (2) InterSystems tidak bertindak sebagai penyedia layanan atau vendor pihak ketiga untuk Rekening yang Didukung.
1.2. Peraturan HIPAA. "Peraturan HIPAA" berarti persyaratan dalam Peraturan Privasi, Keamanan, Pemberitahuan Pelanggaran, dan Penegakan pada 45 CFR Bagian 160 dan Bagian 164, yang mengimplementasikan ketentuan Penyederhanaan Administratif dalam Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996, Pub. L. 104 191 ("HIPAA") dan sebagaimana telah diubah oleh Health Information Technology for Economic and Clinical Health Act, yang diberlakukan di bawah Judul XIII Undang-Undang Pemulihan dan Reinvestasi Amerika tahun 2009, Pub. L. 111-5 ("Undang-Undang HITECH"), dalam setiap kasus hanya pada tanggal kepatuhan yang berlaku untuk persyaratan tersebut.
1.3. Aturan Privasi. "Peraturan Privasi" berarti Standar untuk Privasi Informasi Kesehatan yang Dapat Diidentifikasi Secara Individual pada 45 CFR bagian 160 dan bagian 164, subbagian A dan E.
1.4. Informasi Kesehatan yang Dilindungi (PHI) dan Informasi Kesehatan yang Dilindungi secara Elektronik (EPHI). PHI dan EPHI memiliki arti yang sama dengan istilah-istilah sebagaimana didefinisikan dalam 45 CFR § 160.103, tetapi terbatas pada informasi yang dibuat atau diterima oleh InterSystems ketika bertindak dalam kapasitas sebagai Rekanan Bisnis Akun yang Didukung dan tidak bertindak sebagai penyedia layanan atau vendor pihak ketiga untuk Akun yang Didukung. Untuk menghindari keraguan, PHI dan EPHI tidak boleh menyertakan informasi apa pun yang tidak dapat diidentifikasi.
1.5. Aturan Keamanan. "Peraturan Keamanan" berarti Standar Keamanan Informasi Kesehatan Elektronik yang Dilindungi pada 45 CFR bagian 160 dan 164, subbagian C
Kewajiban dan Kegiatan Rekanan Bisnis.
2.1. Rekanan Bisnis setuju untuk tidak menggunakan atau mengungkapkan PHI selain dari yang diizinkan atau diwajibkan oleh Perjanjian atau Adendum ini, atau sebagaimana diizinkan atau diwajibkan oleh Hukum.
2.2. Rekanan Bisnis setuju untuk menggunakan pengamanan yang sesuai untuk melindungi dari penggunaan atau pengungkapan PHI yang tidak diatur di sini dan untuk mematuhi, jika berlaku, Subbagian C dari 45 CFR Bagian 164 sehubungan dengan PHI. Tanpa membatasi hal tersebut di atas, Rekanan Bisnis setuju untuk menerapkan pengamanan administratif, fisik, dan teknis yang sesuai yang dirancang untuk, mencegah penggunaan dan pengungkapan Informasi Kesehatan yang Dilindungi tanpa izin, dan untuk melindungi kerahasiaan, integritas, dan ketersediaan Informasi Kesehatan Elektronik yang Dilindungi, termasuk memelihara proses respons insiden untuk menyelidiki dan menanggapi penggunaan dan pengungkapan Informasi Kesehatan yang Dilindungi tanpa izin setelah mengetahuinya, sebagaimana diwajibkan oleh 45 CFR § 164.308, 164.310, 164.312, dan 164.316, sebagaimana mungkin diubah dari waktu ke waktu.
2.3. Rekanan Bisnis setuju untuk mengurangi, sejauh yang dapat dilakukan, setiap dampak berbahaya yang diketahui oleh Rekanan Bisnis dari penggunaan atau pengungkapan PHI oleh Rekanan Bisnis yang melanggar Adendum ini.
2.4. Sesuai dengan 45 CFR § 164.502 (e)(1)(ii) dan § 164.308(b)(2), Rekanan Bisnis setuju untuk mewajibkan Subkontraktor mana pun, yang telah mendelegasikan fungsi atau aktivitas apa pun yang telah dilakukannya untuk dilakukan atas nama Rekening yang Didukung, dan yang memberikan PHI yang diterima dari Rekening yang Didukung, setuju untuk menyetujui pembatasan dan ketentuan yang secara substansial sama mengenai penggunaan atau pengungkapan PHI sebagaimana yang berlaku dalam Adendum ini untuk Rekan Kerja melalui Perjanjian Rekan Kerja antara Subkontraktor dan Rekan Kerja.
2.5. Rekanan Bisnis setuju untuk membuat praktik, kebijakan, prosedur, pembukuan, dan catatan internalnya yang berkaitan dengan penggunaan dan pengungkapan PHI yang diterima dari, atau dibuat atau diterima oleh Rekanan Bisnis atas nama Rekening yang Didukung, tersedia untuk diperiksa dan disalin oleh Sekretaris berdasarkan permintaan tertulis dari Sekretaris untuk hal yang sama demi tujuan Sekretaris dalam menentukan kepatuhan Rekening yang Didukung terhadap Peraturan HIPAA.
2.6. Para Pihak tidak bermaksud agar Rekanan Bisnis menyimpan PHI apa pun dalam Kumpulan Catatan yang Ditunjuk ("DRS") untuk Rekening yang Didukung. Sepanjang Rekanan Bisnis memiliki PHI dalam DRS, Rekanan Bisnis setuju untuk menyediakan informasi tersebut kepada Rekening yang Didukung sesuai dengan 45 CFR § 164.524, dalam waktu lima (5) hari kerja setelah Rekanan Bisnis menerima permintaan tertulis dari Rekening yang Didukung; dengan ketentuan bahwa Rekanan Bisnis tidak diwajibkan untuk menyediakan akses tersebut apabila PHI yang terdapat dalam DRS merupakan duplikasi dari PHI yang terdapat dalam DRS yang dimiliki Rekening yang Didukung. Jika Individu mengajukan permintaan akses sesuai dengan 45 CFR § 164.524, § 164.526, atau § 164.528 secara langsung kepada Rekanan Bisnis, atau menanyakan tentang hak-haknya berdasarkan HIPAA, Rekanan Bisnis akan segera mengarahkan Individu tersebut ke Rekening yang Didukung sejauh individu tersebut atau InterSistem dapat mengidentifikasi Rekening yang Didukung sebagai pihak yang tepat untuk pertanyaan tersebut.
2.7. Rekanan Bisnis setuju untuk mendokumentasikan pengungkapan PHI yang dibuat olehnya, dan informasi yang terkait dengan pengungkapan tersebut, sebagaimana yang diperlukan oleh Rekening yang Didukung untuk menanggapi permintaan dari Individu untuk penghitungan pengungkapan PHI berdasarkan 45 CFR § 164.528. Atas permintaan tertulis dari Rekening yang Didukung, dan dalam waktu dan cara yang wajar, Rekanan Bisnis setuju untuk memberikan kepada Rekening yang Didukung informasi tersebut agar Rekening yang Didukung dapat memberikan akuntansi berdasarkan 45 CFR § 164.528.
2.8. Setelah ditemukannya Pelanggaran PHI Tanpa Jaminan ("Pelanggaran Data") oleh Rekanan Bisnis atau Subkontraktornya oleh Rekanan Bisnis, Rekanan Bisnis setuju untuk memberitahukan Akun yang Didukung mengenai Pelanggaran tersebut tanpa penundaan yang tidak beralasan, tetapi tidak lebih dari lima (5) hari kerja setelah Rekanan Bisnis memastikan adanya Pelanggaran Data. Pemberitahuan tersebut harus mencakup, sejauh yang tersedia, identitas setiap Individu yang PHI Tanpa Jaminan-nya telah, atau diyakini secara wajar oleh Rekanan Bisnis telah, diakses, diperoleh, digunakan, atau diungkapkan selama Pelanggaran Data. Pada saat pemberitahuan atau segera setelah informasi tersebut tersedia, Rekanan Bisnis juga harus memberikan Akun yang Didukung informasi lain yang tersedia sebagaimana yang diperlukan Akun yang Didukung untuk memberi tahu Individu tentang Pelanggaran sebagaimana diwajibkan oleh 45 CFR § 164.404(c). Rekanan Bisnis setuju bahwa sejauh Pelanggaran Data semata-mata disebabkan oleh tindakan atau kelalaian Rekanan Bisnis, Rekanan Bisnis harus membayar biaya yang wajar untuk Akun yang Didukung untuk memberikan pemberitahuan yang diwajibkan menurut 45 CFR § 164.404, 45 CFR § 164.406, dan § 164.408(b). Terlepas dari hal di atas, jika pejabat penegak hukum memberikan pernyataan kepada Rekanan Bisnis bahwa pemberitahuan yang diwajibkan dalam ayat ini akan menghambat penyelidikan kriminal atau menyebabkan kerusakan pada keamanan nasional, Rekanan Bisnis dapat menunda pemberitahuan untuk jangka waktu yang ditetapkan dalam pernyataan tersebut sebagaimana diizinkan dalam 45 CFR § 164.412
Penggunaan dan Pengungkapan yang Diizinkan oleh Rekan Bisnis.
3.1. Rekanan Bisnis dapat menggunakan atau mengungkapkan PHI untuk menjalankan fungsi, aktivitas, dan layanan untuk atau atas nama Rekening yang Didukung sebagaimana diatur dalam Perjanjian Layanan. Penggunaan dan pengungkapan tersebut harus dibatasi pada hal-hal yang tidak akan melanggar Aturan Privasi jika dilakukan oleh Akun yang Didukung, kecuali bahwa Rekanan Bisnis dapat menggunakan dan mengungkapkan PHI untuk manajemen dan administrasi Rekanan Bisnis yang tepat atau untuk melaksanakan tanggung jawab hukumnya; asalkan, dalam hal pengungkapan untuk tujuan ini, pengungkapan tersebut diwajibkan oleh Hukum atau Rekanan Bisnis mendapatkan jaminan yang wajar secara tertulis dari orang yang menerima informasi tersebut, bahwa informasi tersebut akan tetap dirahasiakan dan digunakan atau diungkapkan lebih lanjut hanya jika diwajibkan oleh Hukum atau untuk tujuan pengungkapan informasi tersebut kepada orang tersebut, dan orang tersebut akan memberi tahu Rekanan Bisnis mengenai kejadian apa pun yang diketahuinya dimana kerahasiaan informasi tersebut dilanggar.
3.2. Rekanan Bisnis juga dapat menggunakan dan mengungkapkan PHI sebagaimana disahkan secara tertulis oleh Akun yang Didukung.
3.3. Rekanan Bisnis setuju untuk meminta, menggunakan, dan mengungkapkan PHI sesuai dengan standar Minimum yang Diperlukan dalam Peraturan HIPAA
Kewajiban Penerima Lisensi.
4.1. Akun yang Didukung hanya akan memberikan PHI kepada InterSystem jika benar-benar diperlukan untuk tujuan Perjanjian dan layanan yang akan disediakan oleh InterSystem dan sepenuhnya mematuhi standar Minimum yang Diperlukan dalam Peraturan Privasi. Rekening yang Didukung tidak boleh meminta atau mewajibkan Rekanan Bisnis untuk menggunakan atau mengungkapkan PHI dengan cara yang tidak dapat dilakukan oleh Rekening yang Didukung sebagai Entitas yang Tercakup atau Rekanan Bisnis untuk Entitas yang Tercakup.
4.2. Rekening yang Didukung menyatakan dan menjamin bahwa Rekening yang Didukung (atau jika Rekening yang Didukung adalah Rekanan Bisnis, maka Rekanan Bisnis yang bersangkutan) Pemberitahuan Praktik Privasi mematuhi 45 CFR § 164.520 dan mengizinkan Rekening yang Didukung untuk menggunakan dan mengungkapkan PHI dengan cara yang diizinkan oleh Rekanan Bisnis untuk menggunakan dan mengungkapkan PHI menurut Adendum ini.
4.3. Sejauh Akun yang Didukung memenuhi permintaan untuk membatasi penggunaan atau pengungkapan PHI sesuai dengan 45 CFR § 164.522(a), Akun yang Didukung setuju untuk tidak memberikan PHI tersebut kepada Rekanan Bisnis kecuali jika Akun yang Didukung memberi tahu Rekanan Bisnis mengenai pembatasan tersebut dan Rekanan Bisnis memberi tahu Akun yang Didukung bahwa mereka dapat mengakomodasi pembatasan tersebut. Akun yang Didukung setuju untuk mengganti biaya yang dikeluarkan oleh Rekanan Bisnis untuk setiap peningkatan biaya yang diperlukan untuk mengakomodasi pembatasan tersebut.
4.4. Rekening yang Didukung bertanggung jawab untuk menggunakan perlindungan administratif, fisik, dan teknis setiap saat untuk menjaga dan memastikan kerahasiaan, privasi, dan keamanan PHI yang dikirimkan ke Rekanan Bisnis sesuai dengan standar dan persyaratan Peraturan HIPAA, hingga PHI tersebut diterima oleh Rekanan Bisnis.
4.5. Akun yang Didukung harus mendapatkan persetujuan atau otorisasi yang mungkin diwajibkan oleh hukum federal atau negara bagian yang berlaku agar Rekanan Bisnis dapat memberikan layanannya berdasarkan Perjanjian.
4.6. Rekening yang Didukung harus memberikan kepada Rekanan Bisnis daftar tertulis nama-nama individu di dalam Tenaga Kerjanya yang diberi wewenang untuk menerima atau mengakses PHI atas namanya, dan memberikan pemberitahuan tertulis yang wajar kepada Rekanan Bisnis mengenai perubahan apa pun pada daftar tersebut. Apabila tidak ada Rekening yang Didukung yang menyediakan daftar tersebut, Rekanan Bisnis dapat berasumsi bahwa individu-individu yang merupakan anggota tenaga kerja Rekening yang Didukung atau, jika berlaku, Entitas yang Ditanggung yang relevan, yang meminta atau menerima PHI dari Rekanan Bisnis bertindak atas nama Rekening yang Didukung, dan diberi wewenang untuk menerima atau mengakses PHI atas nama Rekening yang Didukung
Syarat dan Pengakhiran.
5.1. Adendum ini berlaku selama jangka waktu Perjanjian dan akan berakhir pada saat pengakhiran Perjanjian, kecuali sejauh yang diatur dalam Pasal 5.3.
5.2. Pemutusan Hubungan Kerja karena Alasan Tertentu. Setelah terjadi pelanggaran material terhadap Adendum ini oleh suatu Pihak, Pihak Lain harus memberitahukan kepada Pihak yang Melanggar mengenai sifat pelanggaran material tersebut secara tertulis, dan harus memberikan waktu enam puluh (60) hari kalender kepada Pihak yang Melanggar sejak diterimanya pemberitahuan tersebut untuk memperbaiki pelanggaran tersebut. Jika Pihak yang Melanggar gagal untuk memperbaiki pelanggaran atau mengakhiri pelanggaran dalam jangka waktu 60 (enam puluh) hari kalender, Pihak Lain dapat, atas kebijakannya sendiri, mengakhiri Adendum ini dan Perjanjian melalui pemberitahuan tertulis kepada Pihak yang Melanggar.
5.3. Pengaruh Pemutusan Hubungan Kerja.
5.3.1. Kecuali sebagaimana diatur dalam ayat 5.2 bagian ini, setelah pengakhiran Perjanjian karena alasan apa pun, Rekanan Bisnis harus, jika memungkinkan, mengembalikan, memusnahkan, atau meminta pemusnahan semua PHI yang diterima dari Penerima Lisensi, atau yang dibuat atau diterima oleh Rekanan Bisnis atas nama Penerima Lisensi.
5.3.2. Apabila Rekanan Bisnis menetapkan bahwa pengembalian atau pemusnahan PHI tidak dapat dilakukan, maka Rekanan Bisnis harus memperluas perlindungan Adendum ini terhadap PHI tersebut, dan harus membatasi penggunaan dan pengungkapan lebih lanjut atas PHI tersebut, hanya untuk tujuan-tujuan yang menyebabkan pengembalian atau pemusnahan tidak dapat dilakukan, selama Rekanan Bisnis menyimpan PHI tersebut
Lain-lain.
6.1. Referensi Peraturan. Rujukan dalam Adendum ini ke bagian dalam Peraturan HIPAA berarti bagian yang berlaku atau sebagaimana telah diubah, dan pada tanggal kepatuhan yang berlaku.
6.2. Perubahan pada Adendum ini. Para Pihak setuju untuk bernegosiasi dengan itikad baik untuk mengubah Adendum ini atau Perjanjian Layanan sebagaimana diperlukan untuk mematuhi perubahan apa pun dalam Peraturan HIPAA. Jika, dalam waktu enam puluh (60) hari kalender setelah Rekanan Bisnis menerima usulan amandemen untuk tujuan ini dari Rekening yang Didukung, Para Pihak tidak dapat dengan itikad baik untuk mencapai kesepakatan atas persyaratannya, salah satu Pihak dapat mengakhiri Adendum ini dan Perjanjian melalui pemberitahuan tertulis kepada Pihak lainnya.
6.3. Bertahan hidup. Hak dan kewajiban masing-masing Rekanan Bisnis berdasarkan Pasal 5.3. akan tetap berlaku setelah pengakhiran selama Rekanan Bisnis mempertahankan PHI.
6.4. Interpretasi. Setiap ketidakjelasan dalam Adendum ini harus diselesaikan untuk memungkinkan Para Pihak mematuhi Peraturan HIPAA
Pengobatan. Para Pihak setuju bahwa upaya hukum atas pelanggaran ketentuan-ketentuan dalam Adendum ini mungkin tidak memadai dan bahwa kerugian moneter yang diakibatkan oleh pelanggaran tersebut mungkin tidak dapat diukur dengan mudah. Oleh karena itu, jika terjadi pelanggaran oleh salah satu Pihak terhadap ketentuan-ketentuan dalam Adendum ini, maka Pihak lainnya berhak untuk mendapatkan putusan sela dengan segera. Tidak ada satu pun hal dalam Perjanjian ini yang dapat melarang salah satu Pihak untuk mengupayakan upaya hukum lain yang mungkin tersedia bagi salah satu Pihak untuk pelanggaran tersebut.
7.1. Hubungan Para Pihak. Secara tegas disepakati bahwa InterSystems dan afiliasinya, termasuk karyawan dan Subkontraktornya, melaksanakan layanan berdasarkan Adendum ini sebagai kontraktor independen untuk Akun yang Didukung. Baik InterSystem maupun afiliasi, pejabat, direktur, karyawan, atau Subkontraktornya bukan merupakan karyawan atau agen dari Akun yang Didukung. Tidak ada satu pun dalam Adendum ini yang dapat ditafsirkan untuk menciptakan (i) kemitraan, usaha patungan, atau hubungan bisnis bersama lainnya antara para pihak atau afiliasinya, atau (ii) hubungan keagenan untuk tujuan Undang-Undang HITECH. Referensi dalam Adendum ini untuk bagian dalam Peraturan HIPAA berarti bagian tersebut sebagaimana yang berlaku atau sebagaimana telah diubah, dan pada tanggal kepatuhan yang berlaku.
Para Pihak setuju bahwa Adendum ini berlaku selama jangka waktu Perjanjian