Il presente SUPPORT BUSINESS ASSOCIATE AGREEMENT ADDENDUM ("Addendum") è incorporato nei termini di condivisione delle informazioni tra InterSystems Corporation, una società del Massachusetts con sede principale a 1 Memorial Drive, Cambridge, MA 02142 USA ("InterSystems"), e l'account supportato, definito nel presente documento, e, se pertinente, reso parte di qualsiasi Contratto di licenza, supporto o partner ("Contratto"). Account supportato significa Utente finale, Partner di applicazione, Partner di implementazione, Partner di soluzioni, Integratore di sistemi, o qualsiasi parte con cui InterSystems sta interagendo nel contesto della necessità della parte di divulgare informazioni sanitarie protette, come definito di seguito, a InterSystems in conformità alle Condizioni di condivisione delle informazioni. InterSystems e il Conto Sostenuto sono parti del presente Addendum (ciascuno separatamente "una Parte", complessivamente "Parti"). In considerazione dei patti e delle promesse reciproche contenute nel presente documento e di altri buoni e preziosi corrispettivi, il cui ricevimento e la cui sufficienza sono qui riconosciuti dalle parti, le parti convengono quanto segue:
Tutti i termini in maiuscolo utilizzati nel presente Addendum e non definiti altrove nel presente documento o nell'accordo hanno lo stesso significato di tali termini come utilizzati o definiti in HIPAA. I termini del presente Addendum sostituiscono qualsiasi termine conflittuale dell'Accordo sui Servizi.
Le Parti riconoscono che all'Account Supportato, in determinate circostanze, può essere richiesto di rispettare le Norme HIPAA, come definito di seguito e che InterSystems può fornire di volta in volta alcuni servizi all'Account Supportato, che possono far sì che InterSystems abbia accesso alle Informazioni Sanitarie Protette, come definito di seguito. Le Parti riconoscono che i servizi forniti da InterSystems non sono destinati a far sì che InterSystems crei, riceva, mantenga, trasmetta, utilizzi o divulghi informazioni sanitarie relative ad un Individuo che costituiscono Informazioni Sanitarie Protette; tuttavia, le Parti riconoscono che Supported Account richiede ai suoi fornitori di servizi che entrano in contatto con Informazioni Sanitarie Protette di stipulare un accordo di business associate con Supported Account, e InterSystems è disposto a stipulare un tale accordo nel caso improbabile che InterSystems entri in contatto con Informazioni Sanitarie Protette e senza concedere che InterSystems sia generalmente un business associate come definito dalle Norme HIPAA.
Definizioni.
1.1. Associato d'affari. "Business Associate" ha generalmente lo stesso significato del termine "business associate" in 45 CFR § 160.103, e, quando utilizzato come riferimento nel presente Addendum, si riferisce a InterSystems quando (1) InterSystems e Supported Account concordano che InterSystems è un Business Associate di Supported Account per un servizio specifico e identificato come definito in un documento specifico e individuale di regole di impegno (un modello è collegato di seguito nel presente Addendum) accettato da InterSystems e Supported Account e (2) InterSystems non agisce altrimenti come fornitore di servizi o venditore terzo al Supported Account.
1.2. Regole HIPAA. per "norme HIPAA" si intendono i requisiti previsti dalle norme sulla privacy, la sicurezza, la notifica delle violazioni e l'applicazione a 45 CFR Parte 160 e Parte 164, che attuano le disposizioni di semplificazione amministrativa dell'Health Insurance Portability and Accountability Act del 1996, Pub. L. 104 191 ("HIPAA") e come modificato dall'Health Information Technology for Economic and Clinical Health Act, emanato sotto il titolo XIII dell'American Recovery and Reinvestment Act del 2009, Pub. L. 111-5 ("HITECH Act"), in ogni caso solo a partire dalla data di conformità applicabile per tali requisiti.
1.3. Regola della privacy. per "Privacy Rule" si intendono gli standard per la privacy delle informazioni sanitarie identificabili individualmente al 45 CFR parte 160 e parte 164, sottoparti A ed E.
1.4. Informazioni sanitarie protette (PHI) e informazioni sanitarie elettroniche protette (EPHI). PHI e EPHI avranno lo stesso significato di tali termini come definito in 45 CFR § 160.103, ma limitato a tali informazioni create o ricevute da InterSystems quando agisce in qualità di Associato d'affari del conto supportato e non agisce altrimenti come fornitore di servizi o venditore terzo al conto supportato. A scanso di equivoci, PHI e EPHI non includono alcuna informazione che non sia in forma identificabile.
1.5. Regola di sicurezza. per "Regola di sicurezza" si intendono gli standard per la sicurezza delle informazioni sanitarie elettroniche protette al 45 CFR parti 160 e 164, sottoparte C
Obblighi e attività del Business Associate.
2.1. Il Business Associate accetta di non utilizzare o divulgare PHI se non come consentito o richiesto dall'Accordo o dal presente Addendum, o come consentito o richiesto dalla legge.
2.2. L'Associato commerciale accetta di utilizzare salvaguardie appropriate per proteggere da qualsiasi uso o divulgazione di PHI non previsto nel presente documento e di rispettare, ove applicabile, la sottoparte C del 45 CFR Parte 164 rispetto a EPHI. Senza limitare quanto sopra, il Business Associate accetta di implementare appropriate salvaguardie amministrative, fisiche e tecniche progettate per prevenire l'uso e la divulgazione non autorizzati delle Informazioni Sanitarie Protette e per proteggere la riservatezza, l'integrità e la disponibilità delle Informazioni Sanitarie Protette elettroniche, compreso il mantenimento di un processo di risposta agli incidenti per indagare e rispondere agli usi e alle divulgazioni non autorizzati di PHI quando ne viene a conoscenza, come richiesto dal 45 CFR § 164.308, 164.310, 164.312, e 164.316, come può essere modificato di volta in volta.
2.3. Il Business Associate accetta di mitigare, per quanto possibile, qualsiasi effetto dannoso che è noto al Business Associate di un uso o divulgazione di PHI da parte del Business Associate in violazione del presente Addendum.
2.4. In conformità con 45 CFR § 164.502 (e)(1)(ii) e § 164.308(b)(2), l'Associato d'affari accetta di richiedere che qualsiasi Subappaltatore, al quale delega qualsiasi funzione o attività che si è impegnato a svolgere per conto dell'Account supportato, e al quale fornisce PHI ricevuto dall'Account supportato, accetti sostanzialmente le stesse restrizioni e condizioni sull'uso o la divulgazione di PHI che si applicano attraverso questo Addendum all'Associato d'affari attraverso un Accordo di Associato d'affari tra tale Subappaltatore e l'Associato d'affari.
2.5. L'Associato d'affari accetta di rendere le sue pratiche interne, le politiche, le procedure, i libri e i registri relativi all'uso e alla divulgazione di PHI ricevuti da, o creati o ricevuti dall'Associato d'affari per conto dell'Account supportato, disponibili per l'ispezione e la copia da parte del Segretario su richiesta scritta del Segretario allo scopo di determinare la conformità dell'Account supportato alle norme HIPAA.
2.6. Le Parti non intendono che il Business Associate mantenga alcun PHI in un Designated Record Set ("DRS") per gli account supportati. Nella misura in cui l'Associato d'affari possiede PHI in un DRS, l'Associato d'affari accetta di rendere tali informazioni disponibili all'Account supportato ai sensi del 45 CFR § 164.524, entro cinque (5) giorni lavorativi dal ricevimento da parte dell'Associato d'affari di una richiesta scritta dell'Account supportato; a condizione, tuttavia, che l'Associato d'affari non sia tenuto a fornire tale accesso qualora il PHI contenuto in un DRS sia duplicato del PHI contenuto in un DRS posseduto dall'Account supportato. Se un individuo fa una richiesta di accesso ai sensi del 45 CFR § 164.524, § 164.526, o § 164.528 direttamente all'Associato d'affari, o chiede informazioni sui suoi diritti ai sensi dell'HIPAA, l'Associato d'affari indirizzerà prontamente tale individuo a Supported Account nella misura in cui l'individuo o InterSystems possono identificare Supported Account come la parte appropriata per la richiesta.
2.7. L'Associato d'affari accetta di documentare le divulgazioni di PHI effettuate da esso, e le informazioni relative a tali divulgazioni, come sarebbe necessario per l'Account supportato per rispondere a una richiesta di un Individuo per una contabilità delle divulgazioni di PHI secondo 45 CFR § 164.528. Su richiesta scritta dell'Account Supportato, e in tempi e modi ragionevoli, l'Associato d'affari accetta di fornire all'Account Supportato tali informazioni affinché l'Account Supportato possa fornire una contabilità ai sensi del 45 CFR § 164.528.
2.8. A seguito della scoperta da parte dell'Associato d'affari di qualsiasi violazione di PHI non protetta (una "violazione dei dati") da parte dell'Associato d'affari o dei suoi subappaltatori, l'Associato d'affari accetta di notificare l'Account supportato di tale violazione senza ritardo irragionevole, ma non più tardi di cinque (5) giorni lavorativi dopo che l'Associato d'affari ha accertato che vi è una violazione dei dati. Tale notifica includerà, per quanto disponibile, l'identità di ogni individuo le cui PHI non protette sono state, o si ritiene ragionevolmente che siano state, accedute, acquisite, utilizzate o divulgate dal Business Associate durante la violazione dei dati. Al momento della notifica o subito dopo, quando tali informazioni diventano disponibili, l'Associato d'affari fornirà inoltre all'Account supportato le altre informazioni disponibili necessarie all'Account supportato per notificare a un individuo la violazione, come richiesto dal 45 CFR § 164.404(c). L'associato commerciale accetta che nella misura in cui la violazione dei dati è esclusivamente il risultato di atti negligenti o omissioni dell'associato commerciale, l'associato commerciale pagherà il costo ragionevole per l'account supportato per fornire le notifiche richieste ai sensi del 45 CFR § 164.404, 45 CFR § 164.406 e § 164.408(b). Nonostante quanto sopra, se un funzionario delle forze dell'ordine fornisce al Business Associate una dichiarazione che la notifica richiesta ai sensi del presente paragrafo ostacolerebbe un'indagine penale o causerebbe danni alla sicurezza nazionale, il Business Associate può ritardare la notifica per il periodo di tempo stabilito nella dichiarazione come consentito dal 45 CFR § 164.412
Usi e divulgazioni consentiti dal Business Associate.
3.1. Il Business Associate può utilizzare o divulgare PHI per eseguire funzioni, attività e servizi per o per conto dell'Account Supportato, come previsto dal Contratto di Servizi. Tali usi e divulgazioni saranno limitati a quelli che non violerebbero la Regola sulla Privacy se fatti dal Conto Sostenuto, tranne che l'Associato Aziendale può usare e divulgare PHI per la corretta gestione e amministrazione dell'Associato Aziendale o per svolgere le sue responsabilità legali; a condizione che, nel caso di qualsiasi divulgazione per questo scopo, la divulgazione sia Richiesta dalla Legge o l'Associato Aziendale ottenga ragionevoli assicurazioni per iscritto dalla persona a cui l'informazione viene divulgata, che essa rimarrà riservata e usata o ulteriormente divulgata solo come richiesto dalla Legge o per lo scopo per cui è stata divulgata alla persona, e che la persona notifichi all'Associato Aziendale qualsiasi caso di cui sia a conoscenza in cui la riservatezza dell'informazione sia stata violata.
3.2. Il Business Associate può anche usare e divulgare PHI come autorizzato per iscritto dall'Account Supportato.
3.3. L'Associato d'affari accetta di richiedere, utilizzare e divulgare PHI in conformità con lo standard Minimo Necessario della Regola HIPAA
Obblighi del licenziatario.
4.1. L'account supportato fornirà PHI a InterSystems solo quando strettamente necessario ai fini dell'accordo e dei servizi che devono essere forniti da InterSystems e nel pieno rispetto dello standard Minimo Necessario della Normativa sulla Privacy. L'Account Supportato non chiederà o richiederà al Business Associate di usare o divulgare PHI in un modo in cui l'Account Supportato non potrebbe fare come Entità Inclusa o come Business Associate per un'Entità Inclusa.
4.2. L'Account Supportato dichiara e garantisce che la sua (o nel caso in cui l'Account Supportato sia un Associato d'Affari, l'Entità Inclusa pertinente) Informativa sulla Privacy è conforme al 45 CFR § 164.520 e permette all'Account Supportato di usare e divulgare PHI nel modo in cui l'Associato d'Affari è autorizzato a usare e divulgare PHI ai sensi del presente Addendum.
4.3. Nella misura in cui l'Account supportato onora una richiesta di limitare l'uso o la divulgazione di PHI ai sensi del 45 CFR § 164.522(a), l'Account supportato accetta di non fornire tali PHI all'Associato commerciale a meno che l'Account supportato non notifichi all'Associato commerciale la restrizione e l'Associato commerciale comunichi all'Account supportato che è in grado di accogliere la restrizione. L'Account supportato accetta di rimborsare il Business Associate per qualsiasi aumento dei costi richiesto per soddisfare tale restrizione.
4.4. L'Account supportato è responsabile dell'utilizzo di salvaguardie amministrative, fisiche e tecniche in ogni momento per mantenere e garantire la riservatezza, la privacy e la sicurezza delle PHI trasmesse al Business Associate in conformità con gli standard e i requisiti delle Norme HIPAA, fino a quando tali PHI sono ricevute dal Business Associate.
4.5. L'Account Supportato dovrà ottenere qualsiasi consenso o autorizzazione che possa essere richiesto dalle leggi federali o statali applicabili affinché il Business Associate possa fornire i suoi servizi ai sensi del Contratto.
4.6. L'account supportato fornirà al Business Associate un elenco scritto dei nomi di quelle persone nella sua forza lavoro che sono autorizzate a ricevere o accedere a PHI per suo conto, e a fornire un ragionevole preavviso scritto al Business Associate di qualsiasi modifica a tale elenco. In assenza che l'Account supportato fornisca tale elenco, l'Associato d'affari può presumere che gli individui che sono membri della forza lavoro dell'Account supportato o, se applicabile, dell'Entità coperta pertinente, che richiedono o ricevono PHI dall'Associato d'affari stiano operando per conto dell'Account supportato, e siano autorizzati a ricevere o accedere a PHI per suo conto
5.1. Termine e risoluzione.
5.1. Il presente Addendum è efficace durante il periodo di validità dell'Accordo e termina con la cessazione dell'Accordo, salvo nella misura prevista nella Sezione 5.3.
5.2. Cessazione per causa. In caso di violazione sostanziale del presente Addendum da parte di una Parte, l'altra Parte dovrà notificare per iscritto alla Parte inadempiente la natura della violazione sostanziale e concedere alla Parte inadempiente sessanta (60) giorni di calendario dal ricevimento di tale notifica per porre rimedio alla violazione. Se la Parte inadempiente non riesce a curare la violazione o a porre fine alla violazione entro il periodo di cura di sessanta (60) giorni di calendario, l'altra Parte può, a sua discrezione, risolvere il presente Addendum e l'Accordo mediante comunicazione scritta alla Parte inadempiente.
5.3. Effect of Termination.
5.3.1. Ad eccezione di quanto previsto dal paragrafo 5.2 della presente sezione, alla cessazione dell'accordo per qualsiasi motivo, l'associato d'affari dovrà, se possibile, restituire, distruggere o richiedere la distruzione di tutte le PHI ricevute dal Licenziatario, o create o ricevute dall'associato d'affari per conto del Licenziatario.
5.3.2. Nel caso in cui l'Associato Aziendale determini che la restituzione o la distruzione delle PHI non è fattibile, l'Associato Aziendale estenderà le protezioni del presente Addendum a tali PHI e limiterà ulteriori usi e divulgazioni di tali PHI a quegli scopi che rendono impossibile la restituzione o la distruzione, per tutto il tempo in cui l'Associato Aziendale mantiene tali PHI
Varie.
6.1. Riferimenti normativi. Un riferimento nel presente Addendum a una sezione delle Regole HIPAA indica la sezione in vigore o modificata, e alla data di conformità applicabile.
6.2. Modifiche a questo addendum. Le parti concordano di negoziare in buona fede per modificare il presente Addendum o l'Accordo di servizi come necessario per conformarsi a qualsiasi modifica delle norme HIPAA. Se, entro sessanta (60) giorni di calendario dal ricevimento da parte del Business Associate di una proposta di modifica a tal fine da parte dell'Account Supportato, le Parti non sono in grado in buona fede di raggiungere un accordo sui suoi termini, ciascuna Parte può risolvere il presente Addendum e l'Accordo mediante comunicazione scritta all'altra Parte.
6.3. Sopravvivenza. I rispettivi diritti e obblighi del Business Associate ai sensi della Sezione 5.3. resteranno in vigore fino a quando il Business Associate manterrà qualsiasi PHI.
6.4. Interpretazione. Qualsiasi ambiguità nel presente Addendum deve essere risolta in modo da permettere alle parti di rispettare le norme HIPAA
Rimedi. Le parti convengono che i rimedi di legge per una violazione dei termini del presente Addendum possono essere inadeguati e che i danni monetari derivanti da tale violazione non possono essere facilmente misurati. Di conseguenza, in caso di violazione da parte di una delle parti dei termini del presente Addendum, l'altra parte ha diritto ad un immediato provvedimento ingiuntivo. Nulla nel presente documento vieta alle parti di perseguire qualsiasi altro rimedio che possa essere a disposizione di una delle parti per tale violazione.
7.1. Rapporto tra le parti. Si concorda espressamente che InterSystems e le sue affiliate, compresi i suoi dipendenti e subappaltatori, stanno eseguendo i servizi di cui al presente Addendum come contraenti indipendenti per l'Account Supportato. Né InterSystems né i suoi affiliati, funzionari, direttori, dipendenti o subappaltatori sono dipendenti o agenti dell'account supportato. Nulla in questo Addendum deve essere interpretato per creare (i) una partnership, una joint venture o un'altra relazione commerciale congiunta tra le parti o uno dei loro affiliati, o (ii) una relazione di agenzia per gli scopi dell'HITECH Act.Regulatory References. Un riferimento nel presente Addendum a una sezione delle Regole HIPAA indica la sezione in vigore o modificata, e alla data di conformità applicabile.
Le parti concordano che il presente addendum è in vigore durante la durata dell'accordo.
Questa pagina è stata tradotta anche grazie all’uso di strumenti di traduzione automatica. La versione inglese di questa pagina avrà la priorità in caso di conflitti di traduzione.