اتفاقية شراكة العمل لدى CoachCare
يتم إبرام اتفاقية شراكة الأعمال هذه ("الاتفاقية") بينك ("الكيان المحمي") وبينLexington Wellness Holdings Inc. d / b CoachCare (شريك العمل). قد يشار إلى الكيان المحمي وشريك الأعمال معًا في هذه الوثيقة باسم "الأطراف".
1. مقدمة
1.1.HIPAA
دخل الكيان المحمي وشريك العمل في هذه الاتفاقية امتثالًا لمتطلبات قانون التأمين الصحي والمساءلة لعام 1996 ("HIPAA")، بصيغته المعدلة، بما في ذلك قواعد الخصوصية والأمان والإخطار وقواعد التنفيذ في 45 C.F.R. ضمن الجزء 160 والجزء 164، وكذلك قانون تكنولوجيا المعلومات الصحية لقانون الصحة الاقتصادية والسريرية، الذي تم سنه كجزء من قانون الإنعاش الأمريكي وإعادة الاستثمار لعام 2009 ("HITECH")، بصيغته المعدلة، والقوانين الفيدرالية وقوانين الولاية الأخرى السارية (مجتمعة في قواعدHIPAA).")
1.2.المعلومات الصحية المحمية
تهدف هذه الاتفاقية إلى ضمان قيام شريك العمل بإنشاء وتنفيذ ضمانات مناسبة لبعض المعلومات الصحية المحمية المحددة بشكل فردي والمتعلقة بالمرضى من الكيان المحمي ("PHI" كما هو محدد أدناه) والتي قد يستلمها "شريك العمل" أو ينشئها أو يحتفظ بها أو يستخدمها. أو الكشف عن بعض الوظائف والأنشطة والخدمات التي يقوم بها شريك العمل للكيان المحمي. ويتم تعريف الوظائف والأنشطة والخدمات التي يؤديها " شريك العمل" للكيان المغطى في اتفاقية واحدة أو أكثر بين الأطراف ("الاتفاقات الأساسية").
2. التعريفات
2.1.الشروط
بالنسبة للمصطلحات المستخدمة التي لم يتم تعريفها في هذه الاتفاقية فهي تحمل نفس المعنى الوارد في هذه الشروط في قواعد HIPAA، ويتم تضمين التعاريف في هذه الاتفاقية بالرجوع إليها.
2.2.التعريفات
لأغراض هذه الاتفاقية:
2.2.1يجب أن تحمل "المعلومات الصحية الإلكترونية المحمية" أو "ePHI" المعنى المعطى لمثل هذا المصطلح بموجب قاعدة الخصوصية والقاعدة الأمنية ، بما في ذلك -على سبيل المثال لا الحصر- 45 C.F.R. 160.103 ، على النحو المطبق على المعلومات التي تم إنشاؤها، والتي تم استلامها أو الاحتفاظ بها أو إرسالها من قبل شريك العمل من الكيان المشغل أو نيابة عنه
2.2.2"الفرد" سيكون له نفس المعنى الممنوح لمثل هذا المصطلح في 45 C.F.R. § 160.103 وتشمل كل شخص مؤهل كممثل شخصي وفقًا لـ45 C.F.R. § 164.502 (g).
2.2.3"المعلومات الصحية المحمية" أو "PHI" تحمل المعنى المعطى لمثل هذا المصطلح في 45 C.F.R. 160.103، وتقتصر على المعلومات التي تم إنشاؤها أو استلامها أو الاحتفاظ بها أو نقلها من قبل شريك العمل أو بالنيابة عن الكيان المحمي.
2.2.4تعني "قواعد الخصوصية" معايير الخصوصية الخاصة بالمعلومات الصحية القابلة للتحديد الفردي المنشورة في يُقصد بـ "قواعد الخصوصية" معايير الخصوصية الخاصة بالمعلومات الصحية القابلة للتحديد الفردي المنشورة في 45 C.F.R. الأجزاء 160 و 164 ، ضمن البنود الفرعية A و E.+
2.2.5يعتبر "مطلوب بموجب القانون" هو المعنى المعطى لمثل هذا المصطلح في 45 C.F.R. 164،103
2.2.6"أمين" يعني أمين وزارة الصحة والخدمات الإنسانية أو من ينوب عنه.
2.2.7"القاعدة الأمنية" تعني المعايير الأمنية في 45 C.F.R. الجزء 160 والجزء 164 ، الجزءان أ و ج
3. الالتزامات العامّة الخاصة بشريك العمل
3.1.الاستخدام والإفصاح
يوافق شريك العمل على عدم استخدام أو الكشف عن المعلومات الصحية المحمية، بخلاف ما هو مسموح به أو مطلوب بموجب هذه الاتفاقية أو كما هو مطلوب بموجب القانون. إلى الحد الذي يقوم به شريك العمل بواحد أو أكثر من التزامات الكيان المحمي وفق سياسة الخصوصية لشروط الاتفاقية الأساسية أو هذه الاتفاقية، ويجب على شريك العمل الالتزام بمتطلبات سياسة الخصوصية التي تنطبق على الكيان المحمي في تطبيق هذا الالتزام (الالتزامات).
3.2الضمانات المناسبة
يتعين على شريك العمل استخدام الضمانات المادية والفنية والإدارية المناسبة، والالتزام بالقاعدة الأمنية فيما يتعلق بـ ePHI، لمنع استخدام أو الكشف عن المعلومات الصحية المحمية بخلاف ما هو منصوص عليه في هذه الاتفاقية أو كما يقتضي القانون.
3.3التخفيف
يوافق شريك العمل على التخفيف -إلى الحد الممكن عمليًا- من أي تأثير ضار معروف له نتيجة استخدام أو الكشف عن PHI من قِبله وانتهاك متطلبات هذه الاتفاقية أو ما قد يتسبب في خرق PHI غير الآمن.
3.4الإبلاغ عن الخرق
يجب على شريك العمل إبلاغ الكيان المحمي بأي استخدام أو كشف لـ PHI غير مسموح به بموجب شهادة BAA، أو خرق PHI غير المؤمن أو وقوع حادثة أمنية وذلك دون تأخير غير مُبرر، وقبل ما لا يزيد عن ثلاثين (30) يومًا من اكتشاف الخرق؛ ومع ذلك، فإن الأطراف تقر وتوافق على أن هذا القسم يشكل إخطارًا من شريك الأعمال إلى الكيان المحمي بالوجود المستمر ووقوع الحوادث الأمنية غير الناجحة (كما هو موضح أدناه) والتي يجب أن يُعطى إشعارًا حولها للكيان المحمي من قِبل شريك العمل عند الطلب. وتشمل "الحوادث الأمنية غير الناجحة" - على سبيل المثال لا الحصر - الأصوات وعمليات البث الأخرى على جدار الحماية الخاص ببرنامج شريك العمل، وفحوصات المنفذ، ومحاولات تسجيل الدخول غير الناجحة ، والحالات الممنوعة من الخدمة وأي مزيج من العناصر المذكورة أعلاه. وطالما لم تكن هناك مثل هذه النتائج في الوصول غير المصرح به أو استخدام أو الكشف عن PHI. يجب أن يتضمن إخطار شريك العمل إلى الكيان المغطى حول الخرق ما يلي:
3.4.1.تحديد هوية كل فرد غير مؤمَّن من أفراد مجتمعه، أو من يوجد سبب للاعتقاد بأنه قد تم الوصول إليه أو الحصول على بياناته أو الكشف عنه أثناء الخرق.
3.4.2.أي تفاصيل تتعلق بالخرق الذي يشمل الكيان المحمي مما يجب تضمينه في الإخطار، حيث يتم تحديد هذه التفاصيل في 45 C.F.R. § 164.404.
3.5.المتعاقدين الفرعيين
وفقا ل 45 C.F.R. § § 164.502 (e) (1) (ii) و164.308 (b) (2) فإنه إذا أمكن لشريك العمل فيجب عليه عقد اتفاقية مكتوبة مع أي وكيل أو مقاول من المتعاقدين ممن يقوم بإنشاء أو استلام أو حفظ أو نقل معلومات الصحة المحمية بالنيابة عن شريك العمل للخدمات المقدمة للكيان المحمي، والذي ينص على موافقة الوكيل على نفس القيود والشروط والمتطلبات التي تنطبق على " شريك العمل" فيما يتعلق بهذه المعلومات.
3.6.الوصول إلى المعلومات الصحية المحمية
يوافق شريك العمل على توفير الوصول إلى المعلومات الصحية المحمية في مجموعة السجلات المعينة إلى الكيان المحمي. وإذا قام فرد بعمل طلب للوصول بموجب البند 45 C.F.R. § 164.524 مباشرة إلى "شريك العمل"، أو استفسر عن حقه في الوصول إليها فعلى "شريك العمل" إحالتها إلى الكيان المحمي. ويعتبر أي رد على هذا الطلب من مسؤولية الكيان المحمي.
3.7.الحد الأدنى للمتطلبات اللازمة
يوافق شريك العمل على أنه عند طلب استخدام أو الكشف عن المعلومات الصحية المحمية وفقاً للبند 45 C.F.R. § 502 (b) (1) فسيكون ذلك عبر الإفصاح عن الحد الأدنى الضروري للاستخدام، بما في ذلك استخدام "مجموعة بيانات محدودة" كما هو محدد في بند 45 C.F.R. § 164.514 (e) (2) لتحقيق الغرض المقصود من مثل هذا الطلب أو الاستخدام أو الإفصاح كما هو مفسر بموجب التوجيهات ذات الصلة الصادرة عن الأمين من وقت لآخر.
3.8.تعديل PHI
يوافق شريك العمل على جعل PHI واردة في مجموعة سجلات معينة متاحة للهيئة المشمولة من أجل التعديل. وذلك عملاً بالبند 45 C.F.R. § 164.526. إذا تقدم فرد ما بطلب تعديل عملاً بالرقم 45 C.F.R. § 164.526 مباشرة إلى "شريك العمل"، أو يستفسر عن حقه في الوصول، فعلى "شريك العمل" إحالة تلك السجلات إلى الكيان المحمي. وأي رد على هذا الطلب سيكون من مسؤولية الكيان المحمي.
3.9.المسئولية عن الإفصاح
يجب على شريك العمل تزويد معلومات الكيان المحمي التي تم جمعها وفقًا للقسم 3.11 من هذه الاتفاقية، للسماح للكيان المحمي بالاستجابة لطلب مقدم من الأفراد للمسئولية عن الإفصاح عن المعلومات الصحية المحمية وفقًا للبند45 C.F.R. § 164.528. فإذا طلب أي فرد المسئولية عن الإفصاح عن المعلومات المتعلقة بالصحة (PHI) مباشرة من "شريك العمل"، يقوم "شريك العمل" بإرسال هذا الطلب إلى الكيان المحمي. وأي رد على هذا الطلب يعتبر من مسؤولية الكيان المحمي.
3.10.الوصول إلى السياسات والسجلات
يوافق شريك العمل على جعل ممارساته الداخلية وكتبه وسجلاته متاحة للكيان المحمي. ويشمل ذلك البيانات حول السياسات والإجراءات المتعلقة باستخدام المعلومات الصحية المحمية والإفصاح عنها وأي معلومات صحية غير مضمونة مستلمة من الكيان المحمي، أو أي معلومات أنشأها أو استلمها شريك العمل نيابة عن الكيان المحمي، وذلك امتثالًا لقواعد HIPAA.
3.11.توثيق الإفصاح
يتعين على شريك العمل توثيق أي افصاح يتعلق بالمعلومات الصحية المحمية والمعلومات المتعلقة بمثل هذا الافصاح كما هو مطلوب للكيان المحمي استجابةً لطلب من الأفراد المسئولة عن الإفصاح عن المعلومات الصحية المحمية. ووفقًا للبند45 C.F.R. § 164.528. فيجب أن يوثق شريك العمل -كحد أدنى- المعلومات التالية ("معلومات الإفصاح"):
3.11.1.تاريخ الكشف
3.11.2.الاسم، والعنوان -إذا كان معروفًا- لمتلقي PHI.
3.11.3.وصف موجز عن المعلومات الصحية المحمية.
3.11.4.الغرض من الكشف والذي يتضمن شرحًا لأساس هذا الكشف.
3.11.5.أي معلومات إضافية مطلوبة بموجب قانون HITECH وأية لوائح تنفيذية.
4. الإفصاح والاستخدامات المُصرح بها من قبل شريك العمل
4.1.الاستخدامات العامة والإفصاح
يوافق شريك العمل على تلقي أو إنشاء أو استخدام أو الكشف عن المعلومات الصحية المحمية فقط كما هو مسموح به بموجب هذه الاتفاقية وقواعد HIPAA وفقط فيما يتعلق بتقديم الخدمات للكيان المحمي؛ شريطة ألا ينتهك الاستخدام أو الإفصاح سياسة الخصوصية إذا تم ذلك بواسطة الكيان المحمي، باستثناء ما هو منصوص عليه في هذه المادة 4.
4.2.المطلوب بموجب القانون
يجوز أن يقوم "شريك العمل" باستخدام أو الكشف عن المعلومات الصحية المحمية كما هو مطلوب بموجب القانون.
4.3.استخدامات اخرى
باستثناء ما هو منصوص عليه في هذه الاتفاقية، فيجوز لشريك العمل ما يلي:
4.3.1.استخدام PHI للإدارة وإدارة شراكة العمل أو تنفيذ مسؤولياته القانونية.
4.3.2.الإفصاح عن المعلومات الصحية (PHI) للإدارة والإدارة المناسبة لمنسق الأعمال أو القيام بالمسؤوليات القانونية الخاصة بشريك العمل، بشرط أن يكون الإفصاح مطلوبًا بموجب القانون، أو يحصل شريك العمل على ضمانات معقولة مكتوبة مسبقًا من الشخص الذي يتم الكشف عن المعلومات التي تخصّه. وستبقى المعلومات سرية ومستخدمة أو لا يتم الكشف عنها إلا وفقًا لما يقتضيه القانون أو للأغراض التي تم الكشف عنها لها، ويبلغ الشخص صاحب الشأن بأي من الحالات التي يكون على دراية خلالها بسرية المعلومات وفقًا لمتطلبات الإخطار المنصوص عليها في هذه الاتفاقية.
4.3.3.استخدام PHI لتوفير خدمات تجميع البيانات للكيان المحمي كما هو مسموح به بموجب قواعد HIPAA.
5. التزامات الكيان المحمي
5.1.يجب على الكيان المحمي ما يلي:
5.1.1.إخطار معاون الأعمال بأي قيود (قيود) في إخطار ممارسات الخصوصية الخاصة به وفقًا لـإخطار شريك العمل حول أي قيود (شروط) تتعلّق بممارسات الخصوصية الخاصة به وفقًا لـ 45 C.F.R. 164.520، إلى الحد الذي قد يؤثر فيه هذا القيد على استخدام أو الكشف عن المعلومات المتعلقة ببرنامج PHI.
5.1.2.إخطار شريك الأعمال بأي قيود على استخدام أو الكشف عن المعلومات الصحية المحمية التي وافقت عليها الهيئة المشمولة وفقا لـ إخطار شريك الأعمال حول أي قيود على استخدام المعلومات الصحية المحمية أو الكشف عنها التي وافقت عليها الهيئة المشمولة وفقًا لـ 45 C.F.R. § 164.522، إلى الحد الذي قد تؤثر فيه مثل هذه التغييرات على استخدام شريك العمل أو الكشف عن المعلومات الصحية المحمية.
5.1.3.إخطار شريك العمل حول أي تغييرات تتعلق بالإذن أو إلغاءه من قبل الفرد لاستخدام معلوماته الصحية المحمية أو الكشف عنها، وذلك إلى الحد الذي قد يؤثر فيه هذا التغيير أو الإلغاء على الاستخدامات المسموح بها أو المطلوبة والاستخدامات المطلوبة من PHI.
5.2.
ل قواعد الأمن إذا تم ذلك بواسطة الكيان المحمي، باستثناء ما هو منصوص عليه في المادة 4 من هذه الاتفاقية.
6. المدة والإنهاء
6.1المدة
تعد هذه الاتفاقية سارية المفعول اعتبارًا من تاريخ التفعيل وتنتهي في وقت سابق لتاريخ:
6.1.1.إنهاء أي من الطرفين لسبب ما كما هو مصرح به بموجب القسم 6.2.
6.1.2.يتم إتلاف كافة المعلومات الواردة من الكيان المحمي، أو المعلومات المنشأة أو المستلمة من قبل شريك العمل بالنيابة عن الكيان المحمي، أو إعادتها إلى الكيان المحمي. وإذا تقرر أن إعادة أو تدمير المعلومات الصحية المحمية هو غير مُجدٍ، يتم تمديد الحماية إلى هذه المعلومات وفقًا للقسم 6.3.
6.2.الإنهاء لسبب
عند معرفة الكيان المحمي بالخرق المادي من قِبل شريك العمل، يجب على الكيان المحمي أن يوفر فرصة لشريك العمل لعلاج هذا الخرق أو إنهاء الانتهاك. وإذا لم يقم شريك العمل بعلاج الانتهاك أو إنهاء الخرق ضمن الإطار الزمني المحدد من قبل الكيان المحمي، أو إذا تم خرق بند ما في هذه الاتفاقية ولم يكن بالمقدور إصلاحه، فيجوز للكيان المحمي إنهاء هذه الاتفاقية والاتفاقية الأساسية)، إن وجدت، بناءً على إخطار كتابي إلى شريك العمل.
6.3.التزامات شريك العمل عند الإنهاء
عند إنهاء هذه الاتفاقية لأي سبب من الأسباب، يجب على شريك العمل، فيما يتعلق بالمعلومات الصحية المحمية الواردة من الكيان المحمي، أو المعلومات المنشأة أو المحفوظة أو المستلمة من قبل شريك العمل بالنيابة عن الكيان المحمي ما يلي:
6.3.1.ألا يحتفظ سوى بمعلومات المساعدة الصحية (PHI) الضرورية لشريك العمل لمواصلة إدارته للمعلومات بشكل صحيح أو القيام بمسؤولياته القانونية.
6.3.2.العودة إلى الكيان المحمي أو -إذا وافق الكيان المحمي كتابيا-ً تدمير البيانات الصحية المتبقية التي لا يزال يحتفظ بها "شريك العمل" بأي شكل من الأشكال.
6.3.3.الاستمرار في استخدام الضمانات المناسبة والامتثال للمادة الفرعية C من 45 C.F.R. الجزء 164 فيما يتعلق بـ ePHI لمنع استخدام المعلومات الصحية المحمية أو الكشف عنها، بخلاف ما هو منصوص عليه في القسم 6، طالما أن شريك العمل يحتفظ بـ PHI.
6.3.4.الحد من الاستخدامات والكشوفات الإضافية لمثل هذه المعلومات الصحية (PHI) للأغراض التي تجعل الاستعادة أو التدمير غير ممكن، طالما أن شريك العمل يحتفظ بمثل هذه المعلومات.
6.3.5.العودة إلى الكيان المحمي أو تدمير المعلومات الصحية المحمية المحتفظ بها من قِبل شريك العمل عندما لا يكون هناك حاجة إليها من قِبل شريك العمل من أجل إدارتها بشكل صحيح أو الاضطلاع بمسؤولياتها القانونية.
7. بنود متنوعة
7.1.التعديل
يوافق الطرفان على اتخاذ الإجراء اللازم لتعديل هذه الاتفاقية امتثالًا لمتطلبات قواعد HIPAA وأي قانون آخر ساري المفعول.
7.2.البقاء
تبقى الحقوق والالتزامات الخاصة بشريك العمل بموجب المادة 6 من هذه الاتفاقية سارية بعد إنهاء هذه الاتفاقية.
7.3.المراجع التنظيمية
تشير الإشارة في هذه الاتفاقية إلى قسم من قواعد HIPAA إلى القسم في الواقع أو المعدل.
7.4الترجمة
يجب تفسير هذه الاتفاقية على النحو التالي:
7.4.1.يتم حل أي غموض لصالح المعنى الذي يسمح للكيان المحمي بالامتثال لقواعد HIPAA.
7.4.2.يفسَّر أي تعارض بين أحكام الاتفاقية وقواعد HIPAA، بما في ذلك جميع التعديلات، على النحو الذي تفسره وزارة الصحة والخدمات الإنسانية أو المحكمة أو أي وكالة تنظيمية أخرى ذات سلطة على الأطراف، وفقًا لتفسير وزارة الصحة الخدمات الإنسانية أو المحكمة أو الهيئة التنظيمية.
7.4.3.أي حكم من أحكام هذه الاتفاقية يختلف عن تلك المنصوص عليها في قواعد HIPAA، ومع ذلك تسمح به قوانين HIPAA، يجب الالتزام به كما هو مذكور في هذه الاتفاقية.
7.5.الاتفاقية الكاملة
تشكل هذه الاتفاقية الاتفاق الكامل بين الأطراف ذات الصلة بموضوع هذه الاتفاقية، باستثناء المدى الذي تفرض فيه الاتفاقية (الاتفاقيات) الأساسية -إن وجدت- متطلبات أكثر صرامة فيما يتعلق باستخدام وحماية المعلومات المتعلقة بالصحة (PHI) لدى شريك الأعمال. وتحل هذه الاتفاقية محل جميع المفاوضات أو المناقشات أو العروض أو المقترحات السابقة، سواء كانت شفهية أو مكتوبة. ولا يجوز تعديل هذه الاتفاقية ما لم يتم ذلك كتابةً وموقعًا من قبل ممثل معتمد لكلا الطرفين. وإذا تبين أن أي نص في هذه الاتفاقية أو جزء منها غير صالح، تظل الأحكام الباقية سارية.
7.6.هام
ستكون هذه الاتفاقية ملزمة للخلفاء والمتنازل لهم عن الكيان المغطى وشريك الأعمال. ومع ذلك ، لا يجوز التنازل عن هذه الاتفاقية من قبل شريك الأعمال ، كليًا أو جزئيًا ، دون موافقة خطية من الكيان المُغطى ؛ بشرط ، مع ذلك ، أنه يجوز لشريك الأعمال التنازل عن هذه الاتفاقية بأكملها ، دون موافقة الكيان المشمول على الشركة التابعة له أو فيما يتعلق بدمج أو استحواذ أو إعادة تنظيم الشركة أو بيع جميع أصولها أو جميعها بشكل أساسي. تعتبر أي محاولة للتنازل بالمخالفة لهذا الحكم باطلة وباطلة.
7.7.النظائر المتعددة
يجوز تنفيذ هذه الاتفاقية عبر نظيرتين أو أكثر، وتعتبر كل منهما نسخة أصلية.
7.8.القانون الذي يحكم
تخضع هذه الاتفاقية لقوانين ولاية ديلاوير وتفسر وفقها. إلى الحد الذي لا يتجاوز القانون الفيدرالي.