CoachCare HIPAA Forretningsforbindelse Aftale
Denne forretningsforbindelsesaftale ("aftalen") er indgået af og mellem dig ("Omfattet enhed") og Lexington Wellness Holdings Inc. d / b / a CoachCare ("Forretningsforbindelse"). Overordnet kan Omfattet enhed og Forettningsforbindelse kollektivt henvises til som "Parterne".
1. Introduktion
1.1. HIPAA
Omfattet Enhed og Forretningsforbindelse indgår denne aftale for at overholde kravene i Health Insurance Portability and Accountability Act of 1996 ("HIPAA"), som ændret, herunder reglerne om beskyttelse af personlige oplysninger, sikkerhed, underretning om og håndhævelse ved 45 C.F.R. Del 160 og del 164 samt sundhedsinformationsteknologien for lov om økonomisk og klinisk sundhed, der er vedtaget som en del af den amerikanske genopretnings- og geninvesteringslove af 2009 ("HITECH") med senere ændringer og andre gældende føderale og statslige love (kollektivt "HIPAA-reglerne").
1.2. Beskyttet sundhedsinformation
Denne aftale har til formål at sikre, at forretningsmedarbejdere etablerer og gennemfører passende beskyttelsesforanstaltninger for visse individuelt identificerbare beskyttede sundhedsoplysninger vedrørende patienter af den Omfattede Enhed ("PHI", som dette udtryk er defineret nedenfor), som Forretningsforbindelsen kan modtage, oprette, opretholde, bruge eller afsløre i forbindelse med visse funktioner, aktiviteter og tjenester, som Forretningsforbindelsen udfører for Omfattet Enhed. De funktioner, aktiviteter og tjenester, som Forretningsforbindelsen udfører for den Omfattede Enhed, er defineret i en eller flere aftaler mellem parterne ("Underliggende aftaler").
2. Definitioner
2.1. Betingelser
Vilkår, der anvendes, men som ikke er defineret i denne Aftale, har samme betydning som de vilkår i HIPAA-reglerne, hvilke definitioner er indarbejdet i denne Aftale ved henvisning.
2.2. Definitioner
Med henblik på denne aftale:
2.2.1. "Electronic Protected Health Information" eller "ePHI" skal have den betydning, den er givet til et sådant udtryk under Privacy Rule og Security Rule, herunder, men ikke begrænset til, 45 CFR 160.103, som anvendt på oplysninger oprettet, modtaget, vedligeholdt eller overført af Forretningsforbindelsen fra eller på vegne af den Omfattede Enhed.
2.2.2. "Individ" skal have samme betydning som angivet til et sådant udtryk i 45 C.F.R. § 160.103 og skal indeholde en person, der kvalificerer som personlig repræsentant i overensstemmelse med 45 C.F.R. § 164.502 (g).
2.2.3. "Beskyttet sundhedsinformation" eller "PHI" skal have den betydning, der er givet til et sådant udtryk i 45 C.F.R. 160.103, begrænset til de oplysninger, der er oprettet, modtaget, vedligeholdt eller overført af Forretningsforbindelsen fra eller på vegne af den Omfattede Enhed.
2.2.4. "Privacy Rule" betyder standarderne for privatlivets fred for et individ identificerbar sundhedsinformation offentliggjort i 45 C.F.R. Dele 160 og 164, underafsnit A og E.
2.2.5. "Påkrævet ved lov" skal have betydningen af et sådant udtryk i 45 C.F.R. 164,103
2.2.6. "Sekretær" betyder sekretæren for Department of Health and Human Services eller hans eller hendes designer.
2.2.7. "Sikkerhedsregel" skal betyde sikkerhedsstandarderne ved 45 C.F.R. Del 160 og del 164, underafsnit A og C.
3. Generelle Forpligtelser for Forretningsforbindelsen
3.1. Brug og Offentliggørelse
Forretningsforbindelsen accepterer ikke at bruge eller at afsløre PHI, bortset fra som tilladt eller krævet i denne Aftale eller som krævet ved lov. I det omfang Forretningsforbindelsen udfører en eller flere af den Omfattede Enheds forpligtelser i henhold til Privacy Rule i henhold til vilkårene i den Underliggende Aftale eller denne Aftale skal Forretningsforbindelsen opfylde kravene i Privacy Rule, der gælder for den Omfattede Enhed i præstationen af sådanne forpligtelser.
3.2. Passende sikkerhedsforanstaltninger
En Forretningsforbindelse skal anvende passende fysiske, tekniske og administrative sikkerhedsforanstaltninger og skal overholde sikkerhedsreglen med hensyn til ePHI for at forhindre brug eller offentliggørelse af PHI, bortset fra som fastsat i denne aftale eller som krævet ved lov.
3.3. Afbødning
Forretningsforbindelsen accepterer i det omfang, det er praktisk muligt, at begrænse enhver skadelig virkning, som en Forretningsforbindelse vidner om som følge af en brug eller offentliggørelse af PHI af Forretningsforbindelsen i strid med denne aftales krav eller det ellers ville medføre overtrædelse af en Ikke-sikret PHI.
3.4. Misligholdelse
En Forretningsforbindelse skal rapportere til den Omfattede Enhed om enhver brug eller offentliggørelse af PHI, der ikke er tilladt i henhold til denne BAA, overtrædelse af ikke-sikret PHI eller sikkerhedshændelse uden urimelig forsinkelse , og under alle omstændigheder ikke mere end tredive (30) dage efter opdagelsen; forudsat dog, at parterne anerkender og accepterer, at denne afdeling udgør en meddelelse fra erhvervslivets associerede myndighed til den Omfattede Enhed af den igangværende eksistens og forekomsten af forsøg, men mislykkede sikkerhedshændelser (som defineret nedenfor), for hvilken varsel til dækning af entitet af erhvervsmedarbejder skal kræves kun efter anmodning. "Unsuccessful Security Incidents" skal omfatte, men ikke være begrænset til, pings og andre udsendelsesangreb på Forretningsforbindelsens firewall, port-scanninger, mislykkede tilmeldingsforsøg, afslag på service og enhver kombination af ovenstående, så længe der ikke er nogen sådanne hændelsesresultater ved uautoriseret adgang, brug eller offentliggørelse af PHI. Forretningsforbindelsens anmeldelse til den Omfattede Enhed af et brud skal omfatte:
3.4.1. Identifikationen af hver enkelt person, hvis ikke-sikrede PHI har været eller er rimeligt troet af forretningsforbindelsen at have været adgang til, erhvervet eller meddelt under overtrædelsen.
3.4.2. Eventuelle oplysninger om overtrædelsen, som den omfattede enhed skal indeholde i sin meddelelse, da sådanne oplysninger er identificeret i 45 C.F.R. § 164.404.
3.5. Underleverandører
I overensstemmelse med 45 C.F.R. §§ 164.502 (e) (1) (ii) og 164.308 (b) (2), hvis relevant, skal en forretningsmedarbejder fuldende en skriftlig aftale med enhver agent eller underleverandør, som skaber, modtager, vedligeholder eller overfører til den Omfattede Enhed, hvilket fastsætter at agenten accepterer de samme begrænsninger, samt vilkår og betingelser, som gælder for Forretningsforbindelsen i forbindelse med sådanne information.
3.6. Adgang til PHI
Forretningsforbindelsen vil give adgang til PHI i et Designeret Record Set til den Overordnede Enhed. Hvis et individ foretager en anmodning om adgang i henhold til 45 C.F.R. § 164.524 direkte til Forretningsforbindelsen, eller spørger om hans/hendes ret til adgang, skal Forretningsforbindelsen sende det til den Omfattede Enhed. Enhver form for svar på sådanne anmodning er den omfattede enheds ansvar.
3.7. Minimumskrav til brug
Forretningsforbindelsen er enig i, når du anmoder om, bruger eller afslører PHI i overensstemmelse med 45 C.F.R. § 502, litra b), nr. 1, ved sådanne anmodning, skal brug eller offentliggørelse udføres i den nødvendige omfang, inklusiv brug af “begrænset data sæt” ("limited data set"), som defineret i 45 C.F.R. § 164.514 (e) (2) til opnåelse af det tilsigtede formål af sådanne anmodning, brug eller information, som fortolket i forbindelse med relateret vejledning, udstedt af sekretæren fra tid til anden.
3.8. Ændring af PHI
Erhvervsrelaterede partnere i at gøre PHI indeholdt i et udpeget registreringssæt til rådighed for den Omfattede Enhed af ændring i 45 C.F.R. § 164.526. Hvis et individ indsender en anmodning om ændring i henhold til 45 C.F.R. § 164.526 direkte til Forretningsforbindelsen, eller spørger om hans/hendes ret til adgang, skal Forretningsforbindelsen videresende den til den Omfattede Enhed. Enhver form for svar på sådanne anmodning er den omfatttede enheds ansvar.
3.9. Redegørelse for offentliggørelse
Forretningsforbindelsen skal levere den Omfattede Enheds oplysninger, som er blevet indsamlet i overensstemmelse med Sektion 3.11 I denne Aftale, for at give mulighed for at den Omfattede Enhed kan svare på en forespørgsel af et individ til offentliggørelse af oplysninger i overensstemmelse med 45 CFR § 164.528. Hvis en enkeltperson anmoder om regnskabsmæssig behandling af oplysninger fra PHI direkte fra Forretningsforbindelsen, fremsender Forretningsforbindelsen en sådan anmodning til den Omfattede Enhed. Enhver form for svar på sådanne anmodning er den Omfattede Enheds ansvar.
3.10. Adgang til politik og optegnelser
Forretningsforbindelsen accepterer at klare dens interne praksis, bøger og registrer, inklusiv politik og procedurer vedrørende PHI, vedrørende brug og offentliggørelse af PHI og svigt i forbindelse med ikke-sikret PHI modtaget af den Omfattede Enhed, eller oprettet eller modtaget af Forretningsforbindelsen på vegne af den Omfattede Enhed, som er tilgængelig for sekretæren for den Omfattede Enhed eller sekretæren, der står for overholdelse af HIPAA-reglerne.
3.11. Dokumentering af Information
Den Professionelle Assistant skal dokumentere sådanne information af PHI og information i forbindelse med sådanne information, som det måtte være nødvendigt for den Omfattede Enhed at svare på en anmodning fra et Individ til regnskabsføring af oplysninger af PHI i overensstemmelse med 45 CFR § 164.528. Forretningsforbindelsen skal i det mindst give følgende oplysninger (”Information om information” på dansk, "Information on information" på engelsk):
3.11.1. Datoen for offentliggørelsen;
3.11.2. Navnet og, hvis kendt, adressen til modtageren af PHI;
3.11.3. En kort beskrivelse af PHI afsløret;
3.11.4. Formålet af denne publikation, som detaljerer basis for sådanne publikation og
3.11.5. Enhver ekstra information krævet af HITECH Act og andre gennemførelsesbestemmelser.
4. GODKENDT BRUG OG OPFINDELSE AF ASSOCIERET VIRKSOMHED
4.1. Generelle anvendelser og oplysninger
Forretningsforbindelsen accepterer kun at modtage, oprette, bruge eller at offentliggøre PHI, som tilladt i denne aftale, HIPAA-reglerne og kun i forbindelse med at levere tjenester til den Omfattede Enhed; forudsat at brugen eller oplysningen ikke ville krænke Privacy Rule, hvis den er udført af den Omfattede Enhed, undtagen som angivet i denne artikel 4.
4.2. Påkrævet ved lov
En Forretningsforbindelse kan bruge eller afsløre PHI som krævet ved lov.
4.3. Andre anvendelser
Medmindre andet er fastsat i denne aftale, kan en Forretningsforbindelse:
4.3.1. Bruge PHI til korrekt forvaltning og administration af en Forretningsforbindelse, eller for at udføre sit juridiske ansvar.
4.3.2. Videregive PHI til den rette ledelse og administration af en Forretningsforbindelse eller at udøve juridisk ansvar for en Forretningsforbindelse, forudsat at Oplysningerne er påkrævede ved lov eller når en forretningsforbindelsen opnår forudgående skriftlige rimelige forsikringer fra den person til hvem oplysningerne er oplyst om, at oplysningerne forbliver fortrolige og anvendes eller videreformidles kun som krævet ved lov eller til de formål, som den blev meddelt til personen, og personen underretter forretningsforbindelsen eventuelle tilfælde, hvor den er opmærksom på, hvornår fortroligheden af oplysningerne er blevet overtrådt i overensstemmelse med kravene i denne aftale om krænkelse af brugen.
4.3.3. Brug PHI til at levere Data Aggregation Service til den Omfattede Enhed som tilladt i henhold til HIPAA-reglerne.
5. FORPLIGTELSER FOR OMFATTED ENHED
5.1. Den Omfattede Enhed skal:
5.1.1. Informere Forretningsforbindelsen om enhver form for begrænsning(er) i dens meddelelse om fortrolighedspraksis i overensstemmelse med 45 C.F.R. 164.520, i det omfang kan en sådan begrænsning påvirke Forretningsforbindelsens brug eller offentliggørelse af PHI.
5.1.2. Videregive Forretningsforbindelser med enhver begrænsning til brug eller offentliggørelse af PHI, som den Omfattede Enhed har aftalt, at i overensstemmelse med 45 C.F.R. § 164.522, i det omfang sådanne ændringer kan påvirke forretningsforbundets brug eller offentliggørelse af PHI.
5.1.3. Informere forretningsforbindelser om eventuelle ændringer i, eller tilbagekaldelse af, tilladelse fra en person til brug eller oplysning af hans/hendes PHI, i det omfang en sådan ændring eller tilbagekaldelse kan påvirke Forretningsforbindelsen er tilladt eller påkrævet brug og offentliggørelse af PHI.
5.2.
5.2. Den Omfattede Enhed må ikke anmode Forretningsforbindelsen om at bruge eller oplyse om den pågældende PHI på nogen måde, som ikke ville være tilladt i henhold til Privacy Rule eller Security Rule, hvis det er udført af den Omfattede Enhed, undtagen som fastsat i sektion 4 i denne Aftale.
6. TERM OG AFSLUTNING
6.1. Term
Denne aftale træder i kraft fra og med den gældende dato og ophører den ældre dato, hvor:
6.1.1. Den enten afslutter årsagen som godkendt i sektion 6.2.
6.1.2. Alle PHI'er modtaget fra den Omfattede Enhed, eller oprettet eller modtaget af Forretningsforbindelsen på vegne af den Omfattede Enhed, ødelægges eller returneres til Den Omfattede Enhed. Hvis det er bestemt, at det er umuligt at returnere eller at ødelægge PHI, udvides beskyttelsen af sådanne oplysninger i overensstemmelse med sektion 6.3.
6.2. Afslutning af årsag
Ved den Omfattede Enheds kendskab til væsentlig overtrædelse af en forretningsmedarbejder skal den Omfattede Enhed give mulighed for at Forretningsforbindelsen kan løse overtrædelsen eller afbryde overtrædelsen. Hvis Forretningsforbindelsen ikke løser bruddet eller hvis Forretningsforbindelsen ikke afbryder overtrædelsen inden for den tidsramme, der er angivet af Omfattede Enhed, eller hvis en væsentlig periode i denne Aftale er blevet overtrådt, og en behandling ikke er mulig, kan den omfattede Enhed opsige denne Aftale og den Underliggende Overenskomst (s). ), hvis relevant, ved skriftlig notifikation til Forretningsforbindelsen.
6.3. Forpligtelser for forretningsforbindelsen ved opsigelse
Ved aftalens ophør af en eller anden årsag er Forretningsforbindelsen med hensyn til PHI modtaget fra den Omfattede Enhed, eller oprettet, vedligeholdt, eller modtaget af Forretningsforbindelsen på vegne af den Omfattede Enhed ska følgende følges:
6.3.1. Behold kun det PHI, der er nødvendigt for at Forretningsforbindelsen kan fortsætte sin korrekte ledelse og administration eller at udøve sit juridiske ansvar;
6.3.2. Tilbagelevere til den Omfattede Enhed eller, hvis det aftales af den Omfattede Enhed skriftligt, ødelægge de resterende PHI, som Forretningsforbindelsen stadig opretholder i enhver form;
6.3.3. Fortsætte med at anvende passende sikkerhedsforanstaltninger og overholde afsnit C i 45 C.F.R. Del 164 med hensyn til ePHI for at forhindre brug eller offentliggørelse af PHI, bortset fra som fastsat i denne sektion 6, så længe forretningsforbindelsen bevarer PHI;
6.3.4. Begrænse yderligere brug og offentliggørelse af sådanne PHI til de formål, der gør det umuligt at returnere eller ødelægge, så længe forretningsforbindelsen opretholder en sådan PHI og
6.3.5. Gå tilbage til den Omfattede Enhed eller ødelægge PHI, som Forretningsforbindelsen har valgt at beholde, når det ikke længere er nødvendigt at Forretningsforbindelsen har i forbindelse med den rette ledelse og administration eller til at udføre sin juridiske ansvarsområder.
7. DIVERSE
7.1. Ændring
Parterne er enige om at træffe de foranstaltninger, der er nødvendige for at ændre denne aftale for at overholde kravene i HIPAA-reglerne og enhver anden gældende lovgivning.
7.2. Overlevelse
Forretningsforbundets respektive rettigheder og forpligtelser i henhold til sektion 6 i denne aftale overlever opsigelsen af denne aftale.
7.3. Regulatoriske referencer
En henvisning i denne aftale til et afsnit i HIPAA-reglerne betyder, at afsnittet er i kraft eller ændret.
7.4. Fortolkning
Denne aftale skal fortolkes således:
7.4.1. Enhver tvetydighed skal løses til fordel for den opfattelse, der gør det muligt for den omfattede enhed at overholde HIPAA-reglerne.
7.4.2. Enhver uoverensstemmelse mellem aftalens bestemmelser og HIPAA-reglerne, herunder alle ændringer, som fortolket af Department of Health and Human Services, domstol eller et andet regulerende agentur med myndighed over parterne, skal fortolkes i henhold til fortolkningen af Department of Health and Human Services, retten eller det regulerende agentur.
7.4.3. Enhver bestemmelse i denne aftale, der adskiller sig fra dem, der er underlagt HIPAA-reglerne, men som alligevel er tilladt i HIPAA-reglerne, skal overholdes som angivet i denne aftale.
7.5. Hele aftalen, uregelmæssighed
Denne aftale udgør hele aftalen mellem parterne i henhold til emnet i denne aftale, undtagen i det omfang den underliggende aftale/de underliggende aftaler om nogen pålægger strengere krav vedrørende brug og beskyttelse af PHI af en Forretningsmedarbejder. Denne aftale erstatter alle tidligere forhandlinger, drøftelser, repræsentationer eller forslag, enten mundtlige eller skriftlige. Denne aftale må ikke ændres, medmindre det skriftligt er sket og underskrevet af en behørigt bemyndiget repræsentant for begge parter. Hvis nogen bestemmelse i denne aftale eller en del heraf er fundet ugyldig, forbliver de øvrige bestemmelser gældende.
7.6. Opgave
Denne aftale vil være bindende for efterfølgere og overdragere af omfattet enhed og forretningsforbindelse. Denne aftale må dog ikke helt eller delvist overdrages af forretningsforbindelse uden skriftligt samtykke fra den omfattede enhed; forudsat, at forretningsforbindelsen dog kan overdrage denne aftale i sin helhed, uden den omfattede enheds samtykke til sin tilknyttede virksomhed eller i forbindelse med en fusion, opkøb, omorganisering af virksomheden eller salg af alle eller stort set alle sine aktiver. Ethvert forsøg på overdragelse i strid med denne bestemmelse er ugyldigt.
7.7. Flere modparter
Denne aftale kan udføres i to eller flere modparter, der hver især skal betragtes som en original.
7.8. Lovvalg
Bortset fra i det omfang der er foreskrevet i føderal lovgivning, skal denne aftale reguleres og fortolkes i overensstemmelse med lovgivningen i staten Delaware i USA.
"Bemærk venligst: Den officielle tekst er den engelske version af denne CoachCare HIPAA Forretningsforbindelse Aftale er “CoachCare HIPAA Business Associate Agreement”.