CoachCare

HIPAA Business Associate Agreement

Dieses Business Associate Agreement (die "Vereinbarung") abgeschlossen wird, und zwischen Ihnen ( "Covered Entity") und Lexington Wellness Holdings Inc. d / b / a CoachCare ( "Business Associate"). Covered Entity und Geschäftspartner, kollektiv bezeichnet werden kann als „Parteien“ bezeichnet.

1. Einleitung
1.1. HIPAA

Covered Entity und Geschäftspartner in dieser Vereinbarung geben mit den Anforderungen des Health Insurance Portability and Accountability Act von 1996 ( „HIPAA“) zu erfüllen, in der geänderten Fassung, einschließlich der Privatsphäre, Sicherheit, Benachrichtigung und Vollstreckungsvorschriften bei 45 C.F.R verletzen Teil 160 und Teil 164, sowie die Health Information Technology für Wirtschafts- und klinische Health Act, erlassen im Rahmen des American Recovery and Reinvestment Act von 2009 ( "HITECH"), geändert, und anderen anwendbaren Bundes- und Landesgesetze (zusammen die "HIPAA-Regeln").

1.2. Protected Health Information

Dieses Abkommen soll sicherstellen, dass Geschäftspartner werden schaffen und angemessene Garantien für bestimmte individuell identifizierbare geschützten Gesundheitsdaten zu Patienten von Covered Entity ( „PHI“, wie dieser Begriff unten definiert ist) in Bezug zu implementieren, dass Geschäftspartner erhalten können, erstellen, halten, verwendet oder in Verbindung mit bestimmten Funktionen, Tätigkeiten und Dienstleistungen offen legen, die Geschäftspartner für Covered Entity führen. Die Funktionen, Tätigkeiten und Dienstleistungen, die Geschäftspartner für Covered Entity führen in einer oder mehr Vereinbarungen zwischen den Vertragsparteien (der „Basiswert Agreements“) definiert ist.

2. Definitionen
2.1. Begriffe

Begriffe verwendet, aber nicht in diesem Abkommen anderweitig definiert ist, die gleiche Bedeutung wie diese Begriffe in den HIPAA-Regeln haben, die Definitionen in dieser Vereinbarung durch Bezugnahme aufgenommen werden.

2.2. Definitionen

Für die Zwecke dieses Abkommens:

2.2.1 „Electronic geschützte Gesundheitsdaten“ oder „ePHI“ hat die Bedeutung einer solchen Begriff unter der Datenschutz-Regel und die Sicherheitsregel gegeben haben, einschließlich, aber nicht beschränkt auf, 45 CFR 160,103, auf die erstellten Informationen angewendet, wie erhielt, unterhalten oder von oder im Auftrag von Covered Entity durch Geschäftspartner übermittelt

2.2.2 "Individual" hat die gleiche Bedeutung dieses Begriffs in 45 C. F. R. gegeben haben § 160,103 und ist eine Person umfassen, die mit 45 C. F. R. entsprechend als persönlicher Vertreter qualifiziert § 164,502 (g).

2.2.3 "Protected Health Information" oder "PHI" soll die Bedeutung dieses Begriffs in 45 C. F. R. gegeben haben 160,103, auf die erstellten Informationen beschränkt, empfangenen beibehalten oder durch Geschäftspartner übermittelt von oder im Namen von Covered Entity.

2.2.4 "Privacy Rule" ist die Standards für Datenschutz im Einzelfall identifizierbare Health Information in 45 C. F. R. veröffentlicht bedeuten Teile 160 und 164, Subparts A und E.

2.2.5 "gesetzlich vorgeschrieben" hat die Bedeutung einer solchen Begriff in 45 C. F. R. gegeben haben 164,103

2.2.6 "Secretary" ist der Sekretär des Department of Health and Human Services oder dessen Beauftragten bedeuten.

2.2.7 "Sicherheitsregel" shll bedeutet die Sicherheitsstandards bei 45 C. F. R. Teil 160 und Teil 164, Subparts A und C.

3. Allgemeine Pflichten der Geschäftspartner
3.1. Nutzung und Offenlegung

Business Associate stimmt nicht PHI zu verwenden oder offen zu legen, die nicht als zulässig oder nach dieser Vereinbarung erforderlich oder gesetzlich vorgeschrieben ist. In dem Maße, Geschäftspartner ist die Durchführung eines oder mehrere der Covered Entity Verpflichtungen aus dem Datenschutzregel gemäß den Bestimmungen des zugrunde liegenden Vertrages oder dieser Vereinbarung, Geschäftspartner müssen den Anforderungen der Datenschutzregel einzuhalten, die in der Leistung zu Covered Entity gelten dieser Verpflichtung (en).

3.2 angemessene Garantien

Geschäftspartner treffen geeignete physische, technische und administrative Schutzmaßnahmen verwenden, und sie müssen mit der Sicherheitsregel in Bezug auf ePHI erfüllen und Veröffentlichung von PHI anders als vorgesehen in diesem Abkommen oder nach Bedarf durch das Gesetz zu verhindern

3.3 Mitigation

Geschäftspartner verpflichtet sich, soweit möglich, jede schädliche Wirkung zu mildern, die Geschäftspartner als Folge einer Nutzung oder Offenlegung von PHI durch Geschäftspartner in Verletzung dieser Vereinbarung Anforderungen bekannt ist oder die sonst dazu führen, einen Verstoß gegen ungesicherte PHI.

3.4 Breach Berichterstattung

Geschäftspartner ist jede Nutzung oder Offenlegung von PHI zu Covered Entity berichten nicht unter diesem BAA erlaubt, Verstoß gegen ungesicherte PHI oder Sicherheitsvorfall, ohne unangemessene Verzögerung, und auf jeden Fall nicht mehr als dreißig (30) Tagen nach Entdeckung; vorausgesetzt jedoch, dass die Parteien damit einverstanden, dass dieser Abschnitt Bekanntmachung Geschäftspartner stellt auf Covered Entity der Fortbestand und das Auftreten von versucht, aber nicht erfolgreich, Sicherheitsverletzungen (wie unten definiert), für die Mitteilung an die Covered Entity durch Geschäftspartner ist verpflichtet, nur auf Anfrage. „Erfolglos Sicherheit Vorfälle“ umfassen, aber nicht beschränkt auf, Pings und andere Broadcast-Angriffe auf Geschäftspartner der Firewall, Port-Scans, erfolglose Anmeldeversuche, Verweigerungen von Service und einer beliebigen Kombination der oben begrenzt werden, solange keine solchen Vorfall Ergebnisse in unerlaubtem Zugriff, Verwendung oder Offenlegung von PHI. Geschäftspartner der Mitteilung an Covered Entity einer Verletzung muss Folgendes enthalten:

3.4.1 Die Identifizierung jedes einzelnen, deren Ungesicherte PHI wurde oder vernünftigerweise durch Geschäftspartner angenommen haben, zugegriffen wird, erworben oder während der Verletzung offenbart. und

3.4.2. Alle Angaben die Verletzung in Bezug auf das Covered Entity müssen, wäre in seiner Mitteilung enthalten, als solche Angaben in 45 C. F. R. identifiziert § 164,404.

3.5. Nachunternehmer

In Übereinstimmung mit 45 C. F. R. §§ 164,502 (e) (1) (ii) und 164,308 (b) (2), wo zutreffend, Geschäftspartner werden mit jedem Mittel oder subcontractor in eine schriftliche Vereinbarung abgeschlossen haben, erzeugt, empfängt, unterhält oder trägt PHI im Namen der Geschäftspartner für Dienstleistungen Covered Entity zur Verfügung gestellt, der vorsieht, dass der Agent verpflichtet sich, die gleichen Einschränkungen, Bedingungen und Anforderungen, die in Bezug auf diese Informationen an die Geschäftspartner gelten

3.6. Zugriff auf PHI

Geschäftspartner verpflichtet sich in einem Designated Record Set auf dem Covered Entity Zugang zu PHI zur Verfügung zu stellen. Wenn eine Person eine Anforderung für den Zugang nach 45 C.F.R § 164,524 direkt an Geschäftspartner, oder fragt nach seinem Recht auf Zugang, wird Business Associate es Covered Entity weiterleiten. . Jede Antwort auf eine solche Anforderung in der Verantwortung von Covered Entity & nbsp;

3.7. Minimum notwendige Voraussetzung

Geschäftspartner stimmen zu, dass bei der Anforderung, mit oder PHI Offenlegung gemäß 45 C.F.R § 502 (b) (1), dass eine solche Anfrage, und Veröffentlichung der minimalen Ausmaß erforderlich sein sollen, einschließlich der Verwendung eines „begrenzte Datenmenge“, wie in 45 C. F. R. definiert § 164,514 (e) (2), den beabsichtigten Zweck einer solchen Anfrage, Verwendung oder Veröffentlichung zu erreichen, wie durch den Generalsekretär unter entsprechenden Leitlinien interpretiert ausgegeben von Zeit zu Zeit.

3.8. Änderung von PHI

Geschäftspartner verpflichtet sich in einem Designated Record Set zur Verfügung zu stellen, um Covered Entity für Änderung gemäß 45 PHI enthaltenen C.F.R § 164,526. Wenn eine Person eine Anforderung für eine Änderung nach 45 C.F.R § 164,526 direkt an Geschäftspartner, oder fragt nach seinem Recht auf Zugang, wird Business Associate es Covered Entity weiterleiten. Jede Antwort auf eine solche Anforderung in der Verantwortung von Covered Entity sein.

3.9. Accounting von Disclosures

Geschäftspartner zu Covered Entity Informationen gemäß § gesammelt liefern sollen 3.11 dieses Abkommen Covered Entity zu ermöglichen auf eine Anforderung durch eine einzelne für eine Bilanzierung von Offenbarungen von PHI gemäß 45 C.F.R zu reagieren § 164,528. Wenn jeder Einzelne eine Bilanzierung von Offenbarungen von PHI direkt von Business Associate, so holen Geschäftspartner der betreffenden Antrag auf Covered Entity weiterleiten. Jede Antwort auf eine solche Anforderung in der Verantwortung von Covered Entity sein.

3.10. Zugriff auf Richtlinien und Aufzeichnungen

Geschäftspartner verpflichtet sich, seine internen Verfahren, Bücher und Aufzeichnungen zu machen, einschließlich der Grundsätze und Verfahren für PHI, im Zusammenhang mit der Nutzung und Offenlegung von PHI und Verstoß gegen jede ungesicherte PHI von Covered Entity empfangen oder erstellt oder empfangen durch den Geschäftspartner im Auftrag von Covered Entity, für die Zwecke der Covered Entity oder dem Sekretär die Beurteilung der Einhaltung der HIPAA-Bestimmungen der Sekretär zur Verfügung.

3.11. Dokumentation von Disclosures

Geschäftspartner werden diese Angaben von PHI und Informationen zu solchen Angaben im Zusammenhang dokumentieren als erforderlich wäre, für Covered Entity auf eine Anfrage von einer Person für eine Bilanzierung von Offenbarungen von PHI gemäß 45 C.F.R reagieren § 164,528. Geschäftspartner müssen dokumentieren, auf einem Minimum, die folgenden Informationen ( „Disclosure Information“):

3.11.1 Das Datum der Offenbarung;.

.

3.11.2 Der Name und, falls bekannt, die Adresse des Empfängers des PHI;

3.11.3 Eine kurze Beschreibung des PHI offen gelegt werden;.

3.11.4 Der Zweck der Offenbarung, dass eine Erläuterung der Grundlage für eine solche Offenbarung enthält. und

3.11.5. Zusätzliche Informationen gemäß dem HITECH Act und Durchführungsvorschriften.

4. VERWENDUNGSZWECKE ZUGELASSEN SIND UND OFFENLEGUNG VON GESCHÄFTSPARTNER
4.1. Allgemeine Verwendungen und Offenlegungen

Geschäftspartner stimmen zu empfangen, erstellen, verwenden oder PHI offen legen nur durch diese Vereinbarung erlaubt, die HIPAA-Regeln, und nur in Verbindung mit Dienstleistungen für Covered Entität; vorausgesetzt, dass die Verwendung oder Veröffentlichung würde die Datenschutzregel nicht verletzen, wenn sie von Covered Entity getan, es sei denn, die in diesem Artikel 4.

4.2. nach Gesetz

Business Associate kann PHI verwenden oder offen legen, wie gesetzlich vorgeschrieben.

4.3. Andere Verwendungen

Sofern nicht anderweitig in dieser Vereinbarung, Geschäftspartner können: & nbsp;

4.3.1. Verwenden PHI für die ordnungsgemäße Verwaltung und Administration von Geschäftspartner oder seine gesetzlichen Aufgaben zu erfüllen.

4.3.2. PHI Offenlegung für die ordnungsgemäße Verwaltung und Administration von Geschäftspartner oder rechtliche Verantwortung der Geschäftspartner durchzuführen, vorausgesetzt, dass die Angaben, die gesetzlich vorgeschrieben sind, oder Geschäftspartner erhält vorherige schriftliche angemessene Sicherheit der Person, an die die Information, dass die übermittelten Informationen vertraulich bleiben und verwendete oder weiter nur für die durch das Gesetz oder für die Zwecke offenbart, wie erforderlich, um es der Person offenbart wurde, und die Person, die die Geschäftspartner informiert von irgendwelchen Instanzen, von denen es in dem die Vertraulichkeit der Informationen in Übereinstimmung mit den Breach Notification Anforderungen dieser Vereinbarung.

bekannt ist, verletzt wurde

4.3.3. Verwenden PHI Data Aggregation Services Covered Entity zur Verfügung zu stellen, die unter den HIPAA-Regeln erlaubt.

5. FLICHTEN FALLEN ENTITY
5.1 Covered Unternehmen hat.

5.1.1. Notify Geschäftspartner jeglicher Einschränkung (en) in ihrer Bekanntmachung über die Datenschutzpraktiken in Übereinstimmung mit 45 C. F. R. 164,520, soweit, dass ein solche Beschränkung Geschäftspartner der Nutzung oder Offenlegung von PHI beeinflussen kann.

5.1.2. Notify Geschäftspartner aller Beschränkungen der Verwendung oder Offenlegung von PHI, die Entity Covered wurde in Übereinstimmung mit 45 C. F. R. vereinbart § 164,522, soweit, dass solche Änderungen Geschäftspartner der Nutzung oder Offenlegung von PHI beeinflussen können.

5.1.3. Notify Geschäftspartner über alle Änderungen oder Widerruf der Erlaubnis von einer Person in dem Maße seine PHI, zu verwenden oder offen legen, dass eine solche Änderung oder der Widerruf beeinträchtigen können Business Associate erlaubt oder erforderlich Verwendungen und Offenlegungen von PHI.

5.2.

Covered Entity ist nicht Geschäftspartner verlangt PHI zu nutzen oder weitergeben in irgendeiner Art und Weise, die im Rahmen der Datenschutzregel oder die Sicherheitsregel nicht zulässig wäre, wenn von Covered Entity getan, außer gemäß Artikel 4 dieses Abkommens zur Verfügung gestellt. & Nbsp;

6. LAUFZEIT UND KÜNDIGUNG
6.1 Begriff

Dieses Abkommen gilt ab dem Zeitpunkt des Inkrafttretens wirksam sein und wird auf der zuvor von dem Zeitpunkt kündigen, dass:

6.1.1. Jede Partei für Ursache beendet, wie unter Abschnitt 6.2 zugelassen.

6.1.2. Alle PHI von Covered Entity empfangen werden, oder oder Geschäftspartner im Auftrag von Covered Entity empfangen erstellt, zerstört oder auf Covered Entity zurückgegeben. Wenn festgestellt wird, zu undurchführbar sein PHI zu vernichten oder zurückgeben, wird Schutz auf diese Informationen in Übereinstimmung mit erweiterten Abschnitt 6.3 . & Nbsp;

6.2. Kündigung aus wichtigem Grunde

Covered Bei Entity Wissen erheblicher Verletzung von Geschäftspartner, Covered Entity erhält die Möglichkeit für Geschäftspartner bietet die Verletzung oder zu beenden, die Verletzung zu heilen. Wenn Geschäftspartner nicht die Verletzung heilen oder die Verletzung innerhalb des Zeitrahmens von Covered Entity angegeben beenden, oder wenn ein Material Laufzeit dieser Vereinbarung verletzt wurde und eine Heilung ist nicht möglich, Covered Entity kann dieses Abkommen und den zugrunde liegenden Vertrag kündigen (s .), falls vorhanden, durch schriftliche Mitteilung an Geschäftspartner & nbsp;

6.3. Pflichten der Geschäftspartner nach der Kündigung

Bei Beendigung dieser Vereinbarung aus irgendeinem Grunde, Geschäftspartner, mit Bezug auf PHI empfing von Covered Entity oder erstellt, gepflegt oder durch Geschäftspartner im Auftrag von Covered Entity empfangen wird, hat folgende Aufgaben:

6.3.1 Bewahren Sie nur das PHI, die für Geschäftspartner notwendig ist, seine ordnungsgemäße Verwaltung und Verwaltung fortzusetzen oder seine gesetzlichen Aufgaben zu erfüllen;. & Nbsp;

6.3.2 Zurück zur Covered Entity oder, wenn dies von Covered Entity schriftlich, zerstören die verbleibenden PHI vereinbart, dass nach wie vor die Geschäftspartner in irgendeiner Form unterhalten;. & Nbsp;

6.3.3. Weiter geeignete Schutzmaßnahmen verwenden und mit Abschnitt C von 45 C.F.R entsprechen Teil 164 in Bezug auf ePHI Verwendung oder Offenlegung der PHI, anders als nach diesem Abschnitt 6, so lange zu verhindern, wie Geschäftspartner den PHI behält;

6.3.4 Begrenzen Sie weitere Verwendungen und Offenbarungen solchen PHI zu diesen Zwecken, die die Rückgabe oder Vernichtung undurchführbar machen, so lange als Business Associate so PHI unterhält. und

6.3.5. zu Covered Entity Return oder die PHI durch Geschäftspartner erhalten zerstören, wenn sie nicht mehr von Business Associate für die ordnungsgemäße Verwaltung und Administration oder zur Erfüllung seines gesetzlichen benötigt wird . Aufgaben & nbsp;

7. SONSTIGES
7.1. Änderungsantrag

Die Parteien vereinbar, solche Maßnahmen zu ergreifen, wie es notwendig ist, diese Vereinbarung zu ändern, mit den Anforderungen der HIPAA-Regeln und anderen geltenden Gesetze einzuhalten. & Nbsp;

7.2. Überleben

Die jeweiligen Rechte und Pflichten der Geschäftspartner gemäß Artikel 6 dieses Abkommens gelten über die Beendigung dieser Vereinbarung.

7.3. Regulatory Referenzen

Eine Bezugnahme in diesem Übereinkommen auf einen Abschnitt der HIPAA-Regeln bedeutet den Abschnitt als gültig oder geändert werden.

7.4 Interpretation

Dieses Abkommen wird in folgenden Weise interpretiert werden:. & Nbsp;

7.4.1. Jede Zweideutigkeit wird für eine Bedeutung gelöst werden, die Entity erlaubt Covered mit den HIPAA-Vorschriften.

7.4.2. Widerspruchs zwischen den Bestimmungen des Abkommens und der HIPAA-Regeln, einschließlich aller Änderungen, wie sie durch das Ministerium für Gesundheit und Human Services interpretiert, Gericht oder einer anderen Aufsichtsbehörde mit Behörde über die Vertragsparteien nach der Auslegung des Department of Health and Human Services interpretiert werden, dem Gericht oder der Aufsichtsbehörde.

7.4.3. Alle Bestimmungen dieser Vereinbarung, die von den in den HIPAA-Regeln vorgeschrieben unterscheidet, ist aber dennoch von den HIPAA-Regeln erlaubt ist, sind zu beachten, wie in dieser Vereinbarung festgehalten .

7.5. Gesamte Vereinbarung, Salvatorische

Diese Vereinbarung stellt die gesamte Vereinbarung zwischen den auf den Gegenstand dieser Vereinbarung Parteien, außer in dem Umfang, dass die zugrunde liegende Vereinbarung (s), wenn überhaupt, auf die Nutzung und den Schutz von PHI strengeren Anforderungen auferlegen Geschäft im Zusammenhang mit Assoziieren. Diese Vereinbarung ersetzt alle früheren Verhandlungen, Diskussionen, Vorstellungen oder Vorschläge, ob mündlich oder schriftlich. Dieses Abkommen kann nicht geändert werden, es sei denn, dies schriftlich erfolgen und von einem bevollmächtigten Vertreter beider Parteien unterzeichnet. Sollte eine Bestimmung dieses Vertrages ganz oder teilweise als ungültig sein, so bleiben die übrigen Bestimmungen in Kraft bleiben.

7.6. Zuordnung

Diese Vereinbarung ist für die Rechtsnachfolger und Abtretungsempfänger der betroffenen juristischen Person und des Geschäftspartners bindend. Diese Vereinbarung darf jedoch ohne die schriftliche Zustimmung der betroffenen Einheit weder ganz noch teilweise von einem Geschäftspartner abgetreten werden; vorausgesetzt jedoch, dass der Geschäftspartner diesen Vertrag in seiner Gesamtheit ohne die Zustimmung des betroffenen Unternehmens an sein verbundenes Unternehmen oder in Verbindung mit einer Fusion, einem Erwerb, einer Unternehmensumstrukturierung oder einem Verkauf aller oder im Wesentlichen aller seiner Vermögenswerte abtreten kann. Jede versuchte Abtretung unter Verstoß gegen diese Bestimmung ist nichtig.

7.7. Multiple Ausfertigungen

Dieses Abkommen kann in zwei oder mehreren Ausfertigungen werden, von denen jede eine Ursprungs gelten.

7.8. Geltendes Recht

Außer in dem Umfang durch Bundesgesetz preempted gilt dieses Abkommen durch und mit den Gesetzen des Staates Delaware nach diesem ausgelegt werden.

We use cookies to offer you a better browsing experience, analyze site traffic, personalize content, and serve targeted ads. Read how we use cookies and how you can control them on our "Cookie Settings" page. Continued use of this website will be interpreted as consent. You may visit the "Cookie Settings" link at the bottom of any page in the future to view or adjust your settings.

Cookie Settings