CoachCare

HIPAA Accord associé d'affaires

Le présent Accord associé d'affaires (le "Contrat") est conclu par et entre vous ( "couvert Entité") et Lexington Wellness Holdings Inc. d / b / a CoachCare ( "Business associé"). Couvert Entité et affaires associé, collectivement, peuvent être appelés ici les « Parties ».

1. Introduction
1.1. HIPAA

couvert entité et affaires associé conclure le présent accord pour se conformer aux exigences de la portabilité d'assurance maladie et la Loi sur la responsabilité de 1996 ( « HIPAA »), telle que modifiée, y compris la protection des renseignements personnels, la sécurité, la violation des règles de notification et d'exécution à 45 C.F.R. Partie 160 et la partie 164, ainsi que la technologie de l'information de la santé pour Loi sur la santé économique et clinique, adoptée dans le cadre de la Loi sur la reprise américaine et Reinvestment de 2009 ( « HITECH »), tel que modifié, et d'autres lois applicables fédérales et étatiques (collectivement les "règles HIPAA").

1.2. protégées information sur la santé

Le présent accord vise à assurer que les entreprises associé établira et mettre en œuvre des garanties appropriées pour certaines informations médicales protégées individuellement identifiables relatives aux patients de couvert entité ( « PHI » tel que ce terme est défini ci-dessous) d'affaires associé peut recevoir, créer, maintenir, utiliser ou divulguer dans le cadre de certaines fonctions, des activités et des services d'affaires associé joue pour les entités couvertes. Les fonctions, les activités et les services d'affaires pour l'entité associée exécute sont définies dans Covered un ou plusieurs accords entre les parties (les « accords sous-jacents »).

2. Définitions
2.1. Conditions

Les termes utilisés mais non définis dans le présent Accord ont la même signification que ces termes dans les règles HIPAA, des définitions sont incorporées dans le présent accord par référence.

2,2. Définitions

Aux fins du présent Accord:

2.2.1 « information Protected santé électronique » ou « ePHI » a le sens donné à ce terme en vertu de la règle de la vie privée et la règle de sécurité, y compris, mais sans s'y limiter, 45 CFR 160,103, telle qu'elle est appliquée à l'information créée, reçue, ou transmis par Business associé de ou pour le compte de l'entité couverte

2.2.2 "individuel" a le même sens donné à ce terme dans 45 C.F.R. § 160,103 et comprend une personne qui remplit les conditions en tant que représentant personnel conformément à 45 C.F.R. § 164,502 (g).

2.2.3 "Protected information sur la santé" ou "PHI" a le sens donné à ce terme dans 45 C.F.R. 160,103, limité à l'information créée, reçue, ou transmis par Business associé de ou pour le compte de l'entité couverte.

2.2.4 "Vie privée Règle" désigne les normes de la vie privée des Individuellement Identifiables information sur la santé publiée dans 45 C.F.R. Pièces 160 et 164, A et E sous-parties.

2.2.5 "requis par la loi" a le sens donné à ce terme dans 45 C.F.R. 164,103

2.2.6 "secrétaire" désigne le secrétaire du ministère de la Santé et des Services sociaux ou son représentant.

2.2.7 "Règle de sécurité" de shll signifient les normes de sécurité à 45 C.F.R. La partie 160 et la partie 164, les sous-parties A et C.

3. Obligations générales d'affaires associé
3.1. Utilisation et divulgation

Business associé accepte de ne pas utiliser ou divulguer PHI, autre que permis ou exigé par le présent Accord ou requis par la loi. Pour l'associé d'affaires mesure est la réalisation d'une ou plusieurs des obligations de l'entité couverts en vertu de la règle de confidentialité, conformément aux termes de l'accord sous-jacent ou du présent Accord, Affaires associé doit se conformer aux exigences de la règle de confidentialité applicables aux entités couvertes dans la performance de cette obligation (s).

3,2 mesures de protection appropriées

Business associé utilise les garanties physiques, techniques et administratives appropriées, et doit se conformer à la règle de sécurité en ce qui concerne ePHI, pour empêcher l'utilisation ou la divulgation des RPS autres que celles prévues par le présent Accord ou tel que requis par la loi

3,3 atténuation

Business associé accepte de limiter, dans la mesure du possible, aucun effet nocif qui est connu pour affaires associé à la suite d'une utilisation ou la divulgation des RPS par Business associé en violation des exigences de la présente entente ou qui serait autrement une violation de PHI non sécurisé.

3.4 Breach rapports

Business associé doit faire rapport à couvert Entité toute utilisation ou la divulgation des RPS non autorisée par ce BAA, violation des créanciers non PHI ou d'un incident de sécurité, sans délai déraisonnable, et en tout état de cause plus de trente (30) jours suivant la découverte; à condition toutefois que les parties reconnaissent et conviennent que la présente section constitue un avis par Business associé à une entité couverte de l'existence continue et l'apparition de tentatives, mais non retenus des incidents de sécurité (tel que défini ci-dessous) pour laquelle un avis à l'entité couverte par Business Associé est requis uniquement sur demande. « Échec des incidents de sécurité » comprennent, mais sans s'y limiter, les pings et autres attaques de diffusion sur le pare-feu d'entreprise associé, analyses de ports, connexion sur les tentatives infructueuses, dénis de service et toute combinaison de ce qui précède, tant que pas de tels résultats incidents un accès non autorisé, l'utilisation ou la divulgation des RPS. la notification d'affaires associé à une entité couverte d'une violation comprend:

3.4.1 L'identification de chaque personne dont le non garanti PHI a été, ou raisonnablement par Business associé avoir été consulté, acquis ou communiqués au cours de la Brèche. et

3.4.2. Les détails relatifs à la violation de cette entité couverte devra inclure dans sa notification, que ces détails sont identifiés dans 45 C.F.R. § 164,404.

3,5. Sous-traitants

Conformément à 45 C.F.R. §§ 164,502 (e) (1) (ii) et 164,308 (b) (2), le cas échéant, associé d'affaires doit conclure une entente écrite avec un agent ou un sous-traitant qui crée, reçoit, maintient ou transmet PHI au nom de la associé d'affaires pour les services fournis à l'entité couverte, qui prévoit que l'agent accepte les mêmes restrictions, conditions et exigences applicables à l'associé d'affaires par rapport à ces informations

3.6. Accès aux RPS

associé d'affaires accepte de fournir l'accès aux RPS dans un ensemble d'enregistrements désigné à l'entité couverte. Si une personne fait une demande d'accès en vertu de 45 C.F.R. § 164,524 directement aux affaires associé, ou consulter au sujet de son droit d'accès, d'affaires associé transmet à l'entité couverte. Toute réponse à cette demande est la responsabilité de l'entité couverte. & Nbsp;

3.7. Exigence minimale nécessaire

Business associé convient que lors de la demande, l'utilisation ou la divulgation de PHI, conformément à 45 C.F.R. § 502 (b) (1) que cette demande, l'utilisation ou la divulgation est faite au minimum nécessaire, y compris l'utilisation d'un « ensemble de données limité » tel que défini dans 45 C.F.R. § 164.514 (e) (2), pour atteindre le but recherché de cette demande, l'utilisation ou la divulgation, selon l'interprétation de directives connexes émises par le Secrétaire de temps à autre.

3.8. Modification de PHI

associé d'affaires accepte de faire PHI contenus dans un dossier désigné Set disponible pour les entités couvertes de modification en vertu de 45 C.F.R. § 164,526. Si une personne fait une demande de modification en vertu de 45 C.F.R. § 164,526 directement aux affaires associé, ou consulter au sujet de son droit d'accès, d'affaires associé transmet à l'entité couverte. Toute réponse à cette demande est la responsabilité de l'entité Covered.

3.9. Comptabilité des informations à fournir

Business associé fournit à l'information recueillie entité couverte conformément à l'article 3.11 du présent Accord, pour permettre couvert Entité de répondre à une demande d'un particulier pour une comptabilisation des informations de PHI conformément à 45 C.F.R. § 164,528. Si une personne demande une comptabilisation des informations de PHI directement de Business associé, affaires associé transmet cette demande à l'entité couverte. Toute réponse à cette demande est la responsabilité de l'entité Covered.

3.10. accès aux politiques et dossiers

Business associé accepte de rendre ses pratiques internes, des livres et des documents, y compris les politiques et procédures concernant PHI, relatif à l'utilisation et la divulgation des RPS et violation de tout non garanti PHI a reçu de l'entité couverte, ou créé ou reçu par l'associé d'affaires au nom de l'entité Covered, à la disposition du Secrétaire aux fins de l'entité couverte ou le Secrétaire déterminer la conformité aux règles HIPAA.

3,11. Documentation des informations à fournir

Business associé doit documenter ces informations de PHI et des informations relatives à ces informations comme cela serait nécessaire pour répondre à une entité couverte demande d'un particulier pour une comptabilisation des informations de PHI conformément à 45 C.F.R. § 164,528. Associé d'affaires doit documenter, au minimum, les informations suivantes ( « Information Disclosure »):

3.11.1 La date de la divulgation;.

.

3.11.2 Le nom et, si elle est connue, l'adresse du destinataire du PHI;

3.11.3 Une brève description de l'invention concerne PHI;.

3.11.4 Le but de l'invention qui comprend une définition de la base de cette divulgation. et

3.11.5. Les renseignements exigés en vertu de la Loi sur HITECH et des règlements d'application.

4. USAGES AUTORISÉS ET DE DIVULGATION D'AFFAIRES ASSOCIÉ
4.1. Général Utilisation et divulgation

Business associé accepte de recevoir, créer, utiliser ou divulguer des RPS tel que permis par le présent accord, les règles HIPAA, et seulement dans le cadre de la prestation de services à l'entité couverte; à condition que l'utilisation ou la divulgation ne violeraient pas la règle de la vie privée si elle est faite par les entités couvertes, sauf stipulation contraire dans le présent article 4.

4.2. requis par la loi

Business associé peut utiliser ou divulguer PHI tel que requis par la loi.

4.3. Autres utilisations

Sauf disposition contraire dans le présent Accord, Affaires associé peut: & nbsp;

4.3.1. Utilisez PHI pour la gestion et l'administration des affaires associé, ou pour mener à bien ses responsabilités juridiques.

4.3.2. PHI pour la Divulguer une bonne gestion et l'administration des affaires ou associé à assumer les responsabilités juridiques des affaires associé, à condition que les informations sont prévues par la loi, ou d'affaires associé obtient une assurance raisonnable écrite préalable de la personne à laquelle les renseignements sont communiqués que les informations resteront confidentielles et utilisées ou divulguées seulement comme requis par la loi ou aux fins pour lesquelles ils ont été divulgués à la personne, et la personne avise l'associé d'affaires de toutes les instances dont il a connaissance dans laquelle la confidentialité des informations ont été respectées, conformément aux exigences de notification de violation du présent Accord.

4.3.3. Utilisez PHI pour fournir des services d'agrégation de données à couvert entité autorisée par les Règles HIPAA.

5. OBLIGATIONS DE COUVERT ENTITÉ
5.1 couvert Entité de:.

5.1.1. Notifier affaires associé de toute limitation (s) dans son avis de pratiques de confidentialité conformément à 45 C.F.R. 164,520, dans la mesure où cette limitation peut affecter l'utilisation d'affaires associé ou la divulgation des RPS.

5.1.2. Notifier affaires associé de toute restriction à l'utilisation ou la divulgation des RPS qui a couvert l'entité a accepté de conformément à 45 C.F.R. § 164,522, dans la mesure où ces modifications peuvent affecter l'utilisation d'affaires associé ou la divulgation des RPS.

5.1.3. Notifier affaires associé de toute modification ou la révocation de l'autorisation par une personne d'utiliser ou de divulguer son assurance-maladie privée, dans la mesure où cette modification ou la révocation peuvent affecter affaires associé de utilisations autorisées ou requises et les informations de PHI.

5.2.

couvert entité ne doit pas demander un associé d'utiliser ou de divulguer des RPS d'une manière qui ne serait pas admissible en vertu de la règle de confidentialité ou de la règle de sécurité si elle est faite par les entités couvertes, sous réserve des dispositions de l'article 4 du présent Accord.

6. DURÉE ET RÉSILIATION
6.1 Terme

Le présent Accord est en vigueur à compter de la date d'entrée en vigueur et prendra fin à la première de la date à laquelle:

6.1.1. Les deux parties se termine pour un motif valable comme autorisé en vertu de l'article 6.2.

6.1.2. Tous PHI a reçu de l'entité couvert ou créé ou reçu par Business associé au nom de l'entité couverte, est détruit ou retourné à couvert entité. S'il est déterminé, d'être infaisable pour retourner ou détruire PHI, les protections sont étendues à ces informations conformément à la section 6.3 & nbsp;.

6,2. Terminaison pour cause

Une fois couvert la connaissance de l'entité de violation substantielle par Business associé, couvert entité fournit une occasion d'affaires associé à remédier à la violation ou mettre fin à la violation. Si Business associé ne guérit pas la violation ou mettre fin à la violation dans les délais prescrits par les entités couvertes, ou si une condition importante du présent accord a été violé et une cure est impossible, couvert entité peut résilier le présent Contrat et l'accord sous-jacent (s .), le cas échéant, un avis écrit à un associé & nbsp;

6.3. Obligations d'affaires associé à la cessation

En cas de résiliation du présent Contrat pour une raison quelconque, associé d'affaires, par rapport à PHI reçu de l'entité couverte, ou créé, entretenu ou reçu par Business associé au nom de l'entité visée, est:

6.3.1 Conserver seulement PHI qui est nécessaire pour un associé d'affaires de poursuivre sa bonne gestion et de l'administration ou d'assumer ses responsabilités juridiques;. & Nbsp;

6.3.2 Retour à l'entité couverte ou, si elle est acceptée par l'entité couverte par écrit, détruire le reste PHI que l'associé d'affaires maintient toujours sous quelque forme que. & Nbsp;

6.3.3. Continuer à utiliser des garanties appropriées et se conformer à la sous-C de 45 C.F.R. Partie 164 par rapport à ePHI pour empêcher l'utilisation ou la divulgation des RPS, autres que celles prévues à la présente section 6, pour aussi longtemps que les affaires associé conserve l'assurance-maladie privée;

6.3.4 Limiter autres utilisations et les informations de ce PHI à ces fins qui rendent le retour ou la destruction infaisable, aussi longtemps que d'affaires associé conserve cette assurance-maladie privée. et

6.3.5. Retour à couvert entité ou détruire le PHI retenu par Business associé quand il est plus nécessaire par Business associé à sa bonne gestion et de l'administration ou de mener à bien sa juridique . responsabilités & nbsp;

7. DIVERS
7.1. Amendement

Les parties conviennent de prendre les mesures nécessaires pour modifier le présent accord pour se conformer aux exigences du Règlement HIPAA et toute autre loi applicable & nbsp;.

7,2. survie

Les droits et obligations des affaires associé en vertu de l'article 6 du présent Accord survivront à la résiliation du présent Accord.

7.3. Références réglementaires

Une référence dans le présent accord à une partie des règles HIPAA signifie la section comme en vigueur ou modifiée.

7.4 Interprétation

Le présent accord doit être interprété de la manière suivante:. & Nbsp;

7.4.1. Toute ambiguïté doit être résolue en faveur d'un sens qui permet couvert Entité de se conformer aux règles HIPAA.

7.4.2. incompatibilité entre les dispositions de l'accord et les règles HIPAA, y compris tous les amendements, tel qu'il est interprété par le ministère de la Santé et des Services sociaux, tribunal ou un autre organisme de réglementation avec autorité sur les parties, doit être interprété selon l'interprétation du ministère de la Santé et des services sociaux, le tribunal ou l'organisme de réglementation.

7.4.3. Toute disposition du présent Accord qui diffère de celles imposées par les règles HIPAA, mais est néanmoins permise par les règles HIPAA, doit être respecté comme indiqué dans le présent Accord .

7.5. Intégralité de l'accord, divisibilité

Le présent accord constitue l'intégralité de l'accord entre les parties liées à l'objet du présent accord, sauf dans la mesure où l'accord sous-jacent (s), le cas échéant, imposer des exigences plus strictes liées à l'utilisation et la protection des PHI sur affaires Associer. Le présent accord annule et remplace toutes les négociations, des discussions, des représentations ou des propositions, qu'elles soient orales ou écrites. Le présent Accord ne peut être modifié à moins que fait par écrit et signé par un représentant dûment autorisé des deux Parties. Si une disposition du présent accord, ou une partie de celle-ci, est jugée invalide, les autres dispositions resteront en vigueur.

7,6. Affectation

Le présent accord sera obligatoire pour les successeurs et ayants droit de l'entité et couvert d'affaires associé. Toutefois, cet accord ne peut être attribué par Business associé, en tout ou en partie, sans le consentement écrit de l'entité couverte. Toute tentative de cession en violation de cette disposition est nulle et non avenue.

7.7. Homologues multiples

Le présent Accord peut être exécuté en deux exemplaires ou plus, dont chacun est considéré comme un original.

7.8. Droit applicable

Sauf dans la mesure préempté par la loi fédérale, le présent Accord est régi et interprété conformément aux lois de l'État de New York.

We use cookies to offer you a better browsing experience, analyze site traffic, personalize content, and serve targeted ads. Read how we use cookies and how you can control them on our "Cookie Settings" page. Continued use of this website will be interpreted as consent. You may visit the "Cookie Settings" link at the bottom of any page in the future to view or adjust your settings.

Cookie Settings