HIPAA Contratto di Business Associate
Il presente Contratto di Business Associate (il "Contratto") viene stipulato da e tra lei ("Covered Entity") e Lexington Wellness Holdings Inc. d/b/a CoachCare ("Business Associate"). Covered Entity e Business Associate, collettivamente, possono essere indicati qui come le "Parti".
1. Introduzione
1.1.HIPAA
Covered Entity e Business Associate stipulano il presente Contratto per soddisfare i requisiti dell’Health Insurance Portability and Accountability Act del 1996 ("HIPAA"), e successive modifiche, tra cui privacy, sicurezza, regole di notifica delle violazioni e di applicazione a 45 C.F.R. Parte 160 e Parte 164, così come l’Health Information Technology for Economic and Clinical Health Act emanato come parte dell’ American Recovery and Reinvestment Act del 2009 ("HITECH"), e successive modifiche, e altre leggi federali e statali applicabili (collettivamente le "Regole HIPAA").
1.2.Informazioni Sanitarie Protette
Il presente Contratto è inteso a garantire che il Business Associate stabilirà e attuerà adeguate misure di protezione per alcune Informazioni Sanitarie Protette identificabili singolarmente relative ai pazienti della Covered Entity ("PHI" come tale termine è definito di seguito) che il Business Associate potrebbe ricevere, creare, mantenere, utilizzare o divulgare in relazione a determinate funzioni, attività e servizi che il Business Associate svolge a favore della Covered Entity. Le funzioni, attività e servizi che il Business Associate svolge a favore della Covered Entity sono definiti in uno o più contratti tra le parti (i "Contratti Impliciti").
2. Definizioni
2.1.Termini
I termini utilizzati ma non altrimenti definiti nel presente Contratto avranno lo stesso significato dei termini previsti dalle Regole HIPAA, le cui definizioni sono incorporate nel presente Contratto per riferimento.
2.2.Definizioni
Ai fini del presente Contratto:
2.2.1"Informazioni Sanitarie Protette Elettronicamente" o "ePHI" ha il significato attribuito a tale termine secondo la Regolamentazione Privacy e la Regolamentazione di Sicurezza, tra cui, ma non limitato a, il 45 C.F.R. 160.103, come applicato alle informazioni create, ricevute, mantenute o trasmesse dal Business Associate da o per conto di della Covered Entity
2.2.2"Individuo" ha lo stesso significato attribuito a tale termine nel 45 C.F.R. § 160.103 e comprende una persona che si qualifica come rappresentante personale a norma del 45 C.F.R. § 164.502(g).
2.2.3"Informazioni Sanitarie Protette" o "PHI" ha il significato attribuito a tale termine nel 45 C.F.R. 160.103, limitatamente alle informazioni create, ricevute, mantenute o trasmesse dal Business Associate da o per conto della Covered Entity.
2.2.4Per "Regolamentazione Privacy " si intendono le Norme per la Privacy delle Informazioni Sanitarie Individualmente Identificabili pubblicate nel 45 C.F.R. Parti 160 e 164, Capitoli A e E.
2.2.5"Requisiti di Legge" ha il significato attribuito a tale termine nel 45 C.F.R. 164.103
2.2.6"Segretario" ha il significato di Segretario del Dipartimento di Salute e Servizi Umani o il suo designato.
2.2.7"Regolamentazione di Sicurezza" ha il significato di Norme di Sicurezza del 45 C.F.R. Parte 160 e Part 164, Capitoli A e C.
3. Obblighi Generali del Business Associate
3.1.Utilizzo e Divulgazione
Il Business Associate si impegna a non utilizzare o divulgare le PHI, diversamente da quanto consentito o richiesto dal presente Contratto o come Requisito di legge. Nella misura in cui il Business Associate stia esercitando uno o più degli obblighi della Covered Entity contemplati dalla Regolamentazione Privacy ai sensi dei termini del Contratto Implicito o questo Contratto, il Business Associate deve sottostare ai requisiti della Regolamentazione Privacy che si applicano alla Covered Entity nella prestazione di tali obblighi.
3.2Garanzie Adeguate
Il Business Associate attuerà protezioni fisiche, tecniche e amministrative, e dovrà rispettare la Regolamentazione di Sicurezza riguardo le ePHI, per impedire l'uso o la divulgazione di PHI diversamente da quanto previsto dal presente Contratto o secondo i Requisiti di Legge
3.3Contenimento
Il Business Associate accetta di contenere, per quanto possibile, qualsiasi effetto nocivo che noto al Business Associate a seguito di un uso o una divulgazione di PHI da parte del Business Associate in violazione dei requisiti del presente Contratto o che potrebbe altrimenti causare una Violazione di PHI Non Sicure.
3.4Segnalazione di Violazione
Il Business Associate dovrà riferire alla Covered Entity qualsiasi uso o divulgazione di PHI non consentito dal presente BAA, Violazione di PHI Non Sicure o Problema di Sicurezza, senza ritardi irragionevoli, e in ogni caso non oltre trenta (30) giorni dal momento della scoperta; a condizione, tuttavia, che le Parti riconoscano e concordino sul fatto che questa Sezione costituisce un avviso da parte del Business Associate alla Covered Entity dell'esistenza e la possibilità di Problemi di Sicurezza tentati ma Falliti (come di seguito definiti) per i quali l’avviso alla Covered Entity da parte del Business Associate è dovuto solo su richiesta. “Problemi di Sicurezza Falliti” include, ma non si limita a, ping e altri attacchi broadcast al firewall del Business Associate, scansioni delle porte, tentativi di log-on falliti, denial of service e qualsiasi combinazione di quanto sopra, a condizione che nessun problema provochi un accesso non autorizzato, uso o divulgazione di PHI. La notifica del Business Associate alla Covered Entity riguardo la Violazione deve includere:
3.4.1L'identificazione di ogni individuo il cui PHI Non Sicuro sia stato, o è ragionevolmente ritenuto dal Business Associate che sia stato, consultato, acquisito o rivelato durante la Violazione; e
3.4.2.Tutti i particolari riguardanti la Violazione che la Cover Entity dovrebbe includere nella sua notifica, e tali indicazioni sono identificate nel 45 C.F.R. § 164.404.
3.5.Subappaltatori
Conformemente al 45 C.F.R. §§ 164.502(e)(1)(ii) e 164.308(b)(2), se del caso, il Business Associate dovrà sottoscrivere un accordo scritto con qualsiasi agente o subappaltatore che crea, riceve, mantiene o trasmette PHI per conto del Business Associate per i servizi forniti alla Covered Entity, che preveda che l'agente accetti le stesse restrizioni, condizioni e requisiti che si applicano al Business Associate rispetto a tali informazioni
3.6.Accesso alle PHI
Il Business Associate accetta di fornire l'accesso alle PHI in un Registro Designato alla Covered Entity. Se un Individuo facesse una richiesta di accesso ai sensi del 45 C.F.R. § 164.524 direttamente al Business Associate, o richiedesse informazioni circa il suo diritto di accesso, il Business Associate lo trasmetterà alla Covered Entity. Qualsiasi risposta a tale richiesta deve essere responsabilità della Covered Entity.
3.7.Requisiti Minimi Necessari
Il Business Associate concorda sul fatto che al momento della richiesta, uso o la rivelazione di PHI secondo il 45 C.F.R. § 502(b)(1) che tale richiesta, uso o divulgazione sarà nella misura minima necessaria, compreso l'uso di un "insieme di dati limitato", come definito nel 45 C.F.R. § 164.514(e)(2), per realizzare lo scopo previsto di tale richiesta, uso o divulgazione, come interpretato sotto la guida correlata rilasciata dal Segretario di volta in volta.
3.8.Emendamento alle PHI
Il Business Associate si impegna a creare PHI contenute in un Registro Designato a disposizione della Covered Entity per modifica ai sensi del 45 C.F.R. § 164.526. Se un Individuo presenta una domanda di modifica ai sensi del 45 C.F.R. § 164.526 direttamente al Business Associate, o richiedesse informazioni circa il suo diritto di accesso, il Business Associate lo trasmetterà alla Covered Entity. Qualsiasi risposta a tale richiesta deve essere la responsabilità della Covered Entity.
3.9.Resoconto delle Divulgazioni
Il Business Associate deve fornire alla Covered Entity le informazioni raccolte in conformità con la Sezione 3.11 del presente Contratto, per consentire alla Covered Entity di rispondere ad una richiesta di un Individuo per un resoconto delle divulgazioni delle PHI secondo il 45 C.F.R. § 164.528. Se un Individuo non richiedesse un resoconto delle divulgazioni delle PHI direttamente al Business Associate, il Business Associate trasmetterà la richiesta alla Covered Entity. Qualsiasi risposta a tale richiesta deve essere di responsabilità della Covered Entity.
3.10.Accesso a Informative e Registri
Il Business Associate si impegna ad attuare le sue pratiche interne, libri e registri, tra cui le informative e le procedure in materia di PHI, relative all'utilizzo e alla divulgazione di PHI e alla Violazione di qualsiasi PHI Non Sicura ricevuta dalla Covered Entity, o creata o ricevuta dal Business Associate a nome della Covered Entity, a disposizione del Segretario affinché la Covered Entity o il Segretario determinino la conformità con le Regole HIPAA.
3.11.Documentazione delle Divulgazioni
Il Business Associate deve documentare tali divulgazioni delle PHI e le informazioni relative a tali divulgazioni, come sarebbe richiesto alla Covered Entity per rispondere a una richiesta di un Individuo per un Resoconto delle Divulgazioni delle PHI secondo il 45 C.F.R. § 164.528. Il Business Associate dovrà documentare, come minimo, le seguenti informazioni (“Informazioni delle Divulgazioni”):
3.11.1La data della divulgazione;
.3.11.2Il nome e, se noto, l'indirizzo del destinatario delle PHI;
3.11.3Una breve descrizione delle PHI divulgate;
3.11.4Lo scopo della divulgazione che include una spiegazione alla base di tale divulgazione; e
3.11.5.Tutte le informazioni aggiuntive richieste ai sensi del HITECH Act e gli eventuali regolamenti di attuazione.
4. UTILIZZI E DIVULGAZIONI PERMESSI DAL BUSINESS ASSOCIATE
4.1.Utilizzi Generali Divulgazioni
Il Business Associate accetta di ricevere, creare, utilizzare o divulgare PHI solo come consentito dal presente Contratto, le Regole HIPAA, e solo in relazione alla fornitura di servizi alla Covered Entity; a condizione che l'uso o la divulgazione non violerebbe la Regolamentazione Privacy se fatto dalla Covered Entity, ad eccezione di quanto previsto nel presente Articolo 4.
4.2.Requisiti di Legge
Il Business Associate può utilizzare o rivelare PHI secondo i Requisiti di Legge.
4.3.Altri Usi
Salvo quanto diversamente disposto dal presente Contratto, il Business Associate può:
4.3.1.Usa le PHI per la corretta gestione e amministrazione del Business Associate, o per adempiere alle sue responsabilità legali.
4.3.2.Divulgare PHI per la corretta gestione e amministrazione del Business Associate o per adempiere alle responsabilità legali del Business Associate, a condizione che le divulgazioni siano Requisito di Legge, o il Business Associate ottenga precedenti ragionevoli garanzie scritte dalla persona a cui l'informazione viene divulgata che le informazioni rimarranno confidenziali e utilizzate o ulteriormente divulgate solo secondo i Requisiti di Legge o per gli scopi per i quali sono stati comunicati alla persona, e la persona notificherà al Business Associate di tutte le istanze di cui è a conoscenza, in cui è stata violata la riservatezza delle informazioni, in conformità con i requisiti di notifica delle violazioni del presente Contratto.
4.3.3.Usare le PHI per fornire Servizi di Aggregazione Dati alla Covered Entity come consentito ai sensi delle Regole HIPAA.
5. OBBLIGHI DELLA COVERED ENTITY
5.1La Covered Entity deve:
5.1.1.Notificare al Business Associate qualsiasi limitazione nella sua Comunicazione delle Politiche di Privacy ai sensi del 45 C.F.R. 164.520, nella misura in cui tale limitazione potrebbe influenzare l'uso o la divulgazione delle PHI da parte del Business Associate.
5.1.2.Notificare al Business Associate eventuali restrizioni all'uso o alla divulgazione delle PHI che la Covered Entity ha accettato di attuare secondo il 45 C.F.R. § 164.522, nella misura in cui tali modifiche potrebbero influire sull'uso o la divulgazione delle PHI da parte del Business Associate.
5.1.3.Notificare al Business Associate qualsiasi modifica a o revoca alle autorizzazioni da parte di un individuo di utilizzare o divulgare le sue PHI, nella misura in cui tale modifica o revoca potrebbero influire sull'uso o la divulgazione delle PHI da parte del Business Associate.
5.2.
La Covered Entity non deve richiedere al Business Associate di utilizzare o divulgare PHI in qualsiasi modo non ammissibile ai sensi della Regolamentazione Privacy o le Regole di Sicurezza se fatto dalla Covered Entity, salvo quanto previsto ai sensi dell'Articolo 4 del presente Contratto.
6. DURATA E RISOLUZIONE
6.1Durata
Il presente Contratto è in vigore a partire dalla Data di Decorrenza e terminerà alla prima data in cui:
6.1.1.Una delle parti risolve per giusta causa come autorizzato nella Sezione 6.2.
6.1.2.Tutte le PHI ricevute dalla Covered Entity, o create o ricevute dal Business Associate per conto della Covered Entity, viene distrutto o restituito alla Covered Entity. Se è determinato, essere irrealizzabile restituire o distruggere le PHI, le protezioni sono estese a tali informazioni in conformità con la Sezione 6.3.
6.2.Risoluzione per Giusta Causa
Alla scoperta della Covered Entity di violazione materiale da parte del Business Associate, la Covered Entity fornirà un'opportunità al Business Associate per rimediare alla violazione o mettere fine alla violazione. Se il Business Associate non cura la violazione o mette fine alla violazione entro i tempi specificati dalla Covered Entity, o se un termine materiale di questo Contratto è stato violato e una soluzione non è possibile, la Covered Entity potrà risolvere il presente Contratto e il Contratto Implicito, se del caso, con preavviso scritto al Business Associate.
6.3.Obblighi del Business Associate in Caso di Risoluzione
In caso di risoluzione del presente Contratto, per qualsiasi motivo, il Business Associate, rispetto alle PHI ricevute dalla Covered Entity, o create, mantenute, o ricevute dal Business Associate per conto della Covered Entity, dovrà:
6.3.1Conservare soltanto le PHI necessarie al Business Associate per continuare la sua corretta gestione e amministrazione o per adempiere alle sue responsabilità legali;
6.3.2Restituire alla Covered Entity o, se concordato con la Covered Entity per iscritto, distruggere le restanti PHI che il Business Associate mantiene ancora in qualsiasi forma;
6.3.3.Continuare a utilizzare garanzie adeguate e conformi al Capitolo C del 45 C.F.R. Parte 164 per quanto riguarda le ePHI per impedire l'uso o la divulgazione delle PHI, diverse da quelle di cui alla presente Sezione 6, per tutto il tempo in cui il Business Associate conserva le PHI;
6.3.4Limitare ulteriori usi e divulgazioni di tali PHI per scopi che rendono la restituzione o la distruzione non fattibile, per tutto il tempo che il Business Associate mantiene tali PHI; e
6.3.5.Restituire alla Covered Entity o distruggere le PHI trattenute dal Business Associate, quando non sono più necessarie al Business Associate per la sua corretta gestione e amministrazione o per adempiere alle sue responsabilità legali.
7. VARIE
7.1.Modifica
Le Parti convengono di adottare le misure necessarie per modificare il presente Contratto per conformarsi ai requisiti delle Regole HIPAA e qualsiasi altra legge applicabile.
7.2.Sopravvivenza
I diritti e gli obblighi del Business Associate di cui all'Articolo 6 del presente Contratto sopravvivranno dopo la risoluzione del presente Contratto.
7.3.Riferimenti Normativi
Un riferimento a questo Contratto ad una sezione delle Regole HIPAA significa che la sezione è effettiva o modificata.
7.4Interpretazione
Il presente Contratto è interpretato nel modo seguente:
7.4.1.Qualsiasi ambiguità deve essere risolta a favore di un senso che permetta alla Covered Entity di rispettare le Regole HIPAA.
7.4.2.Qualsiasi contrasto tra disposizioni del Contratto e le Regole HIPAA, inclusi gli emendamenti, come interpretato dal Dipartimento di Salute e Servizi Umani, tribunale o altra agenzia di regolamentazione con autorità sulle Parti, deve essere interpretato secondo l'interpretazione del Dipartimento di Salute e Servizi Umani, il tribunale o l'agenzia di regolamentazione.
7.4.3.Qualsiasi disposizione del presente Contratto che si differenzia da quelle imposte dalle Regole HIPAA, ma è comunque consentita dalle Regole HIPAA, deve essere rispettata come indicato dal presente Contratto.
7.5.Contratto Completo, Scindibilità
Il presente Contratto costituisce l'intero contratto tra le Parti relativo alla materia oggetto del presente Contratto, eccetto che nella misura in cui il Contratto Implicito, se del caso, imponga requisiti più severi relativi all'uso e alla protezione delle PHI da parte del Business Associate. Questo Contratto sostituisce tutte le precedenti trattative, discussioni, dichiarazioni o proposte, in forma orale o scritta. Il presente Contratto non può essere modificato se non in forma scritta e firmata da un rappresentante debitamente autorizzato di entrambe le Parti. Se una qualsiasi disposizione del presente Contratto, o parte di esso, si trovasse a non essere valida, le restanti disposizioni rimarranno in vigore.
7.6.Assegnazione
Il presente Accordo sarà vincolante per i successori e gli aventi causa dell'Entità interessata e del Socio in affari. Tuttavia, il presente Contratto non può essere ceduto dal Socio in affari, in tutto o in parte, senza il consenso scritto dell'Ente Interessato; a condizione, tuttavia, che l'Associato in affari possa cedere il presente Accordo nella sua interezza, senza il consenso dell'Entità interessata alla sua affiliata o in relazione a una fusione, acquisizione, riorganizzazione aziendale o vendita di tutti o sostanzialmente tutti i suoi beni. Qualsiasi tentativo di cessione in violazione di questa disposizione sarà nullo.
7.7.Controparti Multiple
Il presente Contratto può essere eseguito in due o più controparti, ognuna delle quali è considerata originale.
7.8.Giurisdizione Applicabile
Ad eccezione di quanto previsto dalla legge federale, questo Contratto è regolato da e interpretato in conformità con le leggi dello stato di Delaware.