Registrieren
Kontakt Anmelden Registrieren
Systemstatus

HIPAA-konforme Vereinbarung für den Umgang mit geschützten Gesundheitsinformationen (PHI)

Zuletzt aktualisiert: 16. Juli 2025

Diese BUSINESS ASSOCIATE AGREEMENT (die "BAA") wird am Datum der Annahme durch die Covered Entity ("Wirksamkeitsdatum") zwischen Bloo Inc., einer Gesellschaft nach dem Recht des Staates Delaware mit Hauptsitz in [FIRMENADRESSE] ("Business Associate"), und der Einrichtung oder Organisation, die diese Vereinbarung annimmt ("Covered Entity"), geschlossen und abgeschlossen. In dieser BAA sind Covered Entity und Business Associate jeweils eine "Partei" und zusammen die "Parteien".

Hintergrund

  1. Die Covered Entity ist entweder eine "covered entity" oder ein "business associate" einer covered entity, wie diese jeweils unter dem Health Insurance Portability and Accountability Act von 1996, Public Law 104-191, in der durch den HITECH Act geänderten Fassung und den dazugehörigen von HHS erlassenen Vorschriften (zusammen "HIPAA") definiert sind und ist als solche verpflichtet, die HIPAA-Bestimmungen bezüglich der Vertraulichkeit und des Datenschutzes von geschützten Gesundheitsinformationen einzuhalten;

  2. Die Parteien haben eine oder mehrere Vereinbarungen geschlossen oder werden diese schließen, unter denen Business Associate bestimmte spezifizierte Dienstleistungen für die Covered Entity über die Blue-Plattform erbringt (zusammen die "Vereinbarung");

  3. Bei der Erbringung von Dienstleistungen gemäß der Vereinbarung wird Business Associate Zugang zu geschützten Gesundheitsinformationen haben;

  4. Durch die Erbringung der Dienstleistungen gemäß der Vereinbarung wird Business Associate zu einem "business associate" der Covered Entity, wie dieser Begriff unter HIPAA definiert ist;

  5. Beide Parteien sind verpflichtet, alle bundes- und landesrechtlichen Gesetze zur Vertraulichkeit und zum Datenschutz von Gesundheitsinformationen einzuhalten, einschließlich, aber nicht beschränkt auf, die Standards für den Datenschutz individuell identifizierbarer Gesundheitsinformationen in 45 CFR Teil 160 und Teil 164, Unterteile A und E (zusammen die "Privacy Rule"); und

  6. Beide Parteien beabsichtigen, den Datenschutz zu schützen und für die Sicherheit der an Business Associate gemäß den Bedingungen dieser Vereinbarung, HIPAA und anderen anwendbaren Gesetzen offengelegten geschützten Gesundheitsinformationen zu sorgen.

Vereinbarung

DAHER stimmen die Parteien in Anbetracht der hierin enthaltenen gegenseitigen Vereinbarungen und Bedingungen und der fortgesetzten Bereitstellung von PHI durch die Covered Entity an Business Associate unter der Vereinbarung im Vertrauen auf diese BAA wie folgt zu:

1. Definitionen

Für die Zwecke dieser BAA geben die Parteien jedem der nachstehenden Begriffe die folgende Bedeutung. Jeder in dieser BAA verwendete großgeschriebene Begriff, der nicht anderweitig definiert ist, hat die Bedeutung, die diesem Begriff in der Privacy Rule oder den einschlägigen Gesetzen gegeben wird.

1.1 HIPAA-Begriffe gemäß Definition in 45 CFR § 160.103:

  • "Geschützte Gesundheitsinformationen" oder "PHI" bedeutet individuell identifizierbare Gesundheitsinformationen, die von Business Associate im Namen der Covered Entity erstellt, empfangen, verwaltet oder übertragen werden.
  • "Covered Entity" hat die Bedeutung, die diesem Begriff in 45 CFR §160.103 gegeben wird.
  • "Business Associate" hat die Bedeutung, die diesem Begriff in 45 CFR §160.103 gegeben wird.
  • "Verletzung" bedeutet die Erlangung, den Zugriff, die Nutzung oder Offenlegung von PHI in einer Weise, die unter der Privacy Rule nicht gestattet ist und die Sicherheit oder den Datenschutz der PHI gefährdet, wie in 45 CFR §164.402 definiert.
  • "Designated Record Set" hat die Bedeutung, die diesem Begriff unter der Privacy Rule gegeben wird, einschließlich 45 CFR §164.501.

1.2 Zusätzliche Definitionen:

  • "Blue Services" bedeutet die Projektmanagement- und Datenspeicherdienste, die über https://www.blue.cc bereitgestellt werden
  • "Elektronische PHI" oder "ePHI" bedeutet alle PHI, die in elektronischen Medien verwaltet oder übertragen werden, wie in 45 CFR §160.103 definiert.
  • "HHS" bedeutet das U.S. Department of Health and Human Services.
  • "HITECH Act" bedeutet der Health Information Technology for Economic and Clinical Health Act, erlassen als Teil des American Recovery and Reinvestment Act von 2009, Public Law 111-005.
  • "Individuum" hat dieselbe Bedeutung, die diesem Begriff in 45 CFR §§164.501 und 160.130 gegeben wird und schließt eine Person ein, die sich als persönlicher Vertreter gemäß 45 CFR §164.502(g) qualifiziert.
  • "Sicherheitsvorfall" bedeutet den versuchten oder erfolgreichen unbefugten Zugriff, die Nutzung, Offenlegung, Änderung oder Zerstörung von Informationen oder die Störung von Systemoperationen in einem Informationssystem.
  • "Security Rule" bedeutet die Sicherheitsstandards für den Schutz elektronischer Gesundheitsinformationen, die in 45 CFR Teil 160 & Teil 164, Unterteile A und C, bereitgestellt werden.
  • "Ungesicherte geschützte Gesundheitsinformationen" oder "Ungesicherte PHI" bedeutet alle PHI, die nicht durch die Verwendung einer vom HHS-Sekretär spezifizierten Technologie oder Methodik für unbefugte Personen unbrauchbar, unlesbar oder unentschlüsselbar gemacht wurden.

2. Verpflichtungen des Business Associate

2.1 Erlaubte Nutzungen:
Business Associate darf PHI nur wie folgt verwenden oder offenlegen:

  • PHI ausschließlich verarbeiten für: (a) Patientendatenspeicherung (b) Analytik für Behandlung/Betrieb (c) Andere in den Nutzungsbedingungen spezifizierte Dienste
  • Soweit erforderlich, um die in der Vereinbarung beschriebenen Dienstleistungen für die Covered Entity zu erbringen
  • Für die ordnungsgemäße Verwaltung und Administration der Geschäfte des Business Associate
  • Zur Erfüllung der rechtlichen Verantwortlichkeiten des Business Associate
  • Wie gesetzlich vorgeschrieben

2.2 Verbotene Nutzungen und Offenlegungen:
Business Associate wird PHI nicht in einer anderen Weise verwenden oder offenlegen als in dieser BAA vorgesehen, unter der Privacy Rule erlaubt oder gesetzlich vorgeschrieben. Business Associate wird PHI, soweit praktikabel, als begrenzten Datensatz verwenden oder offenlegen oder auf die minimal notwendige Menge an PHI beschränken, um den beabsichtigten Zweck der Nutzung oder Offenlegung zu erfüllen, gemäß Abschnitt 13405(b) des HITECH Act.

2.3 Schutzmaßnahmen:
Business Associate wird administrative, physische und technische Schutzmaßnahmen implementieren, die angemessen und angemessen die Vertraulichkeit, Integrität und Verfügbarkeit von PHI schützen, einschließlich:

  • AES-256-Verschlüsselung in Ruhe und während der Übertragung
  • Rollenbasierte Zugangskontrollen (RBAC) mit projektspezifischen Berechtigungen
  • Auditkontrollen zur Verfolgung von PHI-Zugriff/Änderungen
  • Sichere Authentifizierung mit Magic Links per E-Mail (passwortlos)
  • Dokumentation von Notfallzugriffsverfahren
  • Solche anderen Schutzmaßnahmen, die notwendig sind, um die Nutzung oder Offenlegung von PHI zu verhindern, außer wie in dieser BAA erlaubt

3. Subunternehmer

3.1 Autorisierte Subunternehmer:
Business Associate darf die folgenden Subunternehmer in Verbindung mit den für die Covered Entity erbrachten Dienstleistungen verwenden:

  • Cloudflare (Übertragungsverschlüsselung)
  • Amazon AWS (Speicherverschlüsselung)

3.2 Anforderungen:

  • Business Associate wird sicherstellen, dass alle seine Vertreter oder Subunternehmer, die Zugang zu PHI haben oder denen Business Associate PHI zur Verfügung stellt, schriftlich den in dieser BAA enthaltenen Beschränkungen und Bedingungen bezüglich der Nutzung und Offenlegung von PHI zustimmen
  • Business Associate unterhält BAAs mit allen Subunternehmern, die PHI verarbeiten
  • Business Associate wird 30 Tage im Voraus über neue Subunternehmer per E-Mail-Benachrichtigung informieren
  • Business Associate wird sicherstellen, dass alle Subverträge und Vereinbarungen dasselbe Niveau an Datenschutz und Sicherheit wie diese BAA bieten

4. Meldepflichten

4.1 Verletzungsmeldung:

  • Business Associate wird der Covered Entity schriftlich jede Nutzung oder Offenlegung von PHI melden, die nicht in dieser BAA vorgesehen ist und von der er innerhalb von five Werktagen Kenntnis erlangt
  • Business Associate wird Verletzungen ungesicherter PHI innerhalb von 60 Kalendertagen nach Entdeckung melden
  • Business Associate wird sofortige vorläufige Benachrichtigung erteilen, wenn mehr als 500 Personen betroffen sind
  • Berichte werden betroffene Personen identifizieren, die Art der Verletzung beschreiben, ergriffene Schadensbegrenzungsmaßnahmen darlegen und Kontaktverfahren für betroffene Parteien bereitstellen

4.2 Sicherheitsvorfälle:
Business Associate verpflichtet sich, der Covered Entity jeden Sicherheitsvorfall zu melden, der elektronische PHI der Covered Entity betrifft und von dem er innerhalb von fünf Werktagen Kenntnis erlangt.

5. Datenmanagement

5.1 Mindestnotwendiges:

  • Business Associate wird Richtlinien implementieren, um den PHI-Zugriff auf das für die Aufgabe mindestnotwendige zu beschränken
  • Business Associate wird vierteljährliche Zugriffsprüfungen durch sein Sicherheitsteam durchführen

5.2 Individuelle Rechte:

  • Auf Anfrage wird Business Associate der Covered Entity Kopien der vom Business Associate in einem Designated Record Set verwalteten PHI zur Verfügung stellen, um der Covered Entity zu ermöglichen, auf eine Anfrage eines Individuums auf Zugang gemäß 45 CFR §164.524 zu antworten
  • Auf Anfrage und Anweisung der Covered Entity wird Business Associate PHI in einem Designated Record Set ändern, wie von der Covered Entity gemäß 45 CFR §164.526 angewiesen
  • Business Associate wird Offenlegungen von PHI dokumentieren, wie für die Covered Entity erforderlich, um auf eine Anfrage für eine Rechenschaftslegung von Offenlegungen gemäß 45 CFR §164.528 zu antworten

5.3 Entsorgung:

  • Business Associate wird sichere Löschung unter Verwendung der NIST 800-88-Standards implementieren
  • PHI-Vernichtungszertifikate werden auf Anfrage zur Verfügung gestellt

6. Laufzeit und Kündigung

6.1 Laufzeit:
Diese BAA wird am Wirksamkeitsdatum wirksam und bleibt in Kraft, bis alle Verpflichtungen der Parteien unter der Vereinbarung und unter dieser BAA erfüllt wurden.

6.2 Kündigung aus wichtigem Grund:

  • Die Covered Entity kann diese BAA und die Vereinbarung sofort kündigen, wenn die Covered Entity feststellt, dass Business Associate eine wesentliche Bestimmung dieser BAA verletzt hat und Business Associate diese wesentliche Verletzung nicht innerhalb von 30 Tagen nach schriftlicher Mitteilung behoben hat
  • Business Associate kann diese BAA und die Vereinbarung kündigen, wenn er feststellt, dass die Covered Entity eine wesentliche Bestimmung dieser BAA verletzt hat und diese nicht innerhalb von 30 Tagen nach Mitteilung behoben hat

6.3 Verpflichtungen bei Kündigung:

  • Bei Kündigung der Vereinbarung oder dieser BAA aus beliebigem Grund werden alle vom Business Associate verwalteten PHI an die Covered Entity zurückgegeben oder vernichtet
  • Business Associate wird keine Kopien von PHI behalten, es sei denn, die Rückgabe oder Vernichtung ist nicht durchführbar
  • Verpflichtungen in Bezug auf aufgrund Undurchführbarkeit behaltene PHI überdauern die Kündigung
  • Eine vollständige Vernichtungsbescheinigung wird innerhalb von 180 Tagen nach Kündigung bereitgestellt, wenn durchführbar

6.4 Fortbestand:
Die Verpflichtungen des Business Associate unter diesem Abschnitt überdauern die Kündigung dieser BAA.

7. Allgemeine Bestimmungen

7.1 Auditrechte:

  • Die Covered Entity hat das Recht, jährliche Dritt-HIPAA-Audits zu verlangen
  • Business Associate wird seine internen Praktiken, Bücher, Vereinbarungen, Aufzeichnungen sowie Richtlinien und Verfahren bezüglich der Nutzung und Offenlegung von PHI auf Anfrage an HHS zur Bestimmung der Compliance zur Verfügung stellen
  • Business Associate wird mit HHS-Auditanforderungen kooperieren

7.2 Konflikt:

  • HIPAA-Anforderungen haben Vorrang vor widersprüchlichen Bestimmungen in dieser BAA oder der Vereinbarung
  • Im Falle eines Konflikts zwischen den Bestimmungen dieser BAA und den Bestimmungen der Vereinbarung haben die Bestimmungen dieser BAA Vorrang

7.3 Änderungen:

  • Diese BAA darf nicht geändert werden, noch wird eine Bestimmung verzichtet oder geändert, außer schriftlich und ordnungsgemäß von autorisierten Vertretern der Parteien unterzeichnet
  • Änderungen können für Änderungen in HIPAA-Regeln oder -Vorschriften erforderlich sein

7.4 HITECH Act Compliance:
Die Parteien erkennen an, dass der HITECH Act wesentliche Änderungen der HIPAA-Anforderungen enthält. Jede Partei verpflichtet sich, die anwendbaren Bestimmungen des HITECH Act und alle HHS-Vorschriften bezüglich des HITECH Act einzuhalten.

7.5 Dateneigentum:
Die Datenverwalterschaft des Business Associate verleiht dem Business Associate keine Dateneigentumsrechte in Bezug auf alle unter der Vereinbarung mit ihm geteilten Daten, einschließlich aller Formen von PHI.

7.6 Keine Drittbegünstigten:
Außer wie ausdrücklich in dieser BAA angegeben oder gesetzlich vorgesehen, wird diese BAA keine Rechte zugunsten Dritter schaffen.

7.7 Mitteilungen:
Alle Mitteilungen, Anfragen und Forderungen oder andere Kommunikationen, die unter dieser BAA an eine Partei zu geben sind, werden per Einschreiben, eingeschriebenem oder zertifiziertem oder Express-Kurierdienst oder elektronischer Post an die während der Kontoregistrierung angegebene oder anschließend schriftlich aktualisierte Adresse der Partei übermittelt.

ZU URKUND DESSEN bestätigen die Parteien ihre Zustimmung zu den oben genannten Bestimmungen durch die Annahme dieser Bestimmungen durch die Covered Entity während der Kontoerstellung oder durch die fortgesetzte Nutzung der Blue Services nach Benachrichtigung über diese Bestimmungen.

© Blue | Entworfen mit über die

KI-Assistent

Antworten werden mit KI generiert und können Fehler enthalten.

Wie kann ich Ihnen helfen?

Fragen Sie mich alles über Blue oder diese Dokumentation.

Eingabe zum Senden • Shift+Eingabe für neue Zeile • ⌘I zum Öffnen