Daftar
Kontak Masuk Daftar
Status Sistem

Perjanjian yang mematuhi HIPAA untuk menangani Informasi Kesehatan Terlindungi (PHI)

PENTING: Versi bahasa Inggris dari dokumen ini adalah versi resmi yang berlaku secara hukum. Terjemahan ini disediakan hanya untuk kemudahan referensi.

Terakhir diperbarui: 16 Juli 2025

PERJANJIAN MITRA BISNIS ini ("BAA") dibuat dan disepakati pada tanggal penerimaan oleh Entitas Tertanggung ("Tanggal Efektif") antara Bloo Inc., sebuah korporasi Delaware dengan tempat usaha utama di [ALAMAT PERUSAHAAN] ("Mitra Bisnis"), dan entitas atau organisasi yang menerima perjanjian ini ("Entitas Tertanggung"). Dalam BAA ini, Entitas Tertanggung dan Mitra Bisnis masing-masing adalah "Pihak" dan, secara kolektif, adalah "Para Pihak".

Latar Belakang

  1. Entitas Tertanggung adalah "entitas tertanggung" atau "mitra bisnis" dari entitas tertanggung sebagaimana didefinisikan dalam Health Insurance Portability and Accountability Act tahun 1996, Undang-Undang Publik 104-191, sebagaimana diubah oleh HITECH Act dan peraturan terkait yang dikeluarkan oleh HHS (secara kolektif, "HIPAA") dan, dengan demikian, diwajibkan untuk mematuhi ketentuan HIPAA mengenai kerahasiaan dan privasi Informasi Kesehatan Terlindungi;

  2. Para Pihak telah masuk atau akan masuk ke dalam satu atau lebih perjanjian di mana Mitra Bisnis menyediakan layanan tertentu yang ditentukan kepada Entitas Tertanggung melalui platform Blue (secara kolektif, "Perjanjian");

  3. Dalam menyediakan layanan sesuai dengan Perjanjian, Mitra Bisnis akan memiliki akses ke Informasi Kesehatan Terlindungi;

  4. Dengan menyediakan layanan sesuai dengan Perjanjian, Mitra Bisnis akan menjadi "mitra bisnis" dari Entitas Tertanggung sebagaimana istilah tersebut didefinisikan dalam HIPAA;

  5. Kedua Pihak berkomitmen untuk mematuhi semua undang-undang federal dan negara bagian yang mengatur kerahasiaan dan privasi informasi kesehatan, termasuk, namun tidak terbatas pada, Standar Privasi Informasi Kesehatan yang Dapat Diidentifikasi Secara Individual yang terdapat dalam 45 CFR Bagian 160 dan Bagian 164, Subbagian A dan E (secara kolektif, "Aturan Privasi"); dan

  6. Kedua Pihak bermaksud untuk melindungi privasi dan menyediakan keamanan untuk Informasi Kesehatan Terlindungi yang diungkapkan kepada Mitra Bisnis sesuai dengan ketentuan Perjanjian ini, HIPAA dan undang-undang yang berlaku lainnya.

Perjanjian

OLEH KARENA ITU, sebagai pertimbangan atas kesepakatan dan ketentuan bersama yang terkandung di sini dan penyediaan PHI yang berkelanjutan oleh Entitas Tertanggung kepada Mitra Bisnis berdasarkan Perjanjian dengan mengandalkan BAA ini, Para Pihak setuju sebagai berikut:

1. Definisi

Untuk tujuan BAA ini, Para Pihak memberikan arti berikut untuk setiap istilah di bawah ini. Setiap istilah berkapital yang digunakan dalam BAA ini, tetapi tidak didefinisikan sebaliknya, memiliki arti yang diberikan untuk istilah tersebut dalam Aturan Privasi atau hukum yang berlaku.

1.1 Istilah HIPAA sebagaimana Didefinisikan dalam 45 CFR § 160.103:

  • "Informasi Kesehatan Terlindungi" atau "PHI" berarti informasi kesehatan yang dapat diidentifikasi secara individual yang dibuat, diterima, dipelihara, atau ditransmisikan oleh Mitra Bisnis atas nama Entitas Tertanggung.
  • "Entitas Tertanggung" memiliki arti yang diberikan untuk istilah tersebut dalam 45 CFR §160.103.
  • "Mitra Bisnis" memiliki arti yang diberikan untuk istilah tersebut dalam 45 CFR §160.103.
  • "Pelanggaran" berarti akuisisi, akses, penggunaan, atau pengungkapan PHI dengan cara yang tidak diizinkan berdasarkan Aturan Privasi yang mengkompromikan keamanan atau privasi PHI, sebagaimana didefinisikan dalam 45 CFR §164.402.
  • "Set Rekord yang Ditunjuk" memiliki arti yang diberikan untuk istilah tersebut berdasarkan Aturan Privasi, termasuk 45 CFR §164.501.

1.2 Definisi Tambahan:

  • "Layanan Blue" berarti layanan manajemen proyek dan penyimpanan data yang disediakan melalui https://www.blue.cc
  • "PHI Elektronik" atau "ePHI" berarti setiap PHI yang dipelihara dalam atau ditransmisikan oleh media elektronik sebagaimana didefinisikan dalam 45 CFR §160.103.
  • "HHS" berarti Departemen Kesehatan dan Layanan Kemanusiaan Amerika Serikat.
  • "HITECH Act" berarti Health Information Technology for Economic and Clinical Health Act, yang diberlakukan sebagai bagian dari American Recovery and Reinvestment Act tahun 2009, Undang-Undang Publik 111-005.
  • "Individu" memiliki arti yang sama yang diberikan untuk istilah tersebut dalam 45 CFR §§164.501 dan 160.130 dan termasuk seseorang yang memenuhi syarat sebagai perwakilan pribadi sesuai dengan 45 CFR §164.502(g).
  • "Insiden Keamanan" berarti upaya atau keberhasilan akses tidak sah, penggunaan, pengungkapan, modifikasi, atau penghancuran informasi atau gangguan dengan operasi sistem dalam sistem informasi.
  • "Aturan Keamanan" berarti Standar Keamanan untuk Perlindungan Informasi Kesehatan Elektronik yang disediakan dalam 45 CFR Bagian 160 & Bagian 164, Subbagian A dan C.
  • "Informasi Kesehatan Terlindungi yang Tidak Aman" atau "PHI Tidak Aman" berarti setiap PHI yang tidak dibuat tidak dapat digunakan, tidak dapat dibaca atau tidak dapat dipahami oleh individu yang tidak berwenang melalui penggunaan teknologi atau metodologi yang ditentukan oleh Sekretaris HHS.

2. Kewajiban Mitra Bisnis

2.1 Penggunaan yang Diizinkan:
Mitra Bisnis dapat menggunakan atau mengungkapkan PHI hanya sebagai berikut:

  • Memproses PHI semata-mata untuk: (a) Penyimpanan data pasien (b) Analitik untuk perawatan/operasi (c) Layanan lain yang ditentukan dalam Ketentuan Layanan
  • Sesuai kebutuhan untuk menyediakan layanan yang dijelaskan dalam Perjanjian kepada Entitas Tertanggung
  • Untuk manajemen dan administrasi yang tepat dari bisnis Mitra Bisnis
  • Untuk melaksanakan tanggung jawab hukum Mitra Bisnis
  • Sebagaimana diwajibkan oleh hukum

2.2 Penggunaan dan Pengungkapan yang Dilarang:
Mitra Bisnis tidak akan menggunakan atau mengungkapkan PHI dengan cara selain sebagaimana disediakan dalam BAA ini, sebagaimana diizinkan berdasarkan Aturan Privasi, atau sebagaimana diwajibkan oleh hukum. Mitra Bisnis akan menggunakan atau mengungkapkan PHI, sejauh dapat dilakukan, sebagai set data terbatas atau terbatas pada jumlah minimum PHI yang diperlukan untuk melaksanakan tujuan yang dimaksudkan dari penggunaan atau pengungkapan, sesuai dengan Bagian 13405(b) dari HITECH Act.

2.3 Perlindungan:
Mitra Bisnis akan menerapkan perlindungan administratif, fisik, dan teknis yang secara wajar dan tepat melindungi kerahasiaan, integritas, dan ketersediaan PHI, termasuk:

  • Enkripsi AES-256 saat disimpan dan dalam transit
  • Kontrol akses berbasis peran (RBAC) dengan izin per proyek
  • Kontrol audit yang melacak akses/modifikasi PHI
  • Autentikasi aman menggunakan tautan ajaib melalui email (tanpa kata sandi)
  • Dokumentasi prosedur akses darurat
  • Perlindungan lain yang diperlukan untuk mencegah penggunaan atau pengungkapan PHI selain sebagaimana diizinkan oleh BAA ini

3. Subkontraktor

3.1 Subkontraktor yang Diotorisasi:
Mitra Bisnis dapat menggunakan subkontraktor berikut sehubungan dengan layanan yang diberikan kepada Entitas Tertanggung:

  • Cloudflare (Enkripsi transit)
  • Amazon AWS (Enkripsi penyimpanan)

3.2 Persyaratan:

  • Mitra Bisnis akan memastikan bahwa setiap agen atau subkontraktornya yang memiliki akses ke, atau kepada siapa Mitra Bisnis menyediakan, PHI setuju secara tertulis pada pembatasan dan ketentuan mengenai penggunaan dan pengungkapan PHI yang terkandung dalam BAA ini
  • Mitra Bisnis memelihara BAA dengan semua subkontraktor yang menangani PHI
  • Mitra Bisnis akan memberikan pemberitahuan 30 hari untuk subkontraktor baru melalui notifikasi email
  • Mitra Bisnis harus memastikan bahwa semua subkontrak dan perjanjian memberikan tingkat privasi dan keamanan yang sama dengan BAA ini

4. Persyaratan Pelaporan

4.1 Notifikasi Pelanggaran:

  • Mitra Bisnis akan melaporkan kepada Entitas Tertanggung secara tertulis setiap penggunaan atau pengungkapan PHI yang tidak disediakan oleh BAA ini yang ia sadari dalam lima hari kerja
  • Mitra Bisnis akan melaporkan pelanggaran PHI yang tidak aman dalam 60 hari kalender setelah penemuan
  • Mitra Bisnis akan memberikan pemberitahuan awal segera jika lebih dari 500 individu terpengaruh
  • Laporan akan mengidentifikasi individu yang terkena dampak, menjelaskan sifat pelanggaran, menguraikan langkah-langkah mitigasi yang diambil, dan menyediakan prosedur kontak untuk pihak yang terkena dampak

4.2 Insiden Keamanan:
Mitra Bisnis setuju untuk melaporkan kepada Entitas Tertanggung setiap Insiden Keamanan yang mempengaruhi PHI Elektronik dari Entitas Tertanggung yang ia sadari dalam lima hari kerja.

5. Manajemen Data

5.1 Minimum yang Diperlukan:

  • Mitra Bisnis akan menerapkan kebijakan untuk membatasi akses PHI ke yang paling sedikit diperlukan untuk tugas
  • Mitra Bisnis akan melakukan tinjauan akses triwulanan oleh tim keamanannya

5.2 Hak Individu:

  • Atas permintaan, Mitra Bisnis akan memberikan kepada Entitas Tertanggung salinan PHI yang dipelihara oleh Mitra Bisnis dalam Set Rekord yang Ditunjuk untuk memungkinkan Entitas Tertanggung merespons permintaan Individu untuk akses berdasarkan 45 CFR §164.524
  • Atas permintaan dan instruksi dari Entitas Tertanggung, Mitra Bisnis akan mengubah PHI dalam Set Rekord yang Ditunjuk sebagaimana diarahkan oleh Entitas Tertanggung sesuai dengan 45 CFR §164.526
  • Mitra Bisnis akan mendokumentasikan pengungkapan PHI sebagaimana diperlukan untuk Entitas Tertanggung merespons permintaan untuk pertanggungjawaban pengungkapan berdasarkan 45 CFR §164.528

5.3 Pembuangan:

  • Mitra Bisnis akan menerapkan penghapusan aman menggunakan standar NIST 800-88
  • Sertifikat penghancuran PHI akan tersedia atas permintaan

6. Jangka Waktu dan Penghentian

6.1 Jangka Waktu:
BAA ini akan menjadi efektif pada Tanggal Efektif, dan akan berlanjut berlaku sampai semua kewajiban Para Pihak telah dipenuhi berdasarkan Perjanjian dan berdasarkan BAA ini.

6.2 Penghentian karena Alasan:

  • Entitas Tertanggung dapat menghentikan segera BAA ini dan Perjanjian jika Entitas Tertanggung menentukan bahwa Mitra Bisnis telah melanggar ketentuan material dari BAA ini dan Mitra Bisnis telah gagal menyembuhkan pelanggaran material tersebut dalam 30 hari setelah pemberitahuan tertulis
  • Mitra Bisnis dapat menghentikan BAA ini dan Perjanjian jika ia menentukan bahwa Entitas Tertanggung telah melanggar ketentuan material dari BAA ini dan telah gagal menyembuhkan dalam 30 hari setelah pemberitahuan

6.3 Kewajiban pada Penghentian:

  • Setelah penghentian Perjanjian atau BAA ini untuk alasan apa pun, semua PHI yang dipelihara oleh Mitra Bisnis akan dikembalikan kepada Entitas Tertanggung atau dihancurkan
  • Mitra Bisnis tidak akan menyimpan salinan PHI kecuali pengembalian atau penghancuran tidak layak
  • Kewajiban terkait PHI yang dipertahankan karena ketidaklayakan akan bertahan setelah penghentian
  • Sertifikasi penghancuran penuh akan diberikan dalam 180 hari setelah penghentian ketika layak

6.4 Kelangsungan Hidup:
Kewajiban Mitra Bisnis berdasarkan Bagian ini akan bertahan setelah penghentian BAA ini.

7. Ketentuan Umum

7.1 Hak Audit:

  • Entitas Tertanggung memiliki hak untuk meminta audit HIPAA pihak ketiga tahunan
  • Mitra Bisnis akan menyediakan praktik internal, buku, perjanjian, catatan, dan kebijakan serta prosedurnya yang berkaitan dengan penggunaan dan pengungkapan PHI atas permintaan kepada HHS untuk tujuan menentukan kepatuhan
  • Mitra Bisnis akan bekerja sama dengan persyaratan audit HHS

7.2 Konflik:

  • Persyaratan HIPAA menang atas ketentuan yang bertentangan dalam BAA ini atau Perjanjian
  • Dalam hal terjadi konflik antara ketentuan BAA ini dan ketentuan Perjanjian, ketentuan BAA ini akan berlaku

7.3 Amandemen:

  • BAA ini tidak dapat dimodifikasi, juga tidak ada ketentuan yang akan dilepaskan atau diubah, kecuali secara tertulis yang ditandatangani dengan benar oleh perwakilan yang berwenang dari Para Pihak
  • Amandemen mungkin diperlukan untuk perubahan dalam aturan atau peraturan HIPAA

7.4 Kepatuhan HITECH Act:
Para Pihak mengakui bahwa HITECH Act mencakup perubahan signifikan pada persyaratan HIPAA. Setiap Pihak setuju untuk mematuhi ketentuan yang berlaku dari HITECH Act dan setiap peraturan HHS yang dikeluarkan sehubungan dengan HITECH Act.

7.5 Kepemilikan Data:
Pengelolaan data Mitra Bisnis tidak memberikan hak kepemilikan data pada Mitra Bisnis sehubungan dengan data apa pun yang dibagikan dengannya berdasarkan Perjanjian, termasuk segala bentuk PHI.

7.6 Tidak Ada Penerima Manfaat Pihak Ketiga:
Kecuali sebagaimana dinyatakan secara tegas dalam BAA ini atau sebagaimana disediakan oleh hukum, BAA ini tidak akan menciptakan hak apa pun yang menguntungkan pihak ketiga mana pun.

7.7 Pemberitahuan:
Semua pemberitahuan, permintaan dan tuntutan atau komunikasi lain yang akan diberikan berdasarkan BAA ini kepada suatu Pihak akan dibuat melalui surat pos kelas satu, terdaftar atau bersertifikat atau kurir ekspres, atau email elektronik ke alamat Pihak yang diberikan selama pendaftaran akun atau kemudian diperbarui secara tertulis.

SEBAGAI SAKSI, Para Pihak mengakui persetujuan mereka terhadap ketentuan di atas melalui penerimaan ketentuan ini oleh Entitas Tertanggung selama pembuatan akun atau melalui penggunaan berkelanjutan dari Layanan Blue setelah pemberitahuan ketentuan ini.

© Blue | Dirancang dengan di seluruh

Asisten AI

Respon dihasilkan menggunakan AI dan mungkin mengandung kesalahan.

Bagaimana saya bisa membantu Anda?

Tanyakan apa saja tentang Blue atau dokumentasi ini.

Masukkan untuk mengirim • Shift+Masukkan untuk baris baru • ⌘I untuk membuka