---

Penting: Versi bahasa Inggris dari dokumen ini adalah versi resmi. Jika terdapat perbedaan antara versi bahasa Indonesia dan bahasa Inggris, versi bahasa Inggris yang akan berlaku.

Terakhir diperbarui: 16 Juli 2025

1. Pendahuluan

Kebijakan Privasi HIPAA ini menjelaskan bagaimana Bloo, Inc. ("kami", "kita", atau "Blue") melindungi privasi dan keamanan Informasi Kesehatan Terlindungi (PHI) sesuai dengan Health Insurance Portability and Accountability Act tahun 1996 (HIPAA) dan peraturan pelaksanaannya. Kebijakan ini berlaku untuk situs web kami www.Blue.cc dan platform SaaS B2B kami ketika digunakan untuk menangani PHI.

2. Definisi

• Informasi Kesehatan Terlindungi (PHI): Setiap informasi tentang status kesehatan, penyediaan layanan kesehatan, atau pembayaran untuk layanan kesehatan yang dapat dikaitkan dengan individu tertentu.
• Entitas Tertutup: Penyedia layanan kesehatan, rencana kesehatan, dan pusat kliring layanan kesehatan yang mentransmisikan informasi kesehatan secara elektronik.
• Rekanan Bisnis: Seseorang atau entitas yang melakukan fungsi atau aktivitas tertentu yang melibatkan penggunaan atau pengungkapan PHI atas nama, atau menyediakan layanan kepada, Entitas Tertutup.

3. Peran Kami

Blue bertindak sebagai Rekanan Bisnis untuk Entitas Tertutup ketika platform SaaS B2B kami digunakan untuk menangani PHI. Kami berkomitmen untuk mematuhi peraturan HIPAA dalam kapasitas ini.

4. PHI yang Mungkin Kami Tangani

Sebagai Rekanan Bisnis, kami mungkin menangani berbagai jenis PHI, termasuk namun tidak terbatas pada:

• Nama pasien
• Alamat
• Tanggal (lahir, masuk, keluar, dll.)
• Nomor telepon
• Alamat email
• Nomor rekam medis
• Nomor akun
• Nomor penerima manfaat rencana kesehatan

5. Penggunaan dan Pengungkapan PHI

Kami hanya akan menggunakan atau mengungkapkan PHI sebagaimana diizinkan oleh Perjanjian Rekanan Bisnis kami dengan Entitas Tertutup dan sesuai dengan peraturan HIPAA. Ini mungkin termasuk:

• Menyediakan layanan platform SaaS B2B kami
• Melakukan analisis data untuk meningkatkan layanan kami
• Melakukan pemeliharaan sistem dan pemecahan masalah

Kami tidak akan menggunakan atau mengungkapkan PHI untuk tujuan pemasaran atau menjual PHI kecuali secara eksplisit diotorisasi oleh Entitas Tertutup dan individu tersebut.

6. Langkah-langkah Keamanan Data

Kami menerapkan langkah-langkah keamanan yang kuat untuk melindungi PHI, termasuk:

• Enkripsi tingkat perusahaan (AES-256) untuk data saat istirahat dan dalam perjalanan
• Sistem pemantauan dan peringatan canggih
• Autentikasi multi-faktor (MFA) untuk sistem backend
• Audit keamanan pihak ketiga secara berkala
• Pencadangan data harian
• Kolaborasi dengan peneliti keamanan eksternal

7. Pelatihan dan Akses Karyawan

Semua karyawan kami menerima pelatihan berkala tentang kepatuhan HIPAA. Akses ke PHI dibatasi untuk personel yang berwenang berdasarkan prinsip perlu tahu.

8. Penyimpanan Data

Kami menyimpan PHI hanya selama diperlukan untuk menyediakan layanan kami atau sebagaimana diwajibkan oleh hukum. Setelah PHI dihapus, kami menyimpannya selama 30 hari sebelum penghapusan permanen.

9. Penyimpanan dan Transfer Data

PHI disimpan dalam keadaan terenkripsi di pusat data AWS. Jika kami mentransfer PHI ke luar Amerika Serikat (misalnya, ke Singapura), kami memastikan perlindungan yang tepat tersedia dan mematuhi semua hukum dan peraturan yang berlaku.

10. Pemberitahuan Pelanggaran

Dalam hal terjadi pelanggaran PHI yang tidak aman, kami akan memberitahu Entitas Tertutup yang terkena dampak tanpa penundaan yang tidak wajar dan dalam hal apa pun tidak lebih dari 60 hari kalender setelah penemuan pelanggaran.

11. Hak Individu

Kami akan membantu Entitas Tertutup dalam memenuhi kewajiban mereka untuk memberikan individu hak-hak mereka di bawah HIPAA, termasuk:

• Hak untuk mengakses PHI mereka
• Hak untuk meminta perubahan pada PHI mereka
• Hak atas akuntansi pengungkapan
• Hak untuk meminta pembatasan penggunaan dan pengungkapan PHI mereka
• Hak untuk meminta komunikasi rahasia

Individu harus menghubungi penyedia layanan kesehatan mereka (Entitas Tertutup) untuk menggunakan hak-hak ini.

12. Perjanjian Rekanan Bisnis (BAA)

Sebagai Rekanan Bisnis, Blue berkomitmen untuk membuat Perjanjian Rekanan Bisnis (BAA) dengan Entitas Tertutup sebagaimana diwajibkan oleh HIPAA. Jika Anda adalah Entitas Tertutup dan ingin menggunakan layanan kami untuk menangani Informasi Kesehatan Terlindungi (PHI), Anda perlu memiliki BAA yang ditandatangani dengan kami.

Untuk meminta BAA:

1. Hubungi tim penjualan kami di sales@blue.cc atau melalui formulir kontak situs web kami.
2. Sebutkan bahwa Anda adalah Entitas Tertutup yang memerlukan BAA untuk kepatuhan HIPAA.
3. Berikan nama organisasi Anda dan informasi kontak.
4. Tim kami akan merespons dalam 2 hari kerja dengan BAA standar kami atau untuk membahas persyaratan khusus.

Harap dicatat:

• Kami menggunakan template BAA standar yang telah ditinjau oleh tim hukum kami untuk kepatuhan HIPAA.
• Setiap modifikasi pada BAA standar kami mungkin memerlukan tinjauan dan persetujuan tambahan.
• Kami merekomendasikan agar Anda meminta BAA ditinjau oleh penasihat hukum Anda sendiri sebelum menandatangani.
• BAA yang ditandatangani harus tersedia sebelum PHI apa pun diproses melalui platform kami.

13. Perubahan pada Kebijakan Ini

Kami dapat memperbarui Kebijakan Privasi HIPAA ini dari waktu ke waktu. Kami akan memberitahu Entitas Tertutup tentang perubahan signifikan dengan memposting Kebijakan Privasi baru di halaman ini. Anda dapat menemukan semua perubahan yang dikontrol versi di Repositori Gitlab kami.

14. Hubungi Kami

Jika Anda memiliki pertanyaan tentang Kebijakan Privasi HIPAA ini, praktik data kami, atau proses BAA kami, silakan hubungi Petugas Privasi kami:

Emanuele FAJA, CEO
Email: support@blue.cc