Iscriviti
Contatto Accedi Iscriviti
Stato del sistema

Accordo conforme HIPAA per la gestione di Informazioni Sanitarie Protette (PHI)

Ultimo aggiornamento: 16 luglio 2025

Il presente ACCORDO DI ASSOCIATO D'AFFARI (il "BAA") è stipulato ed efficace dalla data di accettazione da parte dell'Entità Coperta ("Data di Efficacia") tra Bloo Inc., una società del Delaware con sede principale presso [INDIRIZZO AZIENDA] ("Associato d'Affari"), e l'entità o organizzazione che accetta il presente accordo ("Entità Coperta"). Nel presente BAA, l'Entità Coperta e l'Associato d'Affari sono ciascuno una "Parte" e, collettivamente, sono le "Parti".

Premesse

  1. L'Entità Coperta è un'"entità coperta" o un "associato d'affari" di un'entità coperta come ciascuna è definita sotto l'Health Insurance Portability and Accountability Act del 1996, Legge Pubblica 104-191, come modificata dall'HITECH Act e dai relativi regolamenti promulgati da HHS (collettivamente, "HIPAA") e, come tale, è tenuta a conformarsi alle disposizioni HIPAA riguardanti la riservatezza e la privacy delle Informazioni Sanitarie Protette;

  2. Le Parti hanno stipulato o stipuleranno uno o più accordi sotto i quali l'Associato d'Affari fornisce determinati servizi specificati all'Entità Coperta attraverso la piattaforma Blue (collettivamente, l'"Accordo");

  3. Nel fornire servizi secondo l'Accordo, l'Associato d'Affari avrà accesso alle Informazioni Sanitarie Protette;

  4. Fornendo i servizi secondo l'Accordo, l'Associato d'Affari diventerà un "associato d'affari" dell'Entità Coperta come tale termine è definito sotto HIPAA;

  5. Entrambe le Parti si impegnano a conformarsi con tutte le leggi federali e statali che regolano la riservatezza e la privacy delle informazioni sanitarie, incluse, ma non limitate a, le Norme per la Privacy delle Informazioni Sanitarie Identificabili Individualmente che si trovano in 45 CFR Parte 160 e Parte 164, Sottosezioni A ed E (collettivamente, la "Regola sulla Privacy"); e

  6. Entrambe le Parti intendono proteggere la privacy e fornire la sicurezza delle Informazioni Sanitarie Protette divulgate all'Associato d'Affari secondo i termini del presente Accordo, HIPAA e altre leggi applicabili.

Accordo

PERTANTO, in considerazione dei patti e condizioni reciproci qui contenuti e della continua fornitura di PHI da parte dell'Entità Coperta all'Associato d'Affari sotto l'Accordo in reliance su questo BAA, le Parti concordano quanto segue:

1. Definizioni

Ai fini del presente BAA, le Parti attribuiscono il seguente significato a ciascuno dei termini sotto. Qualsiasi termine in maiuscolo utilizzato in questo BAA, ma non altrimenti definito, ha il significato attribuito a quel termine nella Regola sulla Privacy o nella legge pertinente.

1.1 Termini HIPAA come Definiti in 45 CFR § 160.103:

  • "Informazioni Sanitarie Protette" o "PHI" significa informazioni sanitarie identificabili individualmente create, ricevute, mantenute o trasmesse dall'Associato d'Affari per conto dell'Entità Coperta.
  • "Entità Coperta" ha il significato attribuito a quel termine in 45 CFR §160.103.
  • "Associato d'Affari" ha il significato attribuito a quel termine in 45 CFR §160.103.
  • "Violazione" significa l'acquisizione, accesso, uso o divulgazione di PHI in un modo non consentito sotto la Regola sulla Privacy che compromette la sicurezza o la privacy delle PHI, come definito in 45 CFR §164.402.
  • "Set di Registri Designati" ha il significato attribuito a tale termine sotto la Regola sulla Privacy, incluso 45 CFR §164.501.

1.2 Definizioni Aggiuntive:

  • "Servizi Blue" significa i servizi di gestione progetti e archiviazione dati forniti attraverso https://www.blue.cc
  • "PHI Elettroniche" o "ePHI" significa qualsiasi PHI mantenuta in o trasmessa da media elettronici come definito in 45 CFR §160.103.
  • "HHS" significa il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti.
  • "HITECH Act" significa l'Health Information Technology for Economic and Clinical Health Act, emanato come parte dell'American Recovery and Reinvestment Act del 2009, Legge Pubblica 111-005.
  • "Individuo" ha lo stesso significato attribuito a quel termine in 45 CFR §§164.501 e 160.130 e include una persona che si qualifica come rappresentante personale in accordo con 45 CFR §164.502(g).
  • "Incidente di Sicurezza" significa il tentato o riuscito accesso non autorizzato, uso, divulgazione, modifica o distruzione di informazioni o interferenza con le operazioni del sistema in un sistema informativo.
  • "Regola di Sicurezza" significa gli Standard di Sicurezza per la Protezione delle Informazioni Sanitarie Elettroniche forniti in 45 CFR Parte 160 & Parte 164, Sottosezioni A e C.
  • "Informazioni Sanitarie Protette Non Sicure" o "PHI Non Sicure" significa qualsiasi PHI che non sia resa inutilizzabile, illeggibile o indecifrabile a individui non autorizzati attraverso l'uso di una tecnologia o metodologia specificata dal Segretario HHS.

2. Obblighi dell'Associato d'Affari

2.1 Usi Consentiti:
L'Associato d'Affari può utilizzare o divulgare PHI solo come segue:

  • Elaborare PHI esclusivamente per: (a) Archiviazione dati pazienti (b) Analisi per trattamento/operazioni (c) Altri servizi specificati nei Termini di Servizio
  • Come necessario per fornire i servizi descritti nell'Accordo all'Entità Coperta
  • Per la gestione e amministrazione appropriate dell'attività dell'Associato d'Affari
  • Per adempiere alle responsabilità legali dell'Associato d'Affari
  • Come richiesto per legge

2.2 Usi e Divulgazioni Proibiti:
L'Associato d'Affari non utilizzerà o divulgherà PHI in un modo diverso da quello fornito in questo BAA, come consentito sotto la Regola sulla Privacy, o come richiesto per legge. L'Associato d'Affari utilizzerà o divulgherà PHI, nella misura praticabile, come set di dati limitato o limitato alla quantità minima necessaria di PHI per eseguire lo scopo previsto dell'uso o divulgazione, in accordo con la Sezione 13405(b) dell'HITECH Act.

2.3 Salvaguardie:
L'Associato d'Affari implementerà salvaguardie amministrative, fisiche e tecniche che ragionevolmente e appropriatamente proteggano la riservatezza, integrità e disponibilità delle PHI, incluse:

  • Crittografia AES-256 a riposo e in transito
  • Controlli di accesso basati su ruoli (RBAC) con permessi per progetto
  • Controlli di audit che tracciano l'accesso/modifica delle PHI
  • Autenticazione sicura utilizzando magic link via email (senza password)
  • Documentazione delle procedure di accesso d'emergenza
  • Altre salvaguardie necessarie per prevenire l'uso o la divulgazione di PHI diversamente da quanto consentito da questo BAA

3. Subappaltatori

3.1 Subappaltatori Autorizzati:
L'Associato d'Affari può utilizzare i seguenti subappaltatori in connessione con i servizi forniti all'Entità Coperta:

  • Cloudflare (Crittografia di transito)
  • Amazon AWS (Crittografia di archiviazione)

3.2 Requisiti:

  • L'Associato d'Affari garantirà che qualsiasi dei suoi agenti o subappaltatori che abbiano accesso a, o ai quali l'Associato d'Affari fornisce, PHI concordino per iscritto alle restrizioni e condizioni riguardanti gli usi e le divulgazioni di PHI contenute in questo BAA
  • L'Associato d'Affari mantiene BAA con tutti i subappaltatori che gestiscono PHI
  • L'Associato d'Affari fornirà notifica di 30 giorni per nuovi subappaltatori tramite notifica email
  • L'Associato d'Affari garantirà che tutti i subcontratti e accordi forniscano lo stesso livello di privacy e sicurezza di questo BAA

4. Requisiti di Segnalazione

4.1 Notifica di Violazione:

  • L'Associato d'Affari segnalerà all'Entità Coperta per iscritto qualsiasi uso o divulgazione di PHI non previsto da questo BAA di cui venga a conoscenza entro cinque giorni lavorativi
  • L'Associato d'Affari segnalerà violazioni di PHI non sicure entro 60 giorni di calendario dalla scoperta
  • L'Associato d'Affari fornirà notifica preliminare immediata se più di 500 individui sono interessati
  • I rapporti identificheranno gli individui interessati, descriveranno la natura della violazione, delineeranno i passi di mitigazione presi e forniranno procedure di contatto per le parti interessate

4.2 Incidenti di Sicurezza:
L'Associato d'Affari accetta di segnalare all'Entità Coperta qualsiasi Incidente di Sicurezza che interessi le PHI Elettroniche dell'Entità Coperta di cui venga a conoscenza entro cinque giorni lavorativi.

5. Gestione dei Dati

5.1 Minimo Necessario:

  • L'Associato d'Affari implementerà politiche per limitare l'accesso alle PHI al minimo necessario per il compito
  • L'Associato d'Affari condurrà revisioni di accesso trimestrali da parte del suo team di sicurezza

5.2 Diritti Individuali:

  • Su richiesta, l'Associato d'Affari fornirà all'Entità Coperta copie delle PHI mantenute dall'Associato d'Affari in un Set di Registri Designati per consentire all'Entità Coperta di rispondere alla richiesta di accesso di un Individuo sotto 45 CFR §164.524
  • Su richiesta e istruzione dall'Entità Coperta, l'Associato d'Affari modificherà le PHI in un Set di Registri Designati come diretto dall'Entità Coperta in accordo con 45 CFR §164.526
  • L'Associato d'Affari documenterà le divulgazioni di PHI come richiesto per l'Entità Coperta per rispondere a una richiesta di rendiconto delle divulgazioni sotto 45 CFR §164.528

5.3 Smaltimento:

  • L'Associato d'Affari implementerà cancellazione sicura utilizzando gli standard NIST 800-88
  • I certificati di distruzione delle PHI saranno resi disponibili su richiesta

6. Durata e Risoluzione

6.1 Durata:
Questo BAA diventerà efficace dalla Data di Efficacia, e continuerà in vigore fino a quando tutti gli obblighi delle Parti siano stati soddisfatti sotto l'Accordo e sotto questo BAA.

6.2 Risoluzione per Causa:

  • L'Entità Coperta può risolvere immediatamente questo BAA e l'Accordo se l'Entità Coperta determina che l'Associato d'Affari ha violato un termine materiale di questo BAA e l'Associato d'Affari ha fallito nel sanare quella violazione materiale entro 30 giorni dopo notifica scritta
  • L'Associato d'Affari può risolvere questo BAA e l'Accordo se determina che l'Entità Coperta ha violato un termine materiale di questo BAA e ha fallito nel sanare entro 30 giorni dopo la notifica

6.3 Obblighi alla Risoluzione:

  • Alla risoluzione dell'Accordo o di questo BAA per qualsiasi ragione, tutte le PHI mantenute dall'Associato d'Affari saranno restituite all'Entità Coperta o distrutte
  • L'Associato d'Affari non conserverà alcuna copia di PHI a meno che la restituzione o distruzione sia impraticabile
  • Gli obblighi relativi alle PHI conservate a causa dell'impraticabilità sopravviveranno alla risoluzione
  • Certificazione di distruzione completa sarà fornita entro 180 giorni dalla risoluzione quando fattibile

6.4 Sopravvivenza:
Gli obblighi dell'Associato d'Affari sotto questa Sezione sopravviveranno alla risoluzione di questo BAA.

7. Disposizioni Generali

7.1 Diritti di Audit:

  • L'Entità Coperta ha il diritto di richiedere audit HIPAA annuali di terze parti
  • L'Associato d'Affari renderà disponibili le sue pratiche interne, libri, accordi, registri e politiche e procedure relative all'uso e divulgazione di PHI su richiesta di HHS ai fini di determinare la conformità
  • L'Associato d'Affari coopererà con i requisiti di audit HHS

7.2 Conflitto:

  • I requisiti HIPAA prevalgono sui termini conflittuali in questo BAA o nell'Accordo
  • In caso di conflitto tra i termini di questo BAA e i termini dell'Accordo, i termini di questo BAA governeranno

7.3 Modifiche:

  • Questo BAA non può essere modificato, né alcuna disposizione sarà rinunciata o emendata, eccetto per iscritto debitamente firmato da rappresentanti autorizzati delle Parti
  • Le modifiche possono essere richieste per cambiamenti nelle regole o regolamenti HIPAA

7.4 Conformità HITECH Act:
Le Parti riconoscono che l'HITECH Act include cambiamenti significativi ai requisiti HIPAA. Ogni Parte accetta di conformarsi alle disposizioni applicabili dell'HITECH Act e a qualsiasi regolamento HHS emesso riguardo all'HITECH Act.

7.5 Proprietà dei Dati:
La gestione dei dati dell'Associato d'Affari non conferisce diritti di proprietà dei dati all'Associato d'Affari riguardo a qualsiasi dato condiviso con esso sotto l'Accordo, incluse tutte le forme di PHI.

7.6 Nessun Beneficiario di Terze Parti:
Eccetto come espressamente dichiarato in questo BAA o come previsto per legge, questo BAA non creerà alcun diritto a favore di terze parti.

7.7 Notifiche:
Tutte le notifiche, richieste e domande o altre comunicazioni da dare sotto questo BAA a una Parte saranno fatte tramite posta di prima classe, raccomandata o certificata o corriere espresso, o posta elettronica all'indirizzo della Parte fornito durante la registrazione dell'account o successivamente aggiornato per iscritto.

IN TESTIMONIANZA DI CIÒ, le Parti riconoscono il loro accordo ai termini sopra attraverso l'accettazione dell'Entità Coperta di questi termini durante la creazione dell'account o attraverso l'uso continuato dei Servizi Blue dopo la notifica di questi termini.

© Blue | Progettato con attraverso il

Assistente AI

Le risposte sono generate utilizzando l'IA e potrebbero contenere errori.

Come posso aiutarti?

Chiedimi qualsiasi cosa su Blue o su questa documentazione.

Invia per inviare • Maiusc+Invio per una nuova riga • ⌘I per aprire