Aanmelden
Contact Inloggen Aanmelden
Systeemstatus

HIPAA-compliant overeenkomst voor het verwerken van Beschermde Gezondheidsinformatie (PHI)

Laatst bijgewerkt: 16 juli 2025

Deze BUSINESS ASSOCIATE AGREEMENT (de "BAA") wordt gesloten en aangegaan vanaf de datum van acceptatie door de Gedekte Entiteit ("Ingangsdatum") tussen Bloo Inc., een Delaware onderneming met haar hoofdvestiging te [COMPANY ADDRESS] ("Business Associate"), en de entiteit of organisatie die deze overeenkomst accepteert ("Gedekte Entiteit"). In deze BAA zijn Gedekte Entiteit en Business Associate elk een "Partij" en, gezamenlijk, de "Partijen".

Achtergrond

  1. Gedekte Entiteit is ofwel een "covered entity" of "business associate" van een covered entity zoals elk is gedefinieerd onder de Health Insurance Portability and Accountability Act van 1996, Public Law 104-191, zoals gewijzigd door de HITECH Act en de gerelateerde regelgeving uitgevaardigd door HHS (gezamenlijk, "HIPAA") en, als zodanig, is verplicht te voldoen aan HIPAA's bepalingen betreffende de vertrouwelijkheid en privacy van Beschermde Gezondheidsinformatie;

  2. De Partijen hebben één of meer overeenkomsten gesloten of zullen deze sluiten onder welke Business Associate bepaalde gespecificeerde diensten levert aan Gedekte Entiteit via het Blue platform (gezamenlijk, de "Overeenkomst");

  3. Bij het leveren van diensten conform de Overeenkomst, zal Business Associate toegang hebben tot Beschermde Gezondheidsinformatie;

  4. Door het leveren van de diensten conform de Overeenkomst, zal Business Associate een "business associate" worden van de Gedekte Entiteit zoals die term is gedefinieerd onder HIPAA;

  5. Beide Partijen zijn toegewijd aan het naleven van alle federale en staatswetten die de vertrouwelijkheid en privacy van gezondheidsinformatie regelen, inclusief, maar niet beperkt tot, de Standards for Privacy of Individually Identifiable Health Information gevonden in 45 CFR Part 160 en Part 164, Subparts A en E (gezamenlijk, de "Privacy Rule"); en

  6. Beide Partijen zijn voornemens de privacy te beschermen en te voorzien in de beveiliging van Beschermde Gezondheidsinformatie onthuld aan Business Associate conform de voorwaarden van deze Overeenkomst, HIPAA en andere toepasselijke wetten.

Overeenkomst

NU, DAAROM, in beschouwing van de wederzijdse verbintenissen en voorwaarden hierin vervat en de voortgezette verstrekking van PHI door Gedekte Entiteit aan Business Associate onder de Overeenkomst in vertrouwen op deze BAA, komen de Partijen als volgt overeen:

1. Definities

Voor de doeleinden van deze BAA, geven de Partijen de volgende betekenis aan elk van de onderstaande termen. Elke hoofdletter term gebruikt in deze BAA, maar niet anderszins gedefinieerd, heeft de betekenis gegeven aan die term in de Privacy Rule of pertinente wet.

1.1 HIPAA Termen zoals Gedefinieerd in 45 CFR § 160.103:

  • "Protected Health Information" of "PHI" betekent individueel identificeerbare gezondheidsinformatie gecreëerd, ontvangen, onderhouden, of verzonden door Business Associate namens Gedekte Entiteit.
  • "Covered Entity" heeft de betekenis gegeven aan die term in 45 CFR §160.103.
  • "Business Associate" heeft de betekenis gegeven aan die term in 45 CFR §160.103.
  • "Breach" betekent de acquisitie, toegang, gebruik, of openbaarmaking van PHI op een wijze niet toegestaan onder de Privacy Rule welke de beveiliging of privacy van de PHI compromitteert, zoals gedefinieerd in 45 CFR §164.402.
  • "Designated Record Set" heeft de betekenis gegeven aan die term onder de Privacy Rule, inclusief 45 CFR §164.501.

1.2 Aanvullende Definities:

  • "Blue Services" betekent de projectmanagement en gegevensopslagdiensten geleverd via https://www.blue.cc
  • "Electronic PHI" of "ePHI" betekent elke PHI onderhouden in of verzonden door elektronische media zoals gedefinieerd in 45 CFR §160.103.
  • "HHS" betekent het U.S. Department of Health and Human Services.
  • "HITECH Act" betekent de Health Information Technology for Economic and Clinical Health Act, ingevoerd als onderdeel van de American Recovery and Reinvestment Act van 2009, Public Law 111-005.
  • "Individual" heeft dezelfde betekenis gegeven aan die term in 45 CFR §§164.501 en 160.130 en omvat een persoon die kwalificeert als een persoonlijke vertegenwoordiger in overeenstemming met 45 CFR §164.502(g).
  • "Security Incident" betekent de poging tot of succesvolle ongeautoriseerde toegang, gebruik, openbaarmaking, modificatie, of vernietiging van informatie of interferentie met systeemoperaties in een informatiesysteem.
  • "Security Rule" betekent de Security Standards for the Protection of Electronic Health Information verstrekt in 45 CFR Part 160 & Part 164, Subparts A en C.
  • "Unsecured Protected Health Information" of "Unsecured PHI" betekent elke PHI die niet onbruikbaar, onleesbaar of onontcijferbaar is gemaakt voor ongeautoriseerde individuen door het gebruik van een technologie of methodologie gespecificeerd door de HHS Secretary.

2. Verplichtingen van Business Associate

2.1 Toegestane Gebruiken:
Business Associate mag PHI alleen gebruiken of openbaar maken als volgt:

  • PHI verwerken uitsluitend voor: (a) Patiëntgegevensopslag (b) Analytics voor behandeling/operaties (c) Andere diensten gespecificeerd in de Servicevoorwaarden
  • Zoals noodzakelijk om de diensten beschreven in de Overeenkomst te leveren aan Gedekte Entiteit
  • Voor het juiste beheer en administratie van Business Associate's bedrijf
  • Om de wettelijke verantwoordelijkheden van Business Associate uit te voeren
  • Zoals vereist door de wet

2.2 Verboden Gebruiken en Openbaarmakingen:
Business Associate zal PHI niet gebruiken of openbaar maken op een andere wijze dan zoals verstrekt in deze BAA, zoals toegestaan onder de Privacy Rule, of zoals vereist door de wet. Business Associate zal PHI gebruiken of openbaar maken, voor zover praktisch uitvoerbaar, als een beperkte gegevensset of beperkt tot de minimaal noodzakelijke hoeveelheid PHI om het beoogde doel van het gebruik of de openbaarmaking uit te voeren, in overeenstemming met Sectie 13405(b) van de HITECH Act.

2.3 Waarborgen:
Business Associate zal administratieve, fysieke, en technische waarborgen implementeren die redelijkerwijs en adequaat de vertrouwelijkheid, integriteit, en beschikbaarheid van PHI beschermen, inclusief:

  • AES-256 encryptie in rust en tijdens transport
  • Op rollen gebaseerde toegangscontroles (RBAC) met per-project permissies
  • Auditcontroles die PHI toegang/modificatie volgen
  • Veilige authenticatie met magic links via email (wachtwoordloos)
  • Noodtoegang procedure documentatie
  • Zodanige andere waarborgen als noodzakelijk zijn om het gebruik of de openbaarmaking van PHI te voorkomen anders dan zoals toegestaan door deze BAA

3. Onderaannemers

3.1 Geautoriseerde Onderaannemers:
Business Associate mag de volgende onderaannemers gebruiken in verband met diensten geleverd aan Gedekte Entiteit:

  • Cloudflare (Transit encryptie)
  • Amazon AWS (Opslag encryptie)

3.2 Vereisten:

  • Business Associate zal ervoor zorgen dat al zijn agenten of onderaannemers die toegang hebben tot, of aan wie Business Associate verstrekt, PHI schriftelijk akkoord gaan met de restricties en voorwaarden betreffende gebruiken en openbaarmakingen van PHI vervat in deze BAA
  • Business Associate onderhoudt BAA's met alle onderaannemers die PHI verwerken
  • Business Associate zal 30-dagen voorafgaande kennisgeving verstrekken voor nieuwe onderaannemers via email notificatie
  • Business Associate zal ervoor zorgen dat alle ondercontracten en overeenkomsten hetzelfde niveau van privacy en beveiliging bieden als deze BAA

4. Rapportagevereisten

4.1 Inbreuk Notificatie:

  • Business Associate zal aan Gedekte Entiteit schriftelijk elk gebruik of openbaarmaking van PHI niet voorzien door deze BAA waarvan het bewust wordt rapporteren binnen vijf werkdagen
  • Business Associate zal inbreuken van onbeveiligde PHI rapporteren binnen 60 kalenderdagen na ontdekking
  • Business Associate zal onmiddellijke voorlopige kennisgeving verstrekken indien meer dan 500 individuen zijn getroffen
  • Rapporten zullen getroffen individuen identificeren, de aard van de inbreuk beschrijven, genomen mitigatiestappen schetsen, en contactprocedures voor getroffen partijen verstrekken

4.2 Beveiligingsincidenten:
Business Associate stemt ermee in aan Gedekte Entiteit elk Beveiligingsincident dat Elektronische PHI van Gedekte Entiteit beïnvloedt waarvan het bewust wordt te rapporteren binnen vijf werkdagen.

5. Gegevensbeheer

5.1 Minimaal Noodzakelijk:

  • Business Associate zal beleid implementeren om PHI toegang te beperken tot het minst noodzakelijke voor de taak
  • Business Associate zal kwartaal toegangsbeoordelingen uitvoeren door zijn beveiligingsteam

5.2 Individuele Rechten:

  • Op verzoek, zal Business Associate Gedekte Entiteit voorzien van kopieën van de PHI onderhouden door Business Associate in een Designated Record Set om Gedekte Entiteit in staat te stellen te reageren op een verzoek van een Individu voor toegang onder 45 CFR §164.524
  • Op verzoek en instructie van Gedekte Entiteit, zal Business Associate PHI in een Designated Record Set wijzigen zoals gericht door Gedekte Entiteit in overeenstemming met 45 CFR §164.526
  • Business Associate zal openbaarmakingen van PHI documenteren zoals vereist voor Gedekte Entiteit om te reageren op een verzoek voor een verantwoording van openbaarmakingen onder 45 CFR §164.528

5.3 Verwijdering:

  • Business Associate zal veilige verwijdering implementeren met NIST 800-88 standaarden
  • PHI vernietigingscertificaten zullen beschikbaar worden gemaakt op verzoek

6. Termijn en Beëindiging

6.1 Termijn:
Deze BAA zal effectief worden op de Ingangsdatum, en zal van kracht blijven totdat alle verplichtingen van de Partijen zijn vervuld onder de Overeenkomst en onder deze BAA.

6.2 Beëindiging wegens Oorzaak:

  • Gedekte Entiteit mag onmiddellijk deze BAA en de Overeenkomst beëindigen indien Gedekte Entiteit bepaalt dat Business Associate een materiële term van deze BAA heeft geschonden en Business Associate heeft gefaald die materiële schending te herstellen binnen 30 dagen na schriftelijke kennisgeving
  • Business Associate mag deze BAA en de Overeenkomst beëindigen indien het bepaalt dat Gedekte Entiteit een materiële term van deze BAA heeft geschonden en heeft gefaald te herstellen binnen 30 dagen na kennisgeving

6.3 Verplichtingen bij Beëindiging:

  • Bij beëindiging van de Overeenkomst of deze BAA om welke reden dan ook, zal alle PHI onderhouden door Business Associate worden geretourneerd aan Gedekte Entiteit of vernietigd
  • Business Associate zal geen kopieën van PHI behouden tenzij retournering of vernietiging ondoenlijk is
  • Verplichtingen gerelateerd aan PHI behouden wegens ondoenlijkheid zullen de beëindiging overleven
  • Volledige vernietigingscertificering zal worden verstrekt binnen 180 dagen na beëindiging wanneer haalbaar

6.4 Overleving:
De verplichtingen van Business Associate onder deze Sectie zullen de beëindiging van deze BAA overleven.

7. Algemene Bepalingen

7.1 Auditrechten:

  • Gedekte Entiteit heeft het recht om jaarlijkse derde-partij HIPAA audits aan te vragen
  • Business Associate zal zijn interne praktijken, boeken, overeenkomsten, records, en beleid en procedures betreffende het gebruik en de openbaarmaking van PHI beschikbaar maken op verzoek aan HHS voor doeleinden van het bepalen van naleving
  • Business Associate zal meewerken met HHS auditvereisten

7.2 Conflict:

  • HIPAA vereisten prevaleren boven conflicterende termen in deze BAA of de Overeenkomst
  • In het geval van enig conflict tussen de termen van deze BAA en de termen van de Overeenkomst, zullen de termen van deze BAA regeren

7.3 Wijzigingen:

  • Deze BAA mag niet worden gemodificeerd, noch zal enige bepaling worden afgezien of gewijzigd, behalve schriftelijk naar behoren ondertekend door geautoriseerde vertegenwoordigers van de Partijen
  • Wijzigingen kunnen vereist zijn voor veranderingen in HIPAA regels of regelgeving

7.4 HITECH Act Naleving:
De Partijen erkennen dat de HITECH Act significante veranderingen aan HIPAA vereisten omvat. Elke Partij stemt ermee in te voldoen aan de toepasselijke bepalingen van de HITECH Act en eventuele HHS regelgeving uitgegeven met betrekking tot de HITECH Act.

7.5 Gegevensbezit:
Business Associate's gegevensbeheerdersschap verleent geen gegevensbezitsrechten aan Business Associate met betrekking tot enige gegevens gedeeld met het onder de Overeenkomst, inclusief alle vormen van PHI.

7.6 Geen Derde-Partij Begunstigden:
Behalve zoals uitdrukkelijk vermeld in deze BAA of zoals voorzien door de wet, zal deze BAA geen rechten creëren ten gunste van enige derde partij.

7.7 Kennisgevingen:
Alle kennisgevingen, verzoeken en eisen of andere communicaties te geven onder deze BAA aan een Partij zullen worden gedaan via ofwel eerste klas post, aangetekend of gecertificeerd of express koerier, of elektronische mail naar het adres van de Partij verstrekt tijdens accountregistratie of achteraf bijgewerkt schriftelijk.

TEN BLIJKE WAARVAN, erkennen de Partijen hun overeenkomst met de bovenstaande voorwaarden door de acceptatie van deze voorwaarden door de Gedekte Entiteit tijdens het aanmaken van het account of door voortgezet gebruik van de Blue Services na kennisgeving van deze voorwaarden.

© Blue | Ontworpen met over de

AI Assistent

Antwoorden worden gegenereerd met behulp van AI en kunnen fouten bevatten.

Hoe kan ik u helpen?

Vraag me alles over Blue of deze documentatie.

Voer in om te verzenden • Shift+Enter voor nieuwe regel • ⌘I om te openen