Zarejestruj się
Kontakt Zaloguj się Zarejestruj się
Status systemu

Umowa zgodna z HIPAA dotycząca obsługi Chronionych Informacji Zdrowotnych (PHI)

Ostatnia aktualizacja: 16 lipca 2025

Niniejsza UMOWA WSPÓŁPRACY BIZNESOWEJ („BAA") zostaje zawarta i wchodzi w życie w dniu akceptacji przez Podmiot Objęty („Data Wejścia w Życie") pomiędzy Bloo Inc., korporacją z Delaware z główną siedzibą pod adresem [ADRES FIRMY] („Współpracownik Biznesowy"), a podmiotem lub organizacją akceptującą niniejszą umowę („Podmiot Objęty"). W niniejszej BAA, Podmiot Objęty i Współpracownik Biznesowy są określani każdy jako „Strona", a łącznie jako „Strony".

Wprowadzenie

  1. Podmiot Objęty jest „podmiotem objętym" lub „współpracownikiem biznesowym" podmiotu objętego, zgodnie z definicjami zawartymi w ustawie Health Insurance Portability and Accountability Act z 1996 roku, Public Law 104-191, zmienionej przez HITECH Act i związane z nią rozporządzenia wydane przez HHS (łącznie, „HIPAA") i jako taki jest zobowiązany do przestrzegania przepisów HIPAA dotyczących poufności i prywatności Chronionych Informacji Zdrowotnych;

  2. Strony zawarły lub zawrą jedną lub więcej umów, na podstawie których Współpracownik Biznesowy świadczy określone usługi dla Podmiotu Objętego za pośrednictwem platformy Blue (łącznie, „Umowa");

  3. Świadcząc usługi zgodnie z Umową, Współpracownik Biznesowy będzie miał dostęp do Chronionych Informacji Zdrowotnych;

  4. Świadcząc usługi zgodnie z Umową, Współpracownik Biznesowy stanie się „współpracownikiem biznesowym" Podmiotu Objętego zgodnie z definicją tego terminu w HIPAA;

  5. Obie Strony są zobowiązane do przestrzegania wszystkich federalnych i stanowych przepisów dotyczących poufności i prywatności informacji zdrowotnych, w tym między innymi Standardów Prywatności Indywidualnie Identyfikowalnych Informacji Zdrowotnych zawartych w 45 CFR Część 160 i Część 164, Podczęści A i E (łącznie, „Reguła Prywatności"); oraz

  6. Obie Strony zamierzają chronić prywatność i zapewnić bezpieczeństwo Chronionych Informacji Zdrowotnych ujawnionych Współpracownikowi Biznesowemu zgodnie z warunkami niniejszej Umowy, HIPAA i innymi obowiązującymi przepisami.

Umowa

W ZWIĄZKU Z POWYŻSZYM, w zamian za wzajemne zobowiązania i warunki zawarte w niniejszym dokumencie oraz ciągłe dostarczanie PHI przez Podmiot Objęty Współpracownikowi Biznesowemu na podstawie Umowy w oparciu o niniejszą BAA, Strony uzgadniają co następuje:

1. Definicje

Na potrzeby niniejszej BAA, Strony nadają następujące znaczenie każdemu z poniższych terminów. Każdy termin pisany wielką literą używany w niniejszej BAA, ale nie określony w inny sposób, ma znaczenie nadane temu terminowi w Regule Prywatności lub odpowiednim prawie.

1.1 Terminy HIPAA zgodnie z definicją w 45 CFR § 160.103:

  • „Chronione Informacje Zdrowotne" lub „PHI" oznacza indywidualnie identyfikowalne informacje zdrowotne tworzone, otrzymywane, utrzymywane lub przekazywane przez Współpracownika Biznesowego w imieniu Podmiotu Objętego.
  • „Podmiot Objęty" ma znaczenie nadane temu terminowi w 45 CFR §160.103.
  • „Współpracownik Biznesowy" ma znaczenie nadane temu terminowi w 45 CFR §160.103.
  • „Naruszenie" oznacza uzyskanie, dostęp, użycie lub ujawnienie PHI w sposób niedozwolony przez Regułę Prywatności, który narusza bezpieczeństwo lub prywatność PHI, zgodnie z definicją w 45 CFR §164.402.
  • „Wyznaczony Zestaw Zapisów" ma znaczenie nadane temu terminowi w Regule Prywatności, w tym 45 CFR §164.501.

1.2 Dodatkowe Definicje:

  • „Usługi Blue" oznacza usługi zarządzania projektami i przechowywania danych świadczone przez https://www.blue.cc
  • „Elektroniczne PHI" lub „ePHI" oznacza wszelkie PHI utrzymywane w mediach elektronicznych lub przekazywane przez nie zgodnie z definicją w 45 CFR §160.103.
  • „HHS" oznacza Departament Zdrowia i Opieki Społecznej USA.
  • „HITECH Act" oznacza ustawę Health Information Technology for Economic and Clinical Health, uchwaloną jako część American Recovery and Reinvestment Act z 2009 roku, Public Law 111-005.
  • „Osoba" ma to samo znaczenie nadane temu terminowi w 45 CFR §§164.501 i 160.130 i obejmuje osobę, która kwalifikuje się jako przedstawiciel osobisty zgodnie z 45 CFR §164.502(g).
  • „Incydent Bezpieczeństwa" oznacza próbę lub udany nieautoryzowany dostęp, użycie, ujawnienie, modyfikację lub zniszczenie informacji lub zakłócenie operacji systemowych w systemie informatycznym.
  • „Reguła Bezpieczeństwa" oznacza Standardy Bezpieczeństwa dla Ochrony Elektronicznych Informacji Zdrowotnych przewidziane w 45 CFR Część 160 i Część 164, Podczęści A i C.
  • „Niezabezpieczone Chronione Informacje Zdrowotne" lub „Niezabezpieczone PHI" oznacza wszelkie PHI, które nie zostały uczynione niezdatnymi do użytku, nieczytelne lub niezrozumiałe dla nieautoryzowanych osób poprzez zastosowanie technologii lub metodologii określonej przez Sekretarza HHS.

2. Zobowiązania Współpracownika Biznesowego

2.1 Dozwolone Użycia:
Współpracownik Biznesowy może używać lub ujawniać PHI wyłącznie w następujący sposób:

  • Przetwarzać PHI wyłącznie w celu: (a) Przechowywania danych pacjentów (b) Analiz dla leczenia/operacji (c) Innych usług określonych w Warunkach Usługi
  • W zakresie niezbędnym do świadczenia usług opisanych w Umowie dla Podmiotu Objętego
  • Dla właściwego zarządzania i administracji działalnością Współpracownika Biznesowego
  • Aby wypełnić prawne obowiązki Współpracownika Biznesowego
  • Zgodnie z wymaganiami prawa

2.2 Zabronione Użycia i Ujawnienia:
Współpracownik Biznesowy nie będzie używał ani ujawniał PHI w sposób inny niż przewidziany w niniejszej BAA, dozwolony przez Regułę Prywatności lub wymagany przez prawo. Współpracownik Biznesowy będzie używał lub ujawniał PHI, w zakresie praktycznie możliwym, jako ograniczony zestaw danych lub ograniczony do minimalnej niezbędnej ilości PHI w celu realizacji zamierzonego celu użycia lub ujawnienia, zgodnie z Sekcją 13405(b) HITECH Act.

2.3 Zabezpieczenia:
Współpracownik Biznesowy wdroży administracyjne, fizyczne i techniczne zabezpieczenia, które w sposób rozsądny i odpowiedni chronią poufność, integralność i dostępność PHI, w tym:

  • Szyfrowanie AES-256 w spoczynku i podczas transmisji
  • Kontrole dostępu oparte na rolach (RBAC) z uprawnieniami dla każdego projektu
  • Kontrole audytu śledzące dostęp/modyfikację PHI
  • Bezpieczne uwierzytelnianie przy użyciu magicznych linków przez e-mail (bez hasła)
  • Dokumentacja procedur dostępu awaryjnego
  • Inne zabezpieczenia niezbędne do zapobiegania użyciu lub ujawnieniu PHI w sposób inny niż dozwolony przez niniejszą BAA

3. Podwykonawcy

3.1 Autoryzowani Podwykonawcy:
Współpracownik Biznesowy może korzystać z następujących podwykonawców w związku z usługami świadczonymi dla Podmiotu Objętego:

  • Cloudflare (Szyfrowanie transmisji)
  • Amazon AWS (Szyfrowanie przechowywania)

3.2 Wymagania:

  • Współpracownik Biznesowy zapewni, że wszyscy jego agenci lub podwykonawcy, którzy mają dostęp do PHI lub którym Współpracownik Biznesowy dostarcza PHI, zgodzą się na piśmie na ograniczenia i warunki dotyczące użycia i ujawniania PHI zawarte w niniejszej BAA
  • Współpracownik Biznesowy utrzymuje BAA z wszystkimi podwykonawcami obsługującymi PHI
  • Współpracownik Biznesowy zapewni 30-dniowe powiadomienie o nowych podwykonawcach poprzez powiadomienie e-mail
  • Współpracownik Biznesowy zapewni, że wszystkie umowy z podwykonawcami zapewniają ten sam poziom prywatności i bezpieczeństwa co niniejsza BAA

4. Wymagania Dotyczące Raportowania

4.1 Powiadomienie o Naruszeniu:

  • Współpracownik Biznesowy zgłosi Podmiotowi Objętemu na piśmie wszelkie użycie lub ujawnienie PHI nieprzewidziane w niniejszej BAA, o których się dowie, w ciągu pięciu dni roboczych
  • Współpracownik Biznesowy zgłosi naruszenia niezabezpieczonych PHI w ciągu 60 dni kalendarzowych od odkrycia
  • Współpracownik Biznesowy zapewni natychmiastowe wstępne powiadomienie, jeśli dotyczy to więcej niż 500 osób
  • Raporty zidentyfikują dotknięte osoby, opiszą charakter naruszenia, przedstawią podjęte kroki łagodzące i podadzą procedury kontaktu dla dotkniętych stron

4.2 Incydenty Bezpieczeństwa:
Współpracownik Biznesowy zobowiązuje się zgłaszać Podmiotowi Objętemu wszelkie Incydenty Bezpieczeństwa dotyczące Elektronicznych PHI Podmiotu Objętego, o których się dowie, w ciągu pięciu dni roboczych.

5. Zarządzanie Danymi

5.1 Minimum Niezbędne:

  • Współpracownik Biznesowy wdroży polityki ograniczające dostęp do PHI do minimum niezbędnego dla zadania
  • Współpracownik Biznesowy będzie przeprowadzał kwartalną kontrolę dostępu przez swój zespół bezpieczeństwa

5.2 Prawa Osób:

  • Na żądanie, Współpracownik Biznesowy dostarczy Podmiotowi Objętemu kopie PHI utrzymywanych przez Współpracownika Biznesowego w Wyznaczonym Zestawie Zapisów, aby umożliwić Podmiotowi Objętemu odpowiedź na żądanie Osoby dotyczące dostępu zgodnie z 45 CFR §164.524
  • Na żądanie i instrukcje Podmiotu Objętego, Współpracownik Biznesowy zmieni PHI w Wyznaczonym Zestawie Zapisów zgodnie z wytycznymi Podmiotu Objętego zgodnie z 45 CFR §164.526
  • Współpracownik Biznesowy będzie dokumentował ujawnienia PHI zgodnie z wymaganiami dla Podmiotu Objętego, aby odpowiedzieć na żądanie rozliczenia ujawnień zgodnie z 45 CFR §164.528

5.3 Utylizacja:

  • Współpracownik Biznesowy wdroży bezpieczne usuwanie zgodnie ze standardami NIST 800-88
  • Certyfikaty zniszczenia PHI będą dostępne na żądanie

6. Okres i Rozwiązanie

6.1 Okres:
Niniejsza BAA wejdzie w życie w Dniu Wejścia w Życie i będzie obowiązywać do czasu wypełnienia wszystkich zobowiązań Stron wynikających z Umowy i niniejszej BAA.

6.2 Rozwiązanie z Przyczyny:

  • Podmiot Objęty może natychmiast rozwiązać niniejszą BAA i Umowę, jeśli Podmiot Objęty ustali, że Współpracownik Biznesowy naruszył istotny warunek niniejszej BAA i Współpracownik Biznesowy nie naprawił tego istotnego naruszenia w ciągu 30 dni po pisemnym powiadomieniu
  • Współpracownik Biznesowy może rozwiązać niniejszą BAA i Umowę, jeśli ustali, że Podmiot Objęty naruszył istotny warunek niniejszej BAA i nie naprawił go w ciągu 30 dni po powiadomieniu

6.3 Zobowiązania po Rozwiązaniu:

  • Po rozwiązaniu Umowy lub niniejszej BAA z jakiegokolwiek powodu, wszystkie PHI utrzymywane przez Współpracownika Biznesowego zostaną zwrócone Podmiotowi Objętemu lub zniszczone
  • Współpracownik Biznesowy nie będzie przechowywał żadnych kopii PHI, chyba że zwrot lub zniszczenie jest niewykonalne
  • Zobowiązania związane z PHI zatrzymanymi z powodu niewykonalności przetrwają rozwiązanie
  • Pełny certyfikat zniszczenia zostanie dostarczony w ciągu 180 dni od rozwiązania, gdy będzie to możliwe

6.4 Przetrwanie:
Zobowiązania Współpracownika Biznesowego wynikające z niniejszej Sekcji przetrwają rozwiązanie niniejszej BAA.

7. Postanowienia Ogólne

7.1 Prawa Audytu:

  • Podmiot Objęty ma prawo żądać corocznych audytów HIPAA przeprowadzanych przez stronę trzecią
  • Współpracownik Biznesowy udostępni swoje wewnętrzne praktyki, księgi, umowy, zapisy oraz polityki i procedury dotyczące użycia i ujawniania PHI na żądanie HHS w celu określenia zgodności
  • Współpracownik Biznesowy będzie współpracować z wymaganiami audytu HHS

7.2 Konflikt:

  • Wymagania HIPAA mają pierwszeństwo przed sprzecznymi warunkami w niniejszej BAA lub Umowie
  • W przypadku konfliktu między warunkami niniejszej BAA a warunkami Umowy, warunki niniejszej BAA będą miały pierwszeństwo

7.3 Zmiany:

  • Niniejsza BAA nie może być modyfikowana, ani żadne postanowienie nie zostanie uchylone lub zmienione, z wyjątkiem pisemnej formy podpisanej przez upoważnionych przedstawicieli Stron
  • Zmiany mogą być wymagane w przypadku zmian w zasadach lub przepisach HIPAA

7.4 Zgodność z HITECH Act:
Strony uznają, że HITECH Act zawiera znaczące zmiany w wymaganiach HIPAA. Każda Strona zobowiązuje się przestrzegać obowiązujących przepisów HITECH Act i wszelkich rozporządzeń HHS wydanych w odniesieniu do HITECH Act.

7.5 Własność Danych:
Zarządzanie danymi przez Współpracownika Biznesowego nie przyznaje Współpracownikowi Biznesowemu praw własności w odniesieniu do jakichkolwiek danych udostępnionych mu na podstawie Umowy, w tym wszelkich form PHI.

7.6 Brak Beneficjentów Trzecich:
Z wyjątkiem przypadków wyraźnie określonych w niniejszej BAA lub przewidzianych przez prawo, niniejsza BAA nie stworzy żadnych praw na rzecz jakiejkolwiek strony trzeciej.

7.7 Powiadomienia:
Wszystkie powiadomienia, żądania i żądania lub inne komunikaty, które mają być przekazane na podstawie niniejszej BAA Stronie, będą dokonywane pocztą pierwszej klasy, poleconą lub listem poleconym lub kurierem ekspresowym, lub pocztą elektroniczną na adres Strony podany podczas rejestracji konta lub następnie zaktualizowany na piśmie.

NA DOWÓD CZEGO, Strony potwierdzają swoją zgodę na powyższe warunki poprzez akceptację tych warunków przez Podmiot Objęty podczas tworzenia konta lub poprzez kontynuowanie korzystania z Usług Blue po powiadomieniu o tych warunkach.

© Blue | Zaprojektowane z w całym

Asystent AI

Odpowiedzi są generowane przy użyciu sztucznej inteligencji i mogą zawierać błędy.

Jak mogę Ci pomóc?

Zapytaj mnie o cokolwiek dotyczącego Blue lub tej dokumentacji.

Wciśnij Enter, aby wysłać • Shift+Enter, aby dodać nową linię • ⌘I, aby otworzyć