Cadastrar-se
Contato Entrar Cadastrar-se
Status do Sistema

Acordo em conformidade com HIPAA para o manuseio de Informações de Saúde Protegidas (PHI)

Esta tradução é fornecida apenas por conveniência. A versão em inglês deste documento é o acordo juridicamente vinculativo.

Última atualização: 16 de julho de 2025

Este ACORDO DE ASSOCIADO DE NEGÓCIOS (o "BAA") é celebrado e firmado a partir da data de aceitação pela Entidade Coberta ("Data de Vigência") entre a Bloo Inc., uma corporação de Delaware com sua sede principal em [ENDEREÇO DA EMPRESA] ("Associado de Negócios"), e a entidade ou organização que aceita este acordo ("Entidade Coberta"). Neste BAA, a Entidade Coberta e o Associado de Negócios são cada um uma "Parte" e, coletivamente, são as "Partes".

Contexto

  1. A Entidade Coberta é uma "entidade coberta" ou "associado de negócios" de uma entidade coberta, conforme cada um é definido sob a Lei de Portabilidade e Responsabilidade de Seguro de Saúde de 1996, Lei Pública 104-191, conforme alterada pelo HITECH Act e pelos regulamentos relacionados promulgados pelo HHS (coletivamente, "HIPAA") e, como tal, é obrigada a cumprir as disposições da HIPAA sobre a confidencialidade e privacidade de Informações de Saúde Protegidas;

  2. As Partes celebraram ou celebrarão um ou mais acordos sob os quais o Associado de Negócios fornece determinados serviços especificados à Entidade Coberta através da plataforma Blue (coletivamente, o "Acordo");

  3. Ao fornecer serviços de acordo com o Acordo, o Associado de Negócios terá acesso a Informações de Saúde Protegidas;

  4. Ao fornecer os serviços de acordo com o Acordo, o Associado de Negócios se tornará um "associado de negócios" da Entidade Coberta, conforme tal termo é definido sob a HIPAA;

  5. Ambas as Partes estão comprometidas em cumprir todas as leis federais e estaduais que regem a confidencialidade e privacidade de informações de saúde, incluindo, mas não se limitando a, os Padrões de Privacidade de Informações de Saúde Individualmente Identificáveis encontrados em 45 CFR Parte 160 e Parte 164, Subpartes A e E (coletivamente, a "Regra de Privacidade"); e

  6. Ambas as Partes pretendem proteger a privacidade e fornecer segurança para as Informações de Saúde Protegidas divulgadas ao Associado de Negócios de acordo com os termos deste Acordo, HIPAA e outras leis aplicáveis.

Acordo

PORTANTO, em consideração aos convênios e condições mútuos aqui contidos e ao fornecimento contínuo de PHI pela Entidade Coberta ao Associado de Negócios sob o Acordo com base neste BAA, as Partes concordam com o seguinte:

1. Definições

Para os fins deste BAA, as Partes atribuem o seguinte significado a cada um dos termos abaixo. Qualquer termo em maiúsculas usado neste BAA, mas não definido de outra forma, tem o significado dado a esse termo na Regra de Privacidade ou na lei pertinente.

1.1 Termos HIPAA conforme Definidos em 45 CFR § 160.103:

  • "Informações de Saúde Protegidas" ou "PHI" significa informações de saúde individualmente identificáveis criadas, recebidas, mantidas ou transmitidas pelo Associado de Negócios em nome da Entidade Coberta.
  • "Entidade Coberta" tem o significado dado a esse termo em 45 CFR §160.103.
  • "Associado de Negócios" tem o significado dado a esse termo em 45 CFR §160.103.
  • "Violação" ou "Breach" significa a aquisição, acesso, uso ou divulgação de PHI de maneira não permitida sob a Regra de Privacidade que compromete a segurança ou privacidade do PHI, conforme definido em 45 CFR §164.402.
  • "Conjunto de Registros Designado" tem o significado dado a tal termo sob a Regra de Privacidade, incluindo 45 CFR §164.501.

1.2 Definições Adicionais:

  • "Serviços Blue" significa os serviços de gerenciamento de projetos e armazenamento de dados fornecidos através de https://www.blue.cc
  • "PHI Eletrônico" ou "ePHI" significa qualquer PHI mantido ou transmitido por mídia eletrônica conforme definido em 45 CFR §160.103.
  • "HHS" significa o Departamento de Saúde e Serviços Humanos dos EUA.
  • "HITECH Act" significa a Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica, promulgada como parte da Lei de Recuperação e Reinvestimento Americano de 2009, Lei Pública 111-005.
  • "Indivíduo" tem o mesmo significado dado a esse termo em 45 CFR §§164.501 e 160.130 e inclui uma pessoa que se qualifica como representante pessoal de acordo com 45 CFR §164.502(g).
  • "Incidente de Segurança" significa o acesso, uso, divulgação, modificação ou destruição não autorizada tentada ou bem-sucedida de informações ou interferência com operações do sistema em um sistema de informações.
  • "Regra de Segurança" significa os Padrões de Segurança para a Proteção de Informações de Saúde Eletrônicas fornecidos em 45 CFR Parte 160 e Parte 164, Subpartes A e C.
  • "Informações de Saúde Protegidas Não Seguras" ou "PHI Não Seguro" significa qualquer PHI que não seja inutilizável, ilegível ou indecifrável para indivíduos não autorizados através do uso de uma tecnologia ou metodologia especificada pelo Secretário do HHS.

2. Obrigações do Associado de Negócios

2.1 Usos Permitidos:
O Associado de Negócios pode usar ou divulgar PHI apenas da seguinte forma:

  • Processar PHI exclusivamente para: (a) Armazenamento de dados de pacientes (b) Análises para tratamento/operações (c) Outros serviços especificados nos Termos de Serviço
  • Conforme necessário para fornecer os serviços descritos no Acordo à Entidade Coberta
  • Para o gerenciamento e administração adequados dos negócios do Associado de Negócios
  • Para cumprir as responsabilidades legais do Associado de Negócios
  • Conforme exigido por lei

2.2 Usos e Divulgações Proibidos:
O Associado de Negócios não usará ou divulgará PHI de maneira diferente da fornecida neste BAA, conforme permitido sob a Regra de Privacidade, ou conforme exigido por lei. O Associado de Negócios usará ou divulgará PHI, na medida do possível, como um conjunto de dados limitado ou limitado à quantidade mínima necessária de PHI para realizar o propósito pretendido do uso ou divulgação, de acordo com a Seção 13405(b) do HITECH Act.

2.3 Salvaguardas:
O Associado de Negócios implementará salvaguardas administrativas, físicas e técnicas que protejam razoável e apropriadamente a confidencialidade, integridade e disponibilidade do PHI, incluindo:

  • Criptografia AES-256 em repouso e em trânsito
  • Controles de acesso baseados em funções (RBAC) com permissões por projeto
  • Controles de auditoria rastreando acesso/modificação de PHI
  • Autenticação segura usando links mágicos via e-mail (sem senha)
  • Documentação do procedimento de acesso de emergência
  • Outras salvaguardas necessárias para evitar o uso ou divulgação de PHI diferente do permitido por este BAA

3. Subcontratados

3.1 Subcontratados Autorizados:
O Associado de Negócios pode usar os seguintes subcontratados em conexão com os serviços prestados à Entidade Coberta:

  • Cloudflare (Criptografia em trânsito)
  • Amazon AWS (Criptografia de armazenamento)

3.2 Requisitos:

  • O Associado de Negócios garantirá que qualquer um de seus agentes ou subcontratados que tenham acesso ou aos quais o Associado de Negócios forneça PHI concordem por escrito com as restrições e condições relativas aos usos e divulgações de PHI contidas neste BAA
  • O Associado de Negócios mantém BAAs com todos os subcontratados que lidam com PHI
  • O Associado de Negócios fornecerá notificação com 30 dias de antecedência para novos subcontratados via notificação por e-mail
  • O Associado de Negócios garantirá que todos os subcontratos e acordos forneçam o mesmo nível de privacidade e segurança que este BAA

4. Requisitos de Relatório

4.1 Notificação de Violação:

  • O Associado de Negócios relatará à Entidade Coberta por escrito qualquer uso ou divulgação de PHI não previsto por este BAA do qual tome conhecimento dentro de cinco dias úteis
  • O Associado de Negócios relatará violações de PHI não seguro dentro de 60 dias corridos após a descoberta
  • O Associado de Negócios fornecerá notificação preliminar imediata se mais de 500 indivíduos forem afetados
  • Os relatórios identificarão indivíduos afetados, descreverão a natureza da violação, delinearão as medidas de mitigação tomadas e fornecerão procedimentos de contato para as partes afetadas

4.2 Incidentes de Segurança:
O Associado de Negócios concorda em relatar à Entidade Coberta qualquer Incidente de Segurança que afete o PHI Eletrônico da Entidade Coberta do qual tome conhecimento dentro de cinco dias úteis.

5. Gerenciamento de Dados

5.1 Mínimo Necessário:

  • O Associado de Negócios implementará políticas para limitar o acesso ao PHI ao mínimo necessário para a tarefa
  • O Associado de Negócios conduzirá revisões trimestrais de acesso por sua equipe de segurança

5.2 Direitos Individuais:

  • Mediante solicitação, o Associado de Negócios fornecerá à Entidade Coberta cópias do PHI mantido pelo Associado de Negócios em um Conjunto de Registros Designado para permitir que a Entidade Coberta responda à solicitação de acesso de um Indivíduo sob 45 CFR §164.524
  • Mediante solicitação e instrução da Entidade Coberta, o Associado de Negócios alterará o PHI em um Conjunto de Registros Designado conforme indicado pela Entidade Coberta de acordo com 45 CFR §164.526
  • O Associado de Negócios documentará divulgações de PHI conforme necessário para a Entidade Coberta responder a uma solicitação de contabilização de divulgações sob 45 CFR §164.528

5.3 Descarte:

  • O Associado de Negócios implementará exclusão segura usando padrões NIST 800-88
  • Certificados de destruição de PHI estarão disponíveis mediante solicitação

6. Prazo e Rescisão

6.1 Prazo:
Este BAA entrará em vigor na Data de Vigência e continuará em vigor até que todas as obrigações das Partes tenham sido cumpridas sob o Acordo e sob este BAA.

6.2 Rescisão por Justa Causa:

  • A Entidade Coberta pode rescindir imediatamente este BAA e o Acordo se a Entidade Coberta determinar que o Associado de Negócios violou um termo material deste BAA e o Associado de Negócios não conseguiu corrigir essa violação material dentro de 30 dias após notificação por escrito
  • O Associado de Negócios pode rescindir este BAA e o Acordo se determinar que a Entidade Coberta violou um termo material deste BAA e não conseguiu corrigir dentro de 30 dias após notificação

6.3 Obrigações após a Rescisão:

  • Após a rescisão do Acordo ou deste BAA por qualquer motivo, todo o PHI mantido pelo Associado de Negócios será devolvido à Entidade Coberta ou destruído
  • O Associado de Negócios não reterá cópias de PHI, a menos que a devolução ou destruição seja inviável
  • As obrigações relacionadas ao PHI retido devido à inviabilidade sobreviverão à rescisão
  • A certificação completa de destruição será fornecida dentro de 180 dias da rescisão quando viável

6.4 Sobrevivência:
As obrigações do Associado de Negócios sob esta Seção sobreviverão à rescisão deste BAA.

7. Disposições Gerais

7.1 Direitos de Auditoria:

  • A Entidade Coberta tem o direito de solicitar auditorias HIPAA anuais de terceiros
  • O Associado de Negócios disponibilizará suas práticas internas, livros, acordos, registros e políticas e procedimentos relacionados ao uso e divulgação de PHI mediante solicitação ao HHS para fins de determinar conformidade
  • O Associado de Negócios cooperará com os requisitos de auditoria do HHS

7.2 Conflito:

  • Os requisitos HIPAA prevalecem sobre termos conflitantes neste BAA ou no Acordo
  • Em caso de conflito entre os termos deste BAA e os termos do Acordo, os termos deste BAA prevalecerão

7.3 Alterações:

  • Este BAA não pode ser modificado, nem qualquer disposição será dispensada ou alterada, exceto por escrito devidamente assinado por representantes autorizados das Partes
  • Alterações podem ser necessárias para mudanças nas regras ou regulamentos HIPAA

7.4 Conformidade com o HITECH Act:
As Partes reconhecem que o HITECH Act inclui mudanças significativas nos requisitos HIPAA. Cada Parte concorda em cumprir as disposições aplicáveis do HITECH Act e quaisquer regulamentos do HHS emitidos com relação ao HITECH Act.

7.5 Propriedade dos Dados:
A administração de dados do Associado de Negócios não confere direitos de propriedade de dados ao Associado de Negócios com relação a quaisquer dados compartilhados com ele sob o Acordo, incluindo todas e quaisquer formas de PHI.

7.6 Sem Beneficiários de Terceiros:
Exceto conforme expressamente declarado neste BAA ou conforme previsto por lei, este BAA não criará quaisquer direitos em favor de terceiros.

7.7 Notificações:
Todas as notificações, solicitações e demandas ou outras comunicações a serem dadas sob este BAA a uma Parte serão feitas via correio de primeira classe, registrado ou certificado ou correio expresso, ou correio eletrônico para o endereço da Parte fornecido durante o registro da conta ou posteriormente atualizado por escrito.

EM TESTEMUNHO DO QUE, as Partes reconhecem seu acordo com os termos acima através da aceitação destes termos pela Entidade Coberta durante a criação da conta ou através do uso contínuo dos Serviços Blue após a notificação destes termos.

© Blue | Projetado com através do

Assistente de IA

As respostas são geradas usando IA e podem conter erros.

Como posso ajudá-lo?

Pergunte-me qualquer coisa sobre o Blue ou esta documentação.

Digite para enviar • Shift+Enter para nova linha • ⌘I para abrir