Регистрация
Контакт Войти Регистрация
Статус системы

HIPAA-совместимое соглашение для обработки защищенной медицинской информации (PHI)

Данный перевод предоставляется исключительно для удобства. Английская версия данного документа является юридически обязательным соглашением.

Последнее обновление: 16 июля 2025 г.

Данное СОГЛАШЕНИЕ С БИЗНЕС-ПАРТНЕРОМ ("BAA") заключается с момента принятия Охваченной организацией ("Дата вступления в силу") между Bloo Inc., корпорацией штата Делавэр с основным местом ведения бизнеса по адресу [АДРЕС КОМПАНИИ] ("Бизнес-партнер"), и организацией или учреждением, принимающим данное соглашение ("Охваченная организация"). В данном BAA Охваченная организация и Бизнес-партнер являются каждая "Стороной" и, совместно, "Сторонами".

Предпосылки

  1. Охваченная организация является либо "охваченной организацией", либо "бизнес-партнером" охваченной организации, как каждая определена в соответствии с Законом о переносимости и подотчетности медицинского страхования 1996 года, Публичный закон 104-191, с поправками, внесенными HITECH Act и соответствующими постановлениями, обнародованными HHS (совместно "HIPAA"), и, как таковая, обязана соблюдать положения HIPAA относительно конфиденциальности и неприкосновенности частной жизни в отношении Защищенной медицинской информации;

  2. Стороны заключили или заключат одно или несколько соглашений, в соответствии с которыми Бизнес-партнер предоставляет определенные специфицированные услуги Охваченной организации через платформу Blue (совместно "Соглашение");

  3. При предоставлении услуг в соответствии с Соглашением Бизнес-партнер будет иметь доступ к Защищенной медицинской информации;

  4. Предоставляя услуги в соответствии с Соглашением, Бизнес-партнер станет "бизнес-партнером" Охваченной организации, как данный термин определен в HIPAA;

  5. Обе Стороны привержены соблюдению всех федеральных и государственных законов, регулирующих конфиденциальность и неприкосновенность частной жизни в отношении медицинской информации, включая, но не ограничиваясь, Стандарты конфиденциальности индивидуально идентифицируемой медицинской информации, изложенные в 45 CFR Часть 160 и Часть 164, Подразделы A и E (совместно "Правило конфиденциальности"); и

  6. Обе Стороны намерены защищать конфиденциальность и обеспечивать безопасность Защищенной медицинской информации, раскрываемой Бизнес-партнеру в соответствии с условиями данного Соглашения, HIPAA и другими применимыми законами.

Соглашение

НАСТОЯЩИМ, в рассмотрение взаимных соглашений и условий, содержащихся в данном документе, и продолжения предоставления PHI Охваченной организацией Бизнес-партнеру в соответствии с Соглашением в опоре на данное BAA, Стороны соглашаются на следующее:

1. Определения

Для целей данного BAA Стороны придают следующее значение каждому из терминов ниже. Любой термин с заглавной буквы, используемый в данном BAA, но не определенный иначе, имеет значение, данное этому термину в Правиле конфиденциальности или соответствующем законе.

1.1 Термины HIPAA, как определено в 45 CFR § 160.103:

  • "Защищенная медицинская информация" или "PHI" означает индивидуально идентифицируемую медицинскую информацию, созданную, полученную, поддерживаемую или передаваемую Бизнес-партнером от имени Охваченной организации.
  • "Охваченная организация" имеет значение, данное этому термину в 45 CFR §160.103.
  • "Бизнес-партнер" имеет значение, данное этому термину в 45 CFR §160.103.
  • "Нарушение" означает получение, доступ, использование или раскрытие PHI способом, не разрешенным в соответствии с Правилом конфиденциальности, которое компрометирует безопасность или конфиденциальность PHI, как определено в 45 CFR §164.402.
  • "Назначенный набор записей" имеет значение, данное такому термину в соответствии с Правилом конфиденциальности, включая 45 CFR §164.501.

1.2 Дополнительные определения:

  • "Услуги Blue" означает услуги управления проектами и хранения данных, предоставляемые через https://www.blue.cc
  • "Электронная PHI" или "ePHI" означает любую PHI, поддерживаемую в или передаваемую электронными средствами, как определено в 45 CFR §160.103.
  • "HHS" означает Министерство здравоохранения и социальных служб США.
  • "HITECH Act" означает Закон о медицинских информационных технологиях для экономического и клинического здравоохранения, принятый как часть Американского закона о восстановлении и реинвестировании 2009 года, Публичный закон 111-005.
  • "Лицо" имеет то же значение, данное данному термину в 45 CFR §§164.501 и 160.130, и включает лицо, которое квалифицируется как личный представитель в соответствии с 45 CFR §164.502(g).
  • "Инцидент безопасности" означает попытку или успешный несанкционированный доступ, использование, раскрытие, изменение или уничтожение информации или вмешательство в системные операции в информационной системе.
  • "Правило безопасности" означает Стандарты безопасности для защиты электронной медицинской информации, предусмотренные в 45 CFR Часть 160 и Часть 164, Подразделы A и C.
  • "Незащищенная защищенная медицинская информация" или "Незащищенная PHI" означает любую PHI, которая не сделана непригодной для использования, нечитаемой или неразборчивой для неавторизованных лиц посредством использования технологии или методологии, указанной Министром HHS.

2. Обязательства Бизнес-партнера

2.1 Разрешенные использования:
Бизнес-партнер может использовать или раскрывать PHI только следующим образом:

  • Обрабатывать PHI исключительно для: (a) Хранения данных пациентов (b) Аналитики для лечения/операций (c) Других услуг, указанных в Условиях обслуживания
  • По мере необходимости для предоставления услуг, описанных в Соглашении, Охваченной организации
  • Для надлежащего управления и администрирования бизнеса Бизнес-партнера
  • Для выполнения юридических обязанностей Бизнес-партнера
  • По требованию закона

2.2 Запрещенные использования и раскрытия:
Бизнес-партнер не будет использовать или раскрывать PHI способом, отличным от предусмотренного в данном BAA, разрешенного в соответствии с Правилом конфиденциальности или требуемого законом. Бизнес-партнер будет использовать или раскрывать PHI, насколько это практически осуществимо, как ограниченный набор данных или ограничиваясь минимально необходимым количеством PHI для выполнения предполагаемой цели использования или раскрытия, в соответствии с Разделом 13405(b) HITECH Act.

2.3 Меры защиты:
Бизнес-партнер внедрит административные, физические и технические меры защиты, которые разумно и надлежащим образом защищают конфиденциальность, целостность и доступность PHI, включая:

  • Шифрование AES-256 в покое и при передаче
  • Контроль доступа на основе ролей (RBAC) с разрешениями по проектам
  • Средства аудита, отслеживающие доступ/изменение PHI
  • Безопасная аутентификация с использованием магических ссылок по электронной почте (без пароля)
  • Документация процедур экстренного доступа
  • Такие другие меры защиты, которые необходимы для предотвращения использования или раскрытия PHI иначе, чем разрешено данным BAA

3. Субподрядчики

3.1 Авторизованные субподрядчики:
Бизнес-партнер может использовать следующих субподрядчиков в связи с услугами, предоставляемыми Охваченной организации:

  • Cloudflare (Шифрование при передаче)
  • Amazon AWS (Шифрование хранения)

3.2 Требования:

  • Бизнес-партнер обеспечит, чтобы любые его агенты или субподрядчики, которые имеют доступ к PHI или которым Бизнес-партнер предоставляет PHI, согласились в письменной форме на ограничения и условия, касающиеся использования и раскрытия PHI, содержащиеся в данном BAA
  • Бизнес-партнер поддерживает BAA со всеми субподрядчиками, обрабатывающими PHI
  • Бизнес-партнер предоставит уведомление за 30 дней о новых субподрядчиках посредством уведомления по электронной почте
  • Бизнес-партнер обеспечит, чтобы все субконтракты и соглашения предоставляли тот же уровень конфиденциальности и безопасности, что и данное BAA

4. Требования к отчетности

4.1 Уведомление о нарушении:

  • Бизнес-партнер сообщит Охваченной организации в письменной форме о любом использовании или раскрытии PHI, не предусмотренном данным BAA, о котором ему станет известно, в течение пяти рабочих дней
  • Бизнес-партнер сообщит о нарушениях незащищенной PHI в течение 60 календарных дней с момента обнаружения
  • Бизнес-партнер предоставит немедленное предварительное уведомление, если затронуто более 500 лиц
  • Отчеты будут идентифицировать затронутых лиц, описывать характер нарушения, излагать предпринятые меры по смягчению последствий и предоставлять процедуры контакта для затронутых сторон

4.2 Инциденты безопасности:
Бизнес-партнер соглашается сообщать Охваченной организации о любом Инциденте безопасности, затрагивающем Электронную PHI Охваченной организации, о котором ему станет известно, в течение пяти рабочих дней.

5. Управление данными

5.1 Минимально необходимое:

  • Бизнес-партнер внедрит политики для ограничения доступа к PHI до минимально необходимого для выполнения задачи
  • Бизнес-партнер будет проводить ежеквартальные проверки доступа своей командой безопасности

5.2 Права лиц:

  • По запросу Бизнес-партнер предоставит Охваченной организации копии PHI, поддерживаемой Бизнес-партнером в Назначенном наборе записей, чтобы позволить Охваченной организации ответить на запрос Лица о доступе в соответствии с 45 CFR §164.524
  • По запросу и инструкции от Охваченной организации Бизнес-партнер внесет поправки в PHI в Назначенном наборе записей по указанию Охваченной организации в соответствии с 45 CFR §164.526
  • Бизнес-партнер будет документировать раскрытия PHI, как требуется для ответа Охваченной организации на запрос об отчете о раскрытиях в соответствии с 45 CFR §164.528

5.3 Утилизация:

  • Бизнес-партнер внедрит безопасное удаление с использованием стандартов NIST 800-88
  • Сертификаты уничтожения PHI будут предоставлены по запросу

6. Срок действия и прекращение

6.1 Срок действия:
Данное BAA вступит в силу с Даты вступления в силу и будет продолжать действовать до тех пор, пока все обязательства Сторон не будут выполнены в соответствии с Соглашением и данным BAA.

6.2 Прекращение по причине:

  • Охваченная организация может немедленно прекратить данное BAA и Соглашение, если Охваченная организация определит, что Бизнес-партнер нарушил существенное условие данного BAA, и Бизнес-партнер не смог исправить это существенное нарушение в течение 30 дней после письменного уведомления
  • Бизнес-партнер может прекратить данное BAA и Соглашение, если он определит, что Охваченная организация нарушила существенное условие данного BAA и не смогла исправить в течение 30 дней после уведомления

6.3 Обязательства при прекращении:

  • При прекращении Соглашения или данного BAA по любой причине вся PHI, поддерживаемая Бизнес-партнером, будет возвращена Охваченной организации или уничтожена
  • Бизнес-партнер не будет сохранять никаких копий PHI, если возвращение или уничтожение невыполнимо
  • Обязательства, связанные с PHI, сохраненной из-за невыполнимости, переживут прекращение
  • Полная сертификация уничтожения будет предоставлена в течение 180 дней после прекращения, когда это выполнимо

6.4 Сохранение силы:
Обязательства Бизнес-партнера в соответствии с данным Разделом переживут прекращение данного BAA.

7. Общие положения

7.1 Права аудита:

  • Охваченная организация имеет право запрашивать ежегодные аудиты HIPAA третьими сторонами
  • Бизнес-партнер предоставит доступ к своей внутренней практике, книгам, соглашениям, записям, политикам и процедурам, касающимся использования и раскрытия PHI, по запросу HHS для целей определения соответствия
  • Бизнес-партнер будет сотрудничать с требованиями аудита HHS

7.2 Конфликт:

  • Требования HIPAA превалируют над конфликтующими условиями в данном BAA или Соглашении
  • В случае любого конфликта между условиями данного BAA и условиями Соглашения, условия данного BAA будут иметь преимущество

7.3 Поправки:

  • Данное BAA не может быть изменено, и никакое положение не будет отменено или изменено, кроме как в письменной форме, должным образом подписанной уполномоченными представителями Сторон
  • Поправки могут потребоваться для изменений в правилах или регуляциях HIPAA

7.4 Соответствие HITECH Act:
Стороны признают, что HITECH Act включает значительные изменения в требования HIPAA. Каждая Сторона соглашается соблюдать применимые положения HITECH Act и любые регуляции HHS, изданные в отношении HITECH Act.

7.5 Собственность на данные:
Управление данными Бизнес-партнером не наделяет Бизнес-партнера правами собственности на данные в отношении любых данных, предоставленных ему в соответствии с Соглашением, включая любые и все формы PHI.

7.6 Отсутствие выгодоприобретателей третьих сторон:
За исключением случаев, прямо указанных в данном BAA или предусмотренных законом, данное BAA не создаст никаких прав в пользу любой третьей стороны.

7.7 Уведомления:
Все уведомления, запросы и требования или другие сообщения, которые должны быть даны в соответствии с данным BAA Стороне, будут делаться либо посредством почты первого класса, заказной или сертифицированной, либо экспресс-курьера, либо электронной почты на адрес Стороны, предоставленный во время регистрации аккаунта или впоследствии обновленный в письменной форме.

В УДОСТОВЕРЕНИЕ ЧЕГО Стороны подтверждают свое согласие с вышеуказанными условиями посредством принятия данных условий Охваченной организацией во время создания аккаунта или посредством продолжения использования Услуг Blue после уведомления об этих условиях.

© Blue | Разработано с по всему

AI Ассистент

Ответы генерируются с использованием ИИ и могут содержать ошибки.

Как я могу вам помочь?

Спросите меня о чем угодно, связанном с Blue или этой документацией.

Введите для отправки • Shift+Enter для новой строки • ⌘I для открытия