Registrera dig
Kontakt Logga in Registrera dig
Systemstatus

HIPAA-kompatibelt avtal för hantering av skyddad hälsoinformation (PHI)

Ansvarsfriskrivning: Denna översättning tillhandahålls endast för bekvämlighet. Den officiella, juridiskt bindande versionen är den engelska versionen av detta dokument.

Senast uppdaterat: 16 juli 2025

Detta BUSINESS ASSOCIATE AGREEMENT ("BAA") ingås och träder i kraft vid det datum då det accepteras av den täckta enheten ("Ikraftträdandedatum") mellan Bloo Inc., ett Delaware-företag med sitt huvudkontor på [FÖRETAGSADRESS] ("Business Associate"), och den enhet eller organisation som accepterar detta avtal ("Täckt enhet"). I detta BAA är Täckt enhet och Business Associate var för sig en "Part" och tillsammans "Parterna".

Bakgrund

  1. Täckt enhet är antingen en "täckt enhet" eller "business associate" till en täckt enhet som var och en definieras under Health Insurance Portability and Accountability Act från 1996, Public Law 104-191, som ändrats genom HITECH Act och relaterade föreskrifter utfärdade av HHS (tillsammans "HIPAA") och är som sådan skyldig att följa HIPAA:s bestämmelser angående konfidentialitet och integritet för skyddad hälsoinformation;

  2. Parterna har ingått eller kommer att ingå ett eller flera avtal under vilka Business Associate tillhandahåller vissa specificerade tjänster till Täckt enhet genom Blue-plattformen (tillsammans "Avtalet");

  3. Vid tillhandahållande av tjänster enligt Avtalet kommer Business Associate att ha tillgång till skyddad hälsoinformation;

  4. Genom att tillhandahålla tjänsterna enligt Avtalet kommer Business Associate att bli en "business associate" till den Täckta enheten enligt definitionen under HIPAA;

  5. Båda parter är engagerade i att följa alla federala och statliga lagar som reglerar konfidentialitet och integritet för hälsoinformation, inklusive men inte begränsat till, Standards for Privacy of Individually Identifiable Health Information som finns i 45 CFR Part 160 och Part 164, Subparts A och E (tillsammans "Privacy Rule"); och

  6. Båda parter avser att skydda integriteten och säkerställa säkerheten för skyddad hälsoinformation som lämnas ut till Business Associate enligt villkoren i detta avtal, HIPAA och andra tillämpliga lagar.

Avtal

I BETRAKTANDE HÄRAV, med hänsyn till de ömsesidiga förbindelserna och villkoren som finns häri och det fortsatta tillhandahållandet av PHI från Täckt enhet till Business Associate under Avtalet i förlitan på detta BAA, kommer Parterna överens om följande:

1. Definitioner

För syftet med detta BAA ger Parterna följande betydelse till var och en av termerna nedan. Alla versaliserade termer som används i detta BAA, men som inte på annat sätt definieras, har den betydelse som ges till den termen i Privacy Rule eller tillämplig lag.

1.1 HIPAA-termer som definieras i 45 CFR § 160.103:

  • "Skyddad hälsoinformation" eller "PHI" betyder individuellt identifierbar hälsoinformation som skapats, mottagits, underhållits eller överförts av Business Associate på uppdrag av Täckt enhet.
  • "Täckt enhet" har den betydelse som ges till den termen i 45 CFR §160.103.
  • "Business Associate" har den betydelse som ges till den termen i 45 CFR §160.103.
  • "Intrång" betyder förvärv, tillgång, användning eller röjande av PHI på ett sätt som inte är tillåtet under Privacy Rule vilket komprometterar säkerheten eller integriteten för PHI, enligt definitionen i 45 CFR §164.402.
  • "Designated Record Set" har den betydelse som ges till sådan term under Privacy Rule, inklusive 45 CFR §164.501.

1.2 Ytterligare definitioner:

  • "Blue Services" betyder projektlednings- och datalagingstjänsterna som tillhandahålls genom https://www.blue.cc
  • "Elektronisk PHI" eller "ePHI" betyder all PHI som underhålls i eller överförs genom elektroniska medier enligt definitionen i 45 CFR §160.103.
  • "HHS" betyder U.S. Department of Health and Human Services.
  • "HITECH Act" betyder Health Information Technology for Economic and Clinical Health Act, antagen som en del av American Recovery and Reinvestment Act från 2009, Public Law 111-005.
  • "Individ" har samma betydelse som ges till den termen i 45 CFR §§164.501 och 160.130 och inkluderar en person som kvalificerar sig som en personlig representant i enlighet med 45 CFR §164.502(g).
  • "Säkerhetsincident" betyder det försökta eller framgångsrika obehöriga tillträdet, användningen, röjandet, modifieringen eller förstörelsen av information eller störning av systemoperationer i ett informationssystem.
  • "Security Rule" betyder Security Standards for the Protection of Electronic Health Information som tillhandahålls i 45 CFR Part 160 & Part 164, Subparts A och C.
  • "Oskyddad skyddad hälsoinformation" eller "Oskyddad PHI" betyder all PHI som inte gjorts oanvändbar, oläsbar eller oavkodbar för obehöriga individer genom användning av en teknik eller metod som specificeras av HHS Secretary.

2. Business Associates skyldigheter

2.1 Tillåtna användningar:
Business Associate får använda eller röja PHI endast enligt följande:

  • Bearbeta PHI endast för: (a) Patientdatalagring (b) Analys för behandling/operationer (c) Andra tjänster specificerade i användarvillkoren
  • Som nödvändigt för att tillhandahålla tjänsterna som beskrivs i Avtalet till Täckt enhet
  • För korrekt hantering och administration av Business Associates verksamhet
  • För att utföra Business Associates juridiska ansvar
  • Som krävs enligt lag

2.2 Förbjudna användningar och röjanden:
Business Associate kommer inte att använda eller röja PHI på annat sätt än som tillhandahålls i detta BAA, som tillåts under Privacy Rule, eller som krävs enligt lag. Business Associate kommer att använda eller röja PHI, i den mån det är praktiskt möjligt, som en begränsad datamängd eller begränsat till det minst nödvändiga beloppet av PHI för att utföra det avsedda syftet med användningen eller röjandet, i enlighet med Section 13405(b) av HITECH Act.

2.3 Skyddsåtgärder:
Business Associate kommer att implementera administrativa, fysiska och tekniska skyddsåtgärder som rimligt och lämpligt skyddar konfidentialiteten, integriteten och tillgängligheten för PHI, inklusive:

  • AES-256-kryptering i vila och under transport
  • Rollbaserade åtkomstkontroller (RBAC) med per-projekt-behörigheter
  • Auditkontroller som spårar PHI-åtkomst/modifiering
  • Säker autentisering med hjälp av magiska länkar via e-post (lösenordsfri)
  • Dokumentation för nödåtkomstprocedur
  • Sådana andra skyddsåtgärder som är nödvändiga för att förhindra användning eller röjande av PHI annat än som tillåts av detta BAA

3. Underleverantörer

3.1 Auktoriserade underleverantörer:
Business Associate får använda följande underleverantörer i samband med tjänster som tillhandahålls till Täckt enhet:

  • Cloudflare (Transitkryptering)
  • Amazon AWS (Lagringskryptering)

3.2 Krav:

  • Business Associate kommer att säkerställa att någon av dess agenter eller underleverantörer som har tillgång till, eller till vilken Business Associate tillhandahåller, PHI skriftligen godkänner begränsningarna och villkoren angående användningar och röjanden av PHI som finns i detta BAA
  • Business Associate upprätthåller BAA:er med alla underleverantörer som hanterar PHI
  • Business Associate kommer att tillhandahålla 30-dagars varsel för nya underleverantörer via e-postmeddelande
  • Business Associate ska säkerställa att alla underkontrakt och avtal tillhandahåller samma nivå av integritet och säkerhet som detta BAA

4. Rapporteringskrav

4.1 Intrångsmeddelande:

  • Business Associate kommer att rapportera till Täckt enhet skriftligen all användning eller röjande av PHI som inte tillhandahålls av detta BAA och som det blir medvetet om inom fem arbetsdagar
  • Business Associate kommer att rapportera intrång av oskyddad PHI inom 60 kalenderdagar från upptäckt
  • Business Associate kommer att tillhandahålla omedelbart preliminärt meddelande om mer än 500 individer påverkas
  • Rapporter kommer att identifiera påverkade individer, beskriva intrångets natur, beskriva vidtagna begränsningsåtgärder och tillhandahålla kontaktprocedurer för påverkade parter

4.2 Säkerhetsincidenter:
Business Associate går med på att rapportera till Täckt enhet all säkerhetsincident som påverkar elektronisk PHI för Täckt enhet som det blir medvetet om inom fem arbetsdagar.

5. Datahantering

5.1 Minimum nödvändigt:

  • Business Associate kommer att implementera policyer för att begränsa PHI-åtkomst till det minst nödvändiga för uppgiften
  • Business Associate kommer att genomföra kvartalsvisa åtkomstrecensioner av sitt säkerhetsteam

5.2 Individuella rättigheter:

  • På begäran kommer Business Associate att förse Täckt enhet med kopior av PHI som underhålls av Business Associate i en Designated Record Set för att göra det möjligt för Täckt enhet att svara på en individs begäran om åtkomst under 45 CFR §164.524
  • På begäran och instruktion från Täckt enhet kommer Business Associate att ändra PHI i en Designated Record Set enligt Täckt enhets anvisning i enlighet med 45 CFR §164.526
  • Business Associate kommer att dokumentera röjanden av PHI som krävs för att Täckt enhet ska kunna svara på en begäran om redovisning av röjanden under 45 CFR §164.528

5.3 Bortskaffning:

  • Business Associate kommer att implementera säker radering med NIST 800-88-standarder
  • PHI-förstörelsecertifikat kommer att göras tillgängliga på begäran

6. Löptid och uppsägning

6.1 Löptid:
Detta BAA kommer att träda i kraft på ikraftträdandedatumet och kommer att fortsätta att gälla tills alla skyldigheter för Parterna har uppfyllts under Avtalet och under detta BAA.

6.2 Uppsägning på grund av orsak:

  • Täckt enhet får omedelbart säga upp detta BAA och Avtalet om Täckt enhet fastställer att Business Associate har brutit mot en väsentlig term i detta BAA och Business Associate har misslyckats med att åtgärda det väsentliga brottet inom 30 dagar efter skriftligt meddelande
  • Business Associate får säga upp detta BAA och Avtalet om det fastställer att Täckt enhet har brutit mot en väsentlig term i detta BAA och har misslyckats med att åtgärda inom 30 dagar efter meddelande

6.3 Skyldigheter vid uppsägning:

  • Vid uppsägning av Avtalet eller detta BAA av någon anledning kommer all PHI som underhålls av Business Associate att returneras till Täckt enhet eller förstöras
  • Business Associate kommer inte att behålla några kopior av PHI såvida inte återlämnande eller förstörelse är opraktisk
  • Skyldigheter relaterade till PHI som behålls på grund av opraktikalitet kommer att överleva uppsägningen
  • Fullständig förstörelsecertifiering kommer att tillhandahållas inom 180 dagar från uppsägningen när det är möjligt

6.4 Överlevnad:
Skyldigheterna för Business Associate under denna sektion ska överleva uppsägningen av detta BAA.

7. Allmänna bestämmelser

7.1 Auditrättigheter:

  • Täckt enhet har rätt att begära årliga tredjepartsaudits för HIPAA
  • Business Associate kommer att göra tillgängliga sina interna praxis, böcker, avtal, register och policyer och procedurer relaterade till användning och röjande av PHI på begäran till HHS för syftet att fastställa efterlevnad
  • Business Associate kommer att samarbeta med HHS-auditkrav

7.2 Konflikt:

  • HIPAA-krav har företräde över motstridiga termer i detta BAA eller Avtalet
  • I händelse av konflikt mellan termerna i detta BAA och termerna i Avtalet kommer termerna i detta BAA att gälla

7.3 Ändringar:

  • Detta BAA får inte modifieras, och ingen bestämmelse kommer att avstås från eller ändras, förutom skriftligen vederbörligen undertecknad av auktoriserade representanter för Parterna
  • Ändringar kan krävas för förändringar i HIPAA-regler eller föreskrifter

7.4 HITECH Act-efterlevnad:
Parterna erkänner att HITECH Act inkluderar betydande förändringar av HIPAA-krav. Varje part går med på att följa tillämpliga bestämmelser i HITECH Act och alla HHS-föreskrifter utfärdade med avseende på HITECH Act.

7.5 Dataägarskap:
Business Associates dataförvaltarskap ger inte Business Associate dataägarrättigheter med avseende på all data som delas med det under Avtalet, inklusive alla former av PHI.

7.6 Inga tredjepartsförmånstagare:
Förutom som uttryckligen anges i detta BAA eller som tillhandahålls enligt lag kommer detta BAA inte att skapa några rättigheter till förmån för någon tredje part.

7.7 Meddelanden:
Alla meddelanden, begäranden och krav eller annan kommunikation som ska ges under detta BAA till en part kommer att göras via antingen förstklasspost, registrerad eller certifierad eller expresskurir, eller elektronisk post till partens adress som tillhandahålls under kontoregistrering eller som därefter uppdateras skriftligen.

TILL VITTNESBÖRD HÄRAV erkänner Parterna sitt avtal till ovanstående villkor genom Täckt enhets acceptans av dessa villkor under kontoskapande eller genom fortsatt användning av Blue Services efter meddelande om dessa villkor.

© Blue | Designad med över

AI-assistent

Svar genereras med hjälp av AI och kan innehålla misstag.

Hur kan jag hjälpa dig?

Fråga mig vad som helst om Blue eller denna dokumentation.

Tryck Enter för att skicka • Shift+Enter för ny rad • ⌘I för att öppna