Blue如何根据HIPAA法规处理受保护健康信息(PHI)的详细说明。
最后更新日期:2025年7月16日
1. 简介
本HIPAA隐私政策阐述了Bloo, Inc.("我们"、"我司"或"Blue")如何根据1996年《健康保险流通与责任法案》(HIPAA)及其实施法规保护受保护健康信息(PHI)的隐私和安全。本政策适用于我们的网站www.Blue.cc以及在处理PHI时使用的B2B SaaS平台。
2. 定义
- 受保护健康信息(PHI):任何关于健康状况、医疗保健服务提供或医疗保健付费的信息,且可与特定个人关联。
- 承保实体:以电子方式传输健康信息的医疗保健提供者、健康计划和医疗保健数据交换中心。
- 业务合作伙伴:代表承保实体执行涉及使用或披露PHI的特定功能或活动,或向承保实体提供服务的个人或实体。
3. 我们的角色
当我们的B2B SaaS平台用于处理PHI时,Blue作为承保实体的业务合作伙伴。我们承诺在此角色下遵守HIPAA法规。
4. 我们可能处理的PHI
作为业务合作伙伴,我们可能处理各种类型的PHI,包括但不限于:
- 患者姓名
- 地址
- 日期(出生、入院、出院等)
- 电话号码
- 电子邮箱地址
- 医疗记录号码
- 账户号码
- 健康计划受益人号码
5. PHI的使用和披露
我们仅会在业务合作伙伴协议与承保实体允许的范围内以及符合HIPAA法规的情况下使用或披露PHI。这可能包括:
- 提供我们的B2B SaaS平台服务
- 进行数据分析以改进我们的服务
- 执行系统维护和故障排除
我们不会将PHI用于营销目的或出售PHI,除非承保实体和个人明确授权。
6. 数据安全措施
我们实施强大的安全措施来保护PHI,包括:
- 静态和传输中数据的企业级加密(AES-256)
- 先进的监控和警报系统
- 后台系统的多因素认证(MFA)
- 定期第三方安全审计
- 每日数据备份
- 与外部安全研究人员合作
7. 员工培训和访问权限
我们所有员工都会定期接受HIPAA合规培训。对PHI的访问仅限于授权人员,且遵循知晓必要原则。
8. 数据保留
我们仅在提供服务所需或法律要求的期间内保留PHI。PHI删除后,我们会保留30天然后进行永久删除。
9. 数据存储和传输
PHI以加密形式静态存储在AWS数据中心中。如果我们将PHI传输到美国境外(例如新加坡),我们会确保适当的安全保障措施到位,并遵守所有适用的法律法规。
10. 违规通知
如果发生未加密PHI的违规事件,我们将在发现违规后不得无故延迟且不迟于60个日历日内通知受影响的承保实体。
11. 个人权利
我们将协助承保实体履行其义务,为个人提供HIPAA规定的权利,包括:
- 访问其PHI的权利
- 要求修改其PHI的权利
- 披露记录的权利
- 要求限制使用和披露其PHI的权利
- 要求保密通信的权利
个人应联系其医疗保健提供者(承保实体)来行使这些权利。
12. 业务合作伙伴协议(BAA)
作为业务合作伙伴,Blue承诺根据HIPAA要求与承保实体签订业务合作伙伴协议(BAA)。如果您是承保实体并希望使用我们的服务来处理受保护健康信息(PHI),您需要与我们签署BAA。
申请BAA:
- 联系我们的销售团队,邮箱:sales@blue.cc 或通过我们网站的联系表单。
- 说明您是需要BAA以符合HIPAA合规要求的承保实体。
- 提供您机构的名称和联系信息。
- 我们的团队将在2个工作日内回复,提供我们的标准BAA或讨论任何定制要求。
请注意:
- 我们使用经过我们法务团队审查的标准BAA模板,以确保HIPAA合规。
- 对我们标准BAA的任何修改可能需要额外审查和批准。
- 我们建议您在签署前让自己的法律顾问审查BAA。
- 在通过我们的平台处理任何PHI之前,必须签署BAA。
13. 本政策的变更
我们可能会不时更新本HIPAA隐私政策。我们将通过在此页面发布新的隐私政策来通知承保实体任何重要变更。您可以在我们的Gitlab存储库中找到所有版本控制的变更记录。
14. 联系我们
如果您对本HIPAA隐私政策、我们的数据处理实践或我们的BAA流程有任何疑问,请联系我们的隐私官:
Emanuele FAJA,首席执行官
邮箱:support@blue.cc