Diese Geschäftspartnervereinbarung ("BAA") wird zwischen Vilulia LLC ("Geschäftspartner") und der juristischen Person oder natürlichen Person geschlossen, die diese BAA im Rahmen des Vilulia-Kontoeinrichtungsprozesses abschließt ("Betroffene Einrichtung"). Diese BAA soll die Anforderungen des Health Insurance Portability and Accountability Act von 1996 und seiner Durchführungsverordnungen in der jeweils geltenden Fassung ("HIPAA") erfüllen, einschließlich des HITECH Act.

Wie diese BAA geschlossen wird: Diese BAA wird im Rahmen des Vilulia-Kontoeinrichtungsprozesses für HIPAA-fähige Tarife vorgelegt. Durch Abschluss der Kontoeinrichtung und Aktivierung des Akzeptanzfeldes stimmt die Betroffene Einrichtung den Bedingungen dieser BAA zu. Das Akzeptanzdatum wird erfasst und dem Konto der Betroffenen Einrichtung zugeordnet. Eine Kopie dieser BAA ist jederzeit in den Kontoeinstellungen verfügbar.

1. Definitionen

Großgeschriebene Begriffe, die in dieser BAA nicht anderweitig definiert sind, haben die in HIPAA festgelegten Bedeutungen, einschließlich 45 C.F.R. Parts 160 und 164. "Geschützte Gesundheitsinformationen" oder "PHI" haben die in 45 C.F.R. § 160.103 festgelegte Bedeutung. "Verletzung" hat die in 45 C.F.R. § 164.402 festgelegte Bedeutung.

2. Geltungsbereich; Verhältnis zu anderen Vereinbarungen

Diese BAA gilt für PHI, die der Geschäftspartner im Auftrag der Betroffenen Einrichtung im Zusammenhang mit den Diensten erstellt, empfängt, pflegt oder übermittelt. Bei Widersprüchen zwischen dieser BAA und anderen Vereinbarungen zwischen den Parteien bezüglich des Umgangs mit PHI hat diese BAA für PHI Vorrang.

3. Erlaubte Verwendungen und Offenlegungen von PHI

Der Geschäftspartner darf PHI nur wie folgt verwenden und offenlegen:

Zur Erbringung von Diensten für die Betroffene Einrichtung gemäß den Vereinbarung(en) der Parteien für die Dienste.
Zur Wartung, Sicherung und Unterstützung der Dienste, einschließlich Fehlerbehebung, Qualitätssicherung und Incident Response.
Zur Einhaltung der für den Geschäftspartner geltenden gesetzlichen Anforderungen.
Für die ordnungsgemäße Verwaltung und Administration des Geschäftspartners oder zur Erfüllung seiner gesetzlichen Pflichten, sofern die Offenlegungen zu diesen Zwecken gesetzlich zulässig sind und der Geschäftspartner, wo erforderlich, angemessene Zusicherungen des Empfängers einholt.

4. Verbotene Verwendungen und Offenlegungen

Der Geschäftspartner wird PHI nicht anders verwenden oder offenlegen als in dieser BAA gestattet oder gesetzlich vorgeschrieben. Der Geschäftspartner wird PHI nicht in einer Weise verwenden oder offenlegen, die gegen HIPAA verstoßen würde, wenn sie von der Betroffenen Einrichtung vorgenommen würde. Der Geschäftspartner wird PHI nicht zum Trainieren von KI-Modellen oder für andere Zwecke als die Bereitstellung der Dienste für die Betroffene Einrichtung verwenden.

5. Schutzmaßnahmen; HIPAA Security Rule

Der Geschäftspartner wird angemessene administrative, physische und technische Schutzmaßnahmen implementieren und aufrechterhalten, die darauf ausgelegt sind, die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer PHI zu schützen, im Einklang mit 45 C.F.R. Part 164, Subpart C (der Security Rule), einschließlich Zugriffskontrollen, Audit-Kontrollen und Mitarbeitersicherheit. Der Geschäftspartner wird die Schutzmaßnahmen bei Bedarf angesichts bekannter Bedrohungen oder Schwachstellen überprüfen und aktualisieren.

6. Meldung von Verletzungen und Sicherheitsvorfällen

Der Geschäftspartner wird der Betroffenen Einrichtung jede Verletzung ungesicherter PHI ohne unangemessene Verzögerung und spätestens 72 Stunden nach Entdeckung melden, es sei denn, im Bestellformular der Parteien ist eine kürzere Frist festgelegt. Eine solche Mitteilung enthält, soweit bekannt, die Informationen, die die Betroffene Einrichtung benötigt, um 45 C.F.R. § 164.404 einzuhalten, einschließlich der Art der Verletzung, der betroffenen PHI, der wahrscheinlichen Ursache und der Schritte, die der Geschäftspartner zur Schadensminderung unternimmt.

"Sicherheitsvorfall" im Sinne von HIPAA kann erfolglose Versuche umfassen; der Geschäftspartner kann gegebenenfalls regelmäßige Zusammenfassungen routinemäßiger, erfolgloser Sicherheitsereignisse bereitstellen.

7. Unterauftragnehmer

Der Geschäftspartner stellt sicher, dass jeder Unterauftragnehmer, der PHI im Auftrag des Geschäftspartners erstellt, empfängt, pflegt oder übermittelt, schriftlich Beschränkungen und Bedingungen zustimmt, die mindestens ebenso streng sind wie die in dieser BAA, einschließlich angemessener Schutzmaßnahmen.

8. Zugang; Änderung; Offenlegungsprotokoll

Soweit der Geschäftspartner PHI in einem Designated Record Set pflegt, wird der Geschäftspartner die Betroffene Einrichtung gegebenenfalls unterstützen, um: (a) Personen Zugang zu PHI gemäß 45 C.F.R. § 164.524 zu gewähren; (b) PHI gemäß 45 C.F.R. § 164.526 zu ändern; und (c) ein Offenlegungsprotokoll gemäß 45 C.F.R. § 164.528 bereitzustellen. Die Betroffene Einrichtung ist dafür verantwortlich festzustellen, ob Anfragen gelten, und die erforderlichen Anweisungen zu erteilen. Der Geschäftspartner wird auf angemessene Zugangs- und Änderungsanfragen innerhalb von dreißig (30) Tagen nach Eingang antworten.

9. Mindestnotwendigkeit

Der Geschäftspartner wird nur die für den beabsichtigten Zweck mindestens notwendigen PHI anfordern, verwenden und offenlegen, im Einklang mit den HIPAA-Anforderungen, soweit nicht anderweitig gesetzlich gestattet.

10. Laufzeit und Kündigung

Diese BAA tritt mit dem Datum der Kontoeinrichtungsakzeptanz durch die Betroffene Einrichtung in Kraft und bleibt bis zur Kündigung bestehen. Die Betroffene Einrichtung kann diese BAA wegen wesentlicher Vertragsverletzung durch den Geschäftspartner kündigen, wenn der Geschäftspartner die Verletzung nicht innerhalb von dreißig (30) Tagen nach schriftlicher Mitteilung behebt. Der Geschäftspartner kann diese BAA kündigen, wenn die Betroffene Einrichtung ihre Pflichten in Bezug auf die Dienste wesentlich verletzt und nach Mitteilung nicht behebt.

Wenn eine Kündigung nicht durchführbar ist und der Geschäftspartner feststellt, dass eine Behebung nicht möglich ist, wird der Geschäftspartner das Problem dem U.S. Department of Health and Human Services gemäß HIPAA melden.

11. Rückgabe oder Vernichtung von PHI

Nach Beendigung dieser BAA wird der Geschäftspartner auf schriftliche Anforderung der Betroffenen Einrichtung PHI, die der Geschäftspartner noch in irgendeiner Form pflegt, zurückgeben oder vernichten, es sei denn, die Rückgabe oder Vernichtung ist nicht durchführbar. Wenn nicht durchführbar, wird der Geschäftspartner den Schutz dieser BAA auf solche PHI erstrecken und die weitere Verwendung und Offenlegung einschränken. Der Geschäftspartner wird den Abschluss der Rückgabe oder Vernichtung innerhalb einer angemessenen Frist nach der Anforderung schriftlich bestätigen.

12. Regulatorische Zusammenarbeit

Der Geschäftspartner wird seine internen Praktiken, Bücher und Aufzeichnungen bezüglich der Verwendung und Offenlegung von PHI dem Sekretär des HHS gemäß HIPAA zur Verfügung stellen.

13. Keine Drittbegünstigten

Nichts in dieser BAA begründet Rechte für Dritte, einschließlich Einzelpersonen, außer den Parteien dieser BAA.

14. Anwendbares Recht

Diese BAA unterliegt dem Recht des Commonwealth of Virginia, soweit nicht durch HIPAA verdrängt.

15. Auslegung

Die Parteien beabsichtigen, dass diese BAA HIPAA entspricht. Jede Mehrdeutigkeit wird so ausgelegt, dass die Betroffene Einrichtung und der Geschäftspartner HIPAA einhalten können. Wenn eine Bestimmung dieser BAA mit HIPAA in der jeweils geltenden Fassung in Widerspruch steht, hat HIPAA Vorrang.

Elektronische Annahme

Diese BAA wird elektronisch im Rahmen des Vilulia-Kontoeinrichtungsprozesses geschlossen. Durch Abschluss der HIPAA-Tarifeinrichtung und Angabe der Annahme erklärt sich die Betroffene Einrichtung mit den Bedingungen dieser BAA einverstanden. Die elektronische Annahme hat die gleiche Rechtswirkung wie eine handschriftliche Unterschrift. Der Annahmezeitstempel und die Kontokennung werden erfasst und stellen die verbindliche Zustimmung der Betroffenen Einrichtung zu diesen Bedingungen dar. Eine Kopie dieser BAA zusammen mit der Annahmebestätigung ist jederzeit in Ihren Kontoeinstellungen unter Recht & Compliance abrufbar.

Geschäftspartnervereinbarung (HIPAA)