Hinweis zur offiziellen Sprache

Dieses Dokument wird in englischer Sprache als einzige offizielle und rechtsverbindliche Fassung bereitgestellt. Übersetzte Versionen dienen ausschließlich der Information und haben keine rechtliche Wirkung. Bei Widersprüchen zwischen einer Übersetzung und der englischen Fassung ist die englische Fassung maßgebend.

Offizielle englische Version anzeigen

HIPAA-Dienstleistungsnachtrag

March 20, 2026

Dieser HIPAA-Dienstleistungsnachtrag ("Nachtrag") gilt ausschließlich für Kunden, die eine Geschäftspartnervereinbarung ("BAA") mit Vilulia abgeschlossen haben. Dieser Nachtrag ist Bestandteil der Nutzungsbedingungen und jedes Bestellformulars für HIPAA-fähige Dienste. Im Falle eines Widerspruchs zwischen diesem Nachtrag und den Nutzungsbedingungen in Bezug auf HIPAA-fähige Dienste hat dieser Nachtrag Vorrang.

Geteilte Verantwortung für die HIPAA-Compliance: Vilulia ist bestrebt, eine sichere, HIPAA-fähige Plattform bereitzustellen und die technischen und organisatorischen Schutzmaßnahmen aufrechtzuerhalten, die von einem Geschäftspartner verlangt werden. Die vollständige HIPAA-Compliance erfordert auch, dass Kunden ihre eigenen Pflichten als Betroffene Einrichtungen oder Geschäftspartner erfüllen, einschließlich Zugriffskonfiguration, Mitarbeiterschulung und PHI-Governance. Dieser Nachtrag beschreibt, wie die Verantwortung zwischen den Parteien aufgeteilt wird.

1. HIPAA-fähige Nutzung

Die Dienste umfassen HIPAA-fähige Konfigurationen, die Kunden mit HIPAA-Verpflichtungen unterstützen sollen. PHI dürfen nur im Zusammenhang mit Workflows und Konfigurationen hochgeladen oder verarbeitet werden, die Vilulia als HIPAA-fähig bezeichnet (beispielsweise Funktionen, die im jeweiligen Bestellformular ausdrücklich als HIPAA Basic oder HIPAA Enhanced gekennzeichnet sind). Der Kunde ist dafür verantwortlich sicherzustellen, dass seine spezifischen Workflows und Konfigurationen für seine HIPAA-Compliance-Verpflichtungen geeignet sind. Falls Sie unsicher sind, ob ein bestimmter Workflow HIPAA-fähig ist, wenden Sie sich an vilulia.com/contact, bevor Sie PHI hochladen.

2. Verpflichtungen von Vilulia für HIPAA-fähige Tarife

Für Kunden mit HIPAA-fähigen Tarifen und einer abgeschlossenen BAA wird Vilulia:

  • Technische Schutzmaßnahmen im Einklang mit der HIPAA Security Rule aufrechterhalten, einschließlich Verschlüsselung bei der Übertragung und im Ruhezustand, Audit-Protokollierung und Zugriffskontrollen.
  • Den Zugriff auf PHI auf Personal beschränken, das diesen zur Erbringung der Dienste benötigt und das Vertraulichkeitsverpflichtungen unterliegt.
  • Verletzungen ungesicherter PHI innerhalb von 72 Stunden nach Entdeckung melden, wie in der BAA beschrieben.
  • Unterauftragnehmern, die auf PHI zugreifen, gleichwertige Datenschutzpflichten auferlegen.
  • Die Zugangs-, Änderungs- und Offenlegungsprotokoll-Pflichten des Kunden wie in der BAA beschrieben unterstützen.
  • PHI nicht zum Trainieren von KI-Modellen oder für andere Zwecke als die Bereitstellung der Dienste verwenden.

3. Pflichten des Kunden

Die Erreichung der HIPAA-Compliance ist eine geteilte Verantwortung. Der Kunde ist verantwortlich für:

  • Die Bestimmung, welche PHI in die Dienste hochgeladen werden, und die Sicherstellung, dass diese auf das für den beabsichtigten Workflow Notwendige beschränkt sind.
  • Die Konfiguration von Benutzerzugang, Rollen, Berechtigungen und Authentifizierungsrichtlinien (einschließlich der Aktivierung von MFA, sofern verfügbar).
  • Die Sicherstellung, dass Mitarbeiter eine angemessene HIPAA-Schulung erhalten und bei Verstößen Sanktionen unterliegen.
  • Die Aufrechterhaltung der Sicherheit von Endgeräten, Netzwerken und Anmeldedaten, die für den Zugriff auf die Dienste verwendet werden.
  • Die Überprüfung und Konfiguration von Aufbewahrungsfristen, Freigabeeinstellungen, Exporten und externen Integrationen zur Verhinderung unbefugter Offenlegung.
  • Die unverzügliche Benachrichtigung von Vilulia bei Verdacht auf Kompromittierung von Anmeldedaten oder unbefugten Zugriff auf die Dienste.

4. Zusammenfassung der geteilten Verantwortung

Bereich Verantwortung von Vilulia Verantwortung des Kunden
Infrastruktursicherheit Verschlüsselung, Zugriffskontrollen, Audit-Protokollierung, Überwachung MFA-Aktivierung, Anmeldedatensicherheit, Endgerätesicherheit
PHI-Governance Verarbeitung von PHI nur wie in der BAA gestattet Bestimmung der hochzuladenden PHI; Minimierung des PHI-Umfangs
Mitarbeiter Schulung und Verpflichtung des Vilulia-Personals mit Zugriff auf PHI Schulung und Sanktionierung der eigenen Mitarbeiter des Kunden
Reaktion auf Verletzungen Erkennung, Meldung innerhalb von 72 Stunden und Eindämmung von Verletzungen Benachrichtigung von Vilulia bei Verdacht auf Kompromittierung von Anmeldedaten; Mitwirkung bei der Untersuchung
Konfiguration Bereitstellung HIPAA-fähiger Konfigurationen und Kontrollen Ordnungsgemäße Konfiguration von Zugriff, Freigabe und Integrationen

5. HIPAA-Dienstleistungsstufen

Wenn der Kunde HIPAA-Dienstleistungsstufen erwirbt, umfassen diese zusätzliche Schutzmaßnahmen, Konfigurationen, Protokollierung und Support-Verpflichtungen über den Standardtarif hinaus. Spezifische Leistungen und etwaige Ausschlüsse sind im jeweiligen Bestellformular und in der Produktdokumentation beschrieben. Wenden Sie sich an vilulia.com/contact für Einzelheiten zu den Leistungen der einzelnen Stufen.

6. Vom Kunden verursachte Vorfälle

Vilulia implementiert und pflegt die in diesem Nachtrag und der BAA beschriebenen Schutzmaßnahmen. Vilulia ist jedoch nicht verantwortlich für Sicherheitsvorfälle oder Compliance-Verstöße, die vorwiegend entstehen durch: Fehlkonfiguration von Zugriffskontrollen oder Berechtigungen durch den Kunden; Kompromittierung von kundenseitig kontrollierten Anmeldedaten; unbefugte Weitergabe durch Mitarbeiter des Kunden; Sicherheitsmängel auf kundenseitig kontrollierten Geräten oder Netzwerken; oder Nichtbeachtung der Sicherheitshinweise von Vilulia durch den Kunden. Wenn ein Vorfall auf eine Kombination von Faktoren zurückzuführen ist, werden die Parteien kooperativ zusammenarbeiten, um die Ursache und Reaktion zu bewerten.

7. Aussetzung; Risikominderung

Vilulia kann den HIPAA-bezogenen Zugang sofort aussetzen, wenn ein fortgesetzter Betrieb ein Sicherheits- oder Compliance-Risiko darstellen würde, einschließlich bei Verdacht auf Kompromittierung, Missbrauch oder anomale Aktivitäten. Vilulia wird den Kunden so schnell wie möglich nach einer Aussetzung benachrichtigen und mit dem Kunden zusammenarbeiten, um den Zugang nach Abschluss angemessener Abhilfemaßnahmen wiederherzustellen. Vilulia wird den HIPAA-Zugang nicht aus Gründen aussetzen, die nicht mit Sicherheit oder Compliance zusammenhängen, ohne vorherige Benachrichtigung und Gelegenheit zur Abhilfe gemäß den Nutzungsbedingungen.

Fragen zu diesem Dokument?

Unser Rechtsteam hilft Ihnen gerne bei allen Fragen.

Rechtsteam kontaktieren