Este Acordo de Associado Comercial ("BAA") é celebrado entre a Vilulia LLC ("Associado Comercial") e a entidade ou indivíduo que executa este BAA por meio do processo de configuração de conta da Vilulia ("Entidade Coberta"). Este BAA destina-se a satisfazer os requisitos da Lei de Portabilidade e Responsabilidade de Seguro Saúde de 1996 e seus regulamentos de implementação, conforme alterados ("HIPAA"), incluindo a Lei HITECH.

Como este BAA é executado: Este BAA é apresentado como parte do fluxo de configuração de conta da Vilulia para planos elegíveis ao HIPAA. Ao concluir a configuração da conta e marcar a caixa de aceitação, a Entidade Coberta concorda com os termos deste BAA. A data de aceitação é registrada e associada à conta da Entidade Coberta. Uma cópia deste BAA está disponível a qualquer momento nas configurações da conta.

1. Definições

Termos em maiúscula não definidos de outra forma neste BAA têm os significados estabelecidos no HIPAA, incluindo 45 C.F.R. Parts 160 e 164. "Informações de Saúde Protegidas" ou "PHI" tem o significado estabelecido em 45 C.F.R. § 160.103. "Violação" tem o significado estabelecido em 45 C.F.R. § 164.402.

2. Escopo; Relação com Outros Acordos

Este BAA se aplica a PHI que o Associado Comercial cria, recebe, mantém ou transmite em nome da Entidade Coberta em conexão com os Serviços. Em caso de conflito entre este BAA e qualquer outro acordo entre as partes relativo ao tratamento de PHI, este BAA prevalece para PHI.

3. Usos e Divulgações Permitidos de PHI

O Associado Comercial pode usar e divulgar PHI apenas da seguinte forma:

Para realizar serviços para a Entidade Coberta conforme estabelecido no(s) acordo(s) das partes para os Serviços.
Para manter, proteger e dar suporte aos Serviços, incluindo solução de problemas, garantia de qualidade e resposta a incidentes.
Para cumprir requisitos legais aplicáveis ao Associado Comercial.
Para a gestão e administração adequadas do Associado Comercial ou para cumprir as responsabilidades legais do Associado Comercial, desde que as divulgações para esses fins sejam permitidas por lei e, quando exigido, o Associado Comercial obtenha garantias razoáveis do destinatário.

4. Usos e Divulgações Proibidos

O Associado Comercial não usará ou divulgará PHI de outra forma que não seja permitida por este BAA ou exigida por lei. O Associado Comercial não usará ou divulgará PHI de maneira que viole o HIPAA se feita pela Entidade Coberta. O Associado Comercial não usará PHI para treinar modelos de IA ou para qualquer fim diferente de fornecer os Serviços à Entidade Coberta.

5. Salvaguardas; Regra de Segurança HIPAA

O Associado Comercial implementará e manterá salvaguardas administrativas, físicas e técnicas apropriadas projetadas para proteger a confidencialidade, integridade e disponibilidade de PHI eletrônico, consistente com 45 C.F.R. Part 164, Subpart C (a Regra de Segurança), incluindo controles de acesso, controles de auditoria e segurança da força de trabalho. O Associado Comercial revisará e atualizará as salvaguardas conforme razoavelmente necessário à luz de ameaças ou vulnerabilidades conhecidas.

6. Notificação de Violações e Incidentes de Segurança

O Associado Comercial notificará a Entidade Coberta sobre qualquer Violação de PHI Não Protegido sem atraso injustificado e em nenhum caso mais de 72 horas após a descoberta, salvo se um período mais curto for exigido pelo Formulário de Pedido das partes. Tal notificação incluirá, na medida do conhecido, as informações necessárias para que a Entidade Coberta cumpra 45 C.F.R. § 164.404, incluindo a natureza da violação, o PHI envolvido, a causa provável e as medidas que o Associado Comercial está tomando para mitigar danos.

"Incidente de Segurança" conforme usado no HIPAA pode incluir tentativas malsucedidas; o Associado Comercial pode fornecer resumos periódicos de eventos de segurança rotineiros e malsucedidos, conforme apropriado.

7. Subcontratados

O Associado Comercial garantirá que qualquer subcontratado que crie, receba, mantenha ou transmita PHI em nome do Associado Comercial concorde por escrito com restrições e condições que sejam pelo menos tão rigorosas quanto as deste BAA, incluindo salvaguardas apropriadas.

8. Acesso; Emenda; Contabilidade de Divulgações

Na medida em que o Associado Comercial mantenha PHI em um Conjunto de Registros Designado, o Associado Comercial auxiliará a Entidade Coberta, conforme aplicável, a: (a) fornecer aos indivíduos acesso a PHI conforme 45 C.F.R. § 164.524; (b) emendar PHI conforme 45 C.F.R. § 164.526; e (c) fornecer uma contabilidade de divulgações conforme 45 C.F.R. § 164.528. A Entidade Coberta é responsável por determinar se as solicitações se aplicam e por comunicar as instruções necessárias. O Associado Comercial responderá a solicitações razoáveis de acesso e emenda dentro de trinta (30) dias do recebimento.

9. Mínimo Necessário

O Associado Comercial solicitará, usará e divulgará apenas o mínimo de PHI necessário para cumprir o propósito pretendido, consistente com os requisitos do HIPAA, exceto conforme permitido por lei.

10. Prazo e Rescisão

Este BAA é vigente a partir da data em que a Entidade Coberta concluir a aceitação da configuração da conta e permanece em vigor até ser rescindido. A Entidade Coberta pode rescindir este BAA por violação material pelo Associado Comercial se o Associado Comercial não corrigir a violação dentro de trinta (30) dias após notificação por escrito. O Associado Comercial pode rescindir este BAA se a Entidade Coberta violar materialmente suas obrigações relacionadas aos Serviços e não corrigir após notificação.

Se a rescisão não for viável e o Associado Comercial determinar que a correção não é possível, o Associado Comercial reportará o problema ao Departamento de Saúde e Serviços Humanos dos EUA conforme exigido pelo HIPAA.

11. Devolução ou Destruição de PHI

Após a rescisão deste BAA, o Associado Comercial, mediante solicitação por escrito da Entidade Coberta, devolverá ou destruirá o PHI que o Associado Comercial ainda mantenha em qualquer forma, exceto na medida em que a devolução ou destruição seja inviável. Se inviável, o Associado Comercial estenderá as proteções deste BAA a tal PHI e limitará usos e divulgações adicionais. O Associado Comercial confirmará a conclusão da devolução ou destruição por escrito dentro de um prazo razoável após a solicitação.

12. Cooperação Regulatória

O Associado Comercial disponibilizará suas práticas internas, livros e registros relativos ao uso e divulgação de PHI ao Secretário de HHS conforme exigido pelo HIPAA.

13. Sem Beneficiários Terceiros

Nada neste BAA cria quaisquer direitos para terceiros, incluindo indivíduos, além das partes deste BAA.

14. Lei Aplicável

Este BAA é regido pelas leis do Estado da Virgínia, na medida em que não sejam substituídas pelo HIPAA.

15. Interpretação

As partes pretendem que este BAA esteja em conformidade com o HIPAA. Qualquer ambiguidade será resolvida de forma a permitir que a Entidade Coberta e o Associado Comercial cumpram o HIPAA. Se qualquer disposição deste BAA conflitar com o HIPAA conforme alterado, o HIPAA prevalece.

Aceitação Eletrônica

Este BAA é executado eletronicamente como parte do processo de configuração de conta da Vilulia. Ao concluir a configuração do plano HIPAA e indicar aceitação, a Entidade Coberta concorda em ficar vinculada aos termos deste BAA. A aceitação eletrônica tem a mesma força legal que uma assinatura manuscrita. O carimbo de data/hora da aceitação e o identificador da conta são registrados e constituem o acordo vinculante da Entidade Coberta a estes termos. Uma cópia deste BAA, juntamente com o registro de aceitação, está acessível a qualquer momento nas configurações da sua conta em Jurídico e Conformidade.

Acordo de Associado Comercial (HIPAA)