Vereinbarung für Geschäftspartner
Der Kunde, ein betroffener Rechtsträger, im Folgenden als der "Abgedeckter Rechtsträger", und Troy Group, Inc., im Folgenden als "Geschäftspartner"schließen den folgenden Vertrag zwischen der betroffenen Einrichtung und dem Geschäftspartner in Verbindung mit dem DischargeRx Software as a Service Vertrag (der "Dienstleistungsvertrag"), der von der Troy Group, Inc. und dem Kunden abgeschlossen wurde. Diese Geschäftspartnerschaftsvereinbarung ("Vereinbarung") wird in Übereinstimmung mit dem Health Insurance and Accountability Act (HIPAA), dem Health Information Technology for Economic and Clinical Health ("HITECH") Act und der im Januar 2013 veröffentlichten endgültigen Omnibus-Regelung. Die Parteien vereinbaren Folgendes:
- Definitionen. Die folgenden Begriffe, die in dieser Vereinbarung verwendet werden, haben dieselbe Bedeutung wie die Begriffe in den HIPAA-Regeln: Datenschutzverletzung, Datenaggregation, designierter Datensatz, Offenlegung, Gesundheitsversorgung, Einzelperson, Minimum Necessary, Mitteilung über Datenschutzpraktiken, geschützte Gesundheitsinformationen, gesetzlich vorgeschrieben, Sekretär, Sicherheitsvorfall, Unterauftragnehmer, ungesicherte geschützte Gesundheitsinformationen und Verwendung.
Spezifische Definitionen:
(a) Business Associate. "Geschäftspartner" hat im Allgemeinen dieselbe Bedeutung wie der Begriff "Geschäftspartner" in 45 CFR 160.103 und bedeutet in Bezug auf die Vertragspartei dieser Vereinbarung Troy Group, Inc.
(b) Abgedeckter Rechtsträger. "Abgedeckte Einrichtung" hat im Allgemeinen die gleiche Bedeutung wie der Begriff "abgedeckte Einrichtung" in 45 CFR 160.103 und bedeutet in Bezug auf die Vertragspartei dieser Vereinbarung den Kunden.
(c) HIPAA-Regeln. "HIPAA-Regeln"sind die Regeln zum Datenschutz, zur Sicherheit, zur Meldung von Datenschutzverletzungen und zur Durchsetzung der Regeln in 45 CFR Teil 160 und Teil 164.
- Verpflichtungen und Aktivitäten des Geschäftspartners. Der Geschäftspartner erklärt sich damit einverstanden:
(a) geschützte Gesundheitsinformationen nur in dem Maße zu verwenden oder offenzulegen, wie es die Vereinbarung erlaubt oder erfordert oder wie es gesetzlich vorgeschrieben ist;
(b) geeignete Sicherheitsvorkehrungen zu treffen und Unterabschnitt C von 45 CFR Teil 164 in Bezug auf elektronisch geschützte Gesundheitsdaten einzuhalten, um die Verwendung oder Offenlegung geschützter Gesundheitsdaten auf andere Weise als in der Vereinbarung vorgesehen zu verhindern;
(c) der betroffenen Einrichtung jede Nutzung oder Offenlegung geschützter Gesundheitsinformationen, die nicht in der Vereinbarung vorgesehen ist, melden, von der sie Kenntnis erhält, einschließlich Verstößen gegen ungesicherte geschützte Gesundheitsinformationen gemäß 45 CFR 164.410, sowie alle Sicherheitsvorfälle, von denen sie Kenntnis erhält;
(d) In Übereinstimmung mit 45 CFR 164.502(e)(1)(ii) und 164.308(b)(2), falls zutreffend, sicherstellen, dass alle Unterauftragnehmer, die geschützte Gesundheitsdaten im Namen des Geschäftspartners erstellen, empfangen, aufbewahren oder übermitteln, denselben Einschränkungen, Bedingungen und Anforderungen zustimmen, die für den Geschäftspartner in Bezug auf diese Daten gelten;
(e) der betroffenen Einrichtung geschützte Gesundheitsinformationen in einem bestimmten Datensatz zur Verfügung stellen, soweit dies zur Erfüllung der Verpflichtungen der betroffenen Einrichtung gemäß 45 CFR 164.524 erforderlich ist;
(f) Änderung(en) geschützter Gesundheitsinformationen in einem bestimmten Datensatz auf Anweisung oder mit Zustimmung der betroffenen Einrichtung gemäß 45 CFR 164.526 vornehmen oder andere Maßnahmen ergreifen, die erforderlich sind, um die Verpflichtungen der betroffenen Einrichtung gemäß 45 CFR 164.526 zu erfüllen;
(g) die Informationen aufzubewahren und zur Verfügung zu stellen, die erforderlich sind, um eine Buchführung über die Offenlegungen gegenüber der betroffenen Einrichtung zu erstellen, um die Verpflichtungen der betroffenen Einrichtung gemäß 45 CFR 164.528 zu erfüllen;
(h) In dem Maße, in dem der Geschäftspartner eine oder mehrere Verpflichtung(en) der betroffenen Einrichtung gemäß Unterabschnitt E von 45 CFR Teil 164 erfüllen soll, müssen die Anforderungen von Unterabschnitt E eingehalten werden, die für die betroffene Einrichtung bei der Erfüllung dieser Verpflichtung(en) gelten; und
(i) seine internen Praktiken, Bücher und Aufzeichnungen dem Sekretär zur Verfügung stellen, um die Einhaltung der HIPAA-Regeln zu überprüfen.
- Zulässige Verwendungen und Offenlegungen durch Geschäftspartner
(a) Der Geschäftspartner darf geschützte Gesundheitsinformationen nur in dem Maße nutzen oder offenlegen, wie es für die Erbringung der Dienstleistungen im Rahmen des Dienstleistungsvertrags erforderlich ist. Der Geschäftspartner ist berechtigt, geschützte Gesundheitsinformationen zu verwenden, um die Informationen gemäß 45 CFR 164.514(a)-(c) zu de-identifizieren, soweit dies für die Erbringung der Dienstleistungen im Rahmen des Dienstleistungsvertrags erforderlich ist.
(b) Der Geschäftspartner kann geschützte Gesundheitsinformationen verwenden oder weitergeben, wenn dies gesetzlich vorgeschrieben ist.
(c) Der Geschäftspartner verpflichtet sich, die Verwendung und Offenlegung geschützter Gesundheitsdaten sowie die Anforderung geschützter Gesundheitsdaten auf das Mindestmaß zu beschränken, das zur Erreichung der in der zugrunde liegenden Dienstleistungsvereinbarung festgelegten Zwecke erforderlich ist.
(d) Geschäftspartner dürfen geschützte Gesundheitsinformationen nicht in einer Weise verwenden oder offenlegen, die gegen Unterabschnitt E von 45 CFR Teil 164 verstoßen würde, wenn sie von der betroffenen Einrichtung vorgenommen würde.
- Bestimmungen für die betroffene Einrichtung zur Information des Geschäftspartners über Datenschutzpraktiken und -einschränkungen
(a) Die abgedeckte Einrichtung muss den Geschäftspartner über jede Einschränkung(en) in der Bekanntmachung der Datenschutzpraktiken der abgedeckten Einrichtung gemäß 45 CFR 164.520 informieren, soweit diese Einschränkung die Verwendung oder Offenlegung geschützter Gesundheitsinformationen durch den Geschäftspartner beeinflussen kann.
(b) Die abgedeckte Einrichtung muss den Geschäftspartner über alle Änderungen oder den Widerruf der Erlaubnis einer Person zur Nutzung oder Offenlegung ihrer geschützten Gesundheitsdaten informieren, soweit diese Änderungen die Nutzung oder Offenlegung geschützter Gesundheitsdaten durch den Geschäftspartner beeinflussen können.
(c) Die abgedeckte Einrichtung muss den Geschäftspartner über jede Beschränkung der Nutzung oder Offenlegung geschützter Gesundheitsinformationen informieren, der die abgedeckte Einrichtung zugestimmt hat oder die sie gemäß 45 CFR 164.522 einhalten muss, soweit diese Beschränkung die Nutzung oder Offenlegung geschützter Gesundheitsinformationen durch den Geschäftspartner beeinflussen kann.
- Zulässige Ersuchen der versicherten Einrichtung
Die betroffene Einrichtung darf den Geschäftspartner nicht auffordern, geschützte Gesundheitsinformationen in einer Weise zu verwenden oder offenzulegen, die gemäß Unterabschnitt E von 45 CFR Teil 164 nicht zulässig wäre, wenn sie von der betroffenen Einrichtung vorgenommen würde.
- Laufzeit und Beendigung
(a) Laufzeit. Die Laufzeit dieser Vereinbarung beginnt mit dem Datum der zugrundeliegenden Dienstleistungsvereinbarung und endet, wenn (i) alle geschützten Gesundheitsdaten, die die betroffene Einrichtung dem Geschäftspartner zur Verfügung gestellt hat oder die der Geschäftspartner im Namen der betroffenen Einrichtung erstellt oder erhalten hat, vernichtet oder an die betroffene Einrichtung zurückgegeben werden oder, falls eine Rückgabe oder Vernichtung der geschützten Gesundheitsdaten nicht möglich ist, der Schutz auf diese Daten ausgedehnt wird, oder (ii) an dem Tag, an dem die betroffene Einrichtung aus wichtigem Grund gemäß Absatz (b) dieses Abschnitts kündigt, je nachdem, welcher Zeitpunkt früher liegt.
(b) Beendigung aus wichtigem Grund. Der Geschäftspartner ist berechtigt, diese Vereinbarung durch die betroffene Einrichtung zu kündigen, wenn die betroffene Einrichtung feststellt, dass der Geschäftspartner gegen eine wesentliche Bedingung der Vereinbarung verstoßen hat und der Geschäftspartner den Verstoß nicht innerhalb der von der betroffenen Einrichtung festgelegten Frist geheilt oder beendet hat.
(c) Verpflichtungen des Geschäftspartners bei Beendigung. Bei Beendigung dieser Vereinbarung, aus welchem Grund auch immer, muss der Geschäftspartner alle geschützten Gesundheitsinformationen, die er von der betroffenen Einrichtung erhalten hat oder die er im Namen der betroffenen Einrichtung erstellt, aufbewahrt oder erhalten hat, an die betroffene Einrichtung zurückgeben oder vernichten, oder wenn es nicht möglich ist, geschützte Gesundheitsinformationen zurückzugeben oder zu vernichten, wird der Schutz auf diese Informationen ausgedehnt.
(d) Fortbestehen. Die Verpflichtungen des Geschäftspartners gemäß diesem Abschnitt bleiben auch nach Beendigung dieser Vereinbarung bestehen.
- Sonstiges
(a) Verweise auf Vorschriften. Ein Verweis in dieser Vereinbarung auf einen Abschnitt in den HIPAA-Regeln bedeutet den Abschnitt in seiner gültigen oder geänderten Fassung.
(b) Änderung. Die Parteien vereinbaren, die notwendigen Maßnahmen zu ergreifen, um diese Vereinbarung von Zeit zu Zeit zu ändern, wenn dies zur Einhaltung der Anforderungen der HIPAA-Regeln und anderer anwendbarer Gesetze erforderlich ist.
(c) Auslegung. Unklarheiten in dieser Vereinbarung sind so auszulegen, dass sie die Einhaltung der HIPAA-Vorschriften ermöglichen.
(d) Haftungsbeschränkung. Sofern nicht anderweitig gesetzlich verboten, unterliegt die Haftung von Business Associates im Rahmen dieser Vereinbarung den Haftungsbeschränkungen, die in der Servicevereinbarung festgelegt sind.