Funzionalita Prezzi Riferimento API

Accordo di Business Associate (BAA)

v1.0 -- In vigore da marzo 2026

Morlivo si impegna a salvaguardare le informazioni sanitarie protette (PHI) in conformità con l'Health Insurance Portability and Accountability Act del 1996 (HIPAA), come modificato dall'HITECH Act. Il presente accordo di Business Associate disciplina il rapporto tra Morlivo ("Business Associate") e i nostri clienti ("Entità coperta") in relazione al trattamento delle PHI.

1. Ambito e finalità

Il presente accordo di Business Associate ("BAA") integra e fa parte del contratto di servizio tra l'entità coperta e il Business Associate. Stabilisce i termini in base ai quali il Business Associate può creare, ricevere, conservare o trasmettere informazioni sanitarie protette ("PHI") per conto dell'entità coperta in relazione ai servizi di traduzione, trascrizione ed elaborazione linguistica forniti da Morlivo (i "Servizi").

Le parti riconoscono che il Business Associate può accedere, utilizzare o divulgare le PHI nel corso della fornitura dei servizi, e il presente BAA stabilisce gli obblighi del Business Associate in relazione a tali PHI ai sensi delle disposizioni applicabili dell'HIPAA, dell'HITECH Act e dei relativi regolamenti di attuazione (collettivamente, le "Regole HIPAA").

2. Usi e divulgazioni consentiti

Il Business Associate può utilizzare o divulgare le PHI esclusivamente:

  • Come necessario per eseguire i servizi descritti nel contratto di servizio sottostante
  • Come richiesto dalla legge, incluse, a titolo esemplificativo, le divulgazioni richieste dal Segretario del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti
  • Per la corretta gestione e amministrazione del Business Associate, a condizione che qualsiasi divulgazione sia richiesta dalla legge o che il Business Associate ottenga ragionevoli garanzie da terzi che le informazioni saranno trattate in modo confidenziale
  • Per fornire servizi di aggregazione dei dati relativi alle operazioni sanitarie dell'entità coperta, se espressamente autorizzato nel contratto di servizio

Il Business Associate non utilizzerà né divulgherà le PHI in modo tale da violare le regole HIPAA qualora ciò fosse fatto dall'entità coperta, salvo quanto espressamente consentito nel presente BAA. Il Business Associate non utilizzerà le PHI per scopi di marketing, non venderà le PHI né le utilizzerà per scopi assicurativi.

3. Misure di salvaguardia

Il Business Associate implementerà e manterrà misure di salvaguardia amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle PHI, comprese le PHI elettroniche (ePHI), come richiesto dalla HIPAA Security Rule. Queste misure di salvaguardia includono, a titolo esemplificativo:

  • Crittografia delle ePHI inattive tramite AES-256 e in transito tramite TLS 1.2 o superiore
  • Controlli di accesso basati sui ruoli che limitano l'accesso alle PHI al solo personale autorizzato
  • Registrazione completa degli audit di tutti gli accessi e le modifiche alle PHI
  • Valutazioni periodiche dei rischi e scansione delle vulnerabilità
  • Formazione del personale sui requisiti HIPAA e sulla consapevolezza della sicurezza
  • Procedure di smaltimento sicuro per le PHI non più necessarie per i servizi

Il Business Associate garantirà che qualsiasi agente, compresi i subappaltatori, a cui fornisce PHI accetti le stesse restrizioni e condizioni applicabili al Business Associate ai sensi del presente BAA, in conformità con 45 CFR § 164.502(e)(1)(ii).

4. Notifica di violazione

Il Business Associate segnalerà all'entità coperta qualsiasi uso o divulgazione delle PHI non consentiti dal presente BAA di cui venga a conoscenza, inclusa qualsiasi violazione di PHI non protette come definito in 45 CFR § 164.402. Il Business Associate fornirà tale notifica senza ritardi irragionevoli e in ogni caso entro trenta (30) giorni di calendario dalla scoperta della violazione.

La notifica includerà, nella misura disponibile:

  • Identificazione di ogni individuo le cui PHI non protette sono state, o si ritiene ragionevolmente siano state, consultate, acquisite, utilizzate o divulgate
  • Una descrizione della natura della violazione, compresi i tipi di PHI coinvolti
  • La data della violazione e la data della sua scoperta
  • Una descrizione delle misure che il Business Associate sta adottando per indagare e mitigare la violazione e prevenire eventi futuri
  • Informazioni di contatto delle persone che possono fornire ulteriori dettagli

5. Durata e risoluzione

Il presente BAA sarà efficace dalla data di esecuzione e rimarrà in vigore per la durata del contratto di servizio sottostante, salvo risoluzione anticipata come previsto nel presente documento.

Ciascuna delle parti può risolvere il presente BAA se stabilisce che l'altra parte ha violato un termine sostanziale del presente BAA. La parte non inadempiente fornirà alla parte inadempiente una comunicazione scritta della violazione e concederà trenta (30) giorni per porvi rimedio. Se il rimedio non è fattibile, la parte non inadempiente può risolvere immediatamente sia il presente BAA che il contratto di servizio sottostante.

Alla risoluzione, il Business Associate, a scelta dell'entità coperta, restituirà o distruggerà tutte le PHI ricevute o create per conto dell'entità coperta. Se la restituzione o la distruzione non sono fattibili, il Business Associate estenderà le protezioni del presente BAA a tali PHI e limiterà ulteriori usi e divulgazioni alle finalità che rendono la restituzione o la distruzione non fattibile.

6. Obblighi dell'entità coperta

  • L'entità coperta notificherà al Business Associate eventuali limitazioni nella sua informativa sulle pratiche di privacy che possano influire sull'uso o sulla divulgazione delle PHI da parte del Business Associate
  • L'entità coperta notificherà al Business Associate eventuali modifiche o revoche dell'autorizzazione da parte di un individuo all'uso o alla divulgazione delle PHI, nella misura in cui tali modifiche possano influire sugli usi e sulle divulgazioni consentiti al Business Associate
  • L'entità coperta non richiederà al Business Associate di utilizzare o divulgare le PHI in alcun modo che violerebbe le regole HIPAA

7. Disposizioni varie

Il presente BAA sarà regolato e interpretato in conformità con la legge federale applicabile, comprese le regole HIPAA. Qualsiasi ambiguità nel presente BAA sarà interpretata in modo da consentire la conformità alle regole HIPAA. Il presente BAA costituisce l'intero accordo tra le parti in relazione all'oggetto del presente documento e sostituisce tutti i precedenti accordi, scritti o orali, relativi allo stesso argomento.

Richiedi un BAA

Per richiedere un accordo di Business Associate, contatta il nostro team di conformità. Collaboreremo con te per stipulare un BAA su misura per le esigenze della tua organizzazione.

Contatta il team di conformità Scarica modello BAA