Functies Prijzen API-referentie

Business Associate Agreement (BAA)

v1.0 -- Geldig vanaf maart 2026

Morlivo zet zich in voor de bescherming van Beschermde Gezondheidsinformatie (PHI) in overeenstemming met de Health Insurance Portability and Accountability Act van 1996 (HIPAA), zoals gewijzigd door de HITECH Act. Deze Business Associate Agreement regelt de relatie tussen Morlivo ("Business Associate") en onze klanten ("Gedekte Entiteit") met betrekking tot de verwerking van PHI.

1. Reikwijdte en Doel

Deze Business Associate Agreement ("BAA") is een aanvulling op en maakt deel uit van de dienstverleningsovereenkomst tussen de Gedekte Entiteit en de Business Associate. Het stelt de voorwaarden vast waaronder de Business Associate Beschermde Gezondheidsinformatie ("PHI") mag creëren, ontvangen, onderhouden of verzenden namens de Gedekte Entiteit in verband met de vertaal-, transcriptie- en taalverwerkingsdiensten geleverd door Morlivo (de "Diensten").

De partijen erkennen dat de Business Associate PHI kan benaderen, gebruiken of openbaar maken in het kader van het verlenen van de Diensten, en deze BAA beschrijft de verplichtingen van de Business Associate met betrekking tot dergelijke PHI op grond van de toepasselijke bepalingen van HIPAA, de HITECH Act en hun uitvoeringsvoorschriften (gezamenlijk de "HIPAA-regels").

2. Toegestaan Gebruik en Openbaarmakingen

De Business Associate mag PHI uitsluitend gebruiken of openbaar maken:

  • Voor zover nodig om de Diensten uit te voeren zoals beschreven in de onderliggende dienstverleningsovereenkomst
  • Zoals vereist door de wet, inclusief maar niet beperkt tot openbaarmakingen vereist door de Secretary of the U.S. Department of Health and Human Services
  • Voor het juiste beheer en de administratie van de Business Associate, op voorwaarde dat elke openbaarmaking wettelijk vereist is of de Business Associate redelijke garanties verkrijgt van een derde partij dat de informatie vertrouwelijk wordt behandeld
  • Om gegevensaggregatiediensten te verlenen met betrekking tot de gezondheidszorgactiviteiten van de Gedekte Entiteit, indien uitdrukkelijk geautoriseerd in de dienstverleningsovereenkomst

De Business Associate mag PHI niet gebruiken of openbaar maken op een manier die de HIPAA-regels zou schenden als dit door de Gedekte Entiteit zou worden gedaan, behalve zoals uitdrukkelijk toegestaan in deze BAA. De Business Associate mag PHI niet gebruiken voor marketingdoeleinden, PHI verkopen of PHI gebruiken voor acceptatiedoeleinden.

3. Waarborgen

De Business Associate implementeert en onderhoudt administratieve, fysieke en technische waarborgen die de vertrouwelijkheid, integriteit en beschikbaarheid van PHI, inclusief elektronische PHI (ePHI), redelijkerwijs en op passende wijze beschermen, zoals vereist door de HIPAA Security Rule. Deze waarborgen omvatten maar zijn niet beperkt tot:

  • Encryptie van ePHI in rust met AES-256 en tijdens overdracht met TLS 1.2 of hoger
  • Rolgebaseerde toegangscontroles die PHI-toegang beperken tot uitsluitend geautoriseerd personeel
  • Uitgebreide auditlogging van alle toegang tot en wijzigingen van PHI
  • Regelmatige risicobeoordelingen en kwetsbaarheidsscans
  • Personeelstraining over HIPAA-vereisten en beveiligingsbewustzijn
  • Veilige verwijderingsprocedures voor PHI die niet langer nodig is voor de Diensten

De Business Associate zorgt ervoor dat elke agent, inclusief onderaannemers, aan wie PHI wordt verstrekt, akkoord gaat met dezelfde beperkingen en voorwaarden die van toepassing zijn op de Business Associate onder deze BAA, in overeenstemming met 45 CFR § 164.502(e)(1)(ii).

4. Melding van Inbreuken

De Business Associate meldt aan de Gedekte Entiteit elk gebruik of elke openbaarmaking van PHI die niet is toegestaan onder deze BAA waarvan zij kennis krijgt, inclusief elke Inbreuk op Onbeveiligde PHI zoals gedefinieerd in 45 CFR § 164.402. De Business Associate verstrekt deze melding zonder onredelijke vertraging en in geen geval later dan dertig (30) kalenderdagen na ontdekking van de Inbreuk.

De melding bevat, voor zover beschikbaar:

  • Identificatie van elk individu wiens Onbeveiligde PHI is benaderd, verkregen, gebruikt of openbaar gemaakt, of waarvan redelijkerwijs wordt aangenomen dat dit het geval is
  • Een beschrijving van de aard van de Inbreuk, inclusief de betrokken soorten PHI
  • De datum van de Inbreuk en de datum van ontdekking
  • Een beschrijving van de stappen die de Business Associate onderneemt om de Inbreuk te onderzoeken en te beperken en toekomstige voorvallen te voorkomen
  • Contactgegevens van personen die aanvullende details kunnen verstrekken

5. Looptijd en Beëindiging

Deze BAA treedt in werking op de datum van ondertekening en blijft van kracht voor de duur van de onderliggende dienstverleningsovereenkomst, tenzij eerder beëindigd zoals hierin bepaald.

Elke partij kan deze BAA beëindigen als zij vaststelt dat de andere partij een wezenlijke bepaling van deze BAA heeft geschonden. De niet-inbreukmakende partij stelt de inbreukmakende partij schriftelijk op de hoogte van de schending en biedt dertig (30) dagen om te herstellen. Als herstel niet haalbaar is, kan de niet-inbreukmakende partij zowel deze BAA als de onderliggende dienstverleningsovereenkomst onmiddellijk beëindigen.

Bij beëindiging zal de Business Associate, naar keuze van de Gedekte Entiteit, alle PHI die is ontvangen van of gecreëerd namens de Gedekte Entiteit retourneren of vernietigen. Als retournering of vernietiging niet haalbaar is, breidt de Business Associate de bescherming van deze BAA uit tot dergelijke PHI en beperkt verder gebruik en openbaarmakingen tot die doeleinden die retournering of vernietiging onhaalbaar maken.

6. Verplichtingen van de Gedekte Entiteit

  • De Gedekte Entiteit stelt de Business Associate op de hoogte van eventuele beperkingen in haar Privacyverklaring die het gebruik of de openbaarmaking van PHI door de Business Associate kunnen beïnvloeden
  • De Gedekte Entiteit stelt de Business Associate op de hoogte van eventuele wijzigingen in, of intrekking van, autorisatie door een individu om PHI te gebruiken of openbaar te maken, voor zover dergelijke wijzigingen de toegestane gebruik en openbaarmakingen van de Business Associate kunnen beïnvloeden
  • De Gedekte Entiteit verzoekt de Business Associate niet om PHI te gebruiken of openbaar te maken op een manier die de HIPAA-regels zou schenden

7. Diversen

Deze BAA wordt beheerst door en uitgelegd in overeenstemming met toepasselijk federaal recht, inclusief de HIPAA-regels. Elke onduidelijkheid in deze BAA wordt geïnterpreteerd op een manier die naleving van de HIPAA-regels toestaat. Deze BAA vormt de volledige overeenkomst tussen de partijen met betrekking tot het onderwerp hiervan en vervangt alle eerdere overeenkomsten, schriftelijk of mondeling, met betrekking tot hetzelfde onderwerp.

Een BAA Aanvragen

Om een Business Associate Agreement aan te vragen, neemt u contact op met ons compliance-team. Wij werken met u samen om een BAA op te stellen die is afgestemd op de behoeften van uw organisatie.

Neem Contact op met het Compliance-team BAA-sjabloon Downloaden