1. Escopo e Finalidade
Este Acordo de Associado Comercial ("BAA") complementa e faz parte do contrato de serviço entre a Entidade Coberta e o Associado Comercial. Ele estabelece os termos sob os quais o Associado Comercial pode criar, receber, manter ou transmitir Informações de Saúde Protegidas ("PHI") em nome da Entidade Coberta em conexão com os serviços de tradução, transcrição e processamento linguístico fornecidos pela Morlivo (os "Serviços").
As partes reconhecem que o Associado Comercial pode acessar, usar ou divulgar PHI no curso da prestação dos Serviços, e este BAA estabelece as obrigações do Associado Comercial com relação a tal PHI nos termos das disposições aplicáveis do HIPAA, da Lei HITECH e de suas regulamentações de implementação (coletivamente, as "Regras HIPAA").
2. Usos e Divulgações Permitidos
O Associado Comercial pode usar ou divulgar PHI exclusivamente:
- Conforme necessário para executar os Serviços descritos no contrato de serviço subjacente
- Conforme exigido por lei, incluindo, mas não se limitando a, divulgações exigidas pelo Secretário do Departamento de Saúde e Serviços Humanos dos EUA
- Para a gestão e administração adequadas do Associado Comercial, desde que qualquer divulgação seja exigida por lei ou que o Associado Comercial obtenha garantias razoáveis de qualquer terceiro de que as informações serão mantidas em sigilo
- Para fornecer serviços de agregação de dados relacionados às operações de saúde da Entidade Coberta, se expressamente autorizado no contrato de serviço
O Associado Comercial não deve usar ou divulgar PHI de maneira que violaria as Regras HIPAA se realizada pela Entidade Coberta, exceto conforme expressamente permitido neste BAA. O Associado Comercial não deve usar PHI para fins de marketing, vender PHI ou usar PHI para fins de subscrição.
3. Salvaguardas
O Associado Comercial deve implementar e manter salvaguardas administrativas, físicas e técnicas que protejam de forma razoável e apropriada a confidencialidade, integridade e disponibilidade de PHI, incluindo PHI eletrônico (ePHI), conforme exigido pela Regra de Segurança HIPAA. Essas salvaguardas incluem, mas não se limitam a:
- Criptografia de ePHI em repouso usando AES-256 e em trânsito usando TLS 1.2 ou superior
- Controles de acesso baseados em funções limitando o acesso a PHI apenas a pessoal autorizado
- Registro abrangente de auditoria de todos os acessos e modificações de PHI
- Avaliações regulares de risco e varredura de vulnerabilidades
- Treinamento da equipe sobre requisitos HIPAA e conscientização de segurança
- Procedimentos seguros de descarte para PHI que não são mais necessários para os Serviços
O Associado Comercial deve garantir que qualquer agente, incluindo subcontratados, a quem forneça PHI concorde com as mesmas restrições e condições aplicáveis ao Associado Comercial sob este BAA, de acordo com 45 CFR § 164.502(e)(1)(ii).
4. Notificação de Violação
O Associado Comercial deve reportar à Entidade Coberta qualquer uso ou divulgação de PHI não permitido por este BAA de que tome conhecimento, incluindo qualquer Violação de PHI Não Protegido conforme definido em 45 CFR § 164.402. O Associado Comercial deve fornecer tal notificação sem atraso injustificado e em nenhum caso mais tarde do que trinta (30) dias corridos após a descoberta da Violação.
A notificação deve incluir, na medida do possível:
- Identificação de cada indivíduo cujo PHI Não Protegido foi, ou há razão para acreditar que tenha sido, acessado, adquirido, usado ou divulgado
- Uma descrição da natureza da Violação, incluindo os tipos de PHI envolvidos
- A data da Violação e a data de sua descoberta
- Uma descrição das medidas que o Associado Comercial está tomando para investigar e mitigar a Violação e prevenir ocorrências futuras
- Informações de contato de pessoas que podem fornecer detalhes adicionais
5. Vigência e Rescisão
Este BAA entrará em vigor na data de execução e permanecerá em vigor durante a vigência do contrato de serviço subjacente, salvo rescisão antecipada conforme previsto neste documento.
Qualquer uma das partes pode rescindir este BAA se determinar que a outra parte violou um termo material deste BAA. A parte não infratora deve fornecer à parte infratora notificação por escrito da violação e conceder trinta (30) dias para correção. Se a correção não for viável, a parte não infratora pode rescindir imediatamente tanto este BAA quanto o contrato de serviço subjacente.
Após a rescisão, o Associado Comercial deve, a critério da Entidade Coberta, devolver ou destruir todo PHI recebido ou criado em nome da Entidade Coberta. Se a devolução ou destruição não for viável, o Associado Comercial deve estender as proteções deste BAA a tal PHI e limitar usos e divulgações posteriores aos fins que tornam a devolução ou destruição inviável.
6. Obrigações da Entidade Coberta
- A Entidade Coberta deve notificar o Associado Comercial sobre quaisquer limitações em seu Aviso de Práticas de Privacidade que possam afetar o uso ou divulgação de PHI pelo Associado Comercial
- A Entidade Coberta deve notificar o Associado Comercial sobre quaisquer alterações ou revogação de autorização por um indivíduo para usar ou divulgar PHI, na medida em que tais alterações possam afetar os usos e divulgações permitidos do Associado Comercial
- A Entidade Coberta não deve solicitar ao Associado Comercial que use ou divulgue PHI de qualquer maneira que violaria as Regras HIPAA
7. Disposições Gerais
Este BAA será regido e interpretado de acordo com a legislação federal aplicável, incluindo as Regras HIPAA. Qualquer ambiguidade neste BAA será interpretada de forma a permitir a conformidade com as Regras HIPAA. Este BAA constitui o acordo integral entre as partes com relação ao objeto deste documento e substitui todos os acordos anteriores, escritos ou verbais, relativos ao mesmo objeto.