Klik på knappen nedenfor for at downloade en version:

Denne aftale om forretningsforbindelse ("aftalen") er indgået pr. [dato] af og mellem [navn på den omfattede enhed], en [stat for stiftelse/organisation, herunder land] enhed med hovedkontor på [adresse på den omfattede enhed, herunder land] ("denomfattede enhed") og Doodle AG, en schweizisk baseret enhed med hovedkontor på Werdstrasse 21, 8004 Zürich, Schweiz ("forretningsforbindelsen"). Den omfattede enhed og forretningspartneren er hver især en "part" og tilsammen "parterne".

Denne aftale er indarbejdet i den overordnede serviceaftale og de individuelle ordrer, der er indgået af den omfattede enhed og forretningsforbindelsen.

Betragtninger

A. Den omfattede enhed er en "omfattet enhed" eller "forretningsforbindelse" til en omfattet enhed, som hver især er defineret i henhold til Health Information Portability and Accountability Act of 1996 ("HIPAA") og dens gennemførelsesbestemmelser, herunder HIPAA Privacy and Security Rules (samlet benævnt "HIPAA-reglerne").

B. Forretningspartneren leverer visse tjenester til den omfattede enhed under individuelle ordrer i henhold til en hovedtjenesteaftale, der fra tid til anden kan omfatte oprettelse, modtagelse, vedligeholdelse eller transmission af beskyttede sundhedsoplysninger ("PHI") på vegne af den omfattede enhed.

C. Parterne har til hensigt at overholde HIPAA-reglerne, herunder kravene til en forretningspartnerkontrakt som beskrevet i 45 C.F.R. § 164.314(a) og § 164.504(e).

• Overtrædelse: Som defineret i 45 C.F.R. § 164.402.

• Aggregering af data: Som defineret i 45 C.F.R. § 164.501.

• Elektroniske beskyttede sundhedsoplysninger (ePHI): betyder beskyttede sundhedsoplysninger, der er ePHI, som defineret i 45 C.F.R. § 160.103.

• Hovedserviceaftale (eller MSA) : betyder hovedserviceaftalen mellem den omfattede enhed og forretningspartneren, som blev underskrevet den [indsæt dato for seneste underskrift].

• Hovedserviceaftalensikrafttrædelsesdato: har den betydning, der tilskrives den i henhold til MSA.

• Individuel ordre: har den betydning, der tilskrives den i henhold til MSA.

• Beskyttede sundhedsoplysninger (PHI): Som defineret i 45 C.F.R. § 160.103, men begrænset til de oplysninger, der oprettes, modtages, vedligeholdes eller overføres af forretningspartneren for, fra eller på vegne af den omfattede enhed.

• Sikkerhedsregel: De standarder, krav og implementeringsspecifikationer, der findes i 45 C.F.R. Part 160 og Part 164, Subpart C.

• Regel om beskyttelse af personlige oplysninger: De standarder, krav og implementeringsspecifikationer, der findes i 45 C.F.R. Part 160 og Part 164, Subpart E.

• Usikrede beskyttede sundhedsoplysninger: Som defineret i 45 C.F.R. § 164.402.

Alle udtryk, der ikke er defineret heri, skal have den betydning, der tilskrives dem i henhold til HIPAA-reglerne.

• 2.1. Tilladte anvendelser og videregivelser. Forretningsforbindelse må kun bruge eller videregive PHI som nødvendigt for at udføre funktioner, aktiviteter eller tjenester for den dækkede enhed som specificeret i hovedserviceaftalen og enhver underliggende individuel ordre mellem parterne, eller som krævet ved lov.

• 2.2. Ledelse og administration. Business Associate kan bruge PHI til korrekt ledelse og administration af Business Associate eller til at udføre Business Associates juridiske ansvar. Videregivelse til disse formål er kun tilladt, hvis videregivelsen er påkrævet ved lov, eller hvis Business Associate opnår rimelige forsikringer fra den person, som oplysningerne videregives til, om, at de vil forblive fortrolige og kun vil blive brugt eller videregivet som påkrævet ved lov eller til det formål, hvortil de blev videregivet til personen, og personen underretter Business Associate om alle tilfælde, som den er bekendt med, hvor oplysningernes fortrolighed er blevet brudt.

• 2.3. Aggregering af data. Business Associate kan bruge PHI til at levere dataaggregeringstjenester i forbindelse med den dækkede enheds sundhedsplejeaktiviteter som tilladt eller påkrævet for at udføre de funktioner, aktiviteter eller tjenester, der er angivet i de(n) underliggende individuelle ordre(r) mellem parterne.

• 2.4 Afidentificering. Business Associate kan bruge PHI til at oprette afidentificerede data som tilladt i henhold til Master Services Agreement eller enhver individuel ordre mellem parterne, forudsat at en sådan brug af PHI opfylder de afidentificeringsstandarder, der er angivet i HIPAA Privacy Rule.

• 3.1. Sikkerhedsforanstaltninger. Forretningspartneren accepterer at bruge passende administrative, fysiske og tekniske sikkerhedsforanstaltninger for at forhindre brug eller videregivelse af PHI, bortset fra som fastsat i denne aftale. Forretningspartneren skal overholde de gældende krav i HIPAA Security Rule (45 C.F.R. Part 164, Subpart C) med hensyn til ePHI.

• 3.2. Det nødvendige minimum. Forretningspartneren skal, i det omfang det er praktisk muligt, begrænse sin brug og videregivelse af PHI til det minimum, der er nødvendigt for at opnå det tilsigtede formål.

• 3.3. Rapportering af brud og uautoriserede videregivelser. Business Associate skal rapportere til den omfattede enhed enhver brug eller videregivelse af PHI, der ikke er fastsat i denne aftale, som den bliver opmærksom på. Dette omfatter, men er ikke begrænset til, brud på usikrede PHI som krævet i 45 C.F.R. § 164.410. Business Associate skal give en sådan meddelelse uden urimelig forsinkelse og under ingen omstændigheder senere end 60 kalenderdage efter opdagelsen af bruddet. Underretningen skal så vidt muligt omfatte identifikation af hver enkelt person, hvis usikrede PHI var involveret, og alle andre oplysninger, der kræves for, at den dækkede enhed kan opfylde sine forpligtelser til at underrette om brud i henhold til HIPAA-reglerne.

• 3.4. Underleverandører. Forretningspartneren skal sikre, at alle underleverandører, der opretter, modtager, vedligeholder eller overfører PHI på vegne af forretningspartneren, accepterer de samme begrænsninger og betingelser, der gælder for forretningspartneren med hensyn til sådanne oplysninger.

• 3.5. Dækket enheds forpligtelser. Forretningspartneren skal, i det omfang den udfører en eller flere af den dækkede enheds forpligtelser i henhold til HIPAA Privacy Rule, overholde kravene i HIPAA Privacy Rule, der gælder for den dækkede enhed i forbindelse med udførelsen af en sådan forpligtelse.

• 3.6 Individuelle rettigheder.

• I det omfang forretningspartneren opbevarer PHI i et udpeget journalsæt for den omfattede enhed, skal forretningspartneren gøre sådan PHI tilgængelig:

• for adgang for den omfattede enhed som krævet af 45 C.F.R. § 164.524.

• for ændring af den omfattede enhed (eller, efter anvisning fra den omfattede enhed, for at indarbejde ændringer til PHI) som krævet i 45 C.F.R. § 164.526.

• Giv en redegørelse for videregivelser som krævet i 45 C.F.R. § 164.528.

• 3.6. Tilgængelighed af optegnelser. Forretningspartneren skal stille sine interne praksisser, bøger og optegnelser vedrørende brug og videregivelse af PHI modtaget fra, eller oprettet eller modtaget på vegne af, den omfattede enhed til rådighed for ministeren for sundhed og menneskelige tjenester med henblik på at bestemme overholdelse af HIPAA-reglerne.

• 3.7. Offshoring. Business Associate kan deltage i offshoring-operationer, der involverer PHI i forbindelse med de funktioner, aktiviteter og tjenester, der er beskrevet i Master Services Agreement og eventuelle individuelle ordrer mellem parterne.

4.1. Tilladte videregivelser. Den omfattede enhed skal underrette forretningspartneren om eventuelle begrænsninger i sin meddelelse om privatlivspraksis eller eventuelle ændringer i eller tilbagekaldelse af en persons tilladelse til at bruge eller videregive PHI, i det omfang sådanne begrænsninger kan påvirke forretningspartnerens brug eller videregivelse af PHI.

• 5.1. Anvendelighed. Denne aftale gælder udelukkende for behandling af PHI af forretningspartner og dækket enhed under individuelle ordrer, hvis, i det omfang og så længe en sådan behandling er underlagt HIPAA-reglerne, med udelukkelse af enhver anden behandling af data af enten forretningspartner og/eller dækket enhed.

• 5.2. Løbetid. Denne aftale træder i kraft på hovedserviceaftalens ikrafttrædelsesdato og ophører automatisk på det seneste tidspunkt af a) MSA's løbetid eller b) løbetiden for den sidste af de individuelle ordrer.

• 5.3. Opsigelse på grund af årsag. Den omfattede enhed kan opsige denne aftale øjeblikkeligt, hvis den fastslår, at forretningspartneren har overtrådt et væsentligt vilkår i aftalen.

• 5.4. Effekt af opsigelse. Ved opsigelse af denne aftale uanset årsag skal forretningspartneren stoppe med at levere tjenester, der involverer PHI under eksisterende individuelle ordrer, og skal returnere til den omfattede enhed eller ødelægge al PHI modtaget fra, eller oprettet eller modtaget på vegne af, den omfattede enhed, som forretningspartneren stadig opretholder i nogen form. Business Associate må ikke opbevare kopier af sådanne oplysninger. Hvis returnering eller destruktion ikke er mulig (herunder hvis der er en juridisk/lovgivningsmæssig opbevaringsforpligtelse), skal Business Associate udvide beskyttelsen i denne aftale til PHI og begrænse dens yderligere brug og videregivelse til de formål, der gør returnering eller destruktion af oplysningerne uigennemførlig. For klarhedens skyld betyder opsigelse af denne aftale uanset årsag ikke automatisk afslutning/ophør af hovedserviceaftalen og/eller eventuelle individuelle ordrer, som fortsætter i overensstemmelse med deres vilkår (bortset fra at Business Associate ikke længere er forpligtet til at levere og skal stoppe med at levere tjenester, der involverer PHI under eksisterende individuelle ordrer), og Covered Associate skal fortsætte med at betale gebyrerne som angivet i de individuelle ordrer.

• 6.1. Konflikt. I tilfælde af konflikt eller uoverensstemmelse mellem vilkårene i denne aftale og vilkårene i MSA og/eller enhver individuel ordre, skal vilkårene i denne aftale have forrang udelukkende med hensyn til de vilkår og betingelser, der er angivet i denne aftale.

• 6.2. Ændringer. Denne ændring må ikke ændres undtagen ved et skriftligt instrument underskrevet af parterne (dette formkrav gælder også for enhver ændring af denne paragraf 6.2). I det omfang det bestemmes af en kompetent myndighed, at aftalen er utilstrækkelig til at overholde HIPAA-reglerne, er den omfattede enhed og forretningspartneren enige om at samarbejde i god tro om at ændre aftalen eller indgå yderligere gensidigt acceptable aftaler i et forsøg på at overholde HIPAA-reglerne.

• 6.3. Ansvar: Hver parts ansvar, der opstår som følge af eller i forbindelse med denne aftale, uanset om det er i kontrakt, erstatning eller under nogen anden ansvarsteori, er underlagt de ansvarsbegrænsninger, der er indeholdt i MSA.

• 6.4. Ingen begunstigede tredjeparter. Intet udtrykkeligt eller underforstået i denne aftale er beregnet til at give, og intet heri skal give, nogen anden person end parterne og deres respektive efterfølgere eller overdragere nogen som helst rettigheder, retsmidler, forpligtelser eller ansvar.

• 6.5. Fortolkning. Enhver tvetydighed i denne aftale skal løses for at gøre det muligt for den omfattede enhed og forretningspartneren at overholde HIPAA-reglerne.

• 6.6. Gældende lov og værneting. Lovgivningen i staten New York skal regulere gyldighed, konstruktion, håndhævelse og fortolkning af denne aftale, medmindre andet er angivet heri, bortset fra bestemmelserne om lovkonflikt. Alle krav, tvister og andre spørgsmål, der opstår som følge af denne aftale eller brud på den, skal afgøres ved en retssag, der indledes og behandles ved en kompetent domstol i staten New York, og parterne i denne aftale giver udtrykkeligt samtykke til en sådan domstols værneting og jurisdiktion.

TILBEKRÆFTELSE HERAF har parterne underskrevet denne aftale på den først skrevne dato ovenfor.

[Navn på den omfattede enhed]

Ved: ___________________________

Name: _________________________

Titel: _________________________

Doodle AG

Af: ___________________________

Name: _________________________

Titel: _________________________

Af: ___________________________

Navn: ____________________________

Titel: _______________________________