Für eine herunterladbare Version klicken Sie bitte auf die Schaltfläche unten:

Diese Business Associate-Vereinbarung (die "Vereinbarung") wird am [Datum] von und zwischen [Name des Abgedeckten Rechtsträgers], einem Unternehmen mit Sitz in [Staat der Gründung/Organisation, einschließlich Land], mit Hauptgeschäftssitz in [Adresse des Abgedeckten Rechtsträgers, einschließlich Land] ("Abgedeckter Rechtsträger") und der Doodle AG, einem Unternehmen mit Sitz in der Schweiz, mit Hauptgeschäftssitz in Werdstrasse 21, 8004 Zürich, Schweiz ("Business Associate") geschlossen. Der Betroffene Rechtsträger und der Business Associate sind jeweils eine "Partei" und zusammen die "Parteien".

Dieser Vertrag ist Bestandteil des Rahmenvertrags für Dienstleistungen und der Einzelaufträge, die von der betroffenen Einrichtung und dem Geschäftspartner abgeschlossen wurden.

Erwägungsgründe

A. Der Betroffene Rechtsträger ist ein "betroffener Rechtsträger" oder ein "Geschäftspartner" eines betroffenen Rechtsträgers gemäß der Definition im Health Information Portability and Accountability Act von 1996 ("HIPAA") und seinen Durchführungsbestimmungen, einschließlich der HIPAA-Datenschutz- und Sicherheitsregeln (zusammen die "HIPAA-Regeln").

B. Der Geschäftspartner erbringt bestimmte Dienstleistungen für die Betroffene Einrichtung im Rahmen von Einzelaufträgen unter einem Rahmenvertrag für Dienstleistungen, die von Zeit zu Zeit die Erstellung, den Erhalt, die Pflege oder die Übermittlung von geschützten Gesundheitsinformationen ("PHI") im Namen der Betroffenen Einrichtung beinhalten können.

C. Die Parteien beabsichtigen, die HIPAA-Regeln einzuhalten, einschließlich der Anforderungen an einen Vertrag mit einem Geschäftspartner gemäß 45 C.F.R. § 164.314(a) und § 164.504(e).

• Verstoß: Wie in 45 C.F.R. § 164.402 definiert.

• Daten-Aggregation: Gemäß der Definition in 45 C.F.R. § 164.501.

• Elektronische geschützte Gesundheitsinformationen (ePHI): bezeichnet geschützte Gesundheitsinformationen, die ePHI sind, wie in 45 C.F.R. § 160.103 definiert.

• Hauptdienstleistungsvertrag (oder MSA): bezeichnet den Hauptdienstleistungsvertrag zwischen dem betroffenen Rechtsträger und dem Geschäftspartner, der am [Datum der letzten Unterschrift einfügen] unterzeichnet wurde.

• Datum des Inkrafttretens des Rahmenvertrags: hat die Bedeutung, die ihm im Rahmen des MSA zugeschrieben wird.

• Einzelauftrag: hat die Bedeutung, die ihm im Rahmen des MSA zugeschrieben wird.

• Geschützte Gesundheitsinformationen (Protected Health Information, PHI): Gemäß der Definition in 45 C.F.R. § 160.103, jedoch beschränkt auf die Informationen, die der Geschäftspartner für, von oder im Namen der betroffenen Einrichtung erstellt, erhält, pflegt oder übermittelt.

• Sicherheitsvorschrift: Die Standards, Anforderungen und Implementierungsspezifikationen, die in 45 C.F.R. Part 160 und Part 164, Subpart C zu finden sind.

• Datenschutz-Regel: Die Standards, Anforderungen und Umsetzungsspezifikationen, die in 45 C.F.R. Part 160 und Part 164, Subpart E zu finden sind.

• Ungesicherte geschützte Gesundheitsinformationen: Wie in 45 C.F.R. § 164.402 definiert.

Alle hier nicht definierten Begriffe haben die Bedeutung, die ihnen in den HIPAA-Regeln zugewiesen wird.

• 2.1. Erlaubte Verwendungen und Offenlegungen. Der Geschäftspartner darf PHI nur in dem Maße nutzen oder offenlegen, wie es für die Erfüllung der Funktionen, Aktivitäten oder Dienstleistungen für die betroffene Einrichtung erforderlich ist, wie es im Rahmenvertrag für Dienstleistungen und den zugrunde liegenden Einzelaufträgen zwischen den Parteien festgelegt ist, oder wie es das Gesetz vorschreibt.

• 2.2. Management und Verwaltung. Der Geschäftspartner kann PHI für das ordnungsgemäße Management und die Verwaltung des Geschäftspartners oder zur Erfüllung der gesetzlichen Pflichten des Geschäftspartners verwenden. Eine Offenlegung zu diesen Zwecken ist nur dann zulässig, wenn die Offenlegung gesetzlich vorgeschrieben ist oder der Geschäftspartner von der Person, der die Informationen offengelegt werden, angemessene Zusicherungen erhält, dass die Informationen vertraulich bleiben und nur wie gesetzlich vorgeschrieben oder für den Zweck, für den sie der Person offengelegt wurden, verwendet oder weitergegeben werden, und die Person den Geschäftspartner über alle ihr bekannten Fälle informiert, in denen die Vertraulichkeit der Informationen verletzt wurde.

• 2.3. Datenaggregation. Der Geschäftspartner kann PHI verwenden, um Datenaggregationsdienste in Bezug auf die Gesundheitsversorgung der betroffenen Einrichtung zu erbringen, soweit dies zur Erfüllung der Funktionen, Aktivitäten oder Dienstleistungen, die in der/den zugrunde liegenden individuellen Bestellung(en) zwischen den Parteien festgelegt sind, zulässig oder erforderlich ist.

• 2.4 De-Identifizierung. Der Geschäftspartner ist berechtigt, PHI zu verwenden, um de-identifizierte Daten zu erstellen, wie dies im Rahmen des Rahmenvertrags für Dienstleistungen oder eines Einzelauftrags/einer Einzelauftrags/Beauftragungen zwischen den Parteien gestattet ist, vorausgesetzt, dass eine solche Verwendung von PHI den De-Identifizierungsstandards der HIPAA Privacy Rule entspricht.

• 3.1. Schutzmaßnahmen. Der Geschäftspartner verpflichtet sich, angemessene administrative, physische und technische Sicherheitsvorkehrungen zu treffen, um die Nutzung oder Offenlegung von PHI auf andere Weise als in dieser Vereinbarung vorgesehen zu verhindern. Der Geschäftspartner muss die geltenden Anforderungen der HIPAA-Sicherheitsregel (45 C.F.R. Teil 164, Unterabschnitt C) in Bezug auf ePHI einhalten.

• 3.2. Minimales Erfordernis. Der Geschäftspartner ist verpflichtet, seine Nutzung und Offenlegung von PHI auf das zur Erreichung des beabsichtigten Zwecks erforderliche Mindestmaß zu beschränken, soweit dies praktisch möglich ist.

• 3.3. Meldung von Verstößen und unzulässigen Offenlegungen. Der Geschäftspartner muss der betroffenen Einrichtung jede Nutzung oder Offenlegung von PHI melden, die nicht in dieser Vereinbarung vorgesehen ist und von der er Kenntnis erhält. Dies beinhaltet, ist aber nicht beschränkt auf, Verstöße gegen ungesicherte PHI, wie in 45 C.F.R. § 164.410 gefordert. Der Geschäftspartner muss diese Benachrichtigung ohne unangemessene Verzögerung und in keinem Fall später als 60 Kalendertage nach Entdeckung des Verstoßes übermitteln. Die Benachrichtigung muss, soweit möglich, die Identifizierung jeder einzelnen Person, deren ungesicherte PHI betroffen waren, und alle anderen Informationen enthalten, die erforderlich sind, damit das betroffene Unternehmen seinen Verpflichtungen zur Benachrichtigung über einen Verstoß gemäß den HIPAA-Regeln nachkommen kann.

• 3.4. Unterauftragnehmer. Der Geschäftspartner stellt sicher, dass alle Unterauftragnehmer, die PHI im Namen des Geschäftspartners erstellen, empfangen, aufbewahren oder übermitteln, den gleichen Einschränkungen und Bedingungen zustimmen, die für den Geschäftspartner in Bezug auf diese Informationen gelten.

• 3.5. Verpflichtungen der betroffenen Einrichtung. Soweit der Geschäftspartner eine oder mehrere Verpflichtungen des Betroffenen im Rahmen der HIPAA Privacy Rule erfüllt, muss er die Anforderungen der HIPAA Privacy Rule einhalten, die für den Betroffenen bei der Erfüllung dieser Verpflichtung gelten.

• 3.6 Rechte des Einzelnen.

• Soweit der Geschäftspartner PHI in einem bestimmten Datensatz für die Abgedeckte Einrichtung aufbewahrt, muss der Geschäftspartner diese PHI zur Verfügung stellen:

• für den Zugriff durch die Betroffene Einrichtung, wie in 45 C.F.R. § 164.524 vorgeschrieben.

• zur Änderung durch die betroffene Einrichtung (oder, auf Anweisung der betroffenen Einrichtung, zur Aufnahme von Änderungen an PHI), wie in 45 C.F.R. § 164.526 gefordert.

• Bereitstellung einer Buchführung über die Offenlegungen gemäß 45 C.F.R. § 164.528.

• 3.6. Verfügbarkeit von Aufzeichnungen. Der Geschäftspartner muss seine internen Praktiken, Bücher und Aufzeichnungen in Bezug auf die Nutzung und Offenlegung von PHI, die er von der betroffenen Einrichtung erhalten oder in deren Namen erstellt oder erhalten hat, dem Minister des Ministeriums für Gesundheit und menschliche Dienste zur Verfügung stellen, um die Einhaltung der HIPAA-Regeln zu überprüfen.

• 3.7. Offshoring. Der Geschäftspartner kann Offshoring-Vorgänge durchführen, die PHI in Verbindung mit den Funktionen, Aktivitäten und Dienstleistungen betreffen, wie sie im Rahmenvertrag für Dienstleistungen und in einem oder mehreren Einzelaufträgen zwischen den Parteien festgelegt sind.

4.1. Erlaubte Offenlegungen. Die Abgedeckte Einrichtung muss den Geschäftspartner über alle Beschränkungen in ihrer Datenschutzerklärung oder über alle Änderungen oder den Widerruf der Erlaubnis einer Person zur Verwendung oder Offenlegung von PHI informieren, soweit diese Beschränkungen die Verwendung oder Offenlegung von PHI durch den Geschäftspartner beeinflussen können.

• 5.1. Anwendbarkeit. Diese Vereinbarung gilt ausschließlich für die Verarbeitung von PHI durch den Geschäftspartner und die Betroffene Einrichtung im Rahmen von Einzelaufträgen, wenn, soweit und solange eine solche Verarbeitung durch die HIPAA-Regeln geregelt ist, unter Ausschluss jeglicher anderer Datenverarbeitung durch den Geschäftspartner und/oder die Betroffene Einrichtung.

• 5.2. Laufzeit. Diese Vereinbarung tritt mit dem Datum des Inkrafttretens des Rahmenvertrags für Dienstleistungen in Kraft und endet automatisch mit dem späteren Zeitpunkt a) der Laufzeit des MSA oder b) der Laufzeit des letzten Einzelauftrags.

• 5.3. Beendigung aus wichtigem Grund. Der betroffene Rechtsträger kann diese Vereinbarung mit sofortiger Wirkung kündigen, wenn er feststellt, dass der Business Associate gegen eine wesentliche Bedingung der Vereinbarung verstoßen hat.

• 5.4. Auswirkung der Beendigung. Bei Beendigung dieser Vereinbarung, gleich aus welchem Grund, stellt der Geschäftspartner die Erbringung von Dienstleistungen ein, die PHI im Rahmen bestehender Einzelaufträge betreffen, und gibt alle PHI, die er von der betroffenen Einrichtung erhalten hat oder die er im Namen der betroffenen Einrichtung erstellt oder erhalten hat und die der Geschäftspartner noch in irgendeiner Form aufbewahrt, an die betroffene Einrichtung zurück oder vernichtet sie. Der Geschäftspartner darf keine Kopien dieser Informationen aufbewahren. Wenn eine Rückgabe oder Vernichtung nicht möglich ist (einschließlich einer gesetzlichen/regulatorischen Aufbewahrungspflicht), wird der Geschäftspartner den Schutz dieser Vereinbarung auf die PHI ausdehnen und deren weitere Nutzung und Offenlegung auf die Zwecke beschränken, die eine Rückgabe oder Vernichtung der Informationen undurchführbar machen. Der Klarheit halber sei darauf hingewiesen, dass die Beendigung dieser Vereinbarung, aus welchem Grund auch immer, nicht automatisch das Ende des Rahmenvertrags für Dienstleistungen und/oder eines Einzelauftrags/einer Einzelaufträge bedeutet, die gemäß ihren Bedingungen fortbestehen (mit der Ausnahme, dass der Business Associate nicht mehr verpflichtet ist, Dienstleistungen im Zusammenhang mit PHI im Rahmen bestehender Einzelaufträge zu erbringen, und dies auch nicht mehr tun wird), und dass der Covered Associate weiterhin die in den Einzelaufträgen festgelegten Gebühren zu zahlen hat.

• 6.1. Widersprüche. Im Falle eines Konflikts oder einer Unstimmigkeit zwischen den Bedingungen dieses Vertrags und den Bedingungen des MSA und/oder eines Einzelauftrags haben die Bedingungen dieses Vertrags Vorrang, und zwar ausschließlich in Bezug auf die in diesem Vertrag festgelegten Bedingungen.

• 6.2. Ergänzungen. Diese Änderung kann nur durch eine schriftliche, von den Parteien unterzeichnete Urkunde geändert werden (diese Formvorschrift gilt auch für Änderungen dieser Klausel 6.2). In dem Maße, in dem eine zuständige Behörde feststellt, dass die Vereinbarung nicht ausreicht, um die HIPAA-Regeln zu erfüllen, verpflichten sich der Betroffene und der Geschäftspartner, nach Treu und Glauben zusammenzuarbeiten, um die Vereinbarung zu ändern oder weitere einvernehmliche Vereinbarungen zu treffen, um die HIPAA-Regeln zu erfüllen.

• 6.3. Haftung: Die Haftung jeder Partei aus oder im Zusammenhang mit dieser Vereinbarung, sei es aus Vertrag, unerlaubter Handlung oder einer anderen Haftungstheorie, unterliegt den im MSA enthaltenen Haftungsbeschränkungen.

• 6.4. Keine Drittbegünstigten. Keine ausdrückliche oder stillschweigende Bestimmung dieser Vereinbarung zielt darauf ab, einer anderen Person als den Parteien und ihren jeweiligen Rechtsnachfolgern oder Zessionaren irgendwelche Rechte, Rechtsmittel, Verpflichtungen oder Haftungen zu übertragen, noch soll irgendetwas in dieser Vereinbarung eine solche übertragen.

• 6.5. Auslegung. Unklarheiten in dieser Vereinbarung sind so zu klären, dass der Betroffene und der Geschäftspartner die HIPAA-Regeln einhalten können.

• 6.6. Geltendes Recht und Gerichtsstand. Die Gesetze des Staates New York regeln die Gültigkeit, Auslegung, Durchsetzung und Interpretation dieser Vereinbarung, sofern in dieser Vereinbarung nichts anderes bestimmt ist, mit Ausnahme der Bestimmungen des Kollisionsrechts. Alle Ansprüche, Streitigkeiten und anderen fraglichen Angelegenheiten, die sich aus dieser Vereinbarung oder deren Verletzung ergeben, werden durch Verfahren entschieden, die vor einem zuständigen Gericht im Staat New York eingeleitet und ausgetragen werden, und die Vertragsparteien erklären sich ausdrücklich mit dem Gerichtsstand und der Gerichtsbarkeit dieses Gerichts einverstanden.

ZU URKUND DESSEN haben die Vertragsparteien diese Vereinbarung mit dem oben genannten Datum unterzeichnet.

[Name der abgedeckten Körperschaft]

Von: ___________________________

Name: _________________________

Titel: _________________________

Doodle AG

Von: ___________________________

Name: _________________________

Titel: _________________________

Von: ___________________________ Name: ____________________________

Titel: _______________________________