Para obtener una versión descargable, haga clic en el botón de abajo:

El presente Acuerdo de asociación comercial (el "Acuerdo") se celebra a partir del [Fecha], por y entre [Nombre de la entidad cubierta], una entidad de [Estado de constitución/organización, incluido el país], con domicilio social principal en [Dirección de la entidad cubierta, incluido el país] ("Entidad cubierta"), y Doodle AG, una entidad con sede en Suiza, con domicilio social principal en Werdstrasse 21, 8004 Zúrich, Suiza ("Asociado comercial"). La Entidad cubierta y el Asociado comercial son cada uno una "Parte" y conjuntamente las "Partes".

El presente Acuerdo se incorpora al Contrato marco de servicios y a los Pedidos individuales suscritos por la Entidad cubierta y el Asociado comercial.

Considerandos

A. La Entidad cubierta es una "entidad cubierta" o un "asociado comercial" de una entidad cubierta, según se define cada una de ellas en la Ley de Portabilidad y Responsabilidad de la Información Médica de 1996 ("HIPAA") y sus reglamentaciones de implementación, incluidas las Reglas de Privacidad y Seguridad de la HIPAA (co122llectivamente, "Reglas HIPAA").

B. El Socio comercial presta determinados servicios a la Entidad cubierta en virtud de pedidos individuales bajo un Contrato marco de servicios que pueden, ocasionalmente, implicar la creación, recepción, mantenimiento o transmisión de Información médica protegida ("PHI") en nombre de la Entidad cubierta.

C. Las Partes tienen la intención de cumplir con las Normas de la HIPAA, incluidos los requisitos para un contrato de asociado comercial según lo establecido en 45 C.F.R. § 164.314(a) y § 164.504(e).

• Incumplimiento: Tal y como se define en 45 C.F.R. § 164.402.

• Agregación de datos: Según se define en 45 C.F.R. § 164.501.

• Información Médica ProtegidaElectrónica (ePHI): significa Información Médica Protegida que es ePHI, según se define en 45 C.F.R. § 160.103.

• Contrato marco deservicios (o MSA): significa el Contrato marco de servicios entre la Entidad cubierta y el Asociado comercial que se firmó el [insertar la fecha de la última firma].

• Fecha de entrada en vigor del Contrato marco de servicios: tiene el significado que se le atribuye en el MSA.

• Pedido individual: tiene el significado que se le atribuye en el MSA.

• Información médica protegida (PHI): según se define en 45 C.F.R. § 160.103, pero limitada a la información creada, recibida, mantenida o transmitida por el Socio comercial para, desde o en nombre de la Entidad cubierta.

• Regla de seguridad: Las normas, requisitos y especificaciones de aplicación que se encuentran en 45 C.F.R. Parte 160 y Parte 164, Subparte C.

• Regla de privacidad: Las normas, requisitos y especificaciones de aplicación que se encuentran en 45 C.F.R. Parte 160 y Parte 164, Subparte E.

• Información sanitaria protegida no segura: Según se define en 45 C.F.R. § 164.402.

Los términos no definidos en el presente documento tendrán el significado que se les atribuye en las normas de la HIPAA.

• 2.1. Usos y divulgaciones permitidos. El Socio comercial podrá utilizar o divulgar la PHI sólo según sea necesario para realizar las funciones, actividades o servicios para la Entidad cubierta, según se especifique en el Contrato marco de servicios y en cualquier Pedido(s) individual(es) subyacente(s) entre las Partes, o según lo exija la ley.

• 2.2. Gestión y administración. El Socio comercial podrá utilizar la PHI para la adecuada gestión y administración del Socio comercial o para llevar a cabo las responsabilidades legales del Socio comercial. Las divulgaciones para estos fines sólo están permitidas si las divulgaciones son exigidas por la ley o el Asociado de Negocio obtiene garantías razonables de la persona a la que se divulga la información de que ésta permanecerá confidencial y será utilizada o divulgada posteriormente sólo como lo exige la ley o para el fin para el que fue divulgada a la persona, y la persona notifica al Asociado de Negocio de cualquier caso del que tenga conocimiento en el que se haya violado la confidencialidad de la información.

• 2.3. Agregación de datos. El Socio comercial podrá utilizar la PHI para proporcionar servicios de Agregación de datos relacionados con las operaciones de atención sanitaria de la Entidad cubierta, según se permita o requiera para realizar las funciones, actividades o servicios establecidos en la(s) Orden(es) individual(es) subyacente(s) entre las Partes.

• 2.4 Desidentificación. El Socio comercial podrá utilizar la PHI para crear datos desidentificados según lo permita el Contrato marco de servicios o cualquier Pedido(s) individual(es) entre las Partes, siempre que dicho uso de la PHI satisfaga las normas de desidentificación establecidas en la Regla de privacidad de la HIPAA.

• 3.1. Salvaguardias. El Asociado Empresarial se compromete a utilizar las salvaguardas administrativas, físicas y técnicas adecuadas para evitar el uso o divulgación de la PHI de forma distinta a la prevista en el presente Acuerdo. El Asociado Empresarial cumplirá con los requisitos aplicables de la Regla de Seguridad de la HIPAA (45 C.F.R. Parte 164, Subparte C) con respecto a la ePHI.

• 3.2. Mínimo Necesario. El Asociado de Negocio limitará, en la medida de lo posible, su uso y divulgación de la PHI a la cantidad mínima necesaria para lograr el propósito previsto.

• 3.3. Notificación de infracciones y divulgaciones no permitidas. El Socio comercial informará a la Entidad cubierta de cualquier uso o divulgación de la PHI no previsto en el presente Contrato del que tenga conocimiento. Esto incluye, pero no se limita a, las violaciones de la PHI no segura, tal y como se exige en 45 C.F.R. § 164.410. El Asociado Empresarial deberá proporcionar dicha notificación sin demora injustificada y en ningún caso más tarde de 60 días naturales tras el descubrimiento de la violación. La notificación deberá incluir, en la medida de lo posible, la identificación de cada individuo cuya PHI no asegurada se haya visto implicada y cualquier otra información necesaria para que la Entidad Cubierta cumpla con sus obligaciones de notificación de infracciones en virtud de las Normas HIPAA.

• 3.4. Subcontratistas. El Asociado de Negocio se asegurará de que todos los subcontratistas que creen, reciban, mantengan o transmitan PHI en nombre del Asociado de Negocio acepten las mismas restricciones y condiciones que se aplican al Asociado de Negocio con respecto a dicha información.

• 3.5. Obligaciones de las entidades cubiertas. El Socio comercial deberá, en la medida en que lleve a cabo una o más de las obligaciones de la Entidad cubierta en virtud de la Regla de privacidad de la HIPAA, cumplir con los requisitos de la Regla de privacidad de la HIPAA que se aplican a la Entidad cubierta en el cumplimiento de dicha obligación.

• 3.6 Derechos individuales.

• En la medida en que el Socio comercial conserve la PHI en un conjunto de registros designado para la Entidad cubierta, el Socio comercial pondrá dicha PHI a disposición

• para el Acceso por parte de la Entidad cubierta, tal y como exige 45 C.F.R. § 164.524.

• para su modificación por parte de la Entidad Cubierta (o, por indicación de la Entidad Cubierta, para incorporar modificaciones a la PHI) según lo exigido por 45 C.F.R. § 164.526.

• 3.5. Proporcionar una contabilidad de las divulgaciones según lo requerido por 45 C.F.R. § 164.528.

• 3.6. Disponibilidad de los registros. El Socio comercial pondrá a disposición de la Secretaría del Departamento de Salud y Servicios Humanos sus prácticas internas, libros y registros relacionados con el uso y la divulgación de la PHI recibida de la Entidad cubierta, o creada o recibida en nombre de ésta, con el fin de determinar el cumplimiento de las Normas HIPAA.

• 3.7. Deslocalización. El Asociado comercial podrá realizar operaciones de deslocalización que afecten a la PHI en relación con las funciones, actividades y servicios establecidos en el Contrato marco de servicios y en cualquier Pedido(s) individual(es) entre las Partes.

4.1. Divulgaciones permitidas. La Entidad cubierta notificará al Socio comercial cualquier limitación en su aviso de prácticas de privacidad, o cualquier cambio o revocación del permiso de una persona para utilizar o divulgar la PHI, en la medida en que dichas limitaciones puedan afectar al uso o divulgación de la PHI por parte del Socio comercial.

• 5.1. Aplicabilidad. El presente Contrato se aplica exclusivamente al procesamiento de la PHI por parte del Socio comercial y la Entidad cubierta en virtud de Pedidos individuales, si, en la medida y durante el tiempo en que dicho procesamiento se rija por las Normas HIPAA, con exclusión de cualquier otro procesamiento de datos por parte del Socio comercial y/o la Entidad cubierta.

• 5.2. Vigencia. El presente Contrato entrará en vigor a partir de la Fecha de entrada en vigor del Contrato marco de servicios y finalizará automáticamente en la fecha posterior de a) finalización del CMA o b) finalización del último de los Pedidos individuales.

• 5.3. Rescisión por causa justificada. La Entidad cubierta podrá rescindir este Contrato inmediatamente si determina que el Socio comercial ha incumplido un término sustancial del Contrato.

• 5.4. Efecto de la rescisión. Tras la rescisión del presente Acuerdo por cualquier motivo, el Socio comercial dejará de prestar servicios que impliquen la PHI en virtud del/de los Pedido(s) individual(es) existente(s) y devolverá a la Entidad cubierta o destruirá toda la PHI recibida de la Entidad cubierta, o creada o recibida en su nombre, que el Socio comercial aún conserve en cualquier forma. El Socio comercial no conservará ninguna copia de dicha información. Si la devolución o destrucción no es factible (incluyendo si existe una obligación legal/regulatoria de retención), el Asociado de Negocio extenderá las protecciones de este Acuerdo a la PHI y limitará su uso y divulgación posterior a aquellos propósitos que hagan inviable la devolución o destrucción de la información. En aras de la claridad, la rescisión del presente Contrato por cualquier motivo no pone fin/termina automáticamente el Contrato marco de servicios y/o cualquier Pedido(s) individual(es), que continúan de acuerdo con sus términos (excepto que el Asociado comercial ya no está obligado a prestar y dejará de prestar servicios relacionados con la PHI en virtud del Pedido(s) individual(es) existente(s)) y el Asociado cubierto continuará pagando los honorarios según lo establecido en el Pedido(s) individual(es).

• 6.1. Conflicto. En caso de cualquier conflicto o incoherencia entre los términos del presente Contrato y los términos del AMA y/o cualquier Pedido Individual, prevalecerán los términos del presente Contrato con respecto únicamente a los términos y condiciones establecidos en el mismo.

• 6.2. Modificaciones. La presente Modificación no podrá ser modificada salvo mediante un instrumento escrito firmado por las Partes (este requisito de forma también se aplica a cualquier modificación de la presente cláusula 6.2). En la medida en que cualquier autoridad competente determine que el Contrato es insuficiente para cumplir con las Normas HIPAA, la Entidad cubierta y el Socio comercial acuerdan cooperar de buena fe para modificar el Contrato o celebrar otros acuerdos mutuamente aceptables en un esfuerzo por cumplir con las Normas HIPAA.

• 6.3. Responsabilidad: La responsabilidad de cada una de las Partes derivada o relacionada con el presente Contrato, ya sea contractual, extracontractual o bajo cualquier otra teoría de responsabilidad, está sujeta a las limitaciones de responsabilidad contenidas en el MSA.

• 6.4. Ausencia de terceros beneficiarios. Nada expreso o implícito en el presente Contrato pretende conferir, ni conferirá, a persona alguna distinta de las Partes y sus respectivos sucesores o cesionarios, derecho, recurso, obligación o responsabilidad alguna.

• 6.5. Interpretación. Cualquier ambigüedad en el presente Contrato se resolverá de forma que permita a la Entidad cubierta y al Socio comercial cumplir con las Normas HIPAA.

• 6.6. Legislación aplicable y jurisdicción. Las leyes del Estado de Nueva York regirán la validez, las construcciones, el cumplimiento y la interpretación del presente Contrato, a menos que se especifique lo contrario en el mismo, salvo las disposiciones sobre conflicto de leyes. Todas las reclamaciones, disputas y otros asuntos en cuestión que surjan de este Acuerdo, o del incumplimiento del mismo, se decidirán mediante procedimientos instituidos y litigados en un tribunal de jurisdicción competente en el Estado de Nueva York, y las Partes aquí presentes consienten expresamente en la sede y jurisdicción de dicho tribunal.

EN FE DE LO CUAL, las Partes firman el presente Acuerdo en la fecha arriba indicada.

[Nombre de la entidad cubierta]

Por: ___________________________

Nombre: _________________________

Título: _________________________

Doodle AG

Por: ___________________________

Nombre: _________________________

Título: _________________________

Por: ___________________________

Nombre: ____________________________

Título: _________________________