Pour obtenir une version téléchargeable, veuillez cliquer sur le bouton ci-dessous :

Le présent accord d'association commerciale (l'"accord") est conclu le [date], par et entre [nom de l'entité couverte], une entité de [État d'incorporation/organisation, y compris le pays], dont le siège social est situé à [adresse de l'entité couverte, y compris le pays] ("entité couverte"), et Doodle AG, une entité basée en Suisse, dont le siège social est situé à Werdstrasse 21, 8004 Zurich, Suisse ("associé commercial"). L'entité couverte et l'associé commercial sont chacun une "partie" et ensemble les "parties".

Le présent accord est intégré à l'accord-cadre de services et aux commandes individuelles conclues par l'entité couverte et l'associé commercial.

Préambule

A. L'entité couverte est une "entité couverte" ou un "associé commercial" d'une entité couverte au sens de la loi de 1996 sur la portabilité et la responsabilité des informations de santé ("HIPAA") et de ses règlements d'application, y compris les règles de confidentialité et de sécurité de l'HIPAA (collectivement, les "règles de l'HIPAA").

B. L'associé commercial fournit certains services à l'entité couverte en vertu de commandes individuelles dans le cadre d'un accord-cadre de services qui peut, de temps à autre, impliquer la création, la réception, la maintenance ou la transmission de renseignements médicaux protégés ("RMP") pour le compte de l'entité couverte.

C. Les parties entendent se conformer aux règles de l'HIPAA, y compris aux exigences relatives à un contrat d'association commerciale, telles qu'elles sont énoncées à l'article 164.314(a) et à l'article 164.504(e) du règlement 45 C.F.R.

• Violation : Telle que définie dans le 45 C.F.R. § 164.402.

• Agrégation de données : Tel que défini dans le règlement 45 C.F.R. § 164.501.

• Informations de santé électroniques protégées (ePHI) : les informations de santé protégées qui sont des ePHI, telles que définies dans le règlement 45 C.F.R. § 160.103.

• Contrat-cadre de services (ou MSA) : désigne le contrat-cadre de services entre l'entité couverte et l'associé commercial qui a été signé le [insérer la date de la dernière signature].

• Date d'entrée en vigueur de l'accord-cadre de services : a la signification qui lui est attribuée dans l'accord-cadre de services.

• Ordre individuel : a la signification qui lui est attribuée en vertu de la MSA.

• Informations de santé protégées (PHI) : telles que définies dans 45 C.F.R. § 160.103, mais limitées aux informations créées, reçues, conservées ou transmises par l'associé commercial pour, depuis ou au nom de l'entité couverte.

• Règle de sécurité : Les normes, exigences et spécifications de mise en œuvre figurant dans 45 C.F.R. Part 160 et Part 164, Subpart C.

• Privacy Rule (règle de confidentialité) : Les normes, les exigences et les spécifications de mise en œuvre énoncées dans le document 45 C.F.R. Part 160 et Part 164, Subpart E.

• Informations de santé protégées non sécurisées : Telles que définies dans la norme 45 C.F.R. § 164.402.

Tous les termes non définis dans le présent document ont la signification qui leur est attribuée par les règles de l'HIPAA.

• 2.1. Utilisations et divulgations autorisées. L'associé commercial peut utiliser ou divulguer les renseignements médicaux personnels uniquement si cela est nécessaire pour exécuter les fonctions, les activités ou les services pour l'entité couverte, tel que spécifié dans l'entente-cadre de services et tout ordre individuel sous-jacent entre les parties, ou tel qu'exigé par la loi.

• 2.2. Gestion et administration. L'associé commercial peut utiliser les PHI pour la gestion et l'administration appropriées de l'associé commercial ou pour assumer les responsabilités légales de l'associé commercial. Les divulgations à ces fins ne sont autorisées que si elles sont requises par la loi ou si Business Associate obtient des garanties raisonnables de la personne à laquelle les informations sont divulguées qu'elles resteront confidentielles et qu'elles seront utilisées ou divulguées uniquement comme l'exige la loi ou dans le but pour lequel elles ont été divulguées à la personne, et que la personne notifie à Business Associate tout cas dont elle a connaissance dans lequel la confidentialité des informations a été violée.

• 2.3. Regroupement des données. Business Associate peut utiliser les PHI pour fournir des services d'agrégation de données relatifs aux opérations de soins de santé de l'entité couverte, comme autorisé ou requis pour exécuter les fonctions, activités ou services énoncés dans le(s) ordre(s) individuel(s) sous-jacent(s) conclu(s) entre les parties.

• 2.4 Dé-identification. Business Associate peut utiliser les PHI pour créer des données dépersonnalisées, comme le permet l'accord-cadre de services ou toute commande individuelle entre les parties, à condition que cette utilisation des PHI satisfasse aux normes de dépersonnalisation énoncées dans la règle de confidentialité de l'HIPAA.

• 3.1. Garanties. L'Associé commercial accepte d'utiliser des mesures de protection administratives, physiques et techniques appropriées pour empêcher l'utilisation ou la divulgation de PHI autrement que conformément au présent Accord. L'Associé commercial doit se conformer aux exigences applicables de la règle de sécurité HIPAA (45 C.F.R. Part 164, Subpart C) en ce qui concerne les PHI.

• 3.2. Minimum nécessaire. L'associé commercial doit, dans la mesure du possible, limiter son utilisation et sa divulgation des PHI au minimum nécessaire pour atteindre l'objectif visé.

• 3.3. Signalement des violations et des divulgations non autorisées. L'associé commercial signale à l'entité couverte toute utilisation ou divulgation de RPS non prévue par le présent accord dont il a connaissance. Cela inclut, sans s'y limiter, les violations de PHI non sécurisées, comme l'exige le 45 C.F.R. § 164.410. L'associé commercial doit fournir cette notification sans délai déraisonnable et en aucun cas plus de 60 jours calendaires après la découverte de la violation. La notification doit inclure, dans la mesure du possible, l'identification de chaque personne dont les PHI non sécurisés ont été impliqués et toute autre information requise pour que l'entité couverte remplisse ses obligations de notification de violation en vertu des règles HIPAA.

• 3.4. Sous-traitants. Business Associate doit s'assurer que tous les sous-traitants qui créent, reçoivent, conservent ou transmettent des PHI au nom de Business Associate acceptent les mêmes restrictions et conditions que celles qui s'appliquent à Business Associate en ce qui concerne ces informations.

• 3.5. Obligations de l'entité couverte. Business Associate doit, dans la mesure où il exécute une ou plusieurs obligations de l'entité couverte en vertu de la règle de confidentialité de l'HIPAA, se conformer aux exigences de la règle de confidentialité de l'HIPAA qui s'appliquent à l'entité couverte dans le cadre de l'exécution de cette obligation.

• 3.6 Droits individuels.

• Dans la mesure où Business Associate conserve des PHI dans un ensemble de dossiers désignés pour l'entité couverte, Business Associate doit mettre à disposition ces PHI :

• pour l'accès par l'entité couverte, tel que requis par 45 C.F.R. § 164.524.

• pour modification par l'entité couverte (ou, à la demande de l'entité couverte, pour incorporer les modifications apportées aux PHI) comme l'exige le 45 C.F.R. § 164.526.

• Fournir un compte rendu des divulgations comme l'exige l'article 164.528 du règlement 45 C.F.R.

• 3.6. Disponibilité des enregistrements. L'associé commercial doit mettre ses pratiques internes, ses livres et ses registres relatifs à l'utilisation et à la divulgation des PHI reçus de l'entité couverte, ou créés ou reçus en son nom, à la disposition du secrétaire du ministère de la santé et des services sociaux afin de déterminer la conformité avec les règles de l'HIPAA.

• 3.7. Délocalisation. L'Associé Commercial peut s'engager dans des opérations de délocalisation impliquant des PHI en relation avec les fonctions, les activités et les services tels que définis dans l'Accord Cadre de Services et toute(s) Commande(s) Individuelle(s) entre les Parties.

4.1. Divulgations autorisées. L'entité couverte doit informer l'associé commercial de toute limitation dans son avis de pratiques de confidentialité, ou de toute modification ou révocation de l'autorisation par un individu d'utiliser ou de divulguer des PHI, dans la mesure où ces limitations peuvent affecter l'utilisation ou la divulgation des PHI par l'associé commercial.

• 5.1. Applicabilité. Le présent Accord s'applique exclusivement au traitement des PHI par l'Associé Commercial et l'Entité Couverte dans le cadre des Commandes Individuelles, si, dans la mesure et tant que ce traitement est régi par les Règles HIPAA, à l'exclusion de tout autre traitement de données par l'Associé Commercial et/ou l'Entité Couverte.

• 5.2. Durée. Le présent accord prend effet à la date d'entrée en vigueur de l'accord-cadre de services et prend automatiquement fin à la date la plus tardive entre a) l'échéance de l'accord-cadre de services et b) l'échéance de la dernière des commandes individuelles.

• 5.3. Résiliation pour motif valable. L'entité couverte peut résilier le présent contrat immédiatement si elle détermine que l'associé commercial a violé une condition importante du contrat.

• 5.4. Effet de la résiliation. En cas de résiliation de la présente convention pour quelque raison que ce soit, l'associé en affaires doit cesser de fournir des services impliquant des RPS en vertu des commandes individuelles existantes et doit retourner à l'entité couverte ou détruire tous les RPS reçus de l'entité couverte, ou créés ou reçus en son nom, que l'associé en affaires conserve encore sous quelque forme que ce soit. Business Associate ne conservera aucune copie de ces informations. Si le retour ou la destruction n'est pas possible (y compris en cas d'obligation légale/réglementaire de conservation), Business Associate doit étendre les protections du présent accord aux PHI et limiter leur utilisation et leur divulgation ultérieures aux fins qui rendent le retour ou la destruction des informations impossible. Par souci de clarté, la résiliation du présent accord pour quelque raison que ce soit ne met pas automatiquement fin à l'accord-cadre de services et/ou à toute(s) commande(s) individuelle(s), qui se poursuivent conformément à leurs conditions (sauf que l'associé commercial n'est plus obligé de fournir et doit cesser de fournir des services impliquant des PHI dans le cadre de commandes individuelles existantes) et l'associé couvert doit continuer à payer les frais prévus dans le cadre de la ou des commande(s) individuelle(s).

• 6.1. Conflit. En cas de conflit ou d'incohérence entre les termes du présent accord et les termes du MSA et/ou de toute commande individuelle, les termes du présent accord prévaudront uniquement en ce qui concerne les termes et conditions énoncés dans le présent accord.

• 6.2. Modifications. Le présent avenant ne peut être modifié que par un acte écrit signé par les parties (cette exigence de forme s'applique également à toute modification de la présente clause 6.2). Dans la mesure où il est déterminé par toute autorité compétente que l'accord est insuffisant pour se conformer aux règles HIPAA, l'entité couverte et l'associé commercial conviennent de coopérer de bonne foi pour modifier l'accord ou conclure d'autres accords mutuellement acceptables dans le but de se conformer aux règles HIPAA.

• 6.3. Responsabilité : La responsabilité de chaque partie découlant du présent accord ou liée à celui-ci, qu'elle soit contractuelle, délictuelle ou en vertu de toute autre théorie de la responsabilité, est soumise aux limitations de responsabilité contenues dans le MSA.

• 6.4. Absence de tiers bénéficiaires. Aucune disposition expresse ou implicite du présent accord n'est destinée à conférer, et aucune disposition du présent accord ne conférera, à toute personne autre que les parties et leurs successeurs ou ayants droit respectifs, des droits, des recours, des obligations ou des responsabilités de quelque nature que ce soit.

• 6.5. Interprétation. Toute ambiguïté dans le présent accord doit être résolue pour permettre à l'entité couverte et à l'associé commercial de se conformer aux règles HIPAA.

• 6.6. Loi applicable et lieu. Les lois de l'État de New York régissent la validité, la construction, l'exécution et l'interprétation du présent accord, sauf indication contraire dans le présent accord, à l'exception des dispositions relatives aux conflits de lois. Toutes les réclamations, tous les litiges et toutes les autres questions découlant du présent accord ou de sa violation seront tranchés dans le cadre d'une procédure engagée devant un tribunal compétent de l'État de New York, et les parties au présent accord acceptent expressément le lieu et la compétence de ce tribunal.

EN FOI DE QUOI, les parties ont signé le présent accord à la date indiquée ci-dessus.

[Nom de l'entité couverte]

Par : ___________________________

Nom : _________________________

Titre : _________________________

Doodle AG

Par : ___________________________

Nom : _________________________

Titre : _________________________

Par : ___________________________

Nom : ____________________________

Titel : _______________________________