Per una versione scaricabile, clicchi sul pulsante sottostante:

Il presente Accordo tra Associati d'Affari (l'"Accordo") è stipulato in data [Data], da e tra [Nome dell'Entità Coperta], un'entità di [Stato di costituzione/organizzazione, incluso il Paese], con sede principale a [Indirizzo dell'Entità Coperta, incluso il Paese] ("Entità Coperta"), e Doodle AG, un'entità con sede in Svizzera, con sede principale a Werdstrasse 21, 8004 Zurigo, Svizzera ("Associato d'Affari"). L'Entità coperta e l'Associato d'affari sono ciascuno una "Parte" e insieme le "Parti".

Il presente Accordo è incorporato nel Contratto di Servizi Master e negli Ordini individuali stipulati dall'Entità coperta e dall'Associato d'affari.

Considerando

A. L'Entità Coperta è una "Entità Coperta" o un "associato d'affari" di un'Entità Coperta, come ciascuno di essi è definito ai sensi della Legge sulla Portabilità e la Responsabilità delle Informazioni Sanitarie del 1996 ("HIPAA") e dei relativi regolamenti di attuazione, comprese le Regole HIPAA sulla Privacy e la Sicurezza (collettivamente, "Regole HIPAA").

B. L'Associato d'Affari fornisce determinati servizi all'Entità Coperta nell'ambito di Ordini Individuali ai sensi di un Contratto di Servizi Principale che può, di volta in volta, comportare la creazione, la ricezione, la manutenzione o la trasmissione di Informazioni Sanitarie Protette ("PHI") per conto dell'Entità Coperta.

C. Le Parti intendono conformarsi alle Regole HIPAA, inclusi i requisiti per un contratto di business associate, come stabilito nel 45 C.F.R. § 164.314(a) e § 164.504(e).

• Violazione: Come definito in 45 C.F.R. § 164.402.

• Aggregazione di dati: Come definito nel 45 C.F.R. § 164.501.

• Informazioni Sanitarie Protette Elettroniche (ePHI): significa Informazioni Sanitarie Protette che sono ePHI, come definito in 45 C.F.R. § 160.103.

• Accordo sui Servizi Master (o MSA): indica l'Accordo sui Servizi Master tra l'Entità Coperta e l'Associato d'Affari, firmato il [inserire la data dell'ultima firma].

• Data di entrata in vigore dell'Accordo sui Servizi Master: ha il significato ad esso attribuito ai sensi dell'MSA.

• Ordine individuale: ha il significato ad esso attribuito ai sensi dell'MSA.

• Informazioni sanitarie protette (PHI): come definite in 45 C.F.R. § 160.103, ma limitatamente alle informazioni create, ricevute, mantenute o trasmesse dall'Associato d'Affari per, da o per conto dell'Entità coperta.

• Regola di sicurezza: Gli standard, i requisiti e le specifiche di implementazione presenti in 45 C.F.R. Parte 160 e Parte 164, Sottoparte C.

• Regola sulla privacy: Gli standard, i requisiti e le specifiche di implementazione di cui alle norme 45 C.F.R. Parte 160 e Parte 164, Sottoparte E.

• Informazioni sanitarie protette non protette: Come definito nel 45 C.F.R. § 164.402.

Tutti i termini non definiti nel presente documento avranno il significato loro attribuito ai sensi delle Regole HIPAA.

• 2.1. Usi e divulgazioni consentiti. L'Associato d'Affari può utilizzare o divulgare i dati personali solo se necessario per svolgere le funzioni, le attività o i servizi per l'Entità Coperta, come specificato nell'Accordo di Servizi Master e in qualsiasi Ordine individuale sottostante tra le Parti, o come richiesto dalla legge.

• 2.2. Gestione e amministrazione. L'Associato d'Affari può utilizzare le informazioni personali per la corretta gestione e amministrazione dell'Associato d'Affari o per adempiere alle responsabilità legali dell'Associato d'Affari. Le divulgazioni per questi scopi sono consentite solo se le divulgazioni sono richieste dalla legge o se l'Associato ottiene ragionevoli garanzie dalla persona a cui vengono divulgate le informazioni che queste rimarranno riservate e saranno utilizzate o ulteriormente divulgate solo come richiesto dalla legge o per lo scopo per cui sono state divulgate alla persona, e la persona notifica all'Associato qualsiasi caso di cui sia a conoscenza in cui la riservatezza delle informazioni sia stata violata.

• 2.3. Aggregazione di dati. L'Associato d'Affari può utilizzare le informazioni personali per fornire servizi di aggregazione dei dati relativi alle operazioni di assistenza sanitaria dell'Entità coperta, come consentito o richiesto per svolgere le funzioni, le attività o i servizi stabiliti nell'Ordine individuale sottostante tra le Parti.

• 2.4 De-identificazione. L'Associato d'Affari può utilizzare le PHI per creare dati de-identificati, come consentito dal Contratto di Servizi Master o da qualsiasi Ordine Individuale tra le Parti, a condizione che tale utilizzo delle PHI soddisfi gli standard di de-identificazione stabiliti dalla HIPAA Privacy Rule.

• 3.1. Salvaguardie. L'Associato d'affari si impegna a utilizzare adeguate salvaguardie amministrative, fisiche e tecniche per impedire l'uso o la divulgazione di PHI al di fuori di quanto previsto dal presente Accordo. L'Associato d'Affari si atterrà ai requisiti applicabili della Norma di Sicurezza HIPAA (45 C.F.R. Parte 164, Sottoparte C) in relazione alle informazioni elettroniche.

• 3.2. Minimo necessario. L'Associato d'Affari limiterà, per quanto possibile, l'uso e la divulgazione di PHI al minimo necessario per raggiungere lo scopo previsto.

• 3.3. Segnalazione di violazioni e divulgazioni non consentite. L'Associato d'Affari dovrà segnalare all'Entità Coperta qualsiasi uso o divulgazione di PHI non previsti dal presente Accordo di cui venga a conoscenza. Ciò include, ma non si limita a, le violazioni di PHI non protette come richiesto da 45 C.F.R. § 164.410. L'Associato d'Affari fornirà tale notifica senza ritardi irragionevoli e in ogni caso non oltre 60 giorni di calendario dalla scoperta della violazione. La notifica deve includere, nella misura del possibile, l'identificazione di ogni individuo i cui PHI non protetti sono stati coinvolti e qualsiasi altra informazione necessaria all'Entità Coperta per adempiere ai suoi obblighi di notifica della violazione ai sensi delle Regole HIPAA.

• 3.4. Subappaltatori. L'Associato d'Affari dovrà garantire che tutti i subappaltatori che creano, ricevono, conservano o trasmettono PHI per conto dell'Associato d'Affari accettino le stesse restrizioni e condizioni che si applicano all'Associato d'Affari in relazione a tali informazioni.

• 3.5. Obblighi dell'Entità Coperta. L'Associato d'Affari, nella misura in cui esegue uno o più obblighi dell'Entità Coperta ai sensi della Norma sulla Privacy HIPAA, dovrà rispettare i requisiti della Norma sulla Privacy HIPAA che si applicano all'Entità Coperta nell'adempimento di tale obbligo.

• 3.6 Diritti individuali.

• Nella misura in cui l'Associato d'Affari conserva PHI in un set di record designato per l'Entità Coperta, l'Associato d'Affari renderà disponibili tali PHI:

• per l'accesso da parte dell'Entità Coperta come richiesto da 45 C.F.R. § 164.524.

• per la modifica da parte dell'Entità Coperta (o, su indicazione dell'Entità Coperta, per incorporare modifiche alle PHI) come richiesto dal 45 C.F.R. § 164.526.

• Fornire un resoconto delle divulgazioni come richiesto dal 45 C.F.R. § 164.528.

• 3.6. Disponibilità dei registri. L'Associato d'Affari metterà a disposizione del Segretario del Dipartimento della Salute e dei Servizi Umani le sue pratiche interne, i suoi libri e i suoi registri relativi all'uso e alla divulgazione di PHI ricevuti da, o creati o ricevuti per conto dell'Entità Coperta, al fine di determinare la conformità alle Regole HIPAA.

• 3.7. Offshoring. L'Associato d'Affari può impegnarsi in operazioni di offshoring che coinvolgono PHI in relazione alle funzioni, alle attività e ai servizi stabiliti nell'Accordo di Servizi Master e in qualsiasi Ordine Individuale tra le Parti.

4.1. Divulgazione consentita. L'Entità coperta dovrà notificare all'Associato d'affari qualsiasi limitazione contenuta nel suo avviso di pratiche sulla privacy, o qualsiasi modifica o revoca dell'autorizzazione da parte di un individuo all'uso o alla divulgazione di PHI, nella misura in cui tali limitazioni possono influire sull'uso o sulla divulgazione di PHI da parte dell'Associato d'affari.

• 5.1. Applicabilità. Il presente Accordo si applica esclusivamente all'elaborazione di PHI da parte dell'Associato d'affari e dell'Entità coperta ai sensi degli Ordini individuali, se, nella misura e per tutto il tempo in cui tale elaborazione è disciplinata dalle Regole HIPAA, ad esclusione di qualsiasi altra elaborazione di dati da parte dell'Associato d'affari e/o dell'Entità coperta.

• 5.2. Termine. Il presente Accordo entrerà in vigore a partire dalla Data di Efficacia del Contratto di Servizi Master e terminerà automaticamente alla successiva a) scadenza dell'MSA o b) scadenza dell'ultimo degli Ordini Individuali.

• 5.3. Risoluzione per causa. L'Entità Coperta può risolvere immediatamente il presente Accordo se ritiene che l'Associato d'Affari abbia violato un termine sostanziale dell'Accordo.

• 5.4. Effetti della risoluzione. Alla risoluzione del presente Accordo per qualsiasi motivo, l'Associato d'Affari smetterà di fornire servizi che coinvolgono PHI in base agli Ordini individuali esistenti e restituirà all'Entità coperta o distruggerà tutti i PHI ricevuti da, o creati o ricevuti per conto dell'Entità coperta, che l'Associato d'Affari conserva ancora in qualsiasi forma. L'Associato d'Affari non conserverà alcuna copia di tali informazioni. Se la restituzione o la distruzione non è fattibile (anche in presenza di un obbligo di conservazione legale/regolamentare), l'Associato d'Affari estenderà le protezioni del presente Accordo alle PHI e ne limiterà l'ulteriore uso e divulgazione a quegli scopi che rendono impossibile la restituzione o la distruzione delle informazioni. Per chiarezza, la risoluzione del presente Accordo per qualsiasi motivo non pone automaticamente fine all'Accordo per i Servizi Master e/o a qualsiasi Ordine Individuale, che continuano in conformità ai loro termini (ad eccezione del fatto che l'Associato d'Affari non è più obbligato a fornire e smetterà di fornire servizi che coinvolgono PHI ai sensi degli Ordini Individuali esistenti) e l'Associato Coperto continuerà a pagare le tariffe come stabilito nell'Ordine Individuale.

• 6.1. Conflitto. In caso di conflitto o incongruenza tra i termini del presente Accordo e i termini dell'MSA e/o di qualsiasi Ordine Individuale, i termini del presente Accordo prevarranno in relazione ai soli termini e condizioni stabiliti nel presente Accordo.

• 6.2. Emendamenti. Il presente Emendamento non potrà essere modificato se non mediante uno strumento scritto firmato dalle Parti (questo requisito di forma si applica anche a qualsiasi emendamento alla presente clausola 6.2). Nella misura in cui venga stabilito da qualsiasi autorità competente che l'Accordo non è sufficiente per conformarsi alle Regole HIPAA, l'Entità Coperta e l'Associato d'Affari concordano di cooperare in buona fede per modificare l'Accordo o stipulare ulteriori accordi reciprocamente concordabili nel tentativo di conformarsi alle Regole HIPAA.

• 6.3. Responsabilità: La responsabilità di ciascuna Parte derivante da o correlata al presente Accordo, sia per contratto che per illecito civile o in base a qualsiasi altra teoria di responsabilità, è soggetta alle limitazioni di responsabilità contenute nell'MSA.

• 6.4. Nessun beneficiario terzo. Nulla di quanto espresso o implicito nel presente Accordo è inteso a conferire, né nulla di quanto in esso contenuto conferirà, a persone diverse dalle Parti e dai rispettivi successori o cessionari, alcun diritto, rimedio, obbligo o responsabilità di sorta.

• 6.5. Interpretazione. Qualsiasi ambiguità nel presente Accordo dovrà essere risolta per consentire all'Entità Coperta e all'Associato d'Affari di conformarsi alle Regole HIPAA.

• 6.6. Legge applicabile e foro competente. Le leggi dello Stato di New York disciplineranno la validità, la costruzione, l'applicazione e l'interpretazione del presente Accordo, se non diversamente specificato nel presente documento, fatta eccezione per le disposizioni sul conflitto di leggi. Tutti i reclami, le controversie e le altre questioni in questione derivanti dal presente Contratto, o dalla sua violazione, saranno decisi mediante procedimenti istituiti e dibattuti in un tribunale di giurisdizione competente nello Stato di New York, e le Parti acconsentono espressamente alla sede e alla giurisdizione di tale tribunale.

IN FEDE DI CHE, le Parti hanno sottoscritto il presente Accordo alla data di cui sopra.

[Nome dell'Entità Coperta]

Da: ___________________________

Nome: _________________________

Titolo: _________________________

Scarabocchio AG

Da: ___________________________

Nome: _________________________

Titolo: _________________________

Da: ___________________________

Nome: ____________________________

Titolo: _______________________________