Para obter uma versão para download, clique no botão abaixo:

Este Contrato de Associado Comercial (o "Contrato") é celebrado a partir de [Data], por e entre [Nome da Entidade Coberta], uma entidade [Estado da Incorporação/Organização, incluindo o país], com seu principal local de negócios em [Endereço da Entidade Coberta, incluindo o país] ("Entidade Coberta"), e a Doodle AG, uma entidade sediada na Suíça, com seu principal local de negócios em Werdstrasse 21, 8004 Zurique, Suíça ("Associado Comercial"). A Entidade Coberta e o Associado Comercial são, cada um, uma "Parte" e, juntos, as "Partes".

Este Contrato é incorporado ao Contrato Principal de Serviços e aos Pedidos Individuais celebrados pela Entidade Coberta e pelo Associado Comercial.

Considerações finais

A. A Entidade Coberta é uma "entidade coberta" ou "associada comercial" de uma entidade coberta, conforme definido na Lei de Portabilidade e Responsabilidade de Informações de Saúde de 1996 ("HIPAA") e seus regulamentos de implementação, incluindo as Regras de Privacidade e Segurança da HIPAA (coletivamente, "Regras da HIPAA").

B. O Associado Comercial fornece certos serviços à Entidade Coberta sob Pedidos Individuais sob um Contrato de Serviços Principais que pode, de tempos em tempos, envolver a criação, recebimento, manutenção ou transmissão de Informações de Saúde Protegidas ("PHI") em nome da Entidade Coberta.

C. As Partes pretendem cumprir as Regras da HIPAA, incluindo os requisitos para um contrato de associado comercial, conforme estabelecido em 45 C.F.R. § 164.314(a) e § 164.504(e).

• Violação: Conforme definido no 45 C.F.R. § 164.402.

• Agregação de dados: Conforme definido em 45 C.F.R. § 164.501.

• Informações de saúde protegidas eletronicamente (ePHI): significa informações de saúde protegidas que são ePHI, conforme definido em 45 C.F.R. § 160.103.

• Contrato Principal de Serviços (ou MSA): significa o Contrato Principal de Serviços entre a Entidade Coberta e o Associado Comercial que foi assinado em [inserir data da última assinatura]

• Data de vigência do Contrato Principal de Serviços: tem o significado atribuído a ele no MSA.

• Pedido individual: tem o significado atribuído a ele no âmbito do MSA.

• Informações de saúde protegidas (PHI): Conforme definido em 45 C.F.R. § 160.103, mas limitado às informações criadas, recebidas, mantidas ou transmitidas pelo Associado Comercial para, de ou em nome da Entidade Coberta.

• Regra de segurança: Os padrões, requisitos e especificações de implementação encontrados em 45 C.F.R. Parte 160 e Parte 164, Subparte C.

• Regra de privacidade: Os padrões, requisitos e especificações de implementação encontrados em 45 C.F.R. Parte 160 e Parte 164, Subparte E.

• Informações de saúde protegidas não seguras: Conforme definido em 45 C.F.R. § 164.402.

Quaisquer termos não definidos neste documento terão o significado atribuído a eles de acordo com as Regras da HIPAA.

• 2.1. Usos e divulgações permitidos. O Associado Comercial poderá usar ou divulgar as PHI somente quando necessário para realizar as funções, atividades ou serviços para a Entidade Coberta, conforme especificado no Contrato Principal de Serviços e em qualquer Pedido(s) Individual(is) subjacente(s) entre as Partes, ou conforme exigido por lei.

• 2.2. Gerenciamento e administração. O Associado Comercial poderá usar as PHI para o gerenciamento e administração adequados do Associado Comercial ou para cumprir as responsabilidades legais do Associado Comercial. As divulgações para esses fins são permitidas somente se as divulgações forem exigidas por lei ou se o Associado Comercial obtiver garantias razoáveis da pessoa a quem as informações forem divulgadas de que elas permanecerão confidenciais e serão usadas ou divulgadas somente conforme exigido por lei ou para os fins para os quais foram divulgadas à pessoa, e se a pessoa notificar o Associado Comercial sobre quaisquer casos de que tenha conhecimento em que a confidencialidade das informações tenha sido violada.

• 2.3. Agregação de dados. O Associado Comercial poderá usar as PHI para fornecer serviços de agregação de dados relacionados às operações de assistência médica da Entidade Coberta, conforme permitido ou exigido para realizar as funções, atividades ou serviços estabelecidos no(s) Pedido(s) Individual(is) subjacente(s) entre as Partes.

• 2.4 Desidentificação. O Associado Comercial poderá usar as PHI para criar dados desidentificados, conforme permitido pelo Contrato Principal de Serviços ou por qualquer Pedido Individual entre as Partes, desde que tal uso das PHI satisfaça os padrões de desidentificação estabelecidos na Regra de Privacidade da HIPAA.

• 3.1. Salvaguardas. O Associado Comercial concorda em usar proteções administrativas, físicas e técnicas adequadas para evitar o uso ou a divulgação de PHI que não seja conforme previsto neste Contrato. O Associado Comercial deverá cumprir as exigências aplicáveis da Regra de Segurança da HIPAA (45 C.F.R. Parte 164, Subparte C) com relação ao ePHI.

• 3.2. Mínimo necessário. O Associado Comercial deverá, na medida do possível, limitar seu uso e divulgação de PHI ao mínimo necessário para atingir o objetivo pretendido.

• 3.3. Comunicação de violações e divulgações não permitidas. O Associado Comercial deverá informar à Entidade Coberta qualquer uso ou divulgação de PHI não previsto neste Contrato do qual tenha conhecimento. Isso inclui, mas não se limita a, violações de PHI não seguras, conforme exigido pelo 45 C.F.R. § 164.410. O Associado Comercial deverá fornecer tal notificação sem atrasos injustificados e, em nenhum caso, depois de 60 dias corridos após a descoberta da violação. A notificação deve incluir, na medida do possível, a identificação de cada indivíduo cujas PHI não seguras estiveram envolvidas e qualquer outra informação necessária para que a Entidade Coberta cumpra suas obrigações de notificação de violação de acordo com as Regras da HIPAA.

• 3.4. Subcontratados. O Associado Comercial deverá garantir que quaisquer subcontratados que criem, recebam, mantenham ou transmitam PHI em nome do Associado Comercial concordem com as mesmas restrições e condições que se aplicam ao Associado Comercial com relação a tais informações.

• 3.5. Obrigações da entidade coberta. O Associado Comercial deverá, na medida em que cumprir uma ou mais obrigações da Entidade Coberta de acordo com a Regra de Privacidade da HIPAA, cumprir os requisitos da Regra de Privacidade da HIPAA que se aplicam à Entidade Coberta no cumprimento de tal obrigação.

• 3.6 Direitos individuais.

• Na medida em que o Associado Comercial mantiver PHI em um conjunto de registros designados para a Entidade Coberta, o Associado Comercial deverá disponibilizar tais PHI:

• para acesso pela Entidade Coberta, conforme exigido pelo 45 C.F.R. § 164.524.

• Para alteração pela entidade coberta (ou, sob a direção da entidade coberta, para incorporar alterações às PHI), conforme exigido pelo 45 C.F.R. § 164.526.

• Fornecer uma contabilidade das divulgações, conforme exigido pelo 45 C.F.R. § 164.528.

• 3.6. Disponibilidade de registros. O Associado Comercial deverá disponibilizar suas práticas internas, livros e registros relativos ao uso e divulgação de PHI recebidas da Entidade Coberta, ou criadas ou recebidas em nome dela, para o Secretário do Departamento de Saúde e Serviços Humanos para fins de determinar a conformidade com as Regras da HIPAA.

• 3.7. Offshoring. O Associado Comercial poderá se envolver em operações de offshoring envolvendo PHI em conexão com as funções, atividades e serviços conforme estabelecido no Contrato Principal de Serviços e em qualquer Pedido(s) Individual(is) entre as Partes.

4.1. Divulgações permitidas. A Entidade Coberta deverá notificar o Associado Comercial sobre quaisquer limitações em seu aviso de práticas de privacidade, ou quaisquer alterações ou revogação da permissão de um indivíduo para usar ou divulgar PHI, na medida em que tais limitações possam afetar o uso ou divulgação de PHI pelo Associado Comercial.

• 5.1. Aplicabilidade. Este Contrato se aplica exclusivamente ao processamento de PHI pelo Associado Comercial e pela Entidade Coberta nos termos dos Pedidos Individuais, se, na medida e enquanto esse processamento for regido pelas Regras da HIPAA, excluindo qualquer outro processamento de dados pelo Associado Comercial e/ou pela Entidade Coberta.

• 5.2. Vigência. O presente Contrato entrará em vigor a partir da Data de Vigência do Contrato Principal de Serviços e será automaticamente rescindido na última das seguintes datas: a) prazo do MSA ou b) prazo do último dos Pedidos Individuais.

• 5.3. Rescisão por justa causa. A Entidade Coberta poderá rescindir este Contrato imediatamente se determinar que o Associado Comercial violou um termo material do Contrato.

• 5.4. Efeito da rescisão. Após a rescisão deste Contrato por qualquer motivo, o Associado Comercial deverá parar de prestar serviços que envolvam PHI de acordo com o(s) Pedido(s) Individual(is) existente(s) e deverá devolver à Entidade Coberta ou destruir todas as PHI recebidas da Entidade Coberta, ou criadas ou recebidas em nome dela, que o Associado Comercial ainda mantenha em qualquer forma. O Associado Comercial não deverá reter nenhuma cópia de tais informações. Se a devolução ou destruição não for possível (inclusive se houver uma obrigação legal/regulamentar de retenção), o Associado Comercial deverá estender as proteções deste Contrato às PHI e limitar seu uso e divulgação às finalidades que tornem inviável a devolução ou destruição das informações. Para fins de clareza, a rescisão deste Contrato por qualquer motivo não encerra automaticamente o Contrato Principal de Serviços e/ou qualquer Pedido Individual, que continuam de acordo com seus termos (exceto que o Associado Comercial não é mais obrigado a fornecer e deverá parar de fornecer serviços que envolvam PHI nos termos dos Pedidos Individuais existentes) e o Associado Coberto deverá continuar a pagar as taxas conforme estabelecido nos Pedidos Individuais.

• 6.1. Conflito. No caso de qualquer conflito ou inconsistência entre os termos deste Contrato e os termos do MSA e/ou de qualquer Pedido Individual, os termos deste Contrato prevalecerão com relação exclusivamente aos termos e condições estabelecidos neste Contrato.

• 6.2. Alterações. Este Aditamento não deverá ser modificado, exceto por um instrumento escrito assinado pelas Partes (essa exigência de forma também se aplica a qualquer aditamento a esta cláusula 6.2). Na medida em que for determinado por qualquer autoridade competente que o Contrato é insuficiente para cumprir as Regras da HIPAA, a Entidade Coberta e o Associado Comercial concordam em cooperar de boa fé para alterar o Contrato ou celebrar outros contratos mutuamente acordados em um esforço para cumprir as Regras da HIPAA.

• 6.3. Responsabilidade: A responsabilidade de cada Parte decorrente de ou relacionada a este Contrato, seja em contrato, ato ilícito ou sob qualquer outra teoria de responsabilidade, está sujeita às limitações de responsabilidade contidas no MSA.

• 6.4. Ausência de terceiros beneficiários. Nada expresso ou implícito neste Contrato tem a intenção de conferir, nem deverá conferir, a qualquer pessoa que não seja as Partes e seus respectivos sucessores ou cessionários, quaisquer direitos, recursos, obrigações ou responsabilidades de qualquer natureza.

• 6.5. Interpretação. Qualquer ambiguidade neste Contrato deverá ser resolvida para permitir que a Entidade Coberta e o Associado Comercial cumpram as Regras da HIPAA.

• 6.6. Lei aplicável e foro. As leis do Estado de Nova York regerão a validade, as construções, a execução e a interpretação deste Contrato, a menos que especificado de outra forma neste documento, exceto para o conflito de disposições legais. Todas as reivindicações, disputas e outros assuntos em questão decorrentes deste Contrato, ou a violação do mesmo, serão decididos por procedimentos instituídos e litigados em um tribunal de jurisdição competente no Estado de Nova York, e as Partes aqui presentes expressamente consentem com o local e a jurisdição de tal tribunal.

EM TESTEMUNHO DO QUE, as Partes do presente firmaram este Contrato na data primeiramente escrita acima.

[Nome da Entidade Coberta].

Por: ___________________________

Nome: _________________________

Título: _________________________

Doodle AG

Por: ___________________________

Nome: _________________________

Título: _________________________

Por: ___________________________

Nome: ____________________________

Título: _______________________________