Geschäftspartnervereinbarung

Zuletzt aktualisiert: 1. Dezember 2024

HIPAA-KONFORMITÄT: Diese Geschäftspartnervereinbarung („BAA") legt die Bedingungen fest, unter denen Whispie geschützte Gesundheitsinformationen (PHI) im Namen von Covered Entities gemäß den HIPAA-Vorschriften verarbeiten kann.

Geschäftspartnervereinbarung

Diese Geschäftspartnervereinbarung („Vereinbarung") wird zwischen Black Eagle Group LLC („Geschäftspartner") und der Covered Entity („Covered Entity") wie unten definiert geschlossen.

Präambel

DA die Covered Entity dem Health Insurance Portability and Accountability Act von 1996, Public Law 104-191 („HIPAA") und den dazu erlassenen Vorschriften unterliegt;

DA der Geschäftspartner bestimmte Dienstleistungen für die Covered Entity erbringt und im Zusammenhang mit diesen Dienstleistungen geschützte Gesundheitsinformationen von oder im Namen der Covered Entity empfangen, erstellen, aufbewahren oder übermitteln kann;

DA die Parteien diese Vereinbarung eingehen möchten, um den Schutz solcher geschützten Gesundheitsinformationen in Übereinstimmung mit HIPAA zu gewährleisten;

DAHER vereinbaren die Parteien in Anbetracht der gegenseitigen Versprechen unten Folgendes:

1. Definitionen

In dieser Vereinbarung verwendete, aber nicht anderweitig definierte Begriffe haben dieselbe Bedeutung wie diese Begriffe in der Privacy Rule und der Security Rule.

Begriff Definition
Sicherheitsverletzung Der Erwerb, Zugriff, die Nutzung oder Offenlegung von PHI in einer Weise, die nicht nach der Privacy Rule zulässig ist und die Sicherheit oder Privatsphäre der PHI gefährdet
Covered Entity Ein Krankenversicherungsplan, eine Gesundheits-Clearingstelle oder ein Gesundheitsdienstleister, der Gesundheitsinformationen in elektronischer Form überträgt
Designated Record Set Eine Gruppe von Aufzeichnungen, die von oder für eine Covered Entity geführt werden und zur Entscheidungsfindung über Einzelpersonen verwendet werden
Geschützte Gesundheitsinformationen (PHI) Individuell identifizierbare Gesundheitsinformationen, die in beliebiger Form oder auf beliebigem Medium übermittelt oder aufbewahrt werden
Gesetzlich erforderlich Ein im Gesetz enthaltenes Mandat, das eine Entität zur Nutzung oder Offenlegung von PHI verpflichtet
Secretary Der Sekretär des Department of Health and Human Services

2. Pflichten und Aktivitäten des Geschäftspartners

2.1 Nutzung und Offenlegung von PHI

Der Geschäftspartner verpflichtet sich, geschützte Gesundheitsinformationen nur so zu nutzen oder offenzulegen, wie es diese Vereinbarung erlaubt oder vorschreibt, oder wie gesetzlich vorgeschrieben.

2.2 Angemessene Schutzmaßnahmen

Der Geschäftspartner verwendet angemessene Schutzmaßnahmen, um die Nutzung oder Offenlegung der geschützten Gesundheitsinformationen zu verhindern, außer wie in dieser Vereinbarung vorgesehen.

2.3 Schadensminderung

Der Geschäftspartner verpflichtet sich, alle ihm bekannten schädlichen Auswirkungen einer Nutzung oder Offenlegung von geschützten Gesundheitsinformationen durch den Geschäftspartner in Verletzung der Anforderungen dieser Vereinbarung soweit praktikabel zu mindern.

2.4 Berichterstattung

Der Geschäftspartner erstattet der Covered Entity Bericht über jede Nutzung oder Offenlegung geschützter Gesundheitsinformationen, die nicht in dieser Vereinbarung vorgesehen ist und von der er Kenntnis erlangt, einschließlich Verletzungen nicht gesicherter geschützter Gesundheitsinformationen gemäß 45 CFR 164.410.

2.5 Unterauftragnehmer

Der Geschäftspartner stellt sicher, dass alle Unterauftragnehmer, die im Namen des Geschäftspartners geschützte Gesundheitsinformationen erstellen, empfangen, aufbewahren oder übermitteln, denselben Einschränkungen, Bedingungen und Anforderungen unterliegen, die für den Geschäftspartner in Bezug auf solche Informationen gelten.

2.6 Zugang zu PHI

Der Geschäftspartner verpflichtet sich, auf Anfrage der Covered Entity Zugang zu geschützten Gesundheitsinformationen in einem Designated Record Set zu gewähren, der Covered Entity oder, auf Anweisung der Covered Entity, einer Einzelperson, um die Anforderungen gemäß 45 CFR 164.524 zu erfüllen.

2.7 Änderung von PHI

Der Geschäftspartner verpflichtet sich, alle Änderungen an geschützten Gesundheitsinformationen in einem Designated Record Set vorzunehmen, die die Covered Entity gemäß 45 CFR 164.526 auf Anfrage der Covered Entity oder einer Einzelperson anweist oder dem zustimmt.

2.8 Offenlegungsprotokoll

Der Geschäftspartner verpflichtet sich, solche Offenlegungen geschützter Gesundheitsinformationen und damit zusammenhängende Informationen zu dokumentieren, wie sie für die Covered Entity erforderlich wären, um auf eine Anfrage einer Einzelperson nach einem Offenlegungsprotokoll gemäß 45 CFR 164.528 zu reagieren.

2.9 Interne Praktiken

Der Geschäftspartner verpflichtet sich, seine internen Praktiken, Bücher und Aufzeichnungen dem Secretary zur Verfügung zu stellen, um die Einhaltung der HIPAA-Regeln zu ermitteln.

3. Zulässige Nutzungen und Offenlegungen durch den Geschäftspartner

3.1 Allgemeine Nutzung und Offenlegung

Sofern in dieser Vereinbarung nicht anderweitig eingeschränkt, kann der Geschäftspartner geschützte Gesundheitsinformationen nutzen oder offenlegen, um Funktionen, Aktivitäten oder Dienstleistungen für oder im Namen der Covered Entity zu erbringen, wie in der zugrunde liegenden Dienstleistungsvereinbarung angegeben, vorausgesetzt, dass diese Nutzung oder Offenlegung nicht gegen die Privacy Rule verstoßen würde, wenn sie von der Covered Entity vorgenommen würde.

3.2 Spezifische Nutzung und Offenlegung

Der Geschäftspartner kann geschützte Gesundheitsinformationen für die ordnungsgemäße Verwaltung des Geschäftspartners oder zur Erfüllung der gesetzlichen Verpflichtungen des Geschäftspartners nutzen.

3.3 Datenaggregation

Der Geschäftspartner kann geschützte Gesundheitsinformationen nutzen, um der Covered Entity Datenaggregationsdienste bereitzustellen, wie nach 42 CFR 164.504(e)(2)(i)(B) erlaubt.

4. Pflichten der Covered Entity

4.1 Bereitstellung der Datenschutzhinweise

Die Covered Entity stellt dem Geschäftspartner den Datenschutzhinweis zur Verfügung, den die Covered Entity gemäß 45 CFR 164.520 erstellt, sowie alle Änderungen daran.

4.2 Benachrichtigung über Änderungen

Die Covered Entity benachrichtigt den Geschäftspartner über Änderungen der Genehmigung einer Einzelperson zur Nutzung oder Offenlegung geschützter Gesundheitsinformationen oder den Widerruf einer solchen Genehmigung, soweit solche Änderungen die Nutzung oder Offenlegung geschützter Gesundheitsinformationen durch den Geschäftspartner beeinflussen können.

4.3 Benachrichtigung über Einschränkungen

Die Covered Entity benachrichtigt den Geschäftspartner über etwaige Einschränkungen der Nutzung oder Offenlegung geschützter Gesundheitsinformationen, denen die Covered Entity gemäß 45 CFR 164.522 zugestimmt hat.

5. Laufzeit und Kündigung

5.1 Laufzeit

Die Laufzeit dieser Vereinbarung beginnt mit dem Inkrafttreten der zugrunde liegenden Dienstleistungsvereinbarung und endet, wenn alle von der Covered Entity dem Geschäftspartner zur Verfügung gestellten oder vom Geschäftspartner im Namen der Covered Entity erstellten oder empfangenen geschützten Gesundheitsinformationen vernichtet oder an die Covered Entity zurückgegeben wurden.

5.2 Kündigung aus wichtigem Grund

Wenn die Covered Entity von einem wesentlichen Verstoß des Geschäftspartners Kenntnis erlangt, gibt sie dem Geschäftspartner die Möglichkeit, den Verstoß zu beheben oder die Verletzung zu beenden. Wenn der Geschäftspartner den Verstoß nicht innerhalb der von der Covered Entity festgelegten Frist behebt oder die Verletzung nicht beendet, kündigt die Covered Entity diese Vereinbarung.

5.3 Wirkung der Kündigung

Bei Kündigung dieser Vereinbarung aus irgendeinem Grund gibt der Geschäftspartner alle von der Covered Entity empfangenen oder vom Geschäftspartner im Namen der Covered Entity erstellten oder empfangenen geschützten Gesundheitsinformationen zurück oder vernichtet sie. Diese Bestimmung gilt für geschützte Gesundheitsinformationen, die sich im Besitz von Unterauftragnehmern oder Beauftragten des Geschäftspartners befinden.

6. Sonstige Bestimmungen

6.1 Gesetzliche Verweise

Ein Verweis in dieser Vereinbarung auf einen Abschnitt der HIPAA-Regeln bedeutet den Abschnitt in seiner aktuellen oder geänderten Fassung.

6.2 Änderung

Die Parteien verpflichten sich, diese Vereinbarung von Zeit zu Zeit nach Bedarf zur Einhaltung der Anforderungen der HIPAA-Regeln zu ändern.

6.3 Auslegung

Jede Mehrdeutigkeit in dieser Vereinbarung wird so aufgelöst, dass die Covered Entity die HIPAA-Regeln einhalten kann.

6.4 Keine Drittbegünstigten

Nichts in dieser Vereinbarung verleiht einer anderen Person als den Parteien und ihren jeweiligen Rechtsnachfolgern oder Abtretungsempfängern Rechte, Rechtsmittel, Pflichten oder Verbindlichkeiten.

7. Sicherheits- und technische Schutzmaßnahmen

7.1 Administrative Schutzmaßnahmen

Der Geschäftspartner implementiert die folgenden administrativen Schutzmaßnahmen:

Schutzmaßnahme Umsetzung HIPAA-Referenz
Sicherheitsmanagementsystem Risikoanalyse, Risikomanagement, Sanktionsrichtlinie, Überprüfung der Informationssystemaktivitäten §164.308(a)(1)
Personalsicherheit Autorisierung und/oder Aufsicht, Personalüberprüfungsverfahren, Kündigungsverfahren §164.308(a)(3)
Informationszugangsverwaltung Zugriffsgenehmigung, Einrichtung und Änderung des Zugriffs §164.308(a)(4)
Sicherheitsbewusstsein und -schulung Sicherheitserinnerungen, Schutz vor bösartiger Software, Anmeldeüberwachung, Passwortverwaltung §164.308(a)(5)

7.2 Physische Schutzmaßnahmen

Schutzmaßnahme Umsetzung HIPAA-Referenz
Zugangskontrollen für Einrichtungen Notfallbetriebsverfahren, Sicherheitsplan für Einrichtungen, Zugangskontroll- und -validierungsverfahren §164.310(a)(1)
Workstation-Nutzung Spezifikationen für die ordnungsgemäße Nutzung von Workstations §164.310(b)
Workstation-Sicherheit Physische Sicherheitsmaßnahmen für Workstations §164.310(c)
Geräte- und Medienkontrollen Entsorgung, Wiederverwendung von Medien, Verantwortlichkeit, Datensicherung und -speicherung §164.310(d)(1)

7.3 Technische Schutzmaßnahmen

Schutzmaßnahme Umsetzung HIPAA-Referenz
Zugriffskontrolle Eindeutige Benutzeridentifikation, Notfallzugangsverfahren, automatische Abmeldung, Verschlüsselung und Entschlüsselung §164.312(a)(1)
Prüfkontrollen Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten aufzeichnen und untersuchen §164.312(b)
Integrität Mechanismen zur Authentifizierung elektronischer geschützter Gesundheitsinformationen §164.312(c)(1)
Personen- oder Entitätsauthentifizierung Verfahren zur Überprüfung von Personen oder Entitäten, die Zugang suchen §164.312(d)
Übertragungssicherheit Integritätskontrollen, Verschlüsselung §164.312(e)(1)

8. Anforderungen an die Verletzungsbenachrichtigung

8.1 Definition der Verletzung

Für die Zwecke dieser Vereinbarung hat „Verletzung" dieselbe Bedeutung wie der Begriff „Verletzung" in 45 CFR § 164.402.

8.2 Untersuchung der Verletzung

Der Geschäftspartner untersucht jede potenzielle Verletzung und dokumentiert die Untersuchung und ihr Ergebnis.

8.3 Benachrichtigungszeitrahmen

Der Geschäftspartner erstattet der Covered Entity unverzüglich und in keinem Fall später als 60 Kalendertage nach Entdeckung einer Verletzung Bericht.

8.4 Inhalt der Benachrichtigung

Verletzungsbenachrichtigungen enthalten soweit möglich:

ZU BEURKUNDENDEM ZEUGNIS

Die Parteien haben diese Geschäftspartnervereinbarung ab dem Datum des Inkrafttretens unterzeichnet.

GESCHÄFTSPARTNER:

Black Eagle Group LLC
d/b/a Whispie
30 N Gould St Ste N
Sheridan, WY 82801, USA
E-Mail: [email protected]

Unterschrift: ___________________________
Name: ___________________________
Titel: ___________________________
Datum: ___________________________

COVERED ENTITY:

Entitätsname: ___________________________
Adresse: ___________________________
E-Mail: ___________________________

Unterschrift: ___________________________
Name: ___________________________
Titel: ___________________________
Datum: ___________________________

Datum des Inkrafttretens: 1. Dezember 2024