Zuletzt aktualisiert: 1. Dezember 2024
HIPAA-KONFORMITÄT: Diese Geschäftspartnervereinbarung („BAA") legt die Bedingungen fest, unter denen Whispie geschützte Gesundheitsinformationen (PHI) im Namen von Covered Entities gemäß den HIPAA-Vorschriften verarbeiten kann.
Diese Geschäftspartnervereinbarung („Vereinbarung") wird zwischen Black Eagle Group LLC („Geschäftspartner") und der Covered Entity („Covered Entity") wie unten definiert geschlossen.
Präambel
DA die Covered Entity dem Health Insurance Portability and Accountability Act von 1996, Public Law 104-191 („HIPAA") und den dazu erlassenen Vorschriften unterliegt;
DA der Geschäftspartner bestimmte Dienstleistungen für die Covered Entity erbringt und im Zusammenhang mit diesen Dienstleistungen geschützte Gesundheitsinformationen von oder im Namen der Covered Entity empfangen, erstellen, aufbewahren oder übermitteln kann;
DA die Parteien diese Vereinbarung eingehen möchten, um den Schutz solcher geschützten Gesundheitsinformationen in Übereinstimmung mit HIPAA zu gewährleisten;
DAHER vereinbaren die Parteien in Anbetracht der gegenseitigen Versprechen unten Folgendes:
In dieser Vereinbarung verwendete, aber nicht anderweitig definierte Begriffe haben dieselbe Bedeutung wie diese Begriffe in der Privacy Rule und der Security Rule.
| Begriff | Definition |
|---|---|
| Sicherheitsverletzung | Der Erwerb, Zugriff, die Nutzung oder Offenlegung von PHI in einer Weise, die nicht nach der Privacy Rule zulässig ist und die Sicherheit oder Privatsphäre der PHI gefährdet |
| Covered Entity | Ein Krankenversicherungsplan, eine Gesundheits-Clearingstelle oder ein Gesundheitsdienstleister, der Gesundheitsinformationen in elektronischer Form überträgt |
| Designated Record Set | Eine Gruppe von Aufzeichnungen, die von oder für eine Covered Entity geführt werden und zur Entscheidungsfindung über Einzelpersonen verwendet werden |
| Geschützte Gesundheitsinformationen (PHI) | Individuell identifizierbare Gesundheitsinformationen, die in beliebiger Form oder auf beliebigem Medium übermittelt oder aufbewahrt werden |
| Gesetzlich erforderlich | Ein im Gesetz enthaltenes Mandat, das eine Entität zur Nutzung oder Offenlegung von PHI verpflichtet |
| Secretary | Der Sekretär des Department of Health and Human Services |
Der Geschäftspartner verpflichtet sich, geschützte Gesundheitsinformationen nur so zu nutzen oder offenzulegen, wie es diese Vereinbarung erlaubt oder vorschreibt, oder wie gesetzlich vorgeschrieben.
Der Geschäftspartner verwendet angemessene Schutzmaßnahmen, um die Nutzung oder Offenlegung der geschützten Gesundheitsinformationen zu verhindern, außer wie in dieser Vereinbarung vorgesehen.
Der Geschäftspartner verpflichtet sich, alle ihm bekannten schädlichen Auswirkungen einer Nutzung oder Offenlegung von geschützten Gesundheitsinformationen durch den Geschäftspartner in Verletzung der Anforderungen dieser Vereinbarung soweit praktikabel zu mindern.
Der Geschäftspartner erstattet der Covered Entity Bericht über jede Nutzung oder Offenlegung geschützter Gesundheitsinformationen, die nicht in dieser Vereinbarung vorgesehen ist und von der er Kenntnis erlangt, einschließlich Verletzungen nicht gesicherter geschützter Gesundheitsinformationen gemäß 45 CFR 164.410.
Der Geschäftspartner stellt sicher, dass alle Unterauftragnehmer, die im Namen des Geschäftspartners geschützte Gesundheitsinformationen erstellen, empfangen, aufbewahren oder übermitteln, denselben Einschränkungen, Bedingungen und Anforderungen unterliegen, die für den Geschäftspartner in Bezug auf solche Informationen gelten.
Der Geschäftspartner verpflichtet sich, auf Anfrage der Covered Entity Zugang zu geschützten Gesundheitsinformationen in einem Designated Record Set zu gewähren, der Covered Entity oder, auf Anweisung der Covered Entity, einer Einzelperson, um die Anforderungen gemäß 45 CFR 164.524 zu erfüllen.
Der Geschäftspartner verpflichtet sich, alle Änderungen an geschützten Gesundheitsinformationen in einem Designated Record Set vorzunehmen, die die Covered Entity gemäß 45 CFR 164.526 auf Anfrage der Covered Entity oder einer Einzelperson anweist oder dem zustimmt.
Der Geschäftspartner verpflichtet sich, solche Offenlegungen geschützter Gesundheitsinformationen und damit zusammenhängende Informationen zu dokumentieren, wie sie für die Covered Entity erforderlich wären, um auf eine Anfrage einer Einzelperson nach einem Offenlegungsprotokoll gemäß 45 CFR 164.528 zu reagieren.
Der Geschäftspartner verpflichtet sich, seine internen Praktiken, Bücher und Aufzeichnungen dem Secretary zur Verfügung zu stellen, um die Einhaltung der HIPAA-Regeln zu ermitteln.
Sofern in dieser Vereinbarung nicht anderweitig eingeschränkt, kann der Geschäftspartner geschützte Gesundheitsinformationen nutzen oder offenlegen, um Funktionen, Aktivitäten oder Dienstleistungen für oder im Namen der Covered Entity zu erbringen, wie in der zugrunde liegenden Dienstleistungsvereinbarung angegeben, vorausgesetzt, dass diese Nutzung oder Offenlegung nicht gegen die Privacy Rule verstoßen würde, wenn sie von der Covered Entity vorgenommen würde.
Der Geschäftspartner kann geschützte Gesundheitsinformationen für die ordnungsgemäße Verwaltung des Geschäftspartners oder zur Erfüllung der gesetzlichen Verpflichtungen des Geschäftspartners nutzen.
Der Geschäftspartner kann geschützte Gesundheitsinformationen nutzen, um der Covered Entity Datenaggregationsdienste bereitzustellen, wie nach 42 CFR 164.504(e)(2)(i)(B) erlaubt.
Die Covered Entity stellt dem Geschäftspartner den Datenschutzhinweis zur Verfügung, den die Covered Entity gemäß 45 CFR 164.520 erstellt, sowie alle Änderungen daran.
Die Covered Entity benachrichtigt den Geschäftspartner über Änderungen der Genehmigung einer Einzelperson zur Nutzung oder Offenlegung geschützter Gesundheitsinformationen oder den Widerruf einer solchen Genehmigung, soweit solche Änderungen die Nutzung oder Offenlegung geschützter Gesundheitsinformationen durch den Geschäftspartner beeinflussen können.
Die Covered Entity benachrichtigt den Geschäftspartner über etwaige Einschränkungen der Nutzung oder Offenlegung geschützter Gesundheitsinformationen, denen die Covered Entity gemäß 45 CFR 164.522 zugestimmt hat.
Die Laufzeit dieser Vereinbarung beginnt mit dem Inkrafttreten der zugrunde liegenden Dienstleistungsvereinbarung und endet, wenn alle von der Covered Entity dem Geschäftspartner zur Verfügung gestellten oder vom Geschäftspartner im Namen der Covered Entity erstellten oder empfangenen geschützten Gesundheitsinformationen vernichtet oder an die Covered Entity zurückgegeben wurden.
Wenn die Covered Entity von einem wesentlichen Verstoß des Geschäftspartners Kenntnis erlangt, gibt sie dem Geschäftspartner die Möglichkeit, den Verstoß zu beheben oder die Verletzung zu beenden. Wenn der Geschäftspartner den Verstoß nicht innerhalb der von der Covered Entity festgelegten Frist behebt oder die Verletzung nicht beendet, kündigt die Covered Entity diese Vereinbarung.
Bei Kündigung dieser Vereinbarung aus irgendeinem Grund gibt der Geschäftspartner alle von der Covered Entity empfangenen oder vom Geschäftspartner im Namen der Covered Entity erstellten oder empfangenen geschützten Gesundheitsinformationen zurück oder vernichtet sie. Diese Bestimmung gilt für geschützte Gesundheitsinformationen, die sich im Besitz von Unterauftragnehmern oder Beauftragten des Geschäftspartners befinden.
Ein Verweis in dieser Vereinbarung auf einen Abschnitt der HIPAA-Regeln bedeutet den Abschnitt in seiner aktuellen oder geänderten Fassung.
Die Parteien verpflichten sich, diese Vereinbarung von Zeit zu Zeit nach Bedarf zur Einhaltung der Anforderungen der HIPAA-Regeln zu ändern.
Jede Mehrdeutigkeit in dieser Vereinbarung wird so aufgelöst, dass die Covered Entity die HIPAA-Regeln einhalten kann.
Nichts in dieser Vereinbarung verleiht einer anderen Person als den Parteien und ihren jeweiligen Rechtsnachfolgern oder Abtretungsempfängern Rechte, Rechtsmittel, Pflichten oder Verbindlichkeiten.
Der Geschäftspartner implementiert die folgenden administrativen Schutzmaßnahmen:
| Schutzmaßnahme | Umsetzung | HIPAA-Referenz |
|---|---|---|
| Sicherheitsmanagementsystem | Risikoanalyse, Risikomanagement, Sanktionsrichtlinie, Überprüfung der Informationssystemaktivitäten | §164.308(a)(1) |
| Personalsicherheit | Autorisierung und/oder Aufsicht, Personalüberprüfungsverfahren, Kündigungsverfahren | §164.308(a)(3) |
| Informationszugangsverwaltung | Zugriffsgenehmigung, Einrichtung und Änderung des Zugriffs | §164.308(a)(4) |
| Sicherheitsbewusstsein und -schulung | Sicherheitserinnerungen, Schutz vor bösartiger Software, Anmeldeüberwachung, Passwortverwaltung | §164.308(a)(5) |
| Schutzmaßnahme | Umsetzung | HIPAA-Referenz |
|---|---|---|
| Zugangskontrollen für Einrichtungen | Notfallbetriebsverfahren, Sicherheitsplan für Einrichtungen, Zugangskontroll- und -validierungsverfahren | §164.310(a)(1) |
| Workstation-Nutzung | Spezifikationen für die ordnungsgemäße Nutzung von Workstations | §164.310(b) |
| Workstation-Sicherheit | Physische Sicherheitsmaßnahmen für Workstations | §164.310(c) |
| Geräte- und Medienkontrollen | Entsorgung, Wiederverwendung von Medien, Verantwortlichkeit, Datensicherung und -speicherung | §164.310(d)(1) |
| Schutzmaßnahme | Umsetzung | HIPAA-Referenz |
|---|---|---|
| Zugriffskontrolle | Eindeutige Benutzeridentifikation, Notfallzugangsverfahren, automatische Abmeldung, Verschlüsselung und Entschlüsselung | §164.312(a)(1) |
| Prüfkontrollen | Hardware-, Software- und/oder Verfahrensmechanismen, die Aktivitäten aufzeichnen und untersuchen | §164.312(b) |
| Integrität | Mechanismen zur Authentifizierung elektronischer geschützter Gesundheitsinformationen | §164.312(c)(1) |
| Personen- oder Entitätsauthentifizierung | Verfahren zur Überprüfung von Personen oder Entitäten, die Zugang suchen | §164.312(d) |
| Übertragungssicherheit | Integritätskontrollen, Verschlüsselung | §164.312(e)(1) |
Für die Zwecke dieser Vereinbarung hat „Verletzung" dieselbe Bedeutung wie der Begriff „Verletzung" in 45 CFR § 164.402.
Der Geschäftspartner untersucht jede potenzielle Verletzung und dokumentiert die Untersuchung und ihr Ergebnis.
Der Geschäftspartner erstattet der Covered Entity unverzüglich und in keinem Fall später als 60 Kalendertage nach Entdeckung einer Verletzung Bericht.
Verletzungsbenachrichtigungen enthalten soweit möglich:
Die Parteien haben diese Geschäftspartnervereinbarung ab dem Datum des Inkrafttretens unterzeichnet.
GESCHÄFTSPARTNER:
Black Eagle Group LLC
d/b/a Whispie
30 N Gould St Ste N
Sheridan, WY 82801, USA
E-Mail: [email protected]
Unterschrift: ___________________________
Name: ___________________________
Titel: ___________________________
Datum: ___________________________
COVERED ENTITY:
Entitätsname: ___________________________
Adresse: ___________________________
E-Mail: ___________________________
Unterschrift: ___________________________
Name: ___________________________
Titel: ___________________________
Datum: ___________________________
Datum des Inkrafttretens: 1. Dezember 2024