Acuerdo de Socio Comercial

Última actualización: 1 de diciembre de 2024

CUMPLIMIENTO CON HIPAA: Este Acuerdo de Socio Comercial ("ASC") establece los términos bajo los cuales Whispie puede manejar Información de Salud Protegida (PHI) en nombre de Entidades Cubiertas de acuerdo con las regulaciones HIPAA.

Acuerdo de Socio Comercial

Este Acuerdo de Socio Comercial ("Acuerdo") es celebrado entre Black Eagle Group LLC ("Socio Comercial") y la Entidad Cubierta ("Entidad Cubierta") según se define a continuación.

Considerandos

CONSIDERANDO QUE, la Entidad Cubierta está sujeta a la Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996, Ley Pública 104-191 ("HIPAA") y las regulaciones promulgadas en virtud de la misma;

CONSIDERANDO QUE, el Socio Comercial proporciona ciertos servicios a la Entidad Cubierta y en relación con dichos servicios, el Socio Comercial puede recibir, crear, mantener o transmitir Información de Salud Protegida de o en nombre de la Entidad Cubierta;

CONSIDERANDO QUE, las partes desean celebrar este Acuerdo para garantizar la protección de dicha Información de Salud Protegida en cumplimiento con HIPAA;

AHORA, POR LO TANTO, en consideración de las promesas mutuas a continuación, las partes acuerdan lo siguiente:

1. Definiciones

Los términos utilizados, pero no definidos de otra manera en este Acuerdo, tendrán el mismo significado que dichos términos en la Regla de Privacidad y la Regla de Seguridad.

Término Definición
Violación La adquisición, acceso, uso o divulgación de PHI de manera no permitida bajo la Regla de Privacidad que compromete la seguridad o privacidad de la PHI
Entidad Cubierta Un plan de salud, centro de intercambio de información de atención médica o proveedor de atención médica que transmite información de salud en forma electrónica
Conjunto de Registros Designado Un grupo de registros mantenidos por o para una entidad cubierta que se utiliza para tomar decisiones sobre personas
Información de Salud Protegida (PHI) Información de salud individualmente identificable transmitida o mantenida en cualquier forma o medio
Requerido por Ley Un mandato contenido en la ley que obliga a una entidad a hacer uso o divulgación de PHI
Secretario El Secretario del Departamento de Salud y Servicios Humanos

2. Obligaciones y Actividades del Socio Comercial

2.1 Uso y Divulgación de PHI

El Socio Comercial acepta no usar ni divulgar Información de Salud Protegida salvo lo permitido o requerido por este Acuerdo o según lo Requerido por Ley.

2.2 Salvaguardias Apropiadas

El Socio Comercial utilizará salvaguardias apropiadas para evitar el uso o divulgación de la Información de Salud Protegida que no sea lo previsto por este Acuerdo.

2.3 Mitigación

El Socio Comercial acepta mitigar, en la medida de lo posible, cualquier efecto perjudicial que el Socio Comercial conozca de un uso o divulgación de Información de Salud Protegida por parte del Socio Comercial en violación de los requisitos de este Acuerdo.

2.4 Notificación

El Socio Comercial informará a la Entidad Cubierta de cualquier uso o divulgación de Información de Salud Protegida no previsto por este Acuerdo del que tenga conocimiento, incluidas las violaciones de Información de Salud Protegida no asegurada según lo requerido en 45 CFR 164.410.

2.5 Subcontratistas

El Socio Comercial se asegurará de que los subcontratistas que creen, reciban, mantengan o transmitan Información de Salud Protegida en nombre del Socio Comercial acepten las mismas restricciones, condiciones y requisitos que se aplican al Socio Comercial con respecto a dicha información.

2.6 Acceso a PHI

El Socio Comercial acepta proporcionar acceso, a solicitud de la Entidad Cubierta, a la Información de Salud Protegida en un Conjunto de Registros Designado, a la Entidad Cubierta o, según lo indique la Entidad Cubierta, a un Individuo para cumplir con los requisitos bajo 45 CFR 164.524.

2.7 Enmienda de PHI

El Socio Comercial acepta realizar las enmiendas a la Información de Salud Protegida en un Conjunto de Registros Designado que la Entidad Cubierta dirija o acuerde conforme a 45 CFR 164.526 a solicitud de la Entidad Cubierta o de un Individuo.

2.8 Contabilidad de Divulgaciones

El Socio Comercial acepta documentar dichas divulgaciones de Información de Salud Protegida e información relacionada con dichas divulgaciones como sería necesario para que la Entidad Cubierta responda a una solicitud de un Individuo para una contabilidad de divulgaciones de Información de Salud Protegida de acuerdo con 45 CFR 164.528.

2.9 Prácticas Internas

El Socio Comercial acepta poner a disposición del Secretario sus prácticas internas, libros y registros a efectos de determinar el cumplimiento de las Reglas HIPAA.

3. Usos y Divulgaciones Permitidos por el Socio Comercial

3.1 Uso y Divulgación General

Salvo que se limite de otra manera en este Acuerdo, el Socio Comercial puede usar o divulgar Información de Salud Protegida para realizar funciones, actividades o servicios para o en nombre de la Entidad Cubierta según se especifica en el acuerdo de servicios subyacente, siempre que dicho uso o divulgación no violaría la Regla de Privacidad si lo hiciera la Entidad Cubierta.

3.2 Uso y Divulgación Específico

El Socio Comercial puede usar Información de Salud Protegida para la gestión y administración adecuadas del Socio Comercial o para llevar a cabo las responsabilidades legales del Socio Comercial.

3.3 Agregación de Datos

El Socio Comercial puede usar Información de Salud Protegida para proporcionar servicios de Agregación de Datos a la Entidad Cubierta según lo permitido por 42 CFR 164.504(e)(2)(i)(B).

4. Obligaciones de la Entidad Cubierta

4.1 Disposiciones del Aviso de Prácticas de Privacidad

La Entidad Cubierta proporcionará al Socio Comercial el aviso de prácticas de privacidad que la Entidad Cubierta produce de acuerdo con 45 CFR 164.520, así como cualquier cambio en dicho aviso.

4.2 Notificación de Cambios

La Entidad Cubierta notificará al Socio Comercial de cualquier cambio en, o revocación de, el permiso de un Individuo para usar o divulgar Información de Salud Protegida, en la medida en que dichos cambios puedan afectar el uso o divulgación de Información de Salud Protegida por parte del Socio Comercial.

4.3 Notificación de Restricciones

La Entidad Cubierta notificará al Socio Comercial de cualquier restricción al uso o divulgación de Información de Salud Protegida que la Entidad Cubierta haya acordado de acuerdo con 45 CFR 164.522.

5. Vigencia y Terminación

5.1 Vigencia

La vigencia de este Acuerdo será efectiva a partir de la fecha de vigencia del acuerdo de servicios subyacente y terminará cuando toda la Información de Salud Protegida proporcionada por la Entidad Cubierta al Socio Comercial, o creada o recibida por el Socio Comercial en nombre de la Entidad Cubierta, sea destruida o devuelta a la Entidad Cubierta.

5.2 Terminación por Causa

Ante el conocimiento de la Entidad Cubierta de un incumplimiento material por parte del Socio Comercial, la Entidad Cubierta proporcionará al Socio Comercial una oportunidad para remediar el incumplimiento o poner fin a la violación. Si el Socio Comercial no remedia el incumplimiento o no pone fin a la violación dentro del plazo especificado por la Entidad Cubierta, la Entidad Cubierta terminará este Acuerdo.

5.3 Efecto de la Terminación

Tras la terminación de este Acuerdo por cualquier motivo, el Socio Comercial devolverá o destruirá toda la Información de Salud Protegida recibida de la Entidad Cubierta, o creada o recibida por el Socio Comercial en nombre de la Entidad Cubierta. Esta disposición se aplicará a la Información de Salud Protegida que esté en posesión de subcontratistas o agentes del Socio Comercial.

6. Disposiciones Misceláneas

6.1 Referencias Regulatorias

Una referencia en este Acuerdo a una sección de las Reglas HIPAA significa la sección tal como está en vigor o según se modifique.

6.2 Enmienda

Las Partes acuerdan tomar las medidas necesarias para enmendar este Acuerdo de vez en cuando según sea necesario para el cumplimiento de los requisitos de las Reglas HIPAA.

6.3 Interpretación

Cualquier ambigüedad en este Acuerdo se resolverá para permitir que la Entidad Cubierta cumpla con las Reglas HIPAA.

6.4 Sin Terceros Beneficiarios

Nada en este Acuerdo conferirá a ninguna persona que no sea las partes y sus respectivos sucesores o cesionarios, ningún derecho, recurso, obligación o responsabilidad de ningún tipo.

7. Seguridad y Salvaguardias Técnicas

7.1 Salvaguardias Administrativas

El Socio Comercial implementa las siguientes salvaguardias administrativas:

Salvaguarda Implementación Referencia HIPAA
Proceso de Gestión de Seguridad Análisis de riesgo, gestión de riesgo, política de sanciones, revisión de actividad del sistema de información §164.308(a)(1)
Seguridad de la Fuerza Laboral Autorización y/o supervisión, procedimiento de autorización de la fuerza laboral, procedimientos de terminación §164.308(a)(3)
Gestión de Acceso a la Información Autorización de acceso, establecimiento y modificación de acceso §164.308(a)(4)
Conciencia y Capacitación en Seguridad Recordatorios de seguridad, protección contra software malicioso, monitoreo de inicio de sesión, gestión de contraseñas §164.308(a)(5)

7.2 Salvaguardias Físicas

Salvaguarda Implementación Referencia HIPAA
Controles de Acceso a Instalaciones Operaciones de contingencia, plan de seguridad de instalaciones, procedimientos de control y validación de acceso §164.310(a)(1)
Uso de Estaciones de Trabajo Especificaciones para el uso adecuado de estaciones de trabajo §164.310(b)
Seguridad de Estaciones de Trabajo Salvaguardias físicas para estaciones de trabajo §164.310(c)
Controles de Dispositivos y Medios Eliminación, reutilización de medios, responsabilidad, respaldo y almacenamiento de datos §164.310(d)(1)

7.3 Salvaguardias Técnicas

Salvaguarda Implementación Referencia HIPAA
Control de Acceso Identificación única de usuario, procedimiento de acceso de emergencia, cierre de sesión automático, cifrado y descifrado §164.312(a)(1)
Controles de Auditoría Mecanismos de hardware, software y/o procedimiento que registran y examinan la actividad §164.312(b)
Integridad Mecanismos para autenticar información de salud electrónica protegida §164.312(c)(1)
Autenticación de Personas o Entidades Procedimientos para verificar personas o entidades que buscan acceso §164.312(d)
Seguridad en la Transmisión Controles de integridad, cifrado §164.312(e)(1)

8. Requisitos de Notificación de Violaciones

8.1 Definición de Violación

Para los propósitos de este Acuerdo, "Violación" tendrá el mismo significado que el término "violación" en 45 CFR § 164.402.

8.2 Investigación de Violaciones

El Socio Comercial investigará cualquier posible violación y documentará la investigación y su resultado.

8.3 Plazo de Notificación

El Socio Comercial proporcionará aviso a la Entidad Cubierta sin demora injustificada y en ningún caso después de 60 días calendario tras el descubrimiento de una violación.

8.4 Contenido de la Notificación

Las notificaciones de violación incluirán, en la medida de lo posible:

EN FE DE LO CUAL

Las partes han ejecutado este Acuerdo de Socio Comercial a partir de la Fecha de Vigencia.

SOCIO COMERCIAL:

Black Eagle Group LLC
d/b/a Whispie
30 N Gould St Ste N
Sheridan, WY 82801, USA
Correo electrónico: [email protected]

Por: ___________________________
Nombre: ___________________________
Título: ___________________________
Fecha: ___________________________

ENTIDAD CUBIERTA:

Nombre de la Entidad: ___________________________
Dirección: ___________________________
Correo electrónico: ___________________________

Por: ___________________________
Nombre: ___________________________
Título: ___________________________
Fecha: ___________________________

Fecha de Vigencia: 1 de diciembre de 2024