Dernière mise à jour : 1er décembre 2024
CONFORMITÉ HIPAA : Cet Accord de Partenaire Commercial (« APC ») établit les conditions dans lesquelles Whispie peut traiter les Informations de Santé Protégées (ISP) au nom des Entités Couvertes conformément aux réglementations HIPAA.
Cet Accord de Partenaire Commercial (le « Accord ») est conclu entre Black Eagle Group LLC (le « Partenaire Commercial ») et l'Entité Couverte (l'« Entité Couverte ») telle que définie ci-dessous.
Considérants
ATTENDU QUE l'Entité Couverte est soumise à la Loi sur la portabilité et la responsabilité en matière d'assurance maladie de 1996, Public Law 104-191 (« HIPAA ») et aux réglementations promulguées en vertu de celle-ci ;
ATTENDU QUE le Partenaire Commercial fournit certains services à l'Entité Couverte et dans le cadre de ces services, le Partenaire Commercial peut recevoir, créer, maintenir ou transmettre des Informations de Santé Protégées de ou au nom de l'Entité Couverte ;
ATTENDU QUE les parties souhaitent conclure cet Accord pour assurer la protection de ces Informations de Santé Protégées conformément à HIPAA ;
EN CONSÉQUENCE DE QUOI, en considération des promesses mutuelles ci-dessous, les parties conviennent de ce qui suit :
Les termes utilisés, mais non définis autrement dans cet Accord, auront la même signification que dans la Règle de Confidentialité et la Règle de Sécurité.
| Terme | Définition |
|---|---|
| Violation | L'acquisition, l'accès, l'utilisation ou la divulgation d'ISP d'une manière non permise par la Règle de Confidentialité qui compromet la sécurité ou la confidentialité des ISP |
| Entité Couverte | Un régime de santé, un centre d'échange de soins de santé ou un prestataire de soins de santé qui transmet des informations de santé sous forme électronique |
| Ensemble de Dossiers Désigné | Un groupe de dossiers conservés par ou pour une entité couverte et utilisés pour prendre des décisions concernant des individus |
| Informations de Santé Protégées (ISP) | Informations de santé identifiables individuellement transmises ou maintenues sous toute forme ou support |
| Requis par la Loi | Un mandat contenu dans la loi qui oblige une entité à effectuer une utilisation ou divulgation d'ISP |
| Secrétaire | Le Secrétaire du Département de la Santé et des Services Sociaux |
Le Partenaire Commercial accepte de ne pas utiliser ni divulguer les Informations de Santé Protégées autrement que tel que permis ou requis par cet Accord ou tel qu'exigé par la Loi.
Le Partenaire Commercial utilisera des garanties appropriées pour prévenir l'utilisation ou la divulgation des Informations de Santé Protégées autrement que tel que prévu par cet Accord.
Le Partenaire Commercial accepte d'atténuer, dans la mesure du possible, tout effet nuisible dont il a connaissance résultant d'une utilisation ou divulgation d'Informations de Santé Protégées par le Partenaire Commercial en violation des exigences de cet Accord.
Le Partenaire Commercial signalera à l'Entité Couverte toute utilisation ou divulgation d'Informations de Santé Protégées non prévue par cet Accord dont il prend connaissance, y compris les violations d'Informations de Santé Protégées non sécurisées tel que requis à 45 CFR 164.410.
Le Partenaire Commercial veillera à ce que tous les sous-traitants qui créent, reçoivent, maintiennent ou transmettent des Informations de Santé Protégées au nom du Partenaire Commercial acceptent les mêmes restrictions, conditions et exigences qui s'appliquent au Partenaire Commercial concernant ces informations.
Le Partenaire Commercial accepte de fournir l'accès, à la demande de l'Entité Couverte, aux Informations de Santé Protégées dans un Ensemble de Dossiers Désigné, à l'Entité Couverte ou, selon les instructions de l'Entité Couverte, à un Individu afin de satisfaire aux exigences du 45 CFR 164.524.
Le Partenaire Commercial accepte d'effectuer tout amendement aux Informations de Santé Protégées dans un Ensemble de Dossiers Désigné que l'Entité Couverte dirige ou accepte conformément au 45 CFR 164.526 à la demande de l'Entité Couverte ou d'un Individu.
Le Partenaire Commercial accepte de documenter les divulgations d'Informations de Santé Protégées et les informations relatives à ces divulgations telles que requises pour que l'Entité Couverte réponde à une demande d'un Individu pour une comptabilité des divulgations conformément au 45 CFR 164.528.
Le Partenaire Commercial accepte de rendre ses pratiques internes, livres et registres disponibles au Secrétaire aux fins de déterminer la conformité aux Règles HIPAA.
Sauf limitation contraire dans cet Accord, le Partenaire Commercial peut utiliser ou divulguer des Informations de Santé Protégées pour exécuter des fonctions, activités ou services pour ou au nom de l'Entité Couverte tels que spécifiés dans l'accord de services sous-jacent, à condition que cette utilisation ou divulgation ne violerait pas la Règle de Confidentialité si effectuée par l'Entité Couverte.
Le Partenaire Commercial peut utiliser les Informations de Santé Protégées pour la gestion appropriée et l'administration du Partenaire Commercial ou pour remplir les responsabilités légales du Partenaire Commercial.
Le Partenaire Commercial peut utiliser les Informations de Santé Protégées pour fournir des services d'Agrégation de Données à l'Entité Couverte tel que permis par le 42 CFR 164.504(e)(2)(i)(B).
L'Entité Couverte fournira au Partenaire Commercial l'avis de pratiques de confidentialité que l'Entité Couverte produit conformément au 45 CFR 164.520, ainsi que tout changement à cet avis.
L'Entité Couverte informera le Partenaire Commercial de tout changement ou révocation de permission par un Individu d'utiliser ou de divulguer des Informations de Santé Protégées, dans la mesure où ces changements peuvent affecter l'utilisation ou la divulgation d'Informations de Santé Protégées par le Partenaire Commercial.
L'Entité Couverte informera le Partenaire Commercial de toute restriction à l'utilisation ou à la divulgation d'Informations de Santé Protégées que l'Entité Couverte a acceptée conformément au 45 CFR 164.522.
La durée de cet Accord sera effective à partir de la date d'entrée en vigueur de l'accord de services sous-jacent et prendra fin lorsque toutes les Informations de Santé Protégées fournies par l'Entité Couverte au Partenaire Commercial, ou créées ou reçues par le Partenaire Commercial au nom de l'Entité Couverte, seront détruites ou retournées à l'Entité Couverte.
Lors de la connaissance par l'Entité Couverte d'une violation substantielle par le Partenaire Commercial, l'Entité Couverte donnera l'opportunité au Partenaire Commercial de remédier à la violation ou de mettre fin à l'infraction. Si le Partenaire Commercial ne remédie pas à la violation ou ne met pas fin à l'infraction dans le délai spécifié par l'Entité Couverte, l'Entité Couverte résiliera cet Accord.
Dès la résiliation de cet Accord pour quelque raison que ce soit, le Partenaire Commercial retournera ou détruira toutes les Informations de Santé Protégées reçues de l'Entité Couverte, ou créées ou reçues par le Partenaire Commercial au nom de l'Entité Couverte. Cette disposition s'appliquera aux Informations de Santé Protégées en possession des sous-traitants ou agents du Partenaire Commercial.
Une référence dans cet Accord à une section des Règles HIPAA signifie la section telle qu'en vigueur ou telle qu'amendée.
Les Parties acceptent de prendre les mesures nécessaires pour amender cet Accord de temps à autre selon les besoins pour la conformité aux exigences des Règles HIPAA.
Toute ambiguïté dans cet Accord sera résolue pour permettre à l'Entité Couverte de se conformer aux Règles HIPAA.
Rien dans cet Accord ne conférera à toute personne autre que les parties et leurs successeurs ou ayants droit respectifs, des droits, recours, obligations ou responsabilités quels qu'ils soient.
Le Partenaire Commercial met en œuvre les garanties administratives suivantes :
| Garantie | Mise en œuvre | Référence HIPAA |
|---|---|---|
| Processus de gestion de la sécurité | Analyse des risques, gestion des risques, politique de sanctions, révision de l'activité du système d'information | §164.308(a)(1) |
| Sécurité des effectifs | Autorisation et/ou supervision, procédure d'autorisation des effectifs, procédures de licenciement | §164.308(a)(3) |
| Gestion des accès aux informations | Autorisation d'accès, établissement et modification de l'accès | §164.308(a)(4) |
| Sensibilisation et formation à la sécurité | Rappels de sécurité, protection contre les logiciels malveillants, surveillance des connexions, gestion des mots de passe | §164.308(a)(5) |
| Garantie | Mise en œuvre | Référence HIPAA |
|---|---|---|
| Contrôles d'accès aux installations | Opérations de contingence, plan de sécurité des installations, procédures de contrôle et validation des accès | §164.310(a)(1) |
| Utilisation des postes de travail | Spécifications pour l'utilisation appropriée des postes de travail | §164.310(b) |
| Sécurité des postes de travail | Garanties physiques pour les postes de travail | §164.310(c) |
| Contrôles des dispositifs et supports | Élimination, réutilisation des supports, responsabilisation, sauvegarde et stockage des données | §164.310(d)(1) |
| Garantie | Mise en œuvre | Référence HIPAA |
|---|---|---|
| Contrôle d'accès | Identification unique des utilisateurs, procédure d'accès d'urgence, déconnexion automatique, chiffrement et déchiffrement | §164.312(a)(1) |
| Contrôles d'audit | Mécanismes matériels, logiciels et/ou procéduraux qui enregistrent et examinent l'activité | §164.312(b) |
| Intégrité | Mécanismes pour authentifier les informations de santé protégées électroniques | §164.312(c)(1) |
| Authentification des personnes ou entités | Procédures pour vérifier les personnes ou entités demandant l'accès | §164.312(d) |
| Sécurité des transmissions | Contrôles d'intégrité, chiffrement | §164.312(e)(1) |
Aux fins de cet Accord, « Violation » aura la même signification que le terme « breach » au 45 CFR § 164.402.
Le Partenaire Commercial enquêtera sur toute violation potentielle et documentera l'enquête et ses résultats.
Le Partenaire Commercial informera l'Entité Couverte sans délai raisonnable et en aucun cas plus tard que 60 jours civils après la découverte d'une violation.
Les notifications de violation doivent inclure, dans la mesure du possible :
Les parties ont exécuté cet Accord de Partenaire Commercial à la date effective.
PARTENAIRE COMMERCIAL :
Black Eagle Group LLC
d/b/a Whispie
30 N Gould St Ste N
Sheridan, WY 82801, USA
E-mail : [email protected]
Par : ___________________________
Nom : ___________________________
Titre : ___________________________
Date : ___________________________
ENTITÉ COUVERTE :
Nom de l'entité : ___________________________
Adresse : ___________________________
E-mail : ___________________________
Par : ___________________________
Nom : ___________________________
Titre : ___________________________
Date : ___________________________
Date effective : 1er décembre 2024