Accord de Partenaire Commercial

Dernière mise à jour : 1er décembre 2024

CONFORMITÉ HIPAA : Cet Accord de Partenaire Commercial (« APC ») établit les conditions dans lesquelles Whispie peut traiter les Informations de Santé Protégées (ISP) au nom des Entités Couvertes conformément aux réglementations HIPAA.

Accord de Partenaire Commercial

Cet Accord de Partenaire Commercial (le « Accord ») est conclu entre Black Eagle Group LLC (le « Partenaire Commercial ») et l'Entité Couverte (l'« Entité Couverte ») telle que définie ci-dessous.

Considérants

ATTENDU QUE l'Entité Couverte est soumise à la Loi sur la portabilité et la responsabilité en matière d'assurance maladie de 1996, Public Law 104-191 (« HIPAA ») et aux réglementations promulguées en vertu de celle-ci ;

ATTENDU QUE le Partenaire Commercial fournit certains services à l'Entité Couverte et dans le cadre de ces services, le Partenaire Commercial peut recevoir, créer, maintenir ou transmettre des Informations de Santé Protégées de ou au nom de l'Entité Couverte ;

ATTENDU QUE les parties souhaitent conclure cet Accord pour assurer la protection de ces Informations de Santé Protégées conformément à HIPAA ;

EN CONSÉQUENCE DE QUOI, en considération des promesses mutuelles ci-dessous, les parties conviennent de ce qui suit :

1. Définitions

Les termes utilisés, mais non définis autrement dans cet Accord, auront la même signification que dans la Règle de Confidentialité et la Règle de Sécurité.

Terme Définition
Violation L'acquisition, l'accès, l'utilisation ou la divulgation d'ISP d'une manière non permise par la Règle de Confidentialité qui compromet la sécurité ou la confidentialité des ISP
Entité Couverte Un régime de santé, un centre d'échange de soins de santé ou un prestataire de soins de santé qui transmet des informations de santé sous forme électronique
Ensemble de Dossiers Désigné Un groupe de dossiers conservés par ou pour une entité couverte et utilisés pour prendre des décisions concernant des individus
Informations de Santé Protégées (ISP) Informations de santé identifiables individuellement transmises ou maintenues sous toute forme ou support
Requis par la Loi Un mandat contenu dans la loi qui oblige une entité à effectuer une utilisation ou divulgation d'ISP
Secrétaire Le Secrétaire du Département de la Santé et des Services Sociaux

2. Obligations et activités du Partenaire Commercial

2.1 Utilisation et divulgation des ISP

Le Partenaire Commercial accepte de ne pas utiliser ni divulguer les Informations de Santé Protégées autrement que tel que permis ou requis par cet Accord ou tel qu'exigé par la Loi.

2.2 Garanties appropriées

Le Partenaire Commercial utilisera des garanties appropriées pour prévenir l'utilisation ou la divulgation des Informations de Santé Protégées autrement que tel que prévu par cet Accord.

2.3 Atténuation

Le Partenaire Commercial accepte d'atténuer, dans la mesure du possible, tout effet nuisible dont il a connaissance résultant d'une utilisation ou divulgation d'Informations de Santé Protégées par le Partenaire Commercial en violation des exigences de cet Accord.

2.4 Signalement

Le Partenaire Commercial signalera à l'Entité Couverte toute utilisation ou divulgation d'Informations de Santé Protégées non prévue par cet Accord dont il prend connaissance, y compris les violations d'Informations de Santé Protégées non sécurisées tel que requis à 45 CFR 164.410.

2.5 Sous-traitants

Le Partenaire Commercial veillera à ce que tous les sous-traitants qui créent, reçoivent, maintiennent ou transmettent des Informations de Santé Protégées au nom du Partenaire Commercial acceptent les mêmes restrictions, conditions et exigences qui s'appliquent au Partenaire Commercial concernant ces informations.

2.6 Accès aux ISP

Le Partenaire Commercial accepte de fournir l'accès, à la demande de l'Entité Couverte, aux Informations de Santé Protégées dans un Ensemble de Dossiers Désigné, à l'Entité Couverte ou, selon les instructions de l'Entité Couverte, à un Individu afin de satisfaire aux exigences du 45 CFR 164.524.

2.7 Modification des ISP

Le Partenaire Commercial accepte d'effectuer tout amendement aux Informations de Santé Protégées dans un Ensemble de Dossiers Désigné que l'Entité Couverte dirige ou accepte conformément au 45 CFR 164.526 à la demande de l'Entité Couverte ou d'un Individu.

2.8 Comptabilité des divulgations

Le Partenaire Commercial accepte de documenter les divulgations d'Informations de Santé Protégées et les informations relatives à ces divulgations telles que requises pour que l'Entité Couverte réponde à une demande d'un Individu pour une comptabilité des divulgations conformément au 45 CFR 164.528.

2.9 Pratiques internes

Le Partenaire Commercial accepte de rendre ses pratiques internes, livres et registres disponibles au Secrétaire aux fins de déterminer la conformité aux Règles HIPAA.

3. Utilisations et divulgations permises par le Partenaire Commercial

3.1 Utilisation et divulgation générales

Sauf limitation contraire dans cet Accord, le Partenaire Commercial peut utiliser ou divulguer des Informations de Santé Protégées pour exécuter des fonctions, activités ou services pour ou au nom de l'Entité Couverte tels que spécifiés dans l'accord de services sous-jacent, à condition que cette utilisation ou divulgation ne violerait pas la Règle de Confidentialité si effectuée par l'Entité Couverte.

3.2 Utilisation et divulgation spécifiques

Le Partenaire Commercial peut utiliser les Informations de Santé Protégées pour la gestion appropriée et l'administration du Partenaire Commercial ou pour remplir les responsabilités légales du Partenaire Commercial.

3.3 Agrégation de données

Le Partenaire Commercial peut utiliser les Informations de Santé Protégées pour fournir des services d'Agrégation de Données à l'Entité Couverte tel que permis par le 42 CFR 164.504(e)(2)(i)(B).

4. Obligations de l'Entité Couverte

4.1 Fourniture de l'avis de pratiques de confidentialité

L'Entité Couverte fournira au Partenaire Commercial l'avis de pratiques de confidentialité que l'Entité Couverte produit conformément au 45 CFR 164.520, ainsi que tout changement à cet avis.

4.2 Notification des changements

L'Entité Couverte informera le Partenaire Commercial de tout changement ou révocation de permission par un Individu d'utiliser ou de divulguer des Informations de Santé Protégées, dans la mesure où ces changements peuvent affecter l'utilisation ou la divulgation d'Informations de Santé Protégées par le Partenaire Commercial.

4.3 Notification des restrictions

L'Entité Couverte informera le Partenaire Commercial de toute restriction à l'utilisation ou à la divulgation d'Informations de Santé Protégées que l'Entité Couverte a acceptée conformément au 45 CFR 164.522.

5. Durée et résiliation

5.1 Durée

La durée de cet Accord sera effective à partir de la date d'entrée en vigueur de l'accord de services sous-jacent et prendra fin lorsque toutes les Informations de Santé Protégées fournies par l'Entité Couverte au Partenaire Commercial, ou créées ou reçues par le Partenaire Commercial au nom de l'Entité Couverte, seront détruites ou retournées à l'Entité Couverte.

5.2 Résiliation pour cause

Lors de la connaissance par l'Entité Couverte d'une violation substantielle par le Partenaire Commercial, l'Entité Couverte donnera l'opportunité au Partenaire Commercial de remédier à la violation ou de mettre fin à l'infraction. Si le Partenaire Commercial ne remédie pas à la violation ou ne met pas fin à l'infraction dans le délai spécifié par l'Entité Couverte, l'Entité Couverte résiliera cet Accord.

5.3 Effets de la résiliation

Dès la résiliation de cet Accord pour quelque raison que ce soit, le Partenaire Commercial retournera ou détruira toutes les Informations de Santé Protégées reçues de l'Entité Couverte, ou créées ou reçues par le Partenaire Commercial au nom de l'Entité Couverte. Cette disposition s'appliquera aux Informations de Santé Protégées en possession des sous-traitants ou agents du Partenaire Commercial.

6. Dispositions diverses

6.1 Références réglementaires

Une référence dans cet Accord à une section des Règles HIPAA signifie la section telle qu'en vigueur ou telle qu'amendée.

6.2 Amendement

Les Parties acceptent de prendre les mesures nécessaires pour amender cet Accord de temps à autre selon les besoins pour la conformité aux exigences des Règles HIPAA.

6.3 Interprétation

Toute ambiguïté dans cet Accord sera résolue pour permettre à l'Entité Couverte de se conformer aux Règles HIPAA.

6.4 Pas de tiers bénéficiaires

Rien dans cet Accord ne conférera à toute personne autre que les parties et leurs successeurs ou ayants droit respectifs, des droits, recours, obligations ou responsabilités quels qu'ils soient.

7. Garanties de sécurité et techniques

7.1 Garanties administratives

Le Partenaire Commercial met en œuvre les garanties administratives suivantes :

Garantie Mise en œuvre Référence HIPAA
Processus de gestion de la sécurité Analyse des risques, gestion des risques, politique de sanctions, révision de l'activité du système d'information §164.308(a)(1)
Sécurité des effectifs Autorisation et/ou supervision, procédure d'autorisation des effectifs, procédures de licenciement §164.308(a)(3)
Gestion des accès aux informations Autorisation d'accès, établissement et modification de l'accès §164.308(a)(4)
Sensibilisation et formation à la sécurité Rappels de sécurité, protection contre les logiciels malveillants, surveillance des connexions, gestion des mots de passe §164.308(a)(5)

7.2 Garanties physiques

Garantie Mise en œuvre Référence HIPAA
Contrôles d'accès aux installations Opérations de contingence, plan de sécurité des installations, procédures de contrôle et validation des accès §164.310(a)(1)
Utilisation des postes de travail Spécifications pour l'utilisation appropriée des postes de travail §164.310(b)
Sécurité des postes de travail Garanties physiques pour les postes de travail §164.310(c)
Contrôles des dispositifs et supports Élimination, réutilisation des supports, responsabilisation, sauvegarde et stockage des données §164.310(d)(1)

7.3 Garanties techniques

Garantie Mise en œuvre Référence HIPAA
Contrôle d'accès Identification unique des utilisateurs, procédure d'accès d'urgence, déconnexion automatique, chiffrement et déchiffrement §164.312(a)(1)
Contrôles d'audit Mécanismes matériels, logiciels et/ou procéduraux qui enregistrent et examinent l'activité §164.312(b)
Intégrité Mécanismes pour authentifier les informations de santé protégées électroniques §164.312(c)(1)
Authentification des personnes ou entités Procédures pour vérifier les personnes ou entités demandant l'accès §164.312(d)
Sécurité des transmissions Contrôles d'intégrité, chiffrement §164.312(e)(1)

8. Exigences de notification de violation

8.1 Définition de violation

Aux fins de cet Accord, « Violation » aura la même signification que le terme « breach » au 45 CFR § 164.402.

8.2 Enquête sur la violation

Le Partenaire Commercial enquêtera sur toute violation potentielle et documentera l'enquête et ses résultats.

8.3 Délai de notification

Le Partenaire Commercial informera l'Entité Couverte sans délai raisonnable et en aucun cas plus tard que 60 jours civils après la découverte d'une violation.

8.4 Contenu de la notification

Les notifications de violation doivent inclure, dans la mesure du possible :

EN FOI DE QUOI

Les parties ont exécuté cet Accord de Partenaire Commercial à la date effective.

PARTENAIRE COMMERCIAL :

Black Eagle Group LLC
d/b/a Whispie
30 N Gould St Ste N
Sheridan, WY 82801, USA
E-mail : [email protected]

Par : ___________________________
Nom : ___________________________
Titre : ___________________________
Date : ___________________________

ENTITÉ COUVERTE :

Nom de l'entité : ___________________________
Adresse : ___________________________
E-mail : ___________________________

Par : ___________________________
Nom : ___________________________
Titre : ___________________________
Date : ___________________________

Date effective : 1er décembre 2024