Son Güncelleme: 1 Aralık 2024
HIPAA UYUMLULUĞU: Bu İş Ortağı Sözleşmesi ("Sözleşme"), Whispie'nin HIPAA düzenlemelerine uygun olarak Kapsanan Kuruluşlar adına Korunmuş Sağlık Bilgilerini (PHI) işleyebileceği şartları belirler.
Bu İş Ortağı Sözleşmesi ("Sözleşme"), Black Eagle Group LLC ("İş Ortağı") ile aşağıda tanımlanan Kapsanan Kuruluş ("Kapsanan Kuruluş") arasında akdedilmiştir.
Gerekçe
KAPSANAN KURULUŞ'un, 1996 tarihli Sağlık Sigortası Taşınabilirliği ve Sorumluluğu Yasası, Kamu Yasası 104-191 ("HIPAA") ve bu yasa uyarınca çıkarılan düzenlemelere tabi olduğu göz önünde bulundurularak;
İŞ ORTAĞI'nın, Kapsanan Kuruluş'a belirli hizmetler sağladığı ve bu hizmetlerle bağlantılı olarak, İş Ortağı'nın Kapsanan Kuruluş'tan veya onun adına Korunmuş Sağlık Bilgileri alabileceği, oluşturabileceği, muhafaza edebileceği veya iletebileceği göz önünde bulundurularak;
Tarafların, bu tür Korunmuş Sağlık Bilgilerinin HIPAA'ya uygun şekilde korunmasını sağlamak için bu Sözleşme'yi akdetmeyi arzu ettikleri göz önünde bulundurularak;
BUNDAN DOLAYI, aşağıdaki karşılıklı taahhütler karşılığında taraflar aşağıdaki şekilde anlaşmışlardır:
Bu Sözleşme'de kullanılan ancak başka şekilde tanımlanmayan terimler, Gizlilik Kuralı ve Güvenlik Kuralı'ndaki aynı anlama sahip olacaktır.
| Terim | Tanım |
|---|---|
| İhlal | Korunmuş Sağlık Bilgilerinin güvenliğini veya gizliliğini ihlal eden, Gizlilik Kuralı uyarınca izin verilmeyen şekilde edinilmesi, erişilmesi, kullanılması veya ifşa edilmesi |
| Kapsanan Kuruluş | Elektronik formda herhangi bir sağlık bilgisini ileten bir sağlık planı, sağlık hizmeti takas merkezi veya sağlık hizmeti sağlayıcısı |
| Belirlenmiş Kayıt Seti | Bireyler hakkında karar vermek için kullanılan, kapsanan kuruluş tarafından veya onun adına muhafaza edilen bir kayıt grubu |
| Korunmuş Sağlık Bilgisi (PHI) | Herhangi bir formda veya ortamda iletilen veya muhafaza edilen bireysel olarak tanımlanabilir sağlık bilgisi |
| Yasa Gereği Gerekli | Bir kuruluşu Korunmuş Sağlık Bilgilerini kullanmaya veya ifşa etmeye zorlayan yasada yer alan bir zorunluluk |
| Bakan | Sağlık ve İnsan Hizmetleri Departmanı Bakanı |
İş Ortağı, Korunmuş Sağlık Bilgilerini bu Sözleşme ile izin verilen veya gerekli görülen veya Yasa Gereği Gerekli olan durumlar dışında kullanmamayı veya açıklamamayı kabul eder.
İş Ortağı, Korunmuş Sağlık Bilgilerinin bu Sözleşme'de öngörülenden başka şekilde kullanılmasını veya açıklanmasını önlemek için uygun güvenceleri kullanacaktır.
İş Ortağı, İş Ortağı tarafından bu Sözleşme'nin gerekliliklerine aykırı olarak Korunmuş Sağlık Bilgilerinin kullanımı veya açıklanmasının bilinen herhangi bir zararlı etkisini, uygulanabilir ölçüde hafifletmeyi kabul eder.
İş Ortağı, bu Sözleşme'de öngörülmeyen ve haberdar olduğu Korunmuş Sağlık Bilgilerinin herhangi bir kullanımını veya açıklanmasını, 45 CFR 164.410'da gerekli görüldüğü üzere güvenliği sağlanmamış Korunmuş Sağlık Bilgilerinin ihlalleri de dahil olmak üzere Kapsanan Kuruluş'a bildirecektir.
İş Ortağı, İş Ortağı adına Korunmuş Sağlık Bilgilerini oluşturan, alan, muhafaza eden veya ileten alt yüklenicilerin, bu bilgilere ilişkin olarak İş Ortağı için geçerli olan aynı kısıtlamalar, koşullar ve gerekliliklere uymasını sağlayacaktır.
İş Ortağı, Kapsanan Kuruluş'un talebi üzerine, 45 CFR 164.524 uyarındaki gereklilikleri karşılamak için Belirlenmiş Kayıt Seti'ndeki Korunmuş Sağlık Bilgilerine Kapsanan Kuruluş'a veya Kapsanan Kuruluş tarafından yönlendirildiği şekilde bir Bireye erişim sağlamayı kabul eder.
İş Ortağı, Kapsanan Kuruluş'un talebi veya bir Bireyin talebi üzerine, Kapsanan Kuruluş'un 45 CFR 164.526 uyarınca yönlendirdiği veya kabul ettiği Belirlenmiş Kayıt Seti'ndeki Korunmuş Sağlık Bilgilerine her türlü değişikliği yapmayı kabul eder.
İş Ortağı, Korunmuş Sağlık Bilgilerinin bu tür açıklamalarını ve bu açıklamalarla ilgili bilgileri, Kapsanan Kuruluş'un 45 CFR 164.528 uyarınca bir Bireyin Korunmuş Sağlık Bilgilerinin açıklamalarının muhasebesi talebine yanıt vermesi için gerekli olacak şekilde belgelemeyi kabul eder.
İş Ortağı, iç uygulamalarını, defterlerini ve kayıtlarını, HIPAA Kuralları'na uyumluluğu belirleme amaçları için Bakan'ın kullanımına sunmayı kabul eder.
İş Ortağı, bu Sözleşme'de aksi belirtilmedikçe, temel hizmetler anlaşmasında belirtildiği şekilde Kapsanan Kuruluş için veya onun adına işlevleri, faaliyetleri veya hizmetleri yerine getirmek için Korunmuş Sağlık Bilgilerini kullanabilir veya açıklayabilir, bu tür kullanım veya açıklamanın Kapsanan Kuruluş tarafından yapılması durumunda Gizlilik Kuralı'nı ihlal etmemesi kaydıyla.
İş Ortağı, İş Ortağı'nın uygun yönetimi ve idaresi veya İş Ortağı'nın yasal sorumluluklarını yerine getirmek için Korunmuş Sağlık Bilgilerini kullanabilir.
İş Ortağı, 42 CFR 164.504(e)(2)(i)(B) uyarınca izin verildiği şekilde Kapsanan Kuruluş'a Veri Toplulaştırma hizmetleri sağlamak için Korunmuş Sağlık Bilgilerini kullanabilir.
Kapsanan Kuruluş, İş Ortağı'na Kapsanan Kuruluş'un 45 CFR 164.520 uyarınca ürettiği gizlilik uygulamaları bildirimini ve bu bildirimdeki her türlü değişikliği sağlayacaktır.
Kapsanan Kuruluş, bir Bireyin Korunmuş Sağlık Bilgilerini kullanma veya açıklama iznindeki her türlü değişikliği veya iptali, bu tür değişiklikler İş Ortağı'nın Korunmuş Sağlık Bilgilerini kullanmasını veya açıklamasını etkileyebileceği ölçüde İş Ortağı'na bildirecektir.
Kapsanan Kuruluş, Kapsanan Kuruluş'un 45 CFR 164.522 uyarınca kabul ettiği Korunmuş Sağlık Bilgilerinin kullanımı veya açıklanmasına ilişkin her türlü kısıtlamayı İş Ortağı'na bildirecektir.
Bu Sözleşme'nin süresi, temel hizmetler anlaşmasının yürürlük tarihinden itibaren geçerli olacak ve Kapsanan Kuruluş tarafından İş Ortağı'na sağlanan veya İş Ortağı tarafından Kapsanan Kuruluş adına oluşturulan veya alınan tüm Korunmuş Sağlık Bilgileri imha edildiğinde veya Kapsanan Kuruluş'a iade edildiğinde sona erecektir.
Kapsanan Kuruluş, İş Ortağı tarafından yapılan maddi bir ihlalden haberdar olduğunda, İş Ortağı'na ihlali düzeltme veya ihlali sona erdirme fırsatı verecektir. İş Ortağı, Kapsanan Kuruluş tarafından belirlenen süre içinde ihlali düzeltmezse veya ihlali sona erdirmezse, Kapsanan Kuruluş bu Sözleşme'yi feshedecektir.
Bu Sözleşme'nin herhangi bir nedenle feshedilmesi üzerine, İş Ortağı, Kapsanan Kuruluş'tan alınan veya İş Ortağı tarafından Kapsanan Kuruluş adına oluşturulan veya alınan tüm Korunmuş Sağlık Bilgilerini iade edecek veya imha edecektir. Bu hüküm, İş Ortağı'nın alt yüklenicilerinin veya temsilcilerinin elinde bulunan Korunmuş Sağlık Bilgileri için de geçerli olacaktır.
Bu Sözleşme'de HIPAA Kuralları'ndaki bir bölüme yapılan atıf, yürürlükteki veya değiştirilmiş bölüm anlamına gelir.
Taraflar, HIPAA Kuralları'nın gerekliliklerine uyum sağlamak için gerektiğinde bu Sözleşme'yi değiştirmek için gerekli eylemi gerçekleştirmeyi kabul eder.
Bu Sözleşme'deki herhangi bir belirsizlik, Kapsanan Kuruluş'un HIPAA Kuralları'na uymasına izin verecek şekilde çözülecektir.
Bu Sözleşme'deki hiçbir şey, taraflar ve onların halefleri veya temsilcileri dışındaki herhangi bir kişiye herhangi bir hak, çare, yükümlülük veya sorumluluk bahşetmeyecektir.
İş Ortağı aşağıdaki idari güvenceleri uygular:
| Güvence | Uygulama | HIPAA Referansı |
|---|---|---|
| Güvenlik Yönetim Süreci | Risk analizi, risk yönetimi, yaptırım politikası, bilgi sistemi faaliyet incelemesi | §164.308(a)(1) |
| İşgücü Güvenliği | Yetkilendirme ve/veya denetim, işgücü güvenlik izni prosedürü, sonlandırma prosedürleri | §164.308(a)(3) |
| Bilgi Erişim Yönetimi | Erişim yetkilendirmesi, erişim oluşturma ve değiştirme | §164.308(a)(4) |
| Güvenlik Farkındalığı ve Eğitimi | Güvenlik hatırlatıcıları, kötü amaçlı yazılımlardan korunma, giriş izleme, parola yönetimi | §164.308(a)(5) |
| Güvence | Uygulama | HIPAA Referansı |
|---|---|---|
| Tesis Erişim Kontrolleri | Olağanüstü durum operasyonları, tesis güvenlik planı, erişim kontrolü ve doğrulama prosedürleri | §164.310(a)(1) |
| İş İstasyonu Kullanımı | İş istasyonlarının uygun kullanımı için spesifikasyonlar | §164.310(b) |
| İş İstasyonu Güvenliği | İş istasyonları için fiziksel güvenceler | §164.310(c) |
| Cihaz ve Ortam Kontrolleri | İmha, ortam yeniden kullanımı, hesap verebilirlik, veri yedekleme ve depolama | §164.310(d)(1) |
| Güvence | Uygulama | HIPAA Referansı |
|---|---|---|
| Erişim Kontrolü | Benzersiz kullanıcı kimliği, acil durum erişim prosedürü, otomatik oturum kapatma, şifreleme ve şifre çözme | §164.312(a)(1) |
| Denetim Kontrolleri | Faaliyeti kaydeden ve inceleyen donanım, yazılım ve/veya prosedürel mekanizmalar | §164.312(b) |
| Bütünlük | Elektronik korunmuş sağlık bilgilerini doğrulamak için mekanizmalar | §164.312(c)(1) |
| Kişi veya Kuruluş Kimlik Doğrulaması | Erişim isteyen kişileri veya kuruluşları doğrulamak için prosedürler | §164.312(d) |
| İletim Güvenliği | Bütünlük kontrolleri, şifreleme | §164.312(e)(1) |
Bu Sözleşme'nin amaçları doğrultusunda, "İhlal" 45 CFR § 164.402'deki "ihlal" terimiyle aynı anlama sahip olacaktır.
İş Ortağı, potansiyel bir ihlali soruşturacak ve soruşturmayı ve sonucunu belgeleyecektir.
İş Ortağı, makul bir gecikme olmaksızın ve hiçbir durumda bir ihlalin keşfinden sonra 60 takvim gününden daha geç olmamak üzere Kapsanan Kuruluş'a bildirimde bulunacaktır.
İhlal bildirimleri, mümkün olduğunca aşağıdakileri içerecektir:
Taraflar bu İş Ortağı Sözleşmesi'ni Yürürlük Tarihi itibarıyla imzalamışlardır.
İŞ ORTAĞI:
Black Eagle Group LLC
t/a Whispie
30 N Gould St Ste N
Sheridan, WY 82801, USA
E-posta: [email protected]
Tarafından: ___________________________
İsim: ___________________________
Unvan: ___________________________
Tarih: ___________________________
KAPSANAN KURULUŞ:
Kuruluş Adı: ___________________________
Adres: ___________________________
E-posta: ___________________________
Tarafından: ___________________________
İsim: ___________________________
Unvan: ___________________________
Tarih: ___________________________
Yürürlük Tarihi: 1 Aralık 2024