İş Ortağı Sözleşmesi

Son Güncelleme: 1 Aralık 2024

HIPAA UYUMLULUĞU: Bu İş Ortağı Sözleşmesi ("Sözleşme"), Whispie'nin HIPAA düzenlemelerine uygun olarak Kapsanan Kuruluşlar adına Korunmuş Sağlık Bilgilerini (PHI) işleyebileceği şartları belirler.

İş Ortağı Sözleşmesi

Bu İş Ortağı Sözleşmesi ("Sözleşme"), Black Eagle Group LLC ("İş Ortağı") ile aşağıda tanımlanan Kapsanan Kuruluş ("Kapsanan Kuruluş") arasında akdedilmiştir.

Gerekçe

KAPSANAN KURULUŞ'un, 1996 tarihli Sağlık Sigortası Taşınabilirliği ve Sorumluluğu Yasası, Kamu Yasası 104-191 ("HIPAA") ve bu yasa uyarınca çıkarılan düzenlemelere tabi olduğu göz önünde bulundurularak;

İŞ ORTAĞI'nın, Kapsanan Kuruluş'a belirli hizmetler sağladığı ve bu hizmetlerle bağlantılı olarak, İş Ortağı'nın Kapsanan Kuruluş'tan veya onun adına Korunmuş Sağlık Bilgileri alabileceği, oluşturabileceği, muhafaza edebileceği veya iletebileceği göz önünde bulundurularak;

Tarafların, bu tür Korunmuş Sağlık Bilgilerinin HIPAA'ya uygun şekilde korunmasını sağlamak için bu Sözleşme'yi akdetmeyi arzu ettikleri göz önünde bulundurularak;

BUNDAN DOLAYI, aşağıdaki karşılıklı taahhütler karşılığında taraflar aşağıdaki şekilde anlaşmışlardır:

1. Tanımlar

Bu Sözleşme'de kullanılan ancak başka şekilde tanımlanmayan terimler, Gizlilik Kuralı ve Güvenlik Kuralı'ndaki aynı anlama sahip olacaktır.

Terim Tanım
İhlal Korunmuş Sağlık Bilgilerinin güvenliğini veya gizliliğini ihlal eden, Gizlilik Kuralı uyarınca izin verilmeyen şekilde edinilmesi, erişilmesi, kullanılması veya ifşa edilmesi
Kapsanan Kuruluş Elektronik formda herhangi bir sağlık bilgisini ileten bir sağlık planı, sağlık hizmeti takas merkezi veya sağlık hizmeti sağlayıcısı
Belirlenmiş Kayıt Seti Bireyler hakkında karar vermek için kullanılan, kapsanan kuruluş tarafından veya onun adına muhafaza edilen bir kayıt grubu
Korunmuş Sağlık Bilgisi (PHI) Herhangi bir formda veya ortamda iletilen veya muhafaza edilen bireysel olarak tanımlanabilir sağlık bilgisi
Yasa Gereği Gerekli Bir kuruluşu Korunmuş Sağlık Bilgilerini kullanmaya veya ifşa etmeye zorlayan yasada yer alan bir zorunluluk
Bakan Sağlık ve İnsan Hizmetleri Departmanı Bakanı

2. İş Ortağı'nın Yükümlülükleri ve Faaliyetleri

2.1 PHI Kullanımı ve Açıklanması

İş Ortağı, Korunmuş Sağlık Bilgilerini bu Sözleşme ile izin verilen veya gerekli görülen veya Yasa Gereği Gerekli olan durumlar dışında kullanmamayı veya açıklamamayı kabul eder.

2.2 Uygun Güvenceler

İş Ortağı, Korunmuş Sağlık Bilgilerinin bu Sözleşme'de öngörülenden başka şekilde kullanılmasını veya açıklanmasını önlemek için uygun güvenceleri kullanacaktır.

2.3 Hafifletme

İş Ortağı, İş Ortağı tarafından bu Sözleşme'nin gerekliliklerine aykırı olarak Korunmuş Sağlık Bilgilerinin kullanımı veya açıklanmasının bilinen herhangi bir zararlı etkisini, uygulanabilir ölçüde hafifletmeyi kabul eder.

2.4 Raporlama

İş Ortağı, bu Sözleşme'de öngörülmeyen ve haberdar olduğu Korunmuş Sağlık Bilgilerinin herhangi bir kullanımını veya açıklanmasını, 45 CFR 164.410'da gerekli görüldüğü üzere güvenliği sağlanmamış Korunmuş Sağlık Bilgilerinin ihlalleri de dahil olmak üzere Kapsanan Kuruluş'a bildirecektir.

2.5 Alt Yükleniciler

İş Ortağı, İş Ortağı adına Korunmuş Sağlık Bilgilerini oluşturan, alan, muhafaza eden veya ileten alt yüklenicilerin, bu bilgilere ilişkin olarak İş Ortağı için geçerli olan aynı kısıtlamalar, koşullar ve gerekliliklere uymasını sağlayacaktır.

2.6 PHI'ye Erişim

İş Ortağı, Kapsanan Kuruluş'un talebi üzerine, 45 CFR 164.524 uyarındaki gereklilikleri karşılamak için Belirlenmiş Kayıt Seti'ndeki Korunmuş Sağlık Bilgilerine Kapsanan Kuruluş'a veya Kapsanan Kuruluş tarafından yönlendirildiği şekilde bir Bireye erişim sağlamayı kabul eder.

2.7 PHI Değişikliği

İş Ortağı, Kapsanan Kuruluş'un talebi veya bir Bireyin talebi üzerine, Kapsanan Kuruluş'un 45 CFR 164.526 uyarınca yönlendirdiği veya kabul ettiği Belirlenmiş Kayıt Seti'ndeki Korunmuş Sağlık Bilgilerine her türlü değişikliği yapmayı kabul eder.

2.8 Açıklamaların Muhasebesi

İş Ortağı, Korunmuş Sağlık Bilgilerinin bu tür açıklamalarını ve bu açıklamalarla ilgili bilgileri, Kapsanan Kuruluş'un 45 CFR 164.528 uyarınca bir Bireyin Korunmuş Sağlık Bilgilerinin açıklamalarının muhasebesi talebine yanıt vermesi için gerekli olacak şekilde belgelemeyi kabul eder.

2.9 İç Uygulamalar

İş Ortağı, iç uygulamalarını, defterlerini ve kayıtlarını, HIPAA Kuralları'na uyumluluğu belirleme amaçları için Bakan'ın kullanımına sunmayı kabul eder.

3. İş Ortağı Tarafından İzin Verilen Kullanımlar ve Açıklamalar

3.1 Genel Kullanım ve Açıklama

İş Ortağı, bu Sözleşme'de aksi belirtilmedikçe, temel hizmetler anlaşmasında belirtildiği şekilde Kapsanan Kuruluş için veya onun adına işlevleri, faaliyetleri veya hizmetleri yerine getirmek için Korunmuş Sağlık Bilgilerini kullanabilir veya açıklayabilir, bu tür kullanım veya açıklamanın Kapsanan Kuruluş tarafından yapılması durumunda Gizlilik Kuralı'nı ihlal etmemesi kaydıyla.

3.2 Belirli Kullanım ve Açıklama

İş Ortağı, İş Ortağı'nın uygun yönetimi ve idaresi veya İş Ortağı'nın yasal sorumluluklarını yerine getirmek için Korunmuş Sağlık Bilgilerini kullanabilir.

3.3 Veri Toplulaştırma

İş Ortağı, 42 CFR 164.504(e)(2)(i)(B) uyarınca izin verildiği şekilde Kapsanan Kuruluş'a Veri Toplulaştırma hizmetleri sağlamak için Korunmuş Sağlık Bilgilerini kullanabilir.

4. Kapsanan Kuruluş'un Yükümlülükleri

4.1 Gizlilik Uygulamaları Bildiriminin Hükümleri

Kapsanan Kuruluş, İş Ortağı'na Kapsanan Kuruluş'un 45 CFR 164.520 uyarınca ürettiği gizlilik uygulamaları bildirimini ve bu bildirimdeki her türlü değişikliği sağlayacaktır.

4.2 Değişiklik Bildirimi

Kapsanan Kuruluş, bir Bireyin Korunmuş Sağlık Bilgilerini kullanma veya açıklama iznindeki her türlü değişikliği veya iptali, bu tür değişiklikler İş Ortağı'nın Korunmuş Sağlık Bilgilerini kullanmasını veya açıklamasını etkileyebileceği ölçüde İş Ortağı'na bildirecektir.

4.3 Kısıtlama Bildirimi

Kapsanan Kuruluş, Kapsanan Kuruluş'un 45 CFR 164.522 uyarınca kabul ettiği Korunmuş Sağlık Bilgilerinin kullanımı veya açıklanmasına ilişkin her türlü kısıtlamayı İş Ortağı'na bildirecektir.

5. Süre ve Fesih

5.1 Süre

Bu Sözleşme'nin süresi, temel hizmetler anlaşmasının yürürlük tarihinden itibaren geçerli olacak ve Kapsanan Kuruluş tarafından İş Ortağı'na sağlanan veya İş Ortağı tarafından Kapsanan Kuruluş adına oluşturulan veya alınan tüm Korunmuş Sağlık Bilgileri imha edildiğinde veya Kapsanan Kuruluş'a iade edildiğinde sona erecektir.

5.2 Sebeple Fesih

Kapsanan Kuruluş, İş Ortağı tarafından yapılan maddi bir ihlalden haberdar olduğunda, İş Ortağı'na ihlali düzeltme veya ihlali sona erdirme fırsatı verecektir. İş Ortağı, Kapsanan Kuruluş tarafından belirlenen süre içinde ihlali düzeltmezse veya ihlali sona erdirmezse, Kapsanan Kuruluş bu Sözleşme'yi feshedecektir.

5.3 Fesih Etkisi

Bu Sözleşme'nin herhangi bir nedenle feshedilmesi üzerine, İş Ortağı, Kapsanan Kuruluş'tan alınan veya İş Ortağı tarafından Kapsanan Kuruluş adına oluşturulan veya alınan tüm Korunmuş Sağlık Bilgilerini iade edecek veya imha edecektir. Bu hüküm, İş Ortağı'nın alt yüklenicilerinin veya temsilcilerinin elinde bulunan Korunmuş Sağlık Bilgileri için de geçerli olacaktır.

6. Çeşitli Hükümler

6.1 Düzenleyici Referanslar

Bu Sözleşme'de HIPAA Kuralları'ndaki bir bölüme yapılan atıf, yürürlükteki veya değiştirilmiş bölüm anlamına gelir.

6.2 Değişiklik

Taraflar, HIPAA Kuralları'nın gerekliliklerine uyum sağlamak için gerektiğinde bu Sözleşme'yi değiştirmek için gerekli eylemi gerçekleştirmeyi kabul eder.

6.3 Yorumlama

Bu Sözleşme'deki herhangi bir belirsizlik, Kapsanan Kuruluş'un HIPAA Kuralları'na uymasına izin verecek şekilde çözülecektir.

6.4 Üçüncü Taraf Lehtarları Yok

Bu Sözleşme'deki hiçbir şey, taraflar ve onların halefleri veya temsilcileri dışındaki herhangi bir kişiye herhangi bir hak, çare, yükümlülük veya sorumluluk bahşetmeyecektir.

7. Güvenlik ve Teknik Güvenceler

7.1 İdari Güvenceler

İş Ortağı aşağıdaki idari güvenceleri uygular:

Güvence Uygulama HIPAA Referansı
Güvenlik Yönetim Süreci Risk analizi, risk yönetimi, yaptırım politikası, bilgi sistemi faaliyet incelemesi §164.308(a)(1)
İşgücü Güvenliği Yetkilendirme ve/veya denetim, işgücü güvenlik izni prosedürü, sonlandırma prosedürleri §164.308(a)(3)
Bilgi Erişim Yönetimi Erişim yetkilendirmesi, erişim oluşturma ve değiştirme §164.308(a)(4)
Güvenlik Farkındalığı ve Eğitimi Güvenlik hatırlatıcıları, kötü amaçlı yazılımlardan korunma, giriş izleme, parola yönetimi §164.308(a)(5)

7.2 Fiziksel Güvenceler

Güvence Uygulama HIPAA Referansı
Tesis Erişim Kontrolleri Olağanüstü durum operasyonları, tesis güvenlik planı, erişim kontrolü ve doğrulama prosedürleri §164.310(a)(1)
İş İstasyonu Kullanımı İş istasyonlarının uygun kullanımı için spesifikasyonlar §164.310(b)
İş İstasyonu Güvenliği İş istasyonları için fiziksel güvenceler §164.310(c)
Cihaz ve Ortam Kontrolleri İmha, ortam yeniden kullanımı, hesap verebilirlik, veri yedekleme ve depolama §164.310(d)(1)

7.3 Teknik Güvenceler

Güvence Uygulama HIPAA Referansı
Erişim Kontrolü Benzersiz kullanıcı kimliği, acil durum erişim prosedürü, otomatik oturum kapatma, şifreleme ve şifre çözme §164.312(a)(1)
Denetim Kontrolleri Faaliyeti kaydeden ve inceleyen donanım, yazılım ve/veya prosedürel mekanizmalar §164.312(b)
Bütünlük Elektronik korunmuş sağlık bilgilerini doğrulamak için mekanizmalar §164.312(c)(1)
Kişi veya Kuruluş Kimlik Doğrulaması Erişim isteyen kişileri veya kuruluşları doğrulamak için prosedürler §164.312(d)
İletim Güvenliği Bütünlük kontrolleri, şifreleme §164.312(e)(1)

8. İhlal Bildirim Gereklilikleri

8.1 İhlal Tanımı

Bu Sözleşme'nin amaçları doğrultusunda, "İhlal" 45 CFR § 164.402'deki "ihlal" terimiyle aynı anlama sahip olacaktır.

8.2 İhlal Soruşturması

İş Ortağı, potansiyel bir ihlali soruşturacak ve soruşturmayı ve sonucunu belgeleyecektir.

8.3 Bildirim Zaman Çizelgesi

İş Ortağı, makul bir gecikme olmaksızın ve hiçbir durumda bir ihlalin keşfinden sonra 60 takvim gününden daha geç olmamak üzere Kapsanan Kuruluş'a bildirimde bulunacaktır.

8.4 Bildirim İçeriği

İhlal bildirimleri, mümkün olduğunca aşağıdakileri içerecektir:

BUNUN TANIKLIĞINDA

Taraflar bu İş Ortağı Sözleşmesi'ni Yürürlük Tarihi itibarıyla imzalamışlardır.

İŞ ORTAĞI:

Black Eagle Group LLC
t/a Whispie
30 N Gould St Ste N
Sheridan, WY 82801, USA
E-posta: [email protected]

Tarafından: ___________________________
İsim: ___________________________
Unvan: ___________________________
Tarih: ___________________________

KAPSANAN KURULUŞ:

Kuruluş Adı: ___________________________
Adres: ___________________________
E-posta: ___________________________

Tarafından: ___________________________
İsim: ___________________________
Unvan: ___________________________
Tarih: ___________________________

Yürürlük Tarihi: 1 Aralık 2024