Funktionen Preise API-Referenz

Business Associate Agreement (BAA)

v1.0 -- Gültig ab März 2026

Morlivo verpflichtet sich, geschützte Gesundheitsinformationen (PHI) gemäß dem Health Insurance Portability and Accountability Act von 1996 (HIPAA), in der durch den HITECH Act geänderten Fassung, zu schützen. Dieses Business Associate Agreement regelt die Beziehung zwischen Morlivo („Business Associate") und unseren Kunden („Covered Entity") in Bezug auf den Umgang mit PHI.

1. Geltungsbereich und Zweck

Dieses Business Associate Agreement („BAA") ergänzt den Dienstleistungsvertrag zwischen der Covered Entity und dem Business Associate und wird Teil desselben. Es legt die Bedingungen fest, unter denen der Business Associate geschützte Gesundheitsinformationen („PHI") im Auftrag der Covered Entity im Zusammenhang mit den von Morlivo erbrachten Übersetzungs-, Transkriptions- und Sprachverarbeitungsdiensten (die „Dienste") erstellen, empfangen, pflegen oder übermitteln darf.

Die Parteien erkennen an, dass der Business Associate im Rahmen der Erbringung der Dienste auf PHI zugreifen, diese verwenden oder offenlegen kann, und dieses BAA legt die Pflichten des Business Associate in Bezug auf solche PHI gemäß den geltenden Bestimmungen von HIPAA, dem HITECH Act und deren Durchführungsverordnungen (zusammen die „HIPAA-Vorschriften") fest.

2. Zulässige Nutzung und Offenlegung

Der Business Associate darf PHI ausschließlich wie folgt verwenden oder offenlegen:

  • Soweit zur Erbringung der im zugrunde liegenden Dienstleistungsvertrag beschriebenen Dienste erforderlich
  • Soweit gesetzlich vorgeschrieben, einschließlich, aber nicht beschränkt auf Offenlegungen, die vom Secretary des U.S. Department of Health and Human Services verlangt werden
  • Für die ordnungsgemäße Verwaltung und Administration des Business Associate, sofern eine Offenlegung gesetzlich vorgeschrieben ist oder der Business Associate von Dritten angemessene Zusicherungen erhält, dass die Informationen vertraulich behandelt werden
  • Zur Bereitstellung von Datenaggregationsdiensten im Zusammenhang mit den Gesundheitsoperationen der Covered Entity, sofern im Dienstleistungsvertrag ausdrücklich genehmigt

Der Business Associate darf PHI nicht in einer Weise verwenden oder offenlegen, die gegen die HIPAA-Vorschriften verstoßen würde, wenn sie von der Covered Entity durchgeführt würde, es sei denn, dies ist in diesem BAA ausdrücklich gestattet. Der Business Associate darf PHI nicht für Marketingzwecke verwenden, PHI nicht verkaufen und PHI nicht für Underwriting-Zwecke verwenden.

3. Schutzmaßnahmen

Der Business Associate implementiert und unterhält administrative, physische und technische Schutzmaßnahmen, die die Vertraulichkeit, Integrität und Verfügbarkeit von PHI, einschließlich elektronischer PHI (ePHI), angemessen schützen, wie von der HIPAA Security Rule gefordert. Diese Schutzmaßnahmen umfassen unter anderem:

  • Verschlüsselung von ePHI im Ruhezustand mit AES-256 und bei der Übertragung mit TLS 1.2 oder höher
  • Rollenbasierte Zugriffskontrollen, die den PHI-Zugriff auf autorisiertes Personal beschränken
  • Umfassende Audit-Protokollierung aller Zugriffe auf und Änderungen von PHI
  • Regelmäßige Risikobewertungen und Schwachstellenscans
  • Mitarbeiterschulungen zu HIPAA-Anforderungen und Sicherheitsbewusstsein
  • Sichere Entsorgungsverfahren für PHI, die für die Dienste nicht mehr benötigt werden

Der Business Associate stellt sicher, dass jeder Beauftragte, einschließlich Subunternehmer, dem er PHI zur Verfügung stellt, den gleichen Einschränkungen und Bedingungen zustimmt, die gemäß 45 CFR § 164.502(e)(1)(ii) für den Business Associate im Rahmen dieses BAA gelten.

4. Meldung von Datenschutzverletzungen

Der Business Associate meldet der Covered Entity jede ihm bekannt gewordene Nutzung oder Offenlegung von PHI, die durch dieses BAA nicht gestattet ist, einschließlich jeder Verletzung ungesicherter PHI gemäß 45 CFR § 164.402. Der Business Associate übermittelt diese Benachrichtigung ohne unangemessene Verzögerung und in keinem Fall später als dreißig (30) Kalendertage nach Entdeckung der Verletzung.

Die Benachrichtigung muss, soweit verfügbar, Folgendes enthalten:

  • Identifizierung jeder Person, deren ungesicherte PHI tatsächlich oder nach vernünftigem Ermessen abgerufen, erlangt, verwendet oder offengelegt wurde
  • Eine Beschreibung der Art der Verletzung, einschließlich der betroffenen PHI-Kategorien
  • Das Datum der Verletzung und das Datum ihrer Entdeckung
  • Eine Beschreibung der Schritte, die der Business Associate unternimmt, um die Verletzung zu untersuchen, abzumildern und zukünftige Vorfälle zu verhindern
  • Kontaktinformationen für Personen, die weitere Einzelheiten bereitstellen können

5. Laufzeit und Kündigung

Dieses BAA tritt mit dem Datum der Unterzeichnung in Kraft und bleibt für die Dauer des zugrunde liegenden Dienstleistungsvertrags gültig, sofern es nicht wie hierin vorgesehen vorzeitig gekündigt wird.

Jede Partei kann dieses BAA kündigen, wenn sie feststellt, dass die andere Partei eine wesentliche Bestimmung dieses BAA verletzt hat. Die nicht verletzende Partei hat der verletzenden Partei eine schriftliche Mitteilung über die Verletzung zuzustellen und dreißig (30) Tage zur Abhilfe einzuräumen. Ist eine Abhilfe nicht möglich, kann die nicht verletzende Partei sowohl dieses BAA als auch den zugrunde liegenden Dienstleistungsvertrag sofort kündigen.

Bei Beendigung gibt der Business Associate nach Wahl der Covered Entity alle PHI zurück oder vernichtet sie, die von der Covered Entity erhalten oder in deren Auftrag erstellt wurden. Ist eine Rückgabe oder Vernichtung nicht möglich, dehnt der Business Associate den Schutz dieses BAA auf diese PHI aus und beschränkt weitere Nutzungen und Offenlegungen auf die Zwecke, die eine Rückgabe oder Vernichtung undurchführbar machen.

6. Pflichten der abgedeckten Einrichtung

  • Die Covered Entity benachrichtigt den Business Associate über alle Einschränkungen in ihrer Datenschutzerklärung, die die Nutzung oder Offenlegung von PHI durch den Business Associate beeinflussen können
  • Die Covered Entity benachrichtigt den Business Associate über alle Änderungen oder Widerrufe einer Genehmigung durch eine Person zur Nutzung oder Offenlegung von PHI, soweit diese Änderungen die zulässigen Nutzungen und Offenlegungen des Business Associate beeinflussen können
  • Die Covered Entity darf den Business Associate nicht auffordern, PHI in einer Weise zu verwenden oder offenzulegen, die gegen die HIPAA-Vorschriften verstoßen würde

7. Sonstiges

Dieses BAA unterliegt dem geltenden Bundesrecht, einschließlich der HIPAA-Vorschriften, und ist entsprechend auszulegen. Etwaige Unklarheiten in diesem BAA sind zugunsten der Einhaltung der HIPAA-Vorschriften auszulegen. Dieses BAA stellt die gesamte Vereinbarung zwischen den Parteien in Bezug auf den hierin behandelten Gegenstand dar und ersetzt alle früheren Vereinbarungen, ob schriftlich oder mündlich, die sich auf denselben Gegenstand beziehen.

BAA anfordern

Um ein Business Associate Agreement anzufordern, kontaktieren Sie unser Compliance-Team. Wir arbeiten mit Ihnen zusammen, um ein auf die Bedürfnisse Ihrer Organisation zugeschnittenes BAA abzuschließen.

Compliance-Team kontaktieren BAA-Vorlage herunterladen