Fitur Harga Referensi API

Business Associate Agreement (BAA)

v1.0 -- Berlaku sejak Maret 2026

Morlivo berkomitmen untuk melindungi Informasi Kesehatan yang Dilindungi (PHI) sesuai dengan Health Insurance Portability and Accountability Act tahun 1996 (HIPAA), sebagaimana diubah oleh HITECH Act. Business Associate Agreement ini mengatur hubungan antara Morlivo ("Business Associate") dan pelanggan kami ("Entitas Tercakup") sehubungan dengan penanganan PHI.

1. Ruang Lingkup dan Tujuan

Business Associate Agreement ("BAA") ini melengkapi dan menjadi bagian dari perjanjian layanan antara Entitas Tercakup dan Business Associate. Perjanjian ini menetapkan ketentuan di mana Business Associate dapat membuat, menerima, memelihara, atau mengirimkan Informasi Kesehatan yang Dilindungi ("PHI") atas nama Entitas Tercakup sehubungan dengan layanan terjemahan, transkripsi, dan pemrosesan bahasa yang disediakan oleh Morlivo ("Layanan").

Para pihak mengakui bahwa Business Associate dapat mengakses, menggunakan, atau mengungkapkan PHI dalam rangka menyediakan Layanan, dan BAA ini menetapkan kewajiban Business Associate sehubungan dengan PHI tersebut sesuai dengan ketentuan yang berlaku dari HIPAA, HITECH Act, dan peraturan pelaksanaannya (secara kolektif disebut "Aturan HIPAA").

2. Penggunaan dan Pengungkapan yang Diizinkan

Business Associate hanya boleh menggunakan atau mengungkapkan PHI untuk:

  • Seperlunya untuk menjalankan Layanan yang dijelaskan dalam perjanjian layanan yang mendasarinya
  • Sebagaimana diwajibkan oleh hukum, termasuk namun tidak terbatas pada pengungkapan yang diperlukan oleh Sekretaris Departemen Kesehatan dan Layanan Kemanusiaan AS
  • Untuk pengelolaan dan administrasi Business Associate yang tepat, dengan ketentuan bahwa setiap pengungkapan diwajibkan oleh hukum atau Business Associate memperoleh jaminan yang wajar dari pihak ketiga mana pun bahwa informasi tersebut akan dijaga kerahasiaannya
  • Untuk menyediakan layanan agregasi data yang berkaitan dengan operasi perawatan kesehatan Entitas Tercakup, jika secara tegas diotorisasi dalam perjanjian layanan

Business Associate tidak boleh menggunakan atau mengungkapkan PHI dengan cara yang akan melanggar Aturan HIPAA jika dilakukan oleh Entitas Tercakup, kecuali sebagaimana secara tegas diizinkan dalam BAA ini. Business Associate tidak boleh menggunakan PHI untuk tujuan pemasaran, menjual PHI, atau menggunakan PHI untuk tujuan penjaminan.

3. Perlindungan

Business Associate harus menerapkan dan memelihara perlindungan administratif, fisik, dan teknis yang secara wajar dan layak melindungi kerahasiaan, integritas, dan ketersediaan PHI, termasuk PHI elektronik (ePHI), sebagaimana disyaratkan oleh HIPAA Security Rule. Perlindungan ini mencakup namun tidak terbatas pada:

  • Enkripsi ePHI saat diam menggunakan AES-256 dan saat transit menggunakan TLS 1.2 atau lebih tinggi
  • Kontrol akses berbasis peran yang membatasi akses PHI hanya untuk personel yang berwenang
  • Pencatatan audit komprehensif atas semua akses dan modifikasi PHI
  • Penilaian risiko dan pemindaian kerentanan secara berkala
  • Pelatihan tenaga kerja tentang persyaratan HIPAA dan kesadaran keamanan
  • Prosedur pembuangan aman untuk PHI yang tidak lagi diperlukan untuk Layanan

Business Associate harus memastikan bahwa setiap agen, termasuk subkontraktor, kepada siapa PHI diberikan, setuju dengan pembatasan dan ketentuan yang sama yang berlaku untuk Business Associate berdasarkan BAA ini, sesuai dengan 45 CFR § 164.502(e)(1)(ii).

4. Pemberitahuan Pelanggaran

Business Associate harus melaporkan kepada Entitas Tercakup setiap penggunaan atau pengungkapan PHI yang tidak diizinkan oleh BAA ini yang diketahuinya, termasuk setiap Pelanggaran PHI Tidak Aman sebagaimana didefinisikan dalam 45 CFR § 164.402. Business Associate harus memberikan pemberitahuan tersebut tanpa penundaan yang tidak wajar dan dalam hal apa pun selambat-lambatnya tiga puluh (30) hari kalender setelah ditemukannya Pelanggaran.

Pemberitahuan harus mencakup, sejauh tersedia:

  • Identifikasi setiap individu yang PHI Tidak Amannya telah, atau secara wajar diyakini telah, diakses, diperoleh, digunakan, atau diungkapkan
  • Deskripsi sifat Pelanggaran, termasuk jenis PHI yang terlibat
  • Tanggal Pelanggaran dan tanggal penemuannya
  • Deskripsi langkah-langkah yang diambil Business Associate untuk menyelidiki dan mengurangi Pelanggaran serta mencegah kejadian di masa depan
  • Informasi kontak untuk individu yang dapat memberikan detail tambahan

5. Jangka Waktu dan Pengakhiran

BAA ini berlaku efektif sejak tanggal pelaksanaan dan tetap berlaku selama durasi perjanjian layanan yang mendasarinya, kecuali diakhiri lebih awal sebagaimana ditentukan di sini.

Salah satu pihak dapat mengakhiri BAA ini jika menentukan bahwa pihak lain telah melanggar ketentuan material dari BAA ini. Pihak yang tidak melanggar harus memberikan pemberitahuan tertulis tentang pelanggaran kepada pihak yang melanggar dan memberikan waktu tiga puluh (30) hari untuk memperbaiki. Jika perbaikan tidak memungkinkan, pihak yang tidak melanggar dapat segera mengakhiri BAA ini dan perjanjian layanan yang mendasarinya.

Setelah pengakhiran, Business Associate harus, atas pilihan Entitas Tercakup, mengembalikan atau memusnahkan semua PHI yang diterima dari atau dibuat atas nama Entitas Tercakup. Jika pengembalian atau pemusnahan tidak memungkinkan, Business Associate harus memperluas perlindungan BAA ini ke PHI tersebut dan membatasi penggunaan dan pengungkapan lebih lanjut hanya untuk tujuan yang membuat pengembalian atau pemusnahan tidak memungkinkan.

6. Kewajiban Entitas Tercakup

  • Entitas Tercakup harus memberitahu Business Associate tentang setiap pembatasan dalam Pemberitahuan Praktik Privasinya yang dapat memengaruhi penggunaan atau pengungkapan PHI oleh Business Associate
  • Entitas Tercakup harus memberitahu Business Associate tentang setiap perubahan atau pencabutan otorisasi oleh individu untuk menggunakan atau mengungkapkan PHI, sejauh perubahan tersebut dapat memengaruhi penggunaan dan pengungkapan yang diizinkan dari Business Associate
  • Entitas Tercakup tidak boleh meminta Business Associate untuk menggunakan atau mengungkapkan PHI dengan cara apa pun yang akan melanggar Aturan HIPAA

7. Lain-Lain

BAA ini diatur oleh dan ditafsirkan sesuai dengan hukum federal yang berlaku, termasuk Aturan HIPAA. Setiap ambiguitas dalam BAA ini akan ditafsirkan untuk memungkinkan kepatuhan terhadap Aturan HIPAA. BAA ini merupakan keseluruhan perjanjian antara para pihak sehubungan dengan pokok permasalahan ini dan menggantikan semua perjanjian sebelumnya, baik tertulis maupun lisan, yang berkaitan dengan pokok permasalahan yang sama.

Minta BAA

Untuk meminta Business Associate Agreement, hubungi tim kepatuhan kami. Kami akan bekerja sama dengan Anda untuk menyusun BAA yang disesuaikan dengan kebutuhan organisasi Anda.

Hubungi Tim Kepatuhan Unduh Templat BAA