Funktionen Preise API Referenz Über
Melden Sie sich an Melden Sie sich an

Business Associate Agreement (BAA)

v1.0 – Gültig ab März 2026

Morlivo, eine Marke von Stelica Ventures LLC, einer in Texas gegründeten Gesellschaft mit beschränkter Haftung ("Morlivo", "Business Associate"), verpflichtet sich zum Schutz geschützter Gesundheitsinformationen (Protected Health Information, PHI) gemäß dem Health Insurance Portability and Accountability Act von 1996 (HIPAA), wie durch das HITECH Act geändert. Diese Business Associate-Vereinbarung ("BAA") regelt die Beziehung zwischen Morlivo und unseren Kunden ("Covered Entity") in Bezug auf den Umgang mit PHI. Verweise auf "Morlivo" oder "Morlivo.ai" beziehen sich auf Stelica Ventures LLC, die unter dem Namen Morlivo.ai tätig ist.

1. Geltungsbereich und Zweck

Dieses Business Associate Agreement ("BAA") ergänzt und ist Bestandteil des Servicevertrags zwischen Covered Entity und Business Associate. Es legt die Bedingungen fest, unter denen Business Associate geschützte Gesundheitsinformationen ("PHI") im Namen des Covered Entity im Zusammenhang mit den von Morlivo erbrachten Übersetzungs-, Transkriptions- und Sprachverarbeitungsdiensten (die "Services") erstellen, empfangen, speichern oder übermitteln darf.

Die Parteien erkennen an, dass Business Associate im Rahmen der Erbringung der Services auf PHI zugreifen, diese verwenden oder offenlegen kann, und dieses BAA legt die Pflichten von Business Associate in Bezug auf solche PHI gemäß den anwendbaren Bestimmungen von HIPAA, dem HITECH Act und deren Durchführungsverordnungen (zusammen die "HIPAA Rules") fest.

2. Zulässige Nutzungen und Offenlegungen

Der Geschäftspartner darf PHI ausschließlich verwenden oder offenlegen:

  • Soweit erforderlich, um die in der zugrunde liegenden Servicevereinbarung beschriebenen Dienste auszuführen.
  • Wie gesetzlich vorgeschrieben, einschließlich, aber nicht beschränkt auf Offenlegungen, die vom Minister des US-Gesundheitsministeriums verlangt werden.
  • Für die ordnungsgemäße Verwaltung und Verwaltung von Business Associate, sofern eine Offenlegung gesetzlich vorgeschrieben ist oder Business Associate angemessene Zusicherungen von Dritten einholt, dass die Informationen vertraulich behandelt werden.
  • Bereitstellung von Datenaggregationsdiensten im Zusammenhang mit den Gesundheitsdiensten des abgedeckten Unternehmens, sofern dies im Servicevertrag ausdrücklich gestattet ist.

Business Associate darf PHI nicht in einer Weise verwenden oder offenlegen, die gegen die HIPAA-Regeln verstoßen würde, wenn dies von der Covered Entity getan würde, außer wie in diesem BAA ausdrücklich erlaubt. Business Associate darf PHI nicht für Marketingzwecke verwenden, PHI nicht verkaufen oder PHI für Underwriting-Zwecke verwenden.

3. Schutzmaßnahmen

Business Associate implementiert und unterhält administrative, physische und technische Schutzmaßnahmen, die die Vertraulichkeit, Integrität und Verfügbarkeit von PHI, einschließlich elektronischer PHI (ePHI), vernünftig und angemessen schützen, wie es die HIPAA Security Rule verlangt. Diese Schutzmaßnahmen umfassen, sind aber nicht beschränkt auf:

  • Verschlüsselung von ePHI im Ruhezustand mit AES-256 und während der Übertragung mit TLS 1.2 oder höher.
  • Rollenbasierte Zugriffskontrollen, die den PHI-Zugriff nur auf autorisiertes Personal beschränken.
  • Umfassende Audit-Protokollierung aller Zugriffe und Änderungen von PHI.
  • Regelmäßige Risikobewertungen und Schwachstellenscans.
  • Mitarbeiterschulung zu HIPAA Anforderungen und Sicherheitsbewusstsein.
  • Sichere Entsorgungsverfahren für PHI, die für die Dienste nicht mehr benötigt werden.

Business Associate stellt sicher, dass jeder Agent, einschließlich Unterauftragnehmer, dem PHI bereitgestellt wird, den gleichen Beschränkungen und Bedingungen zustimmt, die für den Business Associate gemäß diesem BAA gelten, in Übereinstimmung mit 45 CFR § 164.502(e)(1)(ii).

4. Benachrichtigung über Verstöße

Business Associate meldet der Covered Entity jede Nutzung oder Offenlegung von PHI, die durch dieses BAA nicht erlaubt ist und von der er Kenntnis erlangt, einschließlich jedes Verstoßes gegen ungesicherte PHI (Breach of Unsecured PHI) wie in 45 CFR § 164.402 definiert. Business Associate stellt eine solche Benachrichtigung ohne unangemessene Verzögerung und in keinem Fall später als dreißig (30) Kalendertage nach Entdeckung des Verstoßes bereit.

Die Mitteilung muss, soweit verfügbar, Folgendes enthalten:

  • Identifizierung jeder Person, auf deren ungesicherte PHI zugegriffen wurde oder von der man vernünftigerweise annehmen kann, dass sie erworben, genutzt oder offengelegt wurde.
  • Eine Beschreibung der Art des Verstoßes, einschließlich der beteiligten PHI-Typen.
  • Das Datum des Verstoßes und das Datum seiner Entdeckung.
  • Eine Beschreibung der Schritte, die Business Associate unternimmt, um den Verstoß zu untersuchen und abzuschwächen und zukünftige Vorkommnisse zu verhindern.
  • Kontaktinformationen für Personen, die zusätzliche Details bereitstellen können.

5. Laufzeit und Kündigung

Dieses BAA tritt mit dem Datum der Unterzeichnung in Kraft und bleibt für die Dauer des zugrunde liegenden Servicevertrags in Kraft, sofern es nicht zuvor wie hierin vorgesehen beendet wird.

Beide Parteien können dieses BAA kündigen, wenn sie feststellen, dass die andere Partei eine wesentliche Bestimmung dieses BAA verletzt hat. Die nicht verletzende Partei wird der verletzenden Partei eine schriftliche Mitteilung über die Verletzung zukommen lassen und ihr dreißig (30) Tage zur Behebung einräumen. Ist eine Behebung nicht möglich, kann die nicht verletzende Partei dieses BAA und den zugrunde liegenden Servicevertrag sofort kündigen.

Nach Beendigung hat Business Associate nach Wahl des Covered Entity alle PHI, die es von Covered Entity erhalten oder im Auftrag von Covered Entity erstellt hat, zurückzugeben oder zu vernichten. Ist Rückgabe oder Vernichtung nicht möglich, hat Business Associate die Schutzmaßnahmen dieses BAA auf diese PHI auszudehnen und weitere Nutzungen und Offenlegungen auf diejenigen Zwecke zu beschränken, die die Rückgabe oder Vernichtung unmöglich machen.

6. Abgedeckte Pflichten des Rechtsträgers

  • Das abgedeckte Unternehmen muss den Geschäftspartner über alle Einschränkungen in seiner Mitteilung zu Datenschutzpraktiken informieren, die sich auf die Nutzung oder Offenlegung von PHI durch den Geschäftspartner auswirken können.
  • Das abgedeckte Unternehmen muss den Geschäftspartner über alle Änderungen oder den Widerruf der Genehmigung einer Einzelperson zur Nutzung oder Offenlegung von PHI informieren, soweit sich diese Änderungen auf die zulässigen Nutzungen und Offenlegungen des Geschäftspartners auswirken können.
  • Das abgedeckte Unternehmen darf Geschäftspartner nicht auffordern, PHI in einer Weise zu verwenden oder offenzulegen, die gegen die HIPAA-Regeln verstoßen würde.

7. Verschiedenes

Dieses BAA unterliegt den anwendbaren Bundesgesetzen, einschließlich der HIPAA Rules, und ist entsprechend auszulegen. Jede Unklarheit in diesem BAA ist so zu interpretieren, dass die Einhaltung der HIPAA Rules ermöglicht wird. Dieses BAA stellt die gesamte Vereinbarung zwischen den Parteien in Bezug auf den hierin geregelten Gegenstand dar und ersetzt alle früheren Vereinbarungen, gleich ob schriftlich oder mündlich, die denselben Gegenstand betreffen.

Fordern Sie eine BAA an

Um ein Business Associate Agreement anzufordern, wenden Sie sich an unser Compliance-Team. Wir werden mit Ihnen zusammenarbeiten, um ein auf die Bedürfnisse Ihrer Organisation zugeschnittenes BAA abzuschließen.

Kontaktieren Sie das Compliance-Team Fordern Sie eine BAA-Vorlage an