Funzionalità Prezzi Riferimento API Informazioni
Accedi Registrati

Accordo con il Business Associate (BAA)

v1.0 -- Valido da marzo 2026

Morlivo, un marchio di Stelica Ventures LLC, una società a responsabilità limitata del Texas ("Morlivo", "Business Associate"), si impegna a salvaguardare le Protected Health Information (PHI) in conformità con la Health Insurance Portability and Accountability Act del 1996 (HIPAA), come modificata dalla HITECH Act. Il presente Business Associate Agreement ("BAA") disciplina il rapporto tra Morlivo e i nostri clienti ("Covered Entity") con riguardo alla gestione delle PHI. I riferimenti a "Morlivo" o "Morlivo.ai" si riferiscono a Stelica Ventures LLC che opera con il nome commerciale Morlivo.ai.

1. Ambito e finalità

Il presente Business Associate Agreement ("BAA") integra e fa parte del contratto di servizio tra il Covered Entity e il Business Associate. Stabilisce i termini in base ai quali il Business Associate può creare, ricevere, conservare o trasmettere Protected Health Information ("PHI") per conto del Covered Entity in relazione ai servizi di traduzione, trascrizione e elaborazione linguistica forniti da Morlivo (i "Servizi").

Le parti riconoscono che il Business Associate può accedere, utilizzare o divulgare PHI nel corso della fornitura dei Servizi, e il presente BAA stabilisce gli obblighi del Business Associate nei confronti di tali PHI ai sensi delle disposizioni applicabili di HIPAA, del HITECH Act e dei relativi regolamenti di attuazione (collettivamente, le "HIPAA Rules").

2. Usi e divulgazioni consentiti

Il Business Associate può utilizzare o divulgare PHI esclusivamente:

  • Quanto necessario per eseguire i Services descritti nel contratto di servizio sottostante.
  • Come richiesto dalla legge, inclusi, ma non limitati a, gli obblighi di divulgazione richiesti dal Segretario del U.S. Department of Health and Human Services.
  • Per la corretta gestione e amministrazione del Business Associate, a condizione che qualsiasi divulgazione sia richiesta dalla legge o che il Business Associate ottenga garanzie ragionevoli da qualsiasi terza parte che le informazioni saranno mantenute confidenziali.
  • Per fornire servizi di aggregazione dei dati relativi alle operazioni sanitarie di Covered Entity, se espressamente autorizzato nell'accordo di servizio.

Business Associate non dovrà utilizzare o divulgare PHI in modo che violerebbe le HIPAA Rules se fatto da Covered Entity, salvo quanto espressamente consentito nel presente BAA. Business Associate non dovrà utilizzare PHI per scopi di marketing, vendere PHI o usare PHI per scopi di sottoscrizione.

3. Garanzie

Business Associate dovrà implementare e mantenere salvaguardie amministrative, fisiche e tecniche che proteggano in modo ragionevole e appropriato la riservatezza, l'integrità e la disponibilità delle PHI, incluse le PHI elettroniche (ePHI), come richiesto dalla HIPAA Security Rule. Queste salvaguardie includono, ma non sono limitate a:

  • Crittografia di ePHI a riposo usando AES-256 e in transito usando TLS 1.2 o superiore.
  • Controlli di accesso basati sui ruoli che limitano l'accesso alle PHI al personale autorizzato.
  • Registrazione di audit completa di tutti gli accessi e delle modifiche alle PHI.
  • Valutazioni periodiche dei rischi e scansioni delle vulnerabilità.
  • Formazione del personale sui requisiti HIPAA e sulla consapevolezza della sicurezza.
  • Procedure per l'eliminazione sicura delle PHI non più necessarie per i servizi.

Business Associate dovrà garantire che qualsiasi agente, inclusi i subappaltatori, a cui fornisce PHI accetti le stesse restrizioni e condizioni che si applicano a Business Associate ai sensi del presente BAA, in conformità con 45 CFR § 164.502(e)(1)(ii).

4. Notifica di violazione

Business Associate segnalerà a Covered Entity qualsiasi uso o divulgazione di PHI non consentito dal presente BAA di cui venga a conoscenza, incluso qualsiasi Breach di Unsecured PHI come definito in 45 CFR § 164.402. Business Associate fornirà tale notifica senza ritardo ingiustificato e in ogni caso non oltre trenta (30) giorni di calendario dalla scoperta del Breach.

La notifica dovrà includere nella misura in cui siano disponibili:

  • Identificazione di ogni individuo le cui PHI non protette sono state, o si ritiene ragionevolmente siano state, consultate, acquisite, utilizzate o divulgate.
  • Una descrizione della natura della violazione, compresi i tipi di PHI coinvolti.
  • La data della violazione e la data della sua scoperta.
  • Una descrizione delle misure che il Business Associate sta adottando per indagare e mitigare la violazione e prevenire futuri episodi.
  • Informazioni di contatto per le persone che possono fornire ulteriori dettagli.

5. Durata e risoluzione

Il presente BAA avrà efficacia dalla data di sottoscrizione e resterà in vigore per la durata del contratto di servizio sottostante, salvo risoluzione anticipata come previsto nel presente documento.

Ciascuna parte può terminare il presente BAA se determina che l'altra parte ha violato una disposizione materiale del presente BAA. La parte non inadempiente fornirà alla parte inadempiente un avviso scritto della violazione concedendo trenta (30) giorni per porre rimedio. Se il rimedio non è fattibile, la parte non inadempiente può terminare immediatamente sia il presente BAA sia il contratto di servizio sottostante.

Alla cessazione, il Business Associate dovrà, a scelta del Covered Entity, restituire o distruggere tutte le PHI ricevute da o create per conto del Covered Entity. Se la restituzione o la distruzione non è fattibile, il Business Associate estenderà le protezioni del presente BAA a tali PHI e limiterà ulteriori usi e divulgazioni alle finalità che rendono la restituzione o la distruzione non praticabile.

6. Obblighi dell'entità coperta

  • L'entità coperta deve notificare al Business Associate eventuali limitazioni nel proprio Avviso sulle pratiche di riservatezza che possano influire sull'uso o la divulgazione delle PHI da parte del Business Associate.
  • L'entità coperta deve notificare al Business Associate qualsiasi modifica o revoca dell'autorizzazione da parte di un individuo a utilizzare o divulgare le PHI, nella misura in cui tali modifiche possano influire sugli usi e le divulgazioni consentiti del Business Associate.
  • L'entità coperta non deve richiedere al Business Associate di utilizzare o divulgare le PHI in modo tale da violare le norme HIPAA.

7. Varie

Il presente BAA sarà disciplinato e interpretato in conformità alla normativa federale applicabile, incluse le HIPAA Rules. Qualsiasi ambiguità nel presente BAA dovrà essere interpretata in modo da consentire la conformità alle HIPAA Rules. Il presente BAA costituisce l'intero accordo tra le parti con riguardo alla materia qui trattata e sostituisce tutti i precedenti accordi, scritti o orali, relativi alla stessa materia.

Richiedi un BAA

Per richiedere un Business Associate Agreement, contatta il nostro team di compliance. Lavoreremo con te per stipulare un BAA su misura per le esigenze della tua organizzazione.

Contatta il team Compliance Richiedi modello BAA