1. 范围和目的
本 Business Associate Agreement("BAA")为 Covered Entity 与 Business Associate 之间服务协议的补充并构成其一部分。其规定了 Business Associate 在代表 Covered Entity 就 Morlivo 提供的翻译、转录和语言处理服务("Services")创建、接收、保存或传输 Protected Health Information("PHI")的条款。
各方承认,在提供服务的过程中,Business Associate 可能会访问、使用或披露 PHI,本 BAA 根据适用的 HIPAA、HITECH Act 及其实施法规(统称为 "HIPAA Rules")规定了 Business Associate 就该等 PHI 所承担的义务。
2. 允许的使用和披露
业务伙伴只能在以下情况下使用或披露 PHI:
- 执行基础服务协议中描述的服务所必需的。
- 根据法律要求,包括但不限于美国卫生与公众服务部部长要求的披露。
- 为了正确管理和管理业务伙伴,前提是法律要求进行任何披露,或者业务伙伴从任何第三方获得合理保证,信息将得到保密。
- 如果服务协议中有明确授权,则提供与涵盖实体的医疗保健运营相关的数据聚合服务。
业务关联方不得以在被覆盖实体 (Covered Entity) 实施时会违反 HIPAA Rules 的方式使用或披露 PHI,但本 BAA 明确允许的除外。业务关联方不得将 PHI 用于营销目的、出售 PHI,或将 PHI 用于承保目的.
3. 保障措施
业务关联方应实施并维护合理且适当的管理性、物理性和技术性保护措施,以保护 PHI(包括电子 PHI (ePHI))的机密性、完整性和可用性,符合 HIPAA Security Rule 的要求。此类保护措施包括但不限于:
- 使用 AES-256 对静态 ePHI 进行加密,并使用 TLS 1.2 或更高版本对传输中的 ePHI 进行加密。
- 基于角色的访问控制仅限授权人员访问 PHI。
- 对 PHI 的所有访问和修改进行全面审计记录。
- 定期风险评估和漏洞扫描。
- 关于 HIPAA 要求和安全意识的员工培训。
- 服务不再需要 PHI 的安全处置程序。
业务关联方应确保任何其提供 PHI 的代理人(包括分包商)同意遵守本 BAA 下适用于业务关联方的相同限制和条件,符合 45 CFR § 164.502(e)(1)(ii).
4. 违规通知
业务关联方应向被覆盖实体报告其所知道的任何本 BAA 不允许的 PHI 使用或披露,包括 45 CFR § 164.402 中定义的任何未加密 PHI 违规 (Breach)。业务关联方应在发现违规后在不无理拖延的情况下提供此类通知,且在任何情况下不得迟于发现违规后三十 (30) 个日历日.
通知应尽可能包括:
- 其无担保 PHI 已被访问、获取、使用或披露的每个个人的身份,或有理由相信已被访问、获取、使用或披露。
- 对违规性质的描述,包括涉及的 PHI 类型。
- 违规日期及其发现日期。
- 描述业务伙伴为调查和缓解违规行为并防止未来再次发生而采取的步骤。
- 可以提供更多详细信息的个人的联系信息。
5. 期限和终止
本 BAA 自签署之日起生效,并在基础服务协议期限内持续有效,除非依本协议提前终止。
如果一方确定对方已违反本 BAA 的重大条款,任何一方可终止本 BAA。非违约方应向违约方提供书面违约通知并给予三十 (30) 天的补救期限。如果补救不可行,非违约方可立即终止本 BAA 及其基础服务协议.
在终止时,Business Associate 应根据 Covered Entity 的选择返还或销毁其从 Covered Entity 收到或代表 Covered Entity 创建的所有 PHI。如果返还或销毁不可行,Business Associate 应将本 BAA 的保护延伸至该等 PHI,并将进一步的使用和披露限制为仅为导致返还或销毁不可行的目的。
6. 涵盖实体的义务
- 适用实体应将其隐私惯例通知中可能影响业务伙伴使用或披露 PHI 的任何限制通知业务伙伴。
- 适用实体应通知业务伙伴个人使用或披露 PHI 授权的任何变更或撤销,只要此类变更可能影响业务伙伴的允许使用和披露。
- 适用实体不得要求业务伙伴以任何违反 HIPAA 规则的方式使用或披露 PHI。
7. 其他
本 BAA 受适用联邦法律(包括 HIPAA Rules)管辖并据其解释。本 BAA 中的任何歧义均应按允许遵守 HIPAA Rules 的方式解释。本 BAA 构成双方就本协议标的事项的完整协议,并取代此前与该标的事项有关的所有书面或口头协议。