1. 範圍和目的
本 Business Associate Agreement (BAA) 為 Covered Entity 與 Business Associate 之服務協議之補充並為其組成部分,其訂定了 Business Associate 得代表 Covered Entity,於 Morlivo 提供之翻譯、轉錄及語言處理服務(以下稱「服務」)中建立、接收、保存或傳輸 Protected Health Information (PHI) 之條件.
雙方承認,在提供服務過程中,Business Associate 可能會接觸、使用或揭露 PHI,而本 BAA 依據 HIPAA、HITECH Act 及其實施法規(統稱「HIPAA 規則」)之相關條款,規範 Business Associate 對該等 PHI 所負之義務.
2. 允許的使用和揭露
業務夥伴只能在以下情況下使用或揭露 PHI:
- 執行基礎服務協議中所述的服務所必需的。
- 根據法律要求,包括但不限於美國衛生與公眾服務部部長要求的揭露。
- 為了正確管理和管理業務夥伴,前提是法律要求進行任何揭露,或業務夥伴從任何第三方獲得合理保證,資訊將保密。
- 如果服務協議中有明確授權,則提供與涵蓋實體的醫療保健營運相關的資料聚合服務。
Business Associate 不得以 Covered Entity 違反 HIPAA 規定之方式使用或揭露 PHI,除非本 BAA 明文允許。Business Associate 不得將 PHI 用於行銷目的、販售 PHI,或將 PHI 用於核保用途。
3. 保障措施
Business Associate 應實施並維持行政、實體及技術防護措施,以合理且適當地保護 PHI(包括電子 PHI,ePHI)的機密性、完整性及可用性,符合 HIPAA Security Rule 的要求。此等防護措施包括但不限於:
- 使用 AES-256 對靜態 ePHI 進行加密,並使用 TLS 1.2 或更高版本對傳輸中的 ePHI 進行加密。
- 基於角色的存取控制僅限授權人員存取 PHI。
- 對 PHI 的所有存取和修改進行全面審計記錄。
- 定期風險評估和漏洞掃描。
- 關於 HIPAA 要求和安全意識的員工培訓。
- 服務不再需要 PHI 的安全處置程序。
Business Associate 應確保其提供 PHI 之任何代理人(包括分包商)同意遵守本 BAA 下適用於 Business Associate 之相同限制與條件,以符合 45 CFR § 164.502(e)(1)(ii)。
4. 違規通知
Business Associate 應向 Covered Entity 報告其知悉之任何本 BAA 未允許之 PHI 使用或揭露,包括 45 CFR § 164.402 所定義之未保護 PHI 違規(Breach)。Business Associate 應在發現違規後,於不無理延遲且最遲不超過三十(30)日曆日內提供該等通知。
通知應盡可能包括:
- 其無擔保 PHI 已被存取、取得、使用或揭露的每個個人的身份,或有理由相信已被存取、取得、使用或揭露。
- 違規性質的描述,包括涉及的 PHI 類型。
- 違規日期及其發現日期。
- 描述業務夥伴為調查和緩解違規行為並防止未來再次發生而採取的步驟。
- 可以提供更多詳細資訊的個人的聯絡資訊。
5. 期限和終止
本 BAA 自簽署之日起生效,並於基礎服務協議存續期間持續有效,除非依本協議另有提前終止之規定.
若任一方認定他方已違反本 BAA 之重大條款,該方得終止本 BAA。未違約方應以書面通知違約方該違規情事並給予三十(30)天之補救期間。如補救不可行,未違約方得立即終止本 BAA 及底層之服務協議。
於終止時,Business Associate 應依 Covered Entity 之選擇,返還或銷毀自 Covered Entity 收受或代表 Covered Entity 所產生之所有 PHI。若返還或銷毀不可行,Business Associate 應將本 BAA 之保護擴及該等 PHI,並將後續之使用及揭露限制於使返還或銷毀不可行之目的.
6. 涵蓋實體的義務
- 適用實體應將其隱私權慣例通知中可能影響業務夥伴使用或揭露 PHI 的任何限制通知業務夥伴。
- 適用實體應通知業務夥伴個人使用或揭露 PHI 授權的任何變更或撤銷,只要此類變更可能影響業務夥伴的允許使用和揭露。
- 適用實體不得要求業務夥伴以任何違反 HIPAA 規則的方式使用或揭露 PHI。
7. 其他
本 BAA 應依適用之聯邦法律(包括 HIPAA 規則)加以管轄及解釋。本 BAA 中任何含糊之處,應予以解釋以允許遵守 HIPAA 規則。本 BAA 就其標的構成雙方之完整合意,並取代所有先前就相同主題之書面或口頭協議.