Функции Цены Справочник API

Соглашение с деловым партнёром (BAA)

v1.0 -- Действует с марта 2026

Morlivo стремится обеспечить защиту защищённой медицинской информации (PHI) в соответствии с Законом о переносимости и подотчётности медицинского страхования 1996 года (HIPAA) с изменениями, внесёнными Законом HITECH. Настоящее Соглашение с деловым партнёром регулирует отношения между Morlivo («Деловой партнёр») и нашими клиентами («Покрываемая организация») в отношении обработки PHI.

1. Область применения и цель

Настоящее Соглашение с деловым партнёром («BAA») дополняет и является частью соглашения об обслуживании между покрываемой организацией и деловым партнёром. Оно устанавливает условия, на которых деловой партнёр может создавать, получать, хранить или передавать защищённую медицинскую информацию («PHI») от имени покрываемой организации в связи с услугами перевода, транскрибирования и обработки языка, предоставляемыми Morlivo («Услуги»).

Стороны признают, что деловой партнёр может получать доступ к PHI, использовать или раскрывать её в ходе оказания услуг, и настоящее BAA устанавливает обязанности делового партнёра в отношении такой PHI в соответствии с применимыми положениями HIPAA, Закона HITECH и их имплементирующими нормативными актами (совместно именуемыми «Правила HIPAA»).

2. Разрешённые виды использования и раскрытия информации

Деловой партнёр может использовать или раскрывать PHI исключительно:

  • По мере необходимости для выполнения услуг, описанных в основном соглашении об обслуживании
  • В соответствии с требованиями закона, включая, но не ограничиваясь, раскрытие информации по запросу Секретаря Министерства здравоохранения и социальных служб США
  • Для надлежащего управления и администрирования делового партнёра, при условии, что любое раскрытие требуется по закону или деловой партнёр получает разумные гарантии от третьей стороны о сохранении конфиденциальности информации
  • Для предоставления услуг агрегирования данных, связанных с медицинской деятельностью покрываемой организации, если это прямо предусмотрено соглашением об обслуживании

Деловой партнёр не вправе использовать или раскрывать PHI способом, который нарушил бы правила HIPAA, если бы такие действия совершались покрываемой организацией, за исключением случаев, прямо разрешённых настоящим BAA. Деловой партнёр не вправе использовать PHI в маркетинговых целях, продавать PHI или использовать PHI для целей андеррайтинга.

3. Меры защиты

Деловой партнёр обязан внедрить и поддерживать административные, физические и технические меры защиты, которые разумно и надлежащим образом обеспечивают конфиденциальность, целостность и доступность PHI, включая электронную PHI (ePHI), в соответствии с Правилом безопасности HIPAA. Эти меры защиты включают, но не ограничиваются следующим:

  • Шифрование ePHI в состоянии покоя с использованием AES-256 и при передаче с использованием TLS 1.2 или выше
  • Контроль доступа на основе ролей, ограничивающий доступ к PHI только уполномоченным сотрудникам
  • Комплексное ведение журналов аудита всех обращений к PHI и её изменений
  • Регулярная оценка рисков и сканирование уязвимостей
  • Обучение персонала требованиям HIPAA и основам информационной безопасности
  • Процедуры безопасной утилизации PHI, которая больше не требуется для оказания услуг

Деловой партнёр обязан обеспечить, чтобы любой агент, включая субподрядчиков, которому передаётся PHI, согласился с теми же ограничениями и условиями, которые применяются к деловому партнёру в соответствии с настоящим BAA, согласно 45 CFR § 164.502(e)(1)(ii).

4. Уведомление о нарушении

Деловой партнёр обязан сообщить покрываемой организации о любом использовании или раскрытии PHI, не разрешённом настоящим BAA, о котором ему стало известно, включая любое нарушение незащищённой PHI, как определено в 45 CFR § 164.402. Деловой партнёр обязан предоставить такое уведомление без необоснованной задержки и не позднее тридцати (30) календарных дней после обнаружения нарушения.

Уведомление должно включать, насколько это возможно:

  • Идентификация каждого лица, чья незащищённая PHI была или, как обоснованно полагается, была доступна, получена, использована или раскрыта
  • Описание характера нарушения, включая типы затронутой PHI
  • Дата нарушения и дата его обнаружения
  • Описание мер, предпринимаемых деловым партнёром для расследования и устранения нарушения, а также предотвращения его повторения в будущем
  • Контактная информация лиц, которые могут предоставить дополнительные сведения

5. Срок действия и расторжение

Настоящее BAA вступает в силу с даты подписания и действует в течение срока действия основного соглашения об обслуживании, если иное не предусмотрено настоящим документом.

Любая из сторон может расторгнуть настоящее BAA, если она установит, что другая сторона нарушила существенное условие настоящего BAA. Ненарушающая сторона обязана направить нарушающей стороне письменное уведомление о нарушении и предоставить тридцать (30) дней для устранения. Если устранение невозможно, ненарушающая сторона может немедленно расторгнуть как настоящее BAA, так и основное соглашение об обслуживании.

По окончании действия деловой партнёр обязан, по выбору покрываемой организации, вернуть или уничтожить всю PHI, полученную от покрываемой организации или созданную от её имени. Если возврат или уничтожение невозможны, деловой партнёр обязан распространить защитные меры настоящего BAA на такую PHI и ограничить дальнейшее использование и раскрытие целями, из-за которых возврат или уничтожение невозможны.

6. Обязанности покрываемой организации

  • Покрываемая организация обязана уведомить делового партнёра о любых ограничениях в своём Уведомлении о практиках конфиденциальности, которые могут повлиять на использование или раскрытие PHI деловым партнёром
  • Покрываемая организация обязана уведомить делового партнёра о любых изменениях или отзыве разрешения физического лица на использование или раскрытие PHI в той мере, в которой такие изменения могут повлиять на разрешённые виды использования и раскрытия деловым партнёром
  • Покрываемая организация не вправе требовать от делового партнёра использования или раскрытия PHI способом, нарушающим правила HIPAA

7. Разное

Настоящее BAA регулируется и толкуется в соответствии с применимым федеральным законодательством, включая Правила HIPAA. Любая неоднозначность в настоящем BAA должна толковаться в пользу обеспечения соблюдения Правил HIPAA. Настоящее BAA представляет собой полное соглашение сторон в отношении предмета настоящего документа и заменяет все предшествующие соглашения, письменные или устные, касающиеся того же предмета.

Запросить BAA

Чтобы запросить Соглашение с деловым партнёром, свяжитесь с нашим отделом соответствия. Мы поможем вам оформить BAA, адаптированное к потребностям вашей организации.

Связаться с отделом соответствия Скачать шаблон BAA