1. 范围与目的
本商业伙伴协议("BAA")是受保护实体与商业伙伴之间服务协议的补充和组成部分。它确立了商业伙伴在 Morlivo 提供的翻译、转录和语言处理服务("服务")中代表受保护实体创建、接收、维护或传输受保护健康信息("PHI")的条款。
双方确认,商业伙伴在提供服务过程中可能访问、使用或披露 PHI,本 BAA 根据 HIPAA、HITECH 法案及其实施条例(统称"HIPAA 规则")的适用条款,规定了商业伙伴对此类 PHI 的义务。
2. 允许的使用和披露
商业伙伴仅可在以下情况下使用或披露 PHI:
- 为执行基础服务协议中描述的服务所必需
- 法律要求的,包括但不限于美国卫生与公众服务部部长要求的披露
- 为了商业伙伴的正当管理和运营,前提是任何披露是法律要求的,或商业伙伴已从任何第三方获得信息将被保密持有的合理保证
- 为受保护实体的医疗保健运营提供数据聚合服务,前提是在服务协议中明确授权
商业伙伴不得以受保护实体实施时会违反 HIPAA 规则的方式使用或披露 PHI,除非本 BAA 明确允许。商业伙伴不得将 PHI 用于营销目的、出售 PHI 或将 PHI 用于承保目的。
3. 安全措施
商业伙伴应按照 HIPAA 安全规则的要求,实施和维护合理、适当的行政、物理和技术安全措施,以保护 PHI(包括电子 PHI (ePHI))的机密性、完整性和可用性。这些安全措施包括但不限于:
- 使用 AES-256 对静态 ePHI 加密,使用 TLS 1.2 或更高版本对传输中的 ePHI 加密
- 基于角色的访问控制,仅允许授权人员访问 PHI
- 全面记录对 PHI 的所有访问和修改的审计日志
- 定期风险评估和漏洞扫描
- 员工 HIPAA 要求和安全意识培训
- 对服务不再需要的 PHI 的安全处置程序
商业伙伴应确保其向其提供 PHI 的任何代理人(包括分包商)同意遵守根据本 BAA 适用于商业伙伴的相同限制和条件,符合 45 CFR § 164.502(e)(1)(ii) 的规定。
4. 违规通知
商业伙伴应向受保护实体报告其所知悉的任何未经本 BAA 许可的 PHI 使用或披露,包括 45 CFR § 164.402 中定义的任何未加密 PHI 的违规行为。商业伙伴应在不合理延迟的情况下发出此类通知,且在任何情况下不迟于发现违规后三十 (30) 个日历日。
通知应尽可能包含以下内容:
- 识别其未加密 PHI 已被或有合理理由认为已被访问、获取、使用或披露的每位个人
- 违规性质的描述,包括涉及的 PHI 类型
- 违规发生的日期和发现日期
- 商业伙伴为调查和减轻违规事件以及防止未来再次发生而采取的措施描述
- 可提供更多详细信息的联系人信息
5. 期限与终止
本 BAA 自签署之日起生效,并在基础服务协议期间持续有效,除非按本协议规定提前终止。
任何一方如果确定另一方违反了本 BAA 的重要条款,均可终止本 BAA。非违约方应向违约方发出书面违约通知,并给予三十 (30) 天的补救期。如果补救不可行,非违约方可立即终止本 BAA 和基础服务协议。
终止后,商业伙伴应根据受保护实体的选择,退还或销毁从受保护实体接收的或代表受保护实体创建的所有 PHI。如果退还或销毁不可行,商业伙伴应将本 BAA 的保护扩展至此类 PHI,并将进一步的使用和披露限于使退还或销毁不可行的目的。
6. 受保护实体的义务
- 受保护实体应将其隐私惯例通知中可能影响商业伙伴使用或披露 PHI 的任何限制通知商业伙伴
- 受保护实体应将个人对使用或披露 PHI 的授权的任何变更或撤销通知商业伙伴,前提是此类变更可能影响商业伙伴被允许的使用和披露
- 受保护实体不得要求商业伙伴以任何违反 HIPAA 规则的方式使用或披露 PHI
7. 其他
本 BAA 应受适用的联邦法律(包括 HIPAA 规则)管辖并据此解释。本 BAA 中的任何歧义应以允许遵守 HIPAA 规则的方式解释。本 BAA 构成双方就本协议主题事项达成的完整协议,并取代所有先前的书面或口头协议。