合法的
商業夥伴協議
針對與 Elderwise 合作的醫療保健合作夥伴和涵蓋實體的 HIPAA 業務夥伴協議。
本業務夥伴協議(「BAA」)由 Elderwise Pte.有限公司(「業務夥伴」)和執行本協議的醫療機構或涵蓋實體(「涵蓋實體」)。 本 BAA 是業務夥伴與涵蓋實體之間的基礎服務協議的補充並成為其一部分。
此 BAA 是根據《1996 年健康保險流通和責任法案》(「HIPAA」)、經《經濟和臨床健康健康資訊科技法案》(「HITECH 法案」)修訂的《健康保險流通和責任法案》及其 45 CFR 第 160 和 164 部分的實施條例的要求。
定義
就本 BAA 而言,以下術語具有各自的含義:
- 受保護的健康資訊 (PHI): 依照 45 CFR 160.103 的定義,以任何形式或媒介傳輸或維護的個人可識別健康資訊。
- 電子受保護健康資訊 (ePHI): 根據 45 CFR 160.103 的定義,透過電子媒體傳輸或維護的 PHI。
- 業務夥伴: 埃爾德威斯私人有限公司有限公司,代表涵蓋實體創建、接收、維護或傳輸與服務相關的 PHI。
- 涵蓋實體: 與業務夥伴簽訂本 BAA 的醫療保健提供者、健康計劃或醫療保健資訊交換所。
- 安全事件: 嘗試或成功的未經授權的存取、使用、揭露、修改或破壞資訊或乾擾系統操作(如 45 CFR 164.304 所定義)。
業務夥伴的義務
業務夥伴同意以下義務:
- 保障措施: 實施適當的管理、實體和技術保障措施,以防止在本 BAA 允許的情況之外使用或揭露 PHI,包括遵守 HIPAA 安全規則(45 CFR 第 164 部分,C 子部分)。
- 違規通知: 向適用實體報告本 BAA 不允許的任何 PHI 的使用或揭露,包括任何違反 45 CFR 164.402 中定義的無擔保 PHI 的行為,不得無理拖延,且不得遲於發現後六十 (60) 天。
- 分包商: 確保代表業務夥伴建立、接收、維護或傳輸 PHI 的任何分包商同意適用於本 BAA 下的業務夥伴的相同限制和條件。
- 使用權: 在收到書面請求後三十 (30) 天內,根據 45 CFR 164.524 的要求,向適用實體或個人提供 PHI。
- 揭露會計: 維護並提供適用實體根據 45 CFR 164.528 提供揭露會計所需的資訊。
- 政府准入: 向美國衛生與公共服務部部長提供與使用和揭露 PHI 相關的內部實踐、書籍和記錄,以確定合規性。
允許的用途和披露
業務夥伴只能如下使用或揭露 PHI:
- 服務: 為或代表基礎服務協議中指定的適用實體履行職能、活動或服務所必需的,前提是此類使用或揭露由適用實體執行不會違反 HIPAA。
- 管理與行政: 為了正確管理和管理業務夥伴或履行其法律責任,前提是法律要求揭露或業務夥伴獲得對資訊保密的合理保證。
- 去識別化: 根據 45 CFR 164.514(a)-(c) 去識別 PHI,前提是去識別資訊符合 HIPAA 隱私規則的要求。
- 數據聚合: 根據 45 CFR 164.504(e)(2)(i)(B) 的允許,提供與適用實體的醫療保健運作相關的資料聚合服務。
期限和終止
本 BAA 自雙方簽署本協議之日起生效,並在基礎服務協議有效期內保持有效,除非依本協議提前終止。
終止原因: 如果任何一方確定另一方違反了本 BAA 的重要條款,則可以終止本 BAA。 非違約方應提供違約行為的書面通知,並給予違約方三十 (30) 天的時間來糾正違規行為。 如果違約行為未能修正,守約方可以終止本 BAA。
終止的效力: 本 BAA 終止後,業務夥伴應在可行的情況下返還或銷毀從適用實體收到的或由業務夥伴代表適用實體創建或接收的所有 PHI。 如果返還或銷毀不可行,業務夥伴應將本 BAA 的保護範圍擴大到此類 PHI,並在業務夥伴保留此類 PHI 的情況下,將進一步使用和披露限制在導致返還或銷毀不可行的目的。
接觸
若要執行本 BAA 或對 HIPAA 合規性和我們的業務夥伴義務有疑問,請聯絡我們的合規團隊:
生效日期:2025 年 2 月 1 日。最後更新日期:2025 年 2 月 1 日。此 BAA 模板僅供參考。 BAA 的執行需要雙方共同同意並簽署。