This web page uses machine translation. The English version of this page shall have priority in the event of any translation conflict.此网页使用机器翻译。如有翻译冲突,以本页面英文版为准。
本支持业务伙伴协议附录 ("附录")是InterSystems公司(一家马萨诸塞州的公司,主要营业地点在1 Memorial Drive, Cambridge, MA 02142 USA)("InterSystems")与受支持帐户(在此定义)之间的信息共享条款,并在相关情况下成为任何许可、支持或合作伙伴协议("协议")的一部分。 支持的账户是指最终用户、应用伙伴、实施伙伴、解决方案伙伴、系统集成商或InterSystems与之互动的任何一方,该方需要根据信息共享条款向InterSystems披露受保护健康信息(定义见下文)。 InterSystems和受支持的账户是本附录的缔约方(各自单独称为 "缔约方",合称 "缔约方")。 考虑到本文所载的相互契约和承诺以及其他良好和有价值的对价,双方在此承认这些对价的收讫和充分性,双方同意如下:
本附录中使用的、在本文其他地方或协议中没有定义的所有大写术语,与HIPAA中使用或定义的那些术语具有相同的含义。 本附录的条款取代服务协议中任何冲突的条款。
双方承认,在某些情况下,受援账户可能被要求遵守HIPAA规则(定义见下文),InterSystems可能不时向受援账户提供某些服务,这可能导致InterSystems接触到受保护健康信息(定义见下文)。 双方承认,InterSystems提供的服务并不打算导致InterSystems创建、接收、维护、传输、使用或披露与个人有关的、构成受保护健康信息的健康信息;但是,双方承认,支持账户要求其接触受保护健康信息的服务供应商与支持账户签订商业伙伴协议,而InterSystems愿意在万一接触到受保护健康信息的情况下签订这样的协议,并且不承认InterSystems通常是HIPAA规则定义的商业伙伴。
定义。
1.1. 商业伙伴。 "商业伙伴 "一般应与美国联邦法典第45章第160.103条中的 "商业伙伴 "一词具有相同的含义,在本附录中作为参考时,应指InterSystems,即(1)InterSystems和受援账户共同同意InterSystems是受援账户的商业伙伴,提供特定和确定的服务,具体定义见InterSystems和受援账户接受的特定和单独的参与规则文件(模板在本附录的下方链接);(2)InterSystems不作为服务提供商或第三方供应商向受援账户供货。
1.2. HIPAA规则。 "HIPAA规则 "是指根据《联邦法典》第45章第160部分和第164部分的隐私、安全、违规通知和执行规则的要求,执行1996年《健康保险可携性和责任法》的行政简化条款。 L. 104 191("HIPAA"),并经《经济和临床健康信息技术法》修订,根据2009年《美国复苏和再投资法》第十三章公开颁布。 L. 111-5("HITECH法案"),在每一种情况下,仅在此类要求的适用遵守日期。
1.3. 隐私规则。
1.4. "隐私规则 "是指美国联邦法典第45篇第160部分和第164部分A和E小节的《个人可识别健康信息隐私标准》。 受保护的健康信息(PHI)和受保护的电子健康信息(EPHI)。 PHI和EPHI的含义与45 CFR §160.103中定义的术语相同,但仅限于InterSystems在作为受支持账户的业务伙伴,而不是作为受支持账户的服务提供商或第三方供应商时创建或接收的此类信息。 为免生疑問,PHI 和 EPHI 不应包括任何非可识別形式的资料。
1.5. 安全规则。 "安全规则 "是指《美国联邦法典》第45篇第160和164节C分节的《受保护电子健康信息的安全标准》。
商业伙伴的义务和活动。
2.1. 业务协作者同意,除本协议或本附录允许或要求,或法律允许或要求外,不使用或披露 PHI。
2.2. 业务协作者同意使用适当的保障措施,以防止使用或披露本文未规定的 PHI,并在适用情况下,遵守有关 EPHI 的 45 CFR 第 164 部分的 C 分部。 在不限制前述内容的情况下,商业伙伴同意实施适当的行政、物理和技术保障措施,以防止未经授权使用和披露受保护健康信息,并保护电子受保护健康信息的保密性、完整性和可用性,包括按照《联邦法典》第45篇第164.308、164.310、164.312和164.316条(可能不时修订)的要求,维持一个事件应对程序,以调查和应对未经授权使用和披露PHI的情况。
2.3.
2.4. 业务协理公司同意在实际可行的范围内,减轻业务协理公司在违反本附录的情况下使用或披露 PHI 所带来的任何已知的有害影响。 根据 45 CFR § 164.502 (e)(1)(ii) 和 § 164.308(b)(2),业务协理人同意要求任何分包商(它向其委托代表受援账户执行的任何职能或活动,以及它向其提供从受援账户收到的 PHI)同意对 PHI 的使用或披露适用与通过本附录的业务协理人和业务协理人之间达成的业务协理协议相同的限制和条件。
2.5. 商业伙伴同意提供其内部惯例、政策、程序、账簿以及与使用和披露从受援账户收到的、或由商业伙伴代表受援账户创建或收到的PHI有关的记录,供秘书在秘书提出书面要求时检查和复制,以便秘书确定受援账户遵守HIPAA规则。
2.6. 双方不打算让商业伙伴为支持的帐户在指定记录集("DRS")中保持任何PHI。 在商业伙伴拥有DRS中的PHI的情况下,商业伙伴同意根据45 CFR § 164.524的规定,在商业伙伴收到受援账户的书面要求后的五(5)个工作日内,向受援账户提供此类信息;但是,如果DRS中的PHI与受援账户所拥有的DRS中的PHI是重复的,则商业伙伴不需要提供此类访问。 如果个人根据《联邦法典》第45篇第164.524条、第164.526条或第164.528条直接向商业伙伴提出访问要求,或询问他或她在HIPAA下的权利,商业伙伴将迅速将该个人引向支持账户,只要该个人或InterSystems能够确定支持账户是询问的适当方。
2.7. 商业伙伴同意记录它所做的 PHI 披露,以及与此类披露有关的信息,这将是支持账户回应个人根据 45 CFR § 164.528 要求的 PHI 披露说明的需要。 在被支持的账户提出书面要求后,在合理的时间和方式下,业务伙伴同意向被支持的账户提供此类信息,以便被支持的账户根据45 CFR § 164.528提供核算。
2.8. 在业务协理人发现业务协理人或其分包商有任何违反无担保PHI的行为("数据泄露")后,业务协理人同意在没有不合理延迟的情况下将该泄露行为通知支持账户,但不得迟于业务协理人确定有数据泄露后的五(5)个工作日内。 该通知应包括(在可获得的范围内)每个人的身份,他们的无担保PHI在数据泄露期间被访问、获取、使用或披露,或被业务协理合理地认为是被访问、获取、使用或披露。 在通知时,或在此后可获得此类信息时,商业伙伴也应向受援账户提供受援账户所需的其他可用信息,以便根据《联邦法典》第45篇第164.404(c)条的规定通知个人有关违规行为。 商业联营公司同意,如果数据泄露完全是由于商业联营公司的疏忽行为或不作为造成的,商业联营公司应支付支持账户的合理费用,以提供45 CFR第164.404条、45 CFR第164.406条和第164.408(b)条规定的通知。 尽管有上述规定,如果执法官员向业务协理公司提供声明,说明本段规定的通知会妨碍刑事调查或对国家安全造成损害,则业务协理公司可在声明中规定的时间内推迟通知,这一点在《联邦法典》第45篇第164.412条中是允许的。
3.1. 商业伙伴的许可使用和披露。 商业伙伴可以使用或披露 PHI 来为或代表支持账户执行服务协议中规定的职能、活动和服务。 这种使用和披露应限于那些如果由受援账户进行的不会违反隐私规则的使用和披露,但商业伙伴可以为商业伙伴的适当管理和行政或履行其法律责任而使用和披露PHI;但在为此目的进行任何披露的情况下,该披露是法律要求的,或商业伙伴从被披露信息的人那里获得合理的书面保证,该信息将保持机密,仅在法律要求或为披露给该人的目的而使用或进一步披露,并且该人将通知商业伙伴其所知的任何信息保密性被违反的情况。
3.2. 商业伙伴也可以使用和披露由支持账户书面授权的 PHI。
3.3. 商业伙伴同意按照HIPAA规则的最低必要标准要求、使用和披露PHI。
被许可人的义务。
4.1. 支持的账户应仅在协议和InterSystems所提供的服务严格要求的情况下向InterSystems提供PHI,并完全遵守隐私规则的最低必要标准。 支持的账户不应要求或要求商业伙伴以支持的账户作为受保实体或受保实体的商业伙伴不能做的方式使用或披露 PHI。
4.2. 支持的帐户代表并保证其(或在支持的帐户是一个商业伙伴的情况下,有关受保护实体的)隐私做法通知符合45 CFR § 164.520,并允许支持的帐户以商业伙伴根据本附录被授权使用和披露 PHI 的方式使用和披露 PHI。
4.3. 如果被支持的帐户根据45 CFR § 164.522(a)兑现了限制使用或披露PHI的请求,被支持的帐户同意不向商业伙伴提供此类PHI,除非被支持的帐户通知商业伙伴该限制,并且商业伙伴告知被支持的帐户它能够适应该限制。 受援账户同意向业务协理报销为适应这种限制而需要增加的任何费用。
4.4. 支持的帐户应负责在任何时候使用行政、物理和技术保障措施,按照HIPAA规则的标准和要求,维护和确保传送给业务协作者的PHI的保密性、隐私和安全性,直到业务协作者收到该PHI为止。
4.5. 支持的账户应获得适用的联邦或州法律可能要求的任何同意或授权,以便业务伙伴根据协议提供其服务。
4.6. 支持账户应向业务协理公司提供一份书面名单,列出其员工队伍中被授权代表其接收或访问 PHI 的个人的姓名,并在该名单发生任何变化时事先向业务协理公司提供合理的书面通知。 在受援账户没有提供此类名单的情况下,业务协理公司可以假定,作为受援账户或(如果适用)相关受保实体的工作团队成员,向业务协理公司请求或接收 PHI 的那些个人是代表受援账户执行任务,并被授权代表其接收或访问 PHI。
期限和终止。
5.1. 本附录在协议有效期内有效,并应在协议终止时终止,但第5.3节规定的范围除外。
5.2. 因故终止。 一旦一方严重违反本附录,另一方应以书面形式通知违约方重大违约的性质,并允许违约方在收到该通知后六十(60)个日历日内纠正违约行为。 如果违约方未能在六十(60)个日历日的纠正期内纠正违约行为或结束违约行为,另一方可酌情通过书面通知违约方终止本附录和协议。
5.3. 终止的影响。
5.3.1. 除本节第5.2段的规定外,在协议因任何原因终止时,如果可行的话,商业伙伴应归还、销毁或要求销毁从被许可人处收到的或由商业伙伴代表被许可人创建或收到的所有PHI。
5.3.2. 如果业务协理确定归还或销毁PHI并不可行,只要业务协理维持该PHI,则业务协理应将本附录的保护范围扩大至该PHI,并应将该PHI的进一步使用和揭露限制在使归还或销毁不可行的目的。
杂项。
6.1. 监管参考。 本附录中提到的HIPAA规则中的某一章节是指自其适用的遵守日期起生效的或修正的章节。
6.2. 对本增编的修改。 双方同意本着诚意进行谈判,在必要时修改本附录或服务协议,以符合HIPAA规则的任何变化。 如果在业务协理公司收到受援账户为此提出的修订建议后六十(60)个日历日内,双方无法本着诚意就其条款达成协议,任何一方均可通过书面通知另一方终止本附录和协议。
6.3. 生存。 只要业务协理人保持任何 PHI,则业务协理人在第 5.3 节下的各自权利和义务在终止后仍然有效。
6.4. 解释。 本附录中的任何含糊之处应予解决,以允许双方遵守HIPAA规则。
补救措施。 双方同意,对于违反本附录条款的行为,法律上的补救措施可能是不充分的,而且这种违反行为造成的金钱损失可能不容易衡量。 因此,如果任何一方违反了本附录的条款,另一方应有权立即获得禁令救济。 本条款不应禁止任何一方对这种违反行为采取任何其他可能的补救措施。
7.1. 双方的关系。 双方明确同意InterSystems及其附属机构,包括其雇员和分包商,作为受支持账户的独立承包商履行本附录规定的服务。 InterSystems或其附属机构、官员、董事、雇员或分包商都不是受支持账户的雇员或代理人。 本附录中的任何内容都不应被解释为在双方或其任何附属机构之间建立(i)伙伴关系、合资企业或其他联合业务关系,或(ii)为了HITECH法案的目的而建立代理关系。 本附录中提到的HIPAA规则中的某一章节,是指自其适用的遵守日期起生效的或修正的章节。
双方同意本附录在协议有效期内有效。