Dieses SUPPORT BUSINESS ASSOCIATE AGREEMENT ADDENDUM ("Addendum") ist Bestandteil der Bedingungen für den Informationsaustausch zwischen der InterSystems Corporation, einer Gesellschaft des US-Bundesstaates Massachusetts mit Hauptgeschäftssitz in 1 Memorial Drive, Cambridge, MA 02142 USA ("InterSystems"), und dem hierin definierten Support-Konto und wird, soweit zutreffend, zum Bestandteil einer Lizenz-, Support- oder Partnervereinbarung ("Vereinbarung"). Unterstütztes Konto bezeichnet den Endbenutzer, den Anwendungspartner, den Implementierungspartner, den Lösungspartner, den Systemintegrator oder jede andere Partei, mit der InterSystems im Zusammenhang mit der Notwendigkeit der Offenlegung geschützter Gesundheitsdaten, wie nachstehend definiert, an InterSystems in Übereinstimmung mit den Bedingungen für die gemeinsame Nutzung von Informationen zusammenarbeitet. InterSystems und Supported Account sind Parteien dieses Nachtrags (jede für sich "eine Partei", zusammen "Parteien"). In Anbetracht der hierin enthaltenen gegenseitigen Verpflichtungen und Versprechen sowie anderer guter und wertvoller Gegenleistungen, deren Erhalt und Angemessenheit hiermit von den Parteien anerkannt wird, vereinbaren die Parteien Folgendes:
Alle in diesem Nachtrag verwendeten und nicht an anderer Stelle hierin oder im Vertrag definierten Begriffe in Großbuchstaben haben dieselbe Bedeutung wie die in HIPAA verwendeten oder definierten Begriffe. Die Bedingungen dieses Nachtrags ersetzen alle widersprüchlichen Bedingungen der Dienstleistungsvereinbarung.
Die Parteien erkennen an, dass das Unterstützte Konto unter bestimmten Umständen die HIPAA-Regeln, wie unten definiert, einhalten muss und dass InterSystems von Zeit zu Zeit bestimmte Dienstleistungen für das Unterstützte Konto erbringen kann, wodurch InterSystems Zugang zu geschützten Gesundheitsinformationen, wie unten definiert, erhalten kann. Die Parteien erkennen an, dass die von InterSystems erbrachten Dienstleistungen nicht dazu führen sollen, dass InterSystems Gesundheitsinformationen, die sich auf eine Person beziehen und geschützte Gesundheitsinformationen darstellen, erstellt, erhält, pflegt, überträgt, verwendet oder offenlegt; die Parteien erkennen jedoch an, dass Supported Account von seinen Dienstleistern, die mit geschützten Gesundheitsinformationen in Berührung kommen, verlangt, eine Geschäftspartnervereinbarung mit Supported Account abzuschließen, und dass InterSystems bereit ist, eine solche Vereinbarung für den unwahrscheinlichen Fall abzuschließen, dass InterSystems mit geschützten Gesundheitsinformationen in Berührung kommt, ohne einzuräumen, dass InterSystems im Allgemeinen ein Geschäftspartner im Sinne der HIPAA-Regeln ist.
Definitionen.
1.1. Geschäftspartner. "Geschäftspartner" hat im Allgemeinen dieselbe Bedeutung wie der Begriff "Geschäftspartner" in 45 CFR § 160.103 und bezieht sich, wenn er in diesem Nachtrag als Referenz verwendet wird, auf InterSystems, wenn (1) InterSystems und das unterstützte Konto einvernehmlich vereinbaren, dass InterSystems ein Geschäftspartner des unterstützten Kontos für eine bestimmte und identifizierte Dienstleistung ist, wie in einem spezifischen und individuellen Rules of Engagement-Dokument (eine Vorlage ist unten in diesem Nachtrag verlinkt) definiert, das von InterSystems und dem unterstützten Konto akzeptiert wird, und (2) InterSystems nicht anderweitig als Dienstleister oder Drittanbieter für das unterstützte Konto tätig ist.
1.2. HIPAA-Regeln. "HIPAA-Regeln" sind die Anforderungen im Rahmen der Datenschutz-, Sicherheits-, Benachrichtigungs- und Durchsetzungsregeln in 45 CFR Teil 160 und Teil 164, die die Verwaltungsvereinfachungsbestimmungen des Health Insurance Portability and Accountability Act von 1996, Pub. L. 104 191 ("HIPAA") und in der geänderten Fassung des Health Information Technology for Economic and Clinical Health Act, der unter Titel XIII des American Recovery and Reinvestment Act von 2009, Pub. L. 111-5 ("HITECH Act"), jeweils erst ab dem Datum, an dem diese Anforderungen erfüllt sind.
1.3. Datenschutz-Regel. "Privacy Rule" bezeichnet die Standards für den Datenschutz von individuell identifizierbaren Gesundheitsinformationen in 45 CFR Teil 160 und Teil 164, Unterabschnitte A und E.
1.4. Geschützte Gesundheitsinformationen (PHI) und elektronische geschützte Gesundheitsinformationen (EPHI). PHI und EPHI haben die gleiche Bedeutung wie die in 45 CFR § 160.103 definierten Begriffe, beschränken sich jedoch auf solche Informationen, die von InterSystems erstellt oder erhalten werden, wenn sie in ihrer Eigenschaft als Geschäftspartner des unterstützten Kontos und nicht anderweitig als Dienstleister oder Drittanbieter für das unterstützte Konto tätig sind. Um jeden Zweifel auszuschließen, dürfen PHI und EPHI keine Informationen enthalten, die nicht in identifizierbarer Form vorliegen.
1.5. Sicherheitsbestimmung. "Sicherheitsvorschrift" bezeichnet die Standards für die Sicherheit elektronischer geschützter Gesundheitsdaten in 45 CFR Teile 160 und 164, Unterabschnitt C
Verpflichtungen und Aktivitäten des Geschäftspartners.
2.1. Der Geschäftspartner verpflichtet sich, PHI nur in dem Maße zu verwenden oder offenzulegen, wie es die Vereinbarung oder dieser Nachtrag erlauben oder erfordern, oder wie es das Gesetz erlaubt oder erfordert.
2.2. Der Geschäftspartner erklärt sich damit einverstanden, angemessene Sicherheitsvorkehrungen zu treffen, um sich vor jeglicher Nutzung oder Offenlegung von PHI zu schützen, die hier nicht vorgesehen ist, und gegebenenfalls Unterabschnitt C von 45 CFR Teil 164 in Bezug auf EPHI einzuhalten. Ohne das Vorstehende einzuschränken, erklärt sich der Geschäftspartner damit einverstanden, angemessene administrative, physische und technische Sicherheitsvorkehrungen zu treffen, um die unbefugte Nutzung und Offenlegung geschützter Gesundheitsdaten zu verhindern und die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsdaten zu schützen, einschließlich der Aufrechterhaltung eines Verfahrens zur Reaktion auf Vorfälle, um unbefugte Nutzungen und Offenlegungen von PHI zu untersuchen und darauf zu reagieren, sobald er davon erfährt, wie in 45 CFR § 164.308, 164.310, 164.312 und 164.316 in der jeweils gültigen Fassung gefordert.
2.3. Der Geschäftspartner erklärt sich damit einverstanden, alle schädlichen Auswirkungen einer Nutzung oder Offenlegung von PHI durch den Geschäftspartner, die gegen diesen Nachtrag verstößt, so weit wie möglich abzumildern.
2.4. In Übereinstimmung mit 45 CFR § 164.502 (e)(1)(ii) und § 164.308(b)(2) erklärt sich der Geschäftspartner damit einverstanden zu verlangen, dass jeder Unterauftragnehmer, an den er eine Funktion oder Aktivität delegiert, die er im Namen des unterstützten Kontos ausführt, und dem er PHI zur Verfügung stellt, die er vom unterstützten Konto erhalten hat, im Wesentlichen denselben Beschränkungen und Bedingungen für die Verwendung oder Offenlegung von PHI zustimmt, die durch diesen Nachtrag an den Geschäftspartner durch eine Geschäftspartnervereinbarung zwischen diesem Unterauftragnehmer und dem Geschäftspartner gelten.
2.5. Der Geschäftspartner erklärt sich damit einverstanden, seine internen Praktiken, Richtlinien, Verfahren, Bücher und Aufzeichnungen in Bezug auf die Verwendung und Offenlegung von PHI, die er von dem Unterstützten Konto erhalten hat oder die von dem Geschäftspartner im Namen des Unterstützten Kontos erstellt oder erhalten wurden, dem Sekretär auf dessen schriftliche Anfrage hin zur Einsichtnahme und zum Kopieren zur Verfügung zu stellen, damit der Sekretär die Einhaltung der HIPAA-Regeln durch das Unterstützte Konto feststellen kann.
2.6. Die Parteien beabsichtigen nicht, dass der Business Associate PHI in einem Designated Record Set ("DRS") für das unterstützte Konto aufbewahrt. Soweit der Geschäftspartner PHI in einem DRS besitzt, erklärt sich der Geschäftspartner bereit, diese Informationen dem Unterstützten Konto gemäß 45 CFR § 164.524 innerhalb von fünf (5) Geschäftstagen nach Erhalt einer schriftlichen Anfrage des Unterstützten Kontos zur Verfügung zu stellen; vorausgesetzt jedoch, dass der Geschäftspartner nicht verpflichtet ist, einen solchen Zugang zu gewähren, wenn die in einem DRS enthaltenen PHI ein Duplikat der PHI sind, die in einem DRS enthalten sind, das das Unterstützte Konto besitzt. Wenn eine Einzelperson einen Antrag auf Zugang gemäß 45 CFR § 164.524, § 164.526 oder § 164.528 direkt an den Geschäftspartner stellt oder sich nach ihren Rechten gemäß HIPAA erkundigt, wird der Geschäftspartner diese Einzelperson unverzüglich an Supported Account verweisen, soweit die Einzelperson oder InterSystems Supported Account als die geeignete Partei für die Anfrage identifizieren kann.
2.7. Der Geschäftspartner erklärt sich bereit, die von ihm vorgenommenen Offenlegungen von PHI und die mit diesen Offenlegungen verbundenen Informationen zu dokumentieren, wie es für das unterstützte Konto erforderlich wäre, um auf die Anfrage einer Einzelperson nach einer Buchführung über die Offenlegungen von PHI gemäß 45 CFR § 164.528 zu reagieren. Auf schriftliche Anfrage von Supported Account und in angemessener Zeit und Weise erklärt sich der Geschäftspartner bereit, Supported Account die Informationen zur Verfügung zu stellen, die Supported Account benötigt, um eine Buchführung gemäß 45 CFR § 164.528 zu erstellen.
2.8. Nach der Entdeckung eines Verstoßes gegen ungesicherte PHI (ein "Datenverstoß") durch den Geschäftspartner oder seine Unterauftragnehmer erklärt sich der Geschäftspartner bereit, das unterstützte Konto ohne unangemessene Verzögerung, spätestens jedoch innerhalb von fünf (5) Werktagen, nachdem der Geschäftspartner festgestellt hat, dass ein Datenverstoß vorliegt, über diesen Verstoß zu informieren. Eine solche Benachrichtigung muss, soweit verfügbar, die Identität jeder Person enthalten, auf deren ungesicherte PHI während der Datenschutzverletzung zugegriffen wurde oder von der der Geschäftspartner vernünftigerweise annimmt, dass sie während der Datenschutzverletzung zugegriffen, erworben, verwendet oder offengelegt wurde. Zum Zeitpunkt der Benachrichtigung oder unverzüglich danach, wenn solche Informationen verfügbar werden, stellt der Geschäftspartner dem unterstützten Konto auch alle anderen verfügbaren Informationen zur Verfügung, die erforderlich sind, damit das unterstützte Konto eine Person über den Verstoß gemäß 45 CFR § 164.404(c) benachrichtigen kann. Der Geschäftspartner erklärt sich damit einverstanden, dass in dem Maße, in dem die Datenverletzung ausschließlich auf fahrlässige Handlungen oder Unterlassungen des Geschäftspartners zurückzuführen ist, der Geschäftspartner die angemessenen Kosten für das unterstützte Konto zur Bereitstellung der gemäß 45 CFR § 164.404, 45 CFR § 164.406 und § 164.408(b) erforderlichen Benachrichtigungen übernimmt. Ungeachtet des Vorstehenden kann der Geschäftspartner, wenn ein Strafverfolgungsbeamter dem Geschäftspartner eine Erklärung vorlegt, dass die in diesem Absatz geforderte Benachrichtigung eine strafrechtliche Untersuchung behindern oder der nationalen Sicherheit Schaden zufügen würde, die Benachrichtigung um den in der Erklärung angegebenen Zeitraum aufschieben, wie es gemäß 45 CFR § 164.412 zulässig ist
Zulässige Verwendungen und Offenlegungen durch Geschäftspartner.
3.1. Der Geschäftspartner kann PHI verwenden oder weitergeben, um Funktionen, Aktivitäten und Dienstleistungen für oder im Namen des unterstützten Kontos gemäß der Dienstleistungsvereinbarung durchzuführen. Derartige Verwendungen und Offenlegungen sind auf solche beschränkt, die nicht gegen die Datenschutzbestimmungen verstoßen würden, wenn sie von dem unterstützten Konto vorgenommen würden, mit der Ausnahme, dass der Geschäftspartner PHI für die ordnungsgemäße Leitung und Verwaltung des Geschäftspartners oder zur Erfüllung seiner gesetzlichen Pflichten verwenden und offenlegen darf, vorausgesetzt, dass im Falle einer Offenlegung zu diesem Zweck die Offenlegung gesetzlich vorgeschrieben ist oder der Geschäftspartner von der Person, der die Informationen offengelegt werden, eine angemessene schriftliche Zusicherung erhält, dass die Informationen vertraulich bleiben und nur wie gesetzlich vorgeschrieben oder für den Zweck, für den sie der Person offengelegt wurden, verwendet oder weitergegeben werden, und dass die Person den Geschäftspartner über alle Fälle informiert, von denen sie Kenntnis hat, in denen die Vertraulichkeit der Informationen verletzt wurde.
3.2. Der Geschäftspartner kann PHI auch verwenden und weitergeben, wenn er vom unterstützten Konto schriftlich dazu ermächtigt wurde.
3.3. Der Geschäftspartner verpflichtet sich, PHI in Übereinstimmung mit dem Minimum Necessary Standard der HIPAA-Regel anzufordern, zu verwenden und offenzulegen
Verpflichtungen des Lizenznehmers.
4.1. Das unterstützte Konto darf InterSystems nur dann PHI zur Verfügung stellen, wenn dies für die Zwecke der Vereinbarung und der von InterSystems zu erbringenden Dienstleistungen unbedingt erforderlich ist, und zwar in voller Übereinstimmung mit dem Minimum Necessary Standard der Privacy Rule. Das unterstützte Konto darf den Geschäftspartner nicht bitten oder auffordern, PHI in einer Weise zu verwenden oder offenzulegen, die das unterstützte Konto als betroffenes Unternehmen oder Geschäftspartner eines betroffenen Unternehmens nicht tun könnte.
4.2. Das unterstützte Konto sichert zu und gewährleistet, dass seine (bzw. im Falle, dass das unterstützte Konto ein Geschäftspartner ist, die entsprechende Datenschutzerklärung des betroffenen Unternehmens) mit 45 CFR § 164.520 übereinstimmt und es dem unterstützten Konto erlaubt, PHI in der Art und Weise zu nutzen und offenzulegen, in der der Geschäftspartner berechtigt ist, PHI gemäß diesem Nachtrag zu nutzen und offenzulegen.
4.3. Soweit das unterstützte Konto einem Antrag auf Einschränkung der Nutzung oder Offenlegung von PHI gemäß 45 CFR § 164.522(a) stattgibt, verpflichtet sich das unterstützte Konto, diese PHI nicht an den Geschäftspartner weiterzugeben, es sei denn, das unterstützte Konto benachrichtigt den Geschäftspartner über die Einschränkung und der Geschäftspartner teilt dem unterstützten Konto mit, dass er der Einschränkung nachkommen kann. Das unterstützte Konto erklärt sich damit einverstanden, dem Geschäftspartner alle Kostenerhöhungen zu erstatten, die erforderlich sind, um eine solche Einschränkung zu berücksichtigen.
4.4. Das unterstützte Konto ist dafür verantwortlich, jederzeit administrative, physische und technische Sicherheitsvorkehrungen zu treffen, um die Vertraulichkeit, den Datenschutz und die Sicherheit der an den Geschäftspartner übermittelten PHI in Übereinstimmung mit den Standards und Anforderungen der HIPAA-Regeln zu wahren und zu gewährleisten, bis diese PHI bei dem Geschäftspartner eingehen.
4.5. Das unterstützte Konto muss alle Zustimmungen oder Genehmigungen einholen, die nach geltendem Bundes- oder Landesrecht erforderlich sind, damit der Geschäftspartner seine Dienstleistungen im Rahmen des Vertrags erbringen kann.
4.6. Das unterstützte Konto stellt dem Geschäftspartner eine schriftliche Liste mit den Namen der Personen in seiner Belegschaft zur Verfügung, die befugt sind, PHI in seinem Namen zu empfangen oder darauf zuzugreifen, und teilt dem Geschäftspartner alle Änderungen dieser Liste in angemessener Frist schriftlich mit. Wenn das unterstützte Konto keine solche Liste zur Verfügung stellt, kann der Geschäftspartner davon ausgehen, dass die Personen, die Mitglieder der Belegschaft des unterstützten Kontos oder, falls zutreffend, des betreffenden Unternehmens sind, die PHI vom Geschäftspartner anfordern oder erhalten, im Namen des unterstützten Kontos handeln und befugt sind, PHI in dessen Namen zu erhalten oder darauf zuzugreifen
Laufzeit und Beendigung.
5.1. Dieser Nachtrag ist während der Laufzeit der Vereinbarung wirksam und endet mit der Beendigung der Vereinbarung, außer in dem in Abschnitt 5.3.
5.2. genannten Umfang. Beendigung aus wichtigem Grund. Bei einer wesentlichen Verletzung dieses Nachtrags durch eine Vertragspartei benachrichtigt die andere Vertragspartei die verletzende Vertragspartei schriftlich über die Art der wesentlichen Verletzung und räumt der verletzenden Vertragspartei eine Frist von sechzig (60) Kalendertagen ab Erhalt der Benachrichtigung zur Behebung der Verletzung ein. Gelingt es der verletzenden Partei nicht, die Verletzung innerhalb der sechzig (60) Kalendertage zu beheben oder zu beenden, kann die andere Partei nach eigenem Ermessen diesen Nachtrag und die Vereinbarung durch schriftliche Mitteilung an die verletzende Partei kündigen.
5.3. Wirkung der Beendigung.
5.3.1. Mit Ausnahme der Bestimmungen in Absatz 5.2 dieses Abschnitts ist der Geschäftspartner bei Beendigung der Vereinbarung aus irgendeinem Grund verpflichtet, alle PHI, die er vom Lizenznehmer erhalten hat oder die er im Auftrag des Lizenznehmers erstellt oder erhalten hat, zurückzugeben, zu vernichten oder ihre Vernichtung zu verlangen, sofern dies möglich ist.
5.3.2. Falls der Geschäftspartner feststellt, dass die Rückgabe oder Vernichtung der PHI nicht durchführbar ist, wird der Geschäftspartner den Schutz dieses Nachtrags auf diese PHI ausdehnen und die weitere Nutzung und Offenlegung dieser PHI auf die Zwecke beschränken, die die Rückgabe oder Vernichtung undurchführbar machen, solange der Geschäftspartner diese PHI aufbewahrt
Sonstiges.
6.1. Rechtliche Hinweise. Ein Verweis in diesem Nachtrag auf einen Abschnitt der HIPAA-Regeln bedeutet den Abschnitt in der geltenden oder geänderten Fassung und ab dem Datum seiner Einhaltung.
6.2. Änderungen an diesem Nachtrag. Die Parteien vereinbaren, nach Treu und Glauben über eine Änderung dieses Nachtrags oder der Dienstleistungsvereinbarung zu verhandeln, wenn dies zur Einhaltung etwaiger Änderungen der HIPAA-Vorschriften erforderlich ist. Wenn die Parteien innerhalb von sechzig (60) Kalendertagen, nachdem Business Associate einen entsprechenden Änderungsvorschlag von Supported Account erhalten hat, nicht in der Lage sind, in gutem Glauben eine Einigung über die Bedingungen zu erzielen, kann jede Partei diesen Nachtrag und den Vertrag durch schriftliche Mitteilung an die andere Partei kündigen.
6.3. Überleben. Die jeweiligen Rechte und Pflichten des Geschäftspartners gemäß Abschnitt 5.3. bleiben auch nach der Kündigung bestehen, solange der Geschäftspartner PHI aufbewahrt.
6.4. Auslegung. Unklarheiten in diesem Nachtrag sind so zu klären, dass die Parteien die HIPAA-Vorschriften einhalten können
Abhilfemaßnahmen. Die Vertragsparteien sind sich darüber einig, dass die gesetzlichen Rechtsbehelfe bei einem Verstoß gegen die Bestimmungen dieses Nachtrags unzureichend sein können und dass der sich aus einem solchen Verstoß ergebende finanzielle Schaden nicht ohne weiteres bemessen werden kann. Im Falle eines Verstoßes einer der Vertragsparteien gegen die Bestimmungen dieses Nachtrags hat die andere Vertragspartei daher Anspruch auf sofortige Unterlassung. Diese Bestimmungen hindern die Vertragsparteien nicht daran, andere Rechtsbehelfe zu ergreifen, die einer der Vertragsparteien bei einem solchen Verstoß zur Verfügung stehen.
7.1. Beziehung zwischen den Parteien. Es wird ausdrücklich vereinbart, dass InterSystems und die mit ihr verbundenen Unternehmen, einschließlich ihrer Mitarbeiter und Unterauftragnehmer, die Dienstleistungen im Rahmen dieses Nachtrags als unabhängige Auftragnehmer für den Supported Account erbringen. Weder InterSystems noch die mit ihr verbundenen Unternehmen, leitenden Angestellten, Direktoren, Mitarbeiter oder Unterauftragnehmer sind Angestellte oder Beauftragte von Supported Account. Dieser Nachtrag ist nicht so auszulegen, dass (i) eine Partnerschaft, ein Joint Venture oder eine andere gemeinsame Geschäftsbeziehung zwischen den Parteien oder einem ihrer verbundenen Unternehmen oder (ii) eine Agenturbeziehung im Sinne des HITECH Act entsteht. Ein Verweis in diesem Nachtrag auf einen Abschnitt der HIPAA-Regeln bedeutet den Abschnitt in der geltenden oder geänderten Fassung und zum Zeitpunkt seiner Einhaltung.
Die Vertragsparteien vereinbaren, dass dieser Nachtrag während der Laufzeit des Abkommens in Kraft ist.
Diese Webseite wurde mithilfe einer maschinellen Übersetzung erstellt. Im Falle einer missverständlichen oder widersprüchlichen Übersetzung hat die englische Version dieser Seite Vorrang.