La presente ADENDA AL CONTRATO DE SOPORTE PARA SOCIOS COMERCIALES («Adenda») se incorpora a las Condiciones de Intercambio de Información y es suscrita por InterSystems Corporation, una sociedad de derecho de Massachusetts con domicilio social en 1 Memorial Drive, Cambridge, MA 02142 USA ("InterSystems"), y la Cuenta Soportada, conforme se define en la presente Adenda, y, según corresponda, constituida en parte de un Contrato de Licencia, Soporte o Asociación («Contrato»). Cuenta soportada significa Usuario Final, Application Partner, Implementation Partner, Solution Partner, Integrador de Sistemas, o cualquier parte con la que InterSystems esté interactuando en el contexto de la necesidad de la parte de revelar Información de Salud Protegida, conforme se define más adelante, a InterSystems de acuerdo con los Condiciones de Intercambio de Información. InterSystems y Cuenta Soportada son partes en la presente Adenda (siendo cada una de ellas por separado «una Parte», y ambas conjuntamente las «Partes»). En consideración a los pactos y promesas recíprocas contenidas en el presente documento y otra contraprestación onerosa, cuya recepción y suficiencia las Partes reconocen en el presente documento, las Partes acuerdan lo siguiente:
Los términos con mayúscula inicial utilizados en la presente Adenda que no se estén expresamente definidos en el presente documento o en el Contrato tendrán el significado que dichos términos tengan, tal y como se utilizan o definen en la HIPAA. Las disposiciones de la presente Adenda prevalecerán sobre cualquier disposición contradictoria del Contrato de Prestación de Servicios.
Las Partes reconocen que la Cuenta Soportada, en determinadas circunstancias, puede estar obligada a cumplir con las Normas HIPAA, tal y como se definen a continuación, y que InterSystems puede periódicamente prestar determinados servicios a la Cuenta Soportada, lo que puede hacer que InterSystems tenga acceso a Información de Salud Protegida, tal y como se define a continuación. Las Partes reconocen que los servicios prestados por InterSystems no tienen por objeto dar lugar a la creación, recepción, mantenimiento, transmisión, uso o comunicación de información de salud de una Persona que constituya Información de Salud Protegida; no obstante, las Partes reconocen que la Cuenta Soportada necesita que sus proveedores de servicios, que puedan entrar en contacto con Información de Salud Protegida, suscriban un contrato de asociado comercial con la Cuenta Soportada, y que InterSystems está dispuesto a suscribir dicho contrato en el improbable caso de que InterSystems tenga acceso a Información de Salud Protegida sin por ello aceptar que InterSystems asuma, con carácter general, la condición de socio comercial conforme a la definición del as Normas HIPAA.
Definiciones.
1.1. Asociado comercial. «Asociado comercial» tendrá, con carácter general, el mismo significado que se da al término «asociado comercial» en el Título 45, capítulo 160, artículo 103 Código de Reglamentos Federales («CFR»), y, cuando se utilice como referencia en este apéndice, se referirá a InterSystems cuando (1) InterSystems y la Cuenta Soportada acuerden mutuamente que InterSystems es un asociado comercial de la Cuenta Soportada para un servicio específico e identificado, tal y como se define en un documento de Normas de Contratación específico e individual (más adelante en este Adenda hay un enlace a una plantilla) aceptado por InterSystems y la Cuenta Soportada, y (2) InterSystems no actúe de otro modo como proveedor de servicios o proveedor externo para la Cuenta Soportada.
1.2. Normas HIPAA. Por «Normas HIPAA» se entenderán los requisitos de las normas de privacidad, seguridad, notificación de infracciones y aplicación de las mismas, recogidas en el Título 45, Capítulos 160 y 164 CFR, que aplican las disposiciones de simplificación administrativa de la Ley de Portabilidad y Responsabilidad de los Seguros Médicos de 1996, Pub. L. 104 191 («HIPAA») y modificada por la Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica, promulgada al amparo del Título XIII de la Ley de Recuperación y Reinversión de Estados Unidos de 2009, Pub. L. 111-5 («Ley HITECH»), en cada caso solo a partir de la fecha de cumplimiento aplicable a dichos requisitos.
1.3. Norma de privacidad. «Norma de privacidad» significará las Normas de Privacidad de la Información de Salud Individualmente Identificable del Título 45, Capítulos 160 y 164, secciones A y E del CFR.
1.4. Información de Salud Protegida (ISP) e Información Electrónica de Salud Protegida (IESP). ISP y IESP tendrán los mismos significados que en el Título 45, Capítulo 160, artículo 103 del CFR, pero limitados a aquella información creada o recibida por InterSystems cuando actúe en calidad de Asociado Comercial de la Cuenta Soportada y no actúe de otra manera como proveedor de servicios o proveedor externo de la Cuenta Soportada. Para evitar dudas, ISP y IESP no incluirán ninguna información que no esté en forma identificable.
1.5. Norma de seguridad. «Norma de seguridad» significará las normas de seguridad de la información electrónica de salud protegida del Título 45, Capítulos 160 y 164, sección C del CFR.
Obligaciones y actividades del asociado comercial.
2.1. El Asociado Comercial se compromete a no utilizar ni divulgar ISP más que en la forma permitida o requerida por el Contrato o por la presente Adenda, o según lo permitido o requerido por la ley.
2.2. El Asociado Comercial se compromete a utilizar las salvaguardias apropiadas para proteger contra cualquier uso o divulgación de ISP no prevista en el presente documento y a dar cumplimiento, cuando proceda, a lo dispuesto en el título 45, Capítulo 164, Sección C del CFR respecto de la IESP. Sin perjuicio de lo anterior, el Asociado Comercial se compromete a aplicar las salvaguardias administrativas, físicas y técnicas apropiadas, diseñadas para evitar el uso y la divulgación no autorizados de la Información de Salud Protegida, y para proteger la confidencialidad, integridad y disponibilidad de la Información Electrónica de Salud Protegida, incluido el mantenimiento de un proceso de respuesta ante incidentes para investigar y responder a los usos y divulgaciones no autorizados de la Información de Salud Protegida al tener conocimiento de los mismos, tal y como se exige en el Título 45, Capítulo 164, artículos 308, 310, 312 y 316 del CFR y sus posteriores enmiendas.
2.3. El Asociado Comercial se compromete a mitigar, en la medida de lo posible, cualquier efecto perjudicial que conozca el Asociado Comercial de un uso o divulgación de la ISP por parte del Asociado Comercial en violación de este Anexo.
2.4. De acuerdo con lo dispuesto en el Título 45, Capítulo 164, artículos 502(e)(1)(ii) y 308(b)(2) del CFR, el Asociado Comercial acuerda exigir que cualquier Subcontratista, en quien delegue cualquier función o actividad que se haya comprometido a realizar en nombre de la Cuenta Soportada, y al que proporcione ISP recibida de la Cuenta Soportada, acepte sustancialmente las mismas restricciones y condiciones sobre el uso o la divulgación de ISP que se aplican a través de la presente Adenda al Asociado Comercial mediante la suscripción de un Contrato de Asociado Comercial entre dicho Subcontratista y el Asociado Comercial.
2.5. El Asociado Comercial se compromete a poner a disposición del Secretario sus prácticas internas, políticas, procedimientos, libros y registros relacionados con el uso y la divulgación de ISP recibida de la Cuenta Soportada, o creada o recibida por el Asociado Comercial por cuenta de la Cuenta Soportada, para que el Secretario pueda inspeccionarla y copiarla si lo solicita por escrito, con el fin de que el Secretario determine el cumplimiento de las Normas HIPAA por la Cuenta Soportada.
2.6. No es voluntad de las Partes que el Asociado Comercial mantenga ninguna ISP en un Conjunto de Registros Designados («CRD») para la Cuenta Soportada. En la medida en que el Asociado Comercial posea ISP en un CRD, el Asociado Comercial se compromete a poner dicha información a disposición de la Cuenta Soportada, de conformidad con lo dispuesto en el Título 45, Capítulo 164, artículo 524 del CFR, dentro de los cinco (5) días hábiles siguientes a la recepción por parte del Asociado Comercial de una solicitud por escrito de la Cuenta Soportada; con la salvedad, no obstante, de que el Asociado Comercial no estará obligado a proporcionar dicho acceso cuando la ISP contenida en un CRD sea un duplicado de la ISP contenida en un CRD que posea la Cuenta Soportada. Si una Persona Física presenta solicitud de acceso, al amparo de lo dispuesto en el Título 45, Capítulo 164, artículos 524, 526 o 528 del CFR, directamente al Asociado Comercial, o presenta consulta sobre sus derechos bajo HIPAA, el Asociado Comercial dirigirá rápidamente a dicho individuo a la Cuenta Soportada en la medida en que dicha persona o InterSystems puedan identificar a la Cuenta Soportada como la parte apropiada para la consulta.
2.7. El Asociado Comercial se compromete a documentar las divulgaciones de ISP realizadas por él, así como la información relacionada con dichas divulgaciones, tal y como se requeriría para que la Cuenta Soportada responda a una solicitud de justificación de dichas divulgaciones, presentada una Persona Física para al amparo del Título 45, Capítulo 164, artículo 528 del CFR. Previa solicitud por escrito de la Cuenta Soportada, y en un tiempo y forma razonables, el Asociado Comercial se compromete a proporcionar a la Cuenta Soportada dicha información para que la Cuenta Soportada proporcione una justificación de acuerdo a lo dispuesto en el Título 45, Capítulo 164, artículo 528 del CFR.
2.8. Tras el descubrimiento por parte del Asociado Comercial de cualquier Violación de ISP No Protegida (una «Violación de Seguridad») por parte del Asociado Comercial o de sus Subcontratistas, el Asociado Comercial se compromete a notificar sin dilación dicha Violación de Seguridad a la Cuenta Soportada, y a más tardar en un plazo de cinco (5) días hábiles después de que el Asociado Comercial compruebe la existencia de una Violación de Seguridad. Dicha notificación incluirá, en la medida en que esté disponible, la identidad de cada persona a cuya ISP no protegida se haya accedido, adquirido, utilizado o divulgado durante la violación de seguridad, o que el Asociado Comercial considere razonablemente que ha sido así. En el momento de la notificación o inmediatamente después, cuando dicha información esté disponible, el Asociado Comercial también proporcionará a la Cuenta Soportada cualquier otra información disponible que se requiera para que la Cuenta Soportada notifique a una Persona Física la Violación de Seguridad como se requiere en el Título 45, Capítulo 164, artículo 404(c) CFR. El Asociado Comercial acepta que, en la medida en que la Violación de Seguridad sea únicamente resultado de actos u omisiones negligentes del Asociado Comercial, éste pagará el costo razonable para que la Cuenta Soportada proporcione las notificaciones requeridas en Título 45, Capítulo 164, artículos 404, 406 y 408(b) CFR. No obstante lo anterior, si un agente del orden proporciona al Asociado Comercial una declaración de que la notificación requerida en virtud de este párrafo podría obstaculizar una investigación criminal o causar daños a la seguridad nacional, el Asociado Comercial podrá retrasar la notificación durante el período de tiempo establecido en la declaración, tal como se permite en el Título 45, Capítulo 164, 412 del CFR.
Usos y divulgaciones permitidos al Asociado Comercial.
3.1. El Asociado Comercial puede utilizar o divulgar la ISP para llevar a cabo funciones, actividades y servicios para la Cuenta Soportada o por cuenta de ésta, según lo dispuesto en el Contrato de Prestación de Servicios. Dichos usos y divulgaciones se limitarán a aquellos que no violarían la Norma de privacidad si fueran realizados por la Cuenta Soportada, con la salvedad de que el Asociado Comercial podrá utilizar y divulgar la ISP para la correcta gestión y administración del Asociado Comercial o para llevar a cabo sus responsabilidades legales; siempre y cuando, en el caso de cualquier divulgación para este propósito, la divulgación esté exigida por la Ley o que el Asociado Comercial obtenga garantías razonables por escrito de la persona a la que se divulga la información, de que ésta permanecerá confidencial y se utilizará o divulgará solo como es Requerido por la Ley o para el propósito para el que fue divulgado a la persona, y que la persona notificará al Asociado Comercial de cualquier caso del que tenga conocimiento en el que se haya violado la confidencialidad de la información.
3.2. El Asociado Comercial también podrá utilizar y divulgar la ISP según lo autorizado por escrito por la Cuenta Soportada.
3.3. El Asociado Comercial se compromete a solicitar, utilizar y divulgar la ISP de acuerdo con la norma de Necesidad Mínima de las Normas HIPAA.
4. Obligaciones del licenciatario.
4.1. La Cuenta Soportada sólo proporcionará ISP a InterSystems cuando sea estrictamente necesario para los fines del Contrato y los servicios que debe prestar InterSystems y en pleno cumplimiento de la norma de Necesidad Mínima de la Norma de Privacidad. La Cuenta Soportada Apoyo no pedirá ni exigirá al Asociado Comercial que utilice o divulgue la ISP de una manera que la Cuenta Soportada no podría hacer como Entidad Cubierta o como Asociado Comercial de una Entidad Cubierta.
4.2. La Cuenta Soportada declara y garantiza que su Aviso de Prácticas de Privacidad (o en el caso de que la Cuenta Soportada sea un Asociado Comercial, el de la Entidad Cubierta correspondiente) cumple con lo dispuesto en el Título 45, Capítulo 164, artículo 520 CFR y permite a la Cuenta Soportada utilizar y divulgar la ISP de la manera en que el Asociado Comercial está autorizado a utilizar y divulgar la ISP en virtud de la presente Adenda.
4.3. En la medida en que la Cuenta Soportada acepte una solicitud para restringir el uso o la divulgación de la ISP de conformidad con lo dispuesto en el Título 45, Capítulo 164, artículo 522(a) CFR, la Cuenta Soportada se compromete a no proporcionar dicha ISP al Asociado Comercial, a menos que la Cuenta Soportada notifique al Asociado Comercial dicha restricción y el Asociado Comercial informe a la Cuenta Soportada de que puede cumplir con la restricción. La Cuenta Soportada se compromete a reembolsar al Asociado Comercial cualquier aumento de los costes necesarios para adaptarse a dicha restricción.
4.4. La Cuenta Soportada será responsable de utilizar en todo momento salvaguardas administrativas, físicas y técnicas para mantener y garantizar la confidencialidad, la privacidad y la seguridad de la ISP transmitida al Asociado Comercial de acuerdo con las normas y requisitos de las Normas HIPAA, hasta que dicha ISP sea recibida por el Asociado Comercial.
4.5. La Cuenta Soportada deberá obtener cualquier consentimiento o autorización que pueda ser requerida por las leyes federales o estatales aplicables para que el Asociado Comercial pueda prestar sus servicios en virtud del Contrato.
4.6. La Cuenta Soportada proporcionará al Asociado Comercial una lista escrita de los nombres de las personas de su plantilla que están autorizadas a recibir o acceder a la ISP en su nombre y a notificar por escrito al Asociado Comercial con una antelación razonable cualquier cambio en dicha lista. En caso de que la Cuenta Soportada no proporcione dicha lista, el Asociado Comercial podrá asumir que aquellas personas que sean miembros de la plantilla de la Cuenta Soportada o, en su caso, de la correspondiente Entidad Cubierta, que soliciten o reciban la ISP del Asociado Comercial están actuando en nombre de la Cuenta Soportada y están autorizadas a recibir o acceder a la ISP en su nombre.
5. Plazo y Resolución.
5. 1. La presente Adenda estará en vigor durante la vigencia del Contrato y se extinguirá a la resolución del mismo, salvo en la medida prevista en la cláusula 5.3.
5.2. Rescisión por causa. En caso de que una Parte incumpla sustancialmente la presente Adenda, la Otra Parte notificará por escrito a la Parte infractora la naturaleza del incumplimiento sustancial y le concederá a la Parte infractora sesenta (60) días naturales a partir de la recepción de dicha notificación para subsanar el incumplimiento. Si la Parte Incumplidora no subsana el incumplimiento o pone fin a la infracción dentro del período de subsanación de sesenta (60) días naturales, la Otra Parte podrá, a su discreción, rescindir la presente Adenda y el Contrato mediante notificación escrita a la Parte Incumplidora..
5.3. Efecto de la rescisión.
5.3.1.Salvo lo dispuesto en el apartado 5.2 de esta sección, a la resolución del Contrato por cualquier motivo, el Asociado Comercial deberá, si es factible, devolver, destruir o exigir la destrucción de toda la ISP recibida del Licenciatario o creada o recibida por el Asociado Comercial por cuenta del Licenciatario.
5.3.2. En el caso de que el Asociado Comercial determine que la devolución o destrucción de la ISP es inviable, el Asociado Comercial extenderá las protecciones de la presente Adenda a dicha ISP, y limitará los usos y divulgaciones posteriores de dicha ISP, a aquellos propósitos que hagan inviable la devolución o destrucción, mientras el Asociado Comercial mantenga dicha ISP.
Disposiciones varias.
6,1. Referencias normativas. Las referencias en la presente Adenda a una cláusula de las Normas HIPAA, serán referencias dicha cláusula y sus posteriores enmiendas en vigor en la correspondiente fecha de cumplimiento.
6,2. Cambios en esta Adenda. Las Partes se comprometen a negociar de buena fe la modificación de la presente Adenda o del Contrato de Prestación de Servicios según sea necesario para cumplir con cualquier cambio en las Normas HIPAA. Si, en el plazo de sesenta (60) días naturales desde que el Asociado Comercial reciba una propuesta de modificación a tal efecto por parte de la Cuenta Soportada, las Partes no consiguen de buena fe llegar a un acuerdo sobre sus términos, cualquiera de ellas podrá rescindir la presente Adenda y el Contrato mediante notificación por escrito a la otra Parte.
6,3. Supervivencia. Los derechos y obligaciones del Asociado Comercial por la Cláusula 5.3. sobrevivirán a la terminación mientras el Asociado Comercial mantenga cualquier ISP.
6,4. Interpretación. Cualquier ambigüedad en la presente Adenda se resolverá para permitir a las Partes cumplir con las Normas HIPAA.
Recursos. Las Partes acuerdan que los recursos legales por una violación de los términos de la presente Adenda pueden ser inadecuados y que los daños monetarios resultantes de dicha violación pueden no ser fácilmente medibles. En consecuencia, en caso de que una de las Partes infrinja los términos de la presente Adenda, la otra Parte tendrá derecho a una medida cautelar inmediata. Nada de lo aquí expuesto prohibirá a cualquiera de las Partes ejercer cualquier otro recurso que pueda estar disponible para cualquiera de ellas por dicha violación.
7,1. Relación de las partes. Se acuerda expresamente que InterSystems y sus filiales, incluidos sus empleados y subcontratistas, prestan los servicios previstos en la presente Adenda en calidad de contratistas independientes para la Cuenta Soportada. Ni InterSystems ni sus filiales, directivos, administradores, empleados o subcontratistas son empleados o agentes de la Cuenta Soportada. Nada de lo dispuesto en este Anexo se interpretará como la creación de (i) una asociación, empresa conjunta u otra relación comercial conjunta entre las Partes o cualquiera de sus filiales o (ii) una relación de agencia a efectos de la Ley HITECH. Referencias normativas. Una referencia en este apéndice a una sección de las normas de la HIPAA significa la sección en vigor o modificada y en la fecha de cumplimiento aplicable.
Las Partes acuerdan que la presente Adenda estará en vigor durante la vigencia del Contrato.
Esta página web utiliza traducción automática. La versión en inglés de esta página tendrá prioridad en caso de cualquier conflicto de traducción.