Acordo de Parceria Comercial (BAA)

1. Escopo e Objetivo

This Business Associate Agreement ("BAA") supplements and is made part of the service agreement between Covered Entity and Business Associate. It establishes the terms under which Business Associate may create, receive, maintain, or transmit Protected Health Information ("PHI") on behalf of Covered Entity in connection with the translation, transcription, and language processing services provided by Morlivo (the "Services").

The parties acknowledge that Business Associate may access, use, or disclose PHI in the course of providing the Services, and this BAA sets forth the obligations of Business Associate with respect to such PHI pursuant to the applicable provisions of HIPAA, the HITECH Act, and their implementing regulations (collectively, the "HIPAA Rules").

2. Usos e divulgações permitidas

O Parceiro Comercial poderá usar ou divulgar PHI exclusivamente:

• Conforme necessário para executar os Serviços descritos no contrato de serviço subjacente.
• Conforme exigido por lei, incluindo, entre outros, divulgações exigidas pelo Secretário do Departamento de Saúde e Serviços Humanos dos EUA.
• Para o gerenciamento e administração adequados do Parceiro Comercial, desde que qualquer divulgação seja exigida por lei ou o Parceiro Comercial obtenha garantias razoáveis de terceiros de que as informações serão mantidas confidencialmente.
• Fornecer serviços de agregação de dados relativos às operações de cuidados de saúde da Entidade Coberta, se expressamente autorizado no contrato de serviço.

Business Associate shall not use or disclose PHI in a manner that would violate the HIPAA Rules if done by Covered Entity, except as expressly permitted in this BAA. Business Associate shall not use PHI for marketing purposes, sell PHI, or use PHI for underwriting purposes.

3. Salvaguardas

Business Associate shall implement and maintain administrative, physical, and technical safeguards that reasonably and appropriately protect the confidentiality, integrity, and availability of PHI, including electronic PHI (ePHI), as required by the HIPAA Security Rule. These safeguards include but are not limited to:

• Criptografia de ePHI em repouso usando AES-256 e em trânsito usando TLS 1.2 ou superior.
• Controles de acesso baseados em funções que limitam o acesso PHI apenas a pessoal autorizado.
• Registro de auditoria abrangente de todos os acessos e modificações de PHI.
• Avaliações regulares de risco e verificação de vulnerabilidades.
• Treinamento da força de trabalho sobre os requisitos HIPAA e conscientização de segurança.
• Os procedimentos de descarte seguro para PHI não são mais necessários para os Serviços.

Business Associate shall ensure that any agent, including subcontractors, to whom it provides PHI agrees to the same restrictions and conditions that apply to Business Associate under this BAA, in accordance with 45 CFR § 164.502(e)(1)(ii).

4. Notificação de violação

Business Associate shall report to Covered Entity any use or disclosure of PHI not permitted by this BAA of which it becomes aware, including any Breach of Unsecured PHI as defined in 45 CFR § 164.402. Business Associate shall provide such notification without unreasonable delay and in no event later than thirty (30) calendar days after discovery of the Breach.

A notificação incluirá, na medida do disponível:

• Identificação de cada indivíduo cujo PHI Inseguro foi, ou se acredita razoavelmente ter sido, acessado, adquirido, usado ou divulgado.
• Uma descrição da natureza da Violação, incluindo os tipos de PHI envolvidos.
• A data da Brecha e a data de sua descoberta.
• Uma descrição das etapas que o Parceiro Comercial está tomando para investigar e mitigar a Violação e prevenir ocorrências futuras.
• Informações de contato de pessoas que podem fornecer detalhes adicionais.

5. Prazo e Rescisão

This BAA shall be effective as of the date of execution and shall remain in effect for the duration of the underlying service agreement, unless earlier terminated as provided herein.

Either party may terminate this BAA if it determines that the other party has violated a material term of this BAA. The non-breaching party shall provide the breaching party with written notice of the violation and afford thirty (30) days to cure. If cure is not feasible, the non-breaching party may immediately terminate both this BAA and the underlying service agreement.

Upon termination, Business Associate shall, at the election of Covered Entity, return or destroy all PHI received from or created on behalf of Covered Entity. If return or destruction is not feasible, Business Associate shall extend the protections of this BAA to such PHI and limit further uses and disclosures to those purposes that make return or destruction infeasible.

6. Obrigações da Entidade Coberta

• A Entidade Coberta notificará o Associado Comercial sobre quaisquer limitações em seu Aviso de Práticas de Privacidade que possam afetar o uso ou divulgação de PHI pelo Associado Comercial.
• A Entidade Coberta notificará o Parceiro Comercial sobre quaisquer alterações ou revogação da autorização de um indivíduo para usar ou divulgar PHI, na medida em que tais alterações possam afetar os usos e divulgações permitidas do Parceiro Comercial.
• A Entidade Coberta não solicitará ao Parceiro Comercial que use ou divulgue PHI de qualquer maneira que possa violar as Regras HIPAA.

7. Diversos

This BAA shall be governed by and construed in accordance with applicable federal law, including the HIPAA Rules. Any ambiguity in this BAA shall be interpreted to permit compliance with the HIPAA Rules. This BAA constitutes the entire agreement between the parties with respect to the subject matter hereof and supersedes all prior agreements, whether written or oral, relating to the same subject matter.