Accord de partenaire commercial (BAA)

1. Portée et objectif

This Business Associate Agreement ("BAA") supplements and is made part of the service agreement between Covered Entity and Business Associate. It establishes the terms under which Business Associate may create, receive, maintain, or transmit Protected Health Information ("PHI") on behalf of Covered Entity in connection with the translation, transcription, and language processing services provided by Morlivo (the "Services").

The parties acknowledge that Business Associate may access, use, or disclose PHI in the course of providing the Services, and this BAA sets forth the obligations of Business Associate with respect to such PHI pursuant to the applicable provisions of HIPAA, the HITECH Act, and their implementing regulations (collectively, the "HIPAA Rules").

2. Utilisations et divulgations autorisées

Le partenaire commercial peut utiliser ou divulguer PHI uniquement :

• Si nécessaire pour exécuter les services décrits dans le contrat de service sous-jacent.
• Comme l'exige la loi, y compris, mais sans s'y limiter, les divulgations requises par le secrétaire du ministère américain de la Santé et des Services sociaux.
• Pour la bonne gestion et l'administration du Partenaire Commercial, à condition que toute divulgation soit requise par la loi ou que le Partenaire Commercial obtienne des assurances raisonnables de tout tiers que les informations seront conservées de manière confidentielle.
• Fournir des services d'agrégation de données relatifs aux opérations de soins de santé de l'entité couverte, si cela est expressément autorisé dans le contrat de service.

Business Associate shall not use or disclose PHI in a manner that would violate the HIPAA Rules if done by Covered Entity, except as expressly permitted in this BAA. Business Associate shall not use PHI for marketing purposes, sell PHI, or use PHI for underwriting purposes.

3. Mesures de protection

Business Associate shall implement and maintain administrative, physical, and technical safeguards that reasonably and appropriately protect the confidentiality, integrity, and availability of PHI, including electronic PHI (ePHI), as required by the HIPAA Security Rule. These safeguards include but are not limited to:

• Chiffrement des ePHI au repos à l'aide d'AES-256 et en transit à l'aide de TLS 1.2 ou supérieur.
• Contrôles d'accès basés sur les rôles limitant l'accès PHI au personnel autorisé uniquement.
• Journalisation d'audit complète de tous les accès et modifications de PHI.
• Évaluations régulières des risques et analyse des vulnérabilités.
• Formation du personnel sur les exigences HIPAA et sensibilisation à la sécurité.
• Les procédures d'élimination sécurisées pour PHI ne sont plus nécessaires pour les Services.

Business Associate shall ensure that any agent, including subcontractors, to whom it provides PHI agrees to the same restrictions and conditions that apply to Business Associate under this BAA, in accordance with 45 CFR § 164.502(e)(1)(ii).

4. Notification de violation

Business Associate shall report to Covered Entity any use or disclosure of PHI not permitted by this BAA of which it becomes aware, including any Breach of Unsecured PHI as defined in 45 CFR § 164.402. Business Associate shall provide such notification without unreasonable delay and in no event later than thirty (30) calendar days after discovery of the Breach.

La notification comprendra, dans la mesure du possible :

• Identification de chaque personne dont le PHI non garanti a été, ou est raisonnablement soupçonné d'avoir été, consulté, acquis, utilisé ou divulgué.
• Une description de la nature de la violation, y compris les types de PHI impliqués.
• La date de la Brèche et la date de sa découverte.
• Une description des mesures prises par le Business Associate pour enquêter et atténuer la violation et prévenir de futurs événements.
• Coordonnées des personnes qui peuvent fournir des détails supplémentaires.

5. Durée et résiliation

This BAA shall be effective as of the date of execution and shall remain in effect for the duration of the underlying service agreement, unless earlier terminated as provided herein.

Either party may terminate this BAA if it determines that the other party has violated a material term of this BAA. The non-breaching party shall provide the breaching party with written notice of the violation and afford thirty (30) days to cure. If cure is not feasible, the non-breaching party may immediately terminate both this BAA and the underlying service agreement.

Upon termination, Business Associate shall, at the election of Covered Entity, return or destroy all PHI received from or created on behalf of Covered Entity. If return or destruction is not feasible, Business Associate shall extend the protections of this BAA to such PHI and limit further uses and disclosures to those purposes that make return or destruction infeasible.

6. Obligations de l'entité couverte

• L'entité couverte doit informer l'associé commercial de toute limitation dans son avis de pratiques de confidentialité qui peut affecter l'utilisation ou la divulgation par l'associé commercial de PHI.
• L'entité couverte doit informer le partenaire commercial de tout changement ou révocation de l'autorisation par un individu d'utiliser ou de divulguer PHI, dans la mesure où ces changements peuvent affecter les utilisations et divulgations autorisées du partenaire commercial.
• L'entité couverte ne doit pas demander à l'associé commercial d'utiliser ou de divulguer PHI d'une manière qui violerait les règles HIPAA.

7. Dispositions diverses

This BAA shall be governed by and construed in accordance with applicable federal law, including the HIPAA Rules. Any ambiguity in this BAA shall be interpreted to permit compliance with the HIPAA Rules. This BAA constitutes the entire agreement between the parties with respect to the subject matter hereof and supersedes all prior agreements, whether written or oral, relating to the same subject matter.