1. Ambito e finalità
This Business Associate Agreement ("BAA") supplements and is made part of the service agreement between Covered Entity and Business Associate. It establishes the terms under which Business Associate may create, receive, maintain, or transmit Protected Health Information ("PHI") on behalf of Covered Entity in connection with the translation, transcription, and language processing services provided by Morlivo (the "Services").
The parties acknowledge that Business Associate may access, use, or disclose PHI in the course of providing the Services, and this BAA sets forth the obligations of Business Associate with respect to such PHI pursuant to the applicable provisions of HIPAA, the HITECH Act, and their implementing regulations (collectively, the "HIPAA Rules").
2. Usi e divulgazioni consentiti
Il Business Associate può utilizzare o divulgare PHI esclusivamente:
- Quanto necessario per eseguire i Services descritti nel contratto di servizio sottostante.
- Come richiesto dalla legge, inclusi, ma non limitati a, gli obblighi di divulgazione richiesti dal Segretario del U.S. Department of Health and Human Services.
- Per la corretta gestione e amministrazione del Business Associate, a condizione che qualsiasi divulgazione sia richiesta dalla legge o che il Business Associate ottenga garanzie ragionevoli da qualsiasi terza parte che le informazioni saranno mantenute confidenziali.
- Per fornire servizi di aggregazione dei dati relativi alle operazioni sanitarie di Covered Entity, se espressamente autorizzato nell'accordo di servizio.
Business Associate shall not use or disclose PHI in a manner that would violate the HIPAA Rules if done by Covered Entity, except as expressly permitted in this BAA. Business Associate shall not use PHI for marketing purposes, sell PHI, or use PHI for underwriting purposes.
3. Garanzie
Business Associate shall implement and maintain administrative, physical, and technical safeguards that reasonably and appropriately protect the confidentiality, integrity, and availability of PHI, including electronic PHI (ePHI), as required by the HIPAA Security Rule. These safeguards include but are not limited to:
- Crittografia di ePHI a riposo usando AES-256 e in transito usando TLS 1.2 o superiore.
- Controlli di accesso basati sui ruoli che limitano l'accesso alle PHI al personale autorizzato.
- Registrazione di audit completa di tutti gli accessi e delle modifiche alle PHI.
- Valutazioni periodiche dei rischi e scansioni delle vulnerabilità.
- Formazione del personale sui requisiti HIPAA e sulla consapevolezza della sicurezza.
- Procedure per l'eliminazione sicura delle PHI non più necessarie per i servizi.
Business Associate shall ensure that any agent, including subcontractors, to whom it provides PHI agrees to the same restrictions and conditions that apply to Business Associate under this BAA, in accordance with 45 CFR § 164.502(e)(1)(ii).
4. Notifica di violazione
Business Associate shall report to Covered Entity any use or disclosure of PHI not permitted by this BAA of which it becomes aware, including any Breach of Unsecured PHI as defined in 45 CFR § 164.402. Business Associate shall provide such notification without unreasonable delay and in no event later than thirty (30) calendar days after discovery of the Breach.
La notifica dovrà includere nella misura in cui siano disponibili:
- Identificazione di ogni individuo le cui PHI non protette sono state, o si ritiene ragionevolmente siano state, consultate, acquisite, utilizzate o divulgate.
- Una descrizione della natura della violazione, compresi i tipi di PHI coinvolti.
- La data della violazione e la data della sua scoperta.
- Una descrizione delle misure che il Business Associate sta adottando per indagare e mitigare la violazione e prevenire futuri episodi.
- Informazioni di contatto per le persone che possono fornire ulteriori dettagli.
5. Durata e risoluzione
This BAA shall be effective as of the date of execution and shall remain in effect for the duration of the underlying service agreement, unless earlier terminated as provided herein.
Either party may terminate this BAA if it determines that the other party has violated a material term of this BAA. The non-breaching party shall provide the breaching party with written notice of the violation and afford thirty (30) days to cure. If cure is not feasible, the non-breaching party may immediately terminate both this BAA and the underlying service agreement.
Upon termination, Business Associate shall, at the election of Covered Entity, return or destroy all PHI received from or created on behalf of Covered Entity. If return or destruction is not feasible, Business Associate shall extend the protections of this BAA to such PHI and limit further uses and disclosures to those purposes that make return or destruction infeasible.
6. Obblighi dell'entità coperta
- L'entità coperta deve notificare al Business Associate eventuali limitazioni nel proprio Avviso sulle pratiche di riservatezza che possano influire sull'uso o la divulgazione delle PHI da parte del Business Associate.
- L'entità coperta deve notificare al Business Associate qualsiasi modifica o revoca dell'autorizzazione da parte di un individuo a utilizzare o divulgare le PHI, nella misura in cui tali modifiche possano influire sugli usi e le divulgazioni consentiti del Business Associate.
- L'entità coperta non deve richiedere al Business Associate di utilizzare o divulgare le PHI in modo tale da violare le norme HIPAA.
7. Varie
This BAA shall be governed by and construed in accordance with applicable federal law, including the HIPAA Rules. Any ambiguity in this BAA shall be interpreted to permit compliance with the HIPAA Rules. This BAA constitutes the entire agreement between the parties with respect to the subject matter hereof and supersedes all prior agreements, whether written or oral, relating to the same subject matter.