HIPAA: contrato de socio comercial

Introducción

    1. Un “asociado comercial” es una persona o entidad, distinta de un miembro de la fuerza laboral de una entidad cubierta, que realiza funciones o actividades en nombre de una entidad cubierta o le proporciona ciertos servicios que implican el acceso del asociado comercial a información protegida. información de salud. Un “socio comercial” también es un subcontratista que crea, recibe, mantiene o transmite información médica protegida en nombre de otro socio comercial. Las Reglas de HIPAA generalmente requieren que las entidades cubiertas y los socios comerciales celebren contratos con sus socios comerciales para garantizar que los socios comerciales salvaguardarán adecuadamente la información de salud protegida. El contrato de socio comercial también sirve para aclarar y limitar, según corresponda, los usos y divulgaciones permitidos de la información de salud protegida por parte del socio comercial, en función de la relación entre las partes y las actividades o servicios que realiza el socio comercial. Un socio comercial puede usar o divulgar información de salud protegida solo según lo permita o requiera su contrato de socio comercial o según lo exija la ley. Un socio comercial es directamente responsable según las Reglas de HIPAA y está sujeto a sanciones civiles y, en algunos casos, penales por hacer usos y divulgaciones de información de salud protegida que no están autorizados por su contrato o requeridos por la ley. Un socio comercial también es directamente responsable y está sujeto a sanciones civiles por no salvaguardar la información de salud electrónica protegida de acuerdo con la regla de seguridad de HIPAA.
    2. Un contrato escrito entre una entidad cubierta y un socio comercial debe: (1) establecer los usos y divulgaciones permitidos y requeridos de la información de salud protegida por parte del socio comercial; (2) estipular que el socio comercial no usará ni divulgará la información más allá de lo permitido o requerido por el contrato o según lo exija la ley; (3) exigir al socio comercial que implemente las medidas de seguridad adecuadas para evitar el uso o la divulgación no autorizados de la información, incluida la implementación de los requisitos de la regla de seguridad de HIPAA con respecto a la información de salud electrónica protegida; (4) exigir al socio comercial que informe a la entidad cubierta cualquier uso o divulgación de la información no previstos en su contrato, incluidos los incidentes que constituyen violaciones de la información de salud protegida no asegurada; (5) requerir que el socio comercial divulgue información de salud protegida como se especifica en su contrato para satisfacer la obligación de una entidad cubierta con respecto a las solicitudes de individuos de copias de su información de salud protegida, así como poner a disposición información de salud protegida para enmiendas (e incorporar cualquier enmienda, si es necesario) y contabilidad; (6) en la medida en que el socio comercial deba llevar a cabo la obligación de una entidad cubierta bajo la Regla de Privacidad, requerir que el socio comercial cumpla con los requisitos aplicables a la obligación; (7) exigir que el socio comercial ponga a disposición del HHS sus prácticas internas, libros y registros relacionados con el uso y la divulgación de información médica protegida recibida, creada o recibida por el socio comercial en nombre de la entidad cubierta para fines del HHS determinando el cumplimiento de la regla de privacidad de HIPAA por parte de la entidad cubierta; (8) a la terminación del contrato, si es factible, exigir que el socio comercial devuelva o destruya toda la información de salud protegida recibida de, o creada o recibida por el socio comercial en nombre de la entidad cubierta; (9) exigir que el socio comercial se asegure de que cualquier subcontratista que pueda contratar en su nombre que tendrá acceso a la información médica protegida acepte las mismas restricciones y condiciones que se aplican al socio comercial con respecto a dicha información; y (10) autorizar la rescisión del contrato por parte de la entidad cubierta si el socio comercial viola un término material del contrato. Los contratos entre socios comerciales y socios comerciales que son subcontratistas están sujetos a estos mismos requisitos.

Definiciones

Definición general:

  1. Los siguientes términos utilizados en este Acuerdo tendrán el mismo significado que los términos en las Reglas de HIPAA: Violación, Agregación de datos, Conjunto de registros designado, Divulgación, Operaciones de atención médica, Individual, Mínimo necesario, Aviso de prácticas de privacidad, Información de salud protegida, Requerido Por Ley, Secretaría, Incidente de Seguridad, Subcontratista, Información de Salud Protegida No Asegurada y Uso.

Definiciones específicas

  1. Socio de negocios. “Socio comercial” generalmente tendrá el mismo significado que el término “socio comercial” en 45 CFR 160.103, y en referencia a la parte de este acuerdo, significará InVision HR
  2. Entidad Cubierta. “Entidad cubierta” generalmente tendrá el mismo significado que el término “entidad cubierta” en 45 CFR 160.103, y en referencia a la parte de este acuerdo, significará un Usuario registrado del sitio web Bambee.com u otros sitios web de socios comerciales, como se describe en los Términos de uso de InVision HRT, incorporados aquí como referencia.
  3. Reglas de HIPAA. “Reglas de HIPAA” se refiere a las Reglas de Privacidad, Seguridad, Notificación de Incumplimiento y Cumplimiento en 45 CFR Parte 160 y Parte 164.

Obligaciones y Actividades del Socio Comercial

El socio comercial se compromete a:

  1. No usar ni divulgar información de salud protegida que no sea la permitida o exigida por el Acuerdo o según lo exija la ley;
  2. Usar las medidas de seguridad adecuadas y cumplir con la Subparte C de 45 CFR Parte 164 con respecto a la información de salud protegida electrónica, para evitar el uso o la divulgación de información de salud protegida que no sea la prevista en el Acuerdo;
  3. Informar a la entidad cubierta cualquier uso o divulgación de información de salud protegida que no esté prevista en el Acuerdo de la que tenga conocimiento, incluidas las infracciones de información de salud protegida no segura según lo exige 45 CFR 164.410, y cualquier incidente de seguridad del que tenga conocimiento;
  4. De acuerdo con 45 CFR 164.502(e)(1)(ii) y 164.308(b)(2), si corresponde, asegúrese de que cualquier subcontratista que cree, reciba, mantenga o transmita información de salud protegida en nombre del socio comercial esté de acuerdo a las mismas restricciones, condiciones y requisitos que aplican al socio comercial con respecto a dicha información;
  5. Poner a disposición de la “entidad cubierta” la información de salud protegida en un registro designado según sea necesario para cumplir con las obligaciones de la entidad cubierta bajo 45 CFR 164.524;
  6. Hacer cualquier enmienda a la información de salud protegida en un conjunto de registros designado según lo indique o acuerde la entidad cubierta conforme al 45 CFR 164.526, o tome otras medidas según sea necesario para satisfacer las obligaciones de la entidad cubierta bajo el 45 CFR 164.526;
  7. Mantener y poner a disposición la información requerida para proporcionar una contabilidad de las revelaciones a la “entidad cubierta” según sea necesario para satisfacer las obligaciones de la entidad cubierta bajo 45 CFR 164.528;
  8. En la medida en que el socio comercial deba llevar a cabo una o más de las obligaciones de la entidad cubierta conforme a la Subparte E de 45 CFR Parte 164, cumplir con los requisitos de la Subparte E que se aplican a la entidad cubierta en el desempeño de dicha(s) obligación(es). ); y
  9. Poner sus prácticas internas, libros y registros a disposición del Secretario con el fin de determinar el cumplimiento de las Reglas de HIPAA.

Usos y divulgaciones permitidos por socio comercial

  1. El socio comercial solo puede usar o divulgar información de salud protegida “según sea necesario para realizar los servicios establecidos en el Acuerdo de servicio”.
  2. El socio comercial puede usar o divulgar información de salud protegida según lo exija la ley.
  3. El socio comercial acepta hacer usos, divulgaciones y solicitudes de información de salud protegida de acuerdo con las políticas y los procedimientos mínimos necesarios de la entidad cubierta.
  4. El socio comercial no puede usar ni divulgar información de salud protegida de una manera que viole la Subparte E de 45 CFR Parte 164 si lo hace una entidad cubierta, excepto por los usos y divulgaciones específicos que se establecen a continuación;
  5. El socio comercial puede divulgar información de salud protegida para la gestión y administración adecuadas del socio comercial o para llevar a cabo las responsabilidades legales del socio comercial, siempre que las divulgaciones sean requeridas por ley, o el socio comercial obtenga garantías razonables de la persona a quien se le proporciona la información. divulgado que la información seguirá siendo confidencial y utilizada o divulgada solo según lo exija la ley o para los fines para los cuales fue divulgada a la persona, y la persona notifica al socio comercial de cualquier instancia de la que tenga conocimiento en la que la confidencialidad de la la información ha sido violada.

Disposiciones para que la entidad cubierta informe al socio comercial sobre las prácticas y restricciones de privacidad

  1. La entidad cubierta deberá notificar al socio comercial sobre cualquier limitación en el aviso de prácticas de privacidad de la entidad cubierta según 45 CFR 164.520, en la medida en que dicha limitación pueda afectar el uso o la divulgación de información médica protegida por parte del asociado comercial.
  2. La entidad cubierta deberá notificar al socio comercial sobre cualquier cambio o revocación del permiso de una persona para usar o divulgar su información de salud protegida, en la medida en que dichos cambios puedan afectar el uso o la divulgación de la información de salud protegida por parte del socio comercial.
  3. La entidad cubierta deberá notificar al socio comercial de cualquier restricción en el uso o divulgación de información de salud protegida que la entidad cubierta haya acordado o deba cumplir conforme a 45 CFR 164.522, en la medida en que dicha restricción pueda afectar el uso o divulgación de información médica protegida por parte del socio comercial. información de salud.

Solicitudes permitidas por entidad cubierta

  1. La entidad cubierta no solicitará a los socios comerciales que usen o divulguen información de salud protegida de ninguna manera que no estaría permitida bajo la Subparte E de 45 CFR Parte 164 si lo hiciera una entidad cubierta.

Duración y Terminación

  1. El Término de este Acuerdo entrará en vigencia a partir de la fecha de firma del servicio y finalizará en la fecha en que la entidad cubierta finalice por causa autorizada en el párrafo (b) de esta Sección, lo que ocurra primero.
  2. Terminación por Causa. El socio comercial autoriza la rescisión de este Acuerdo por parte de la entidad cubierta, si la entidad cubierta determina que el socio comercial ha violado un término material del Acuerdo y el socio comercial no ha subsanado el incumplimiento o finalizado la violación dentro del tiempo especificado por la entidad cubierta.
  3. Obligaciones del socio comercial al momento de la rescisión.
  4. Tras la rescisión de este Acuerdo por cualquier motivo, el socio comercial destruirá toda la información de salud protegida recibida de la entidad cubierta, o creada, mantenida o recibida por el socio comercial en nombre de la entidad cubierta, que el socio comercial aún mantenga en cualquier forma. El socio comercial no conservará copias de la información de salud protegida.
  5. Al finalizar este Acuerdo por cualquier motivo, el socio comercial, con respecto a la información de salud protegida recibida de la entidad cubierta, o creada, mantenida o recibida por el socio comercial en nombre de la entidad cubierta, deberá:
  6. Conservar únicamente la información de salud protegida que sea necesaria para que el socio comercial continúe con su gestión y administración adecuadas o para llevar a cabo sus responsabilidades legales.
  7. Devolver a la entidad cubierta o, si la entidad cubierta lo acepta, destruir la información de salud protegida restante que el socio comercial aún conserva en cualquier forma.
  8. Continuar utilizando las medidas de seguridad apropiadas y cumplir con la Subparte C de 45 CFR Parte 164 con respecto a la información de salud protegida electrónica para evitar el uso o la divulgación de la información de salud protegida, salvo lo dispuesto en esta Sección, mientras el socio comercial conserve la información de salud protegida.
  9. No usar ni divulgar la información de salud protegida retenida por el socio comercial que no sea para los fines para los cuales se retuvo dicha información de salud protegida y sujeto a las mismas condiciones establecidas en las que se aplicaban antes de la rescisión; y
  10. Devolver a la entidad cubierta o, si la entidad cubierta lo acuerda, destruir la información de salud protegida retenida por el socio comercial cuando ya no la necesite para su gestión y administración adecuadas o para cumplir con sus responsabilidades legales.
  11. Las obligaciones del socio comercial en virtud de esta Sección sobrevivirán a la terminación de este Acuerdo.

Diverso

  1. Referencias reglamentarias. Una referencia en este Acuerdo a una sección en las Reglas de HIPAA significa la sección tal como está vigente o modificada.
  2. Las Partes acuerdan tomar las medidas necesarias para modificar este Acuerdo de vez en cuando, según sea necesario para cumplir con los requisitos de las Reglas de HIPAA y cualquier otra ley aplicable.
  3. Cualquier ambigüedad en este Acuerdo se interpretará para permitir el cumplimiento de las Reglas de HIPAA.

El reconocimiento y la aceptación de los Términos de uso de InVision, LLC constituye la aceptación de este Acuerdo.