HIPAA Business Associate Zusatzvereinbarung

Dieser HIPAA Business Associate Addendum ("BAA") wird zwischen Dispel, LLC ("Dispel") und dem Kunden, der den unten stehenden Bedingungen zustimmt ("Kunde"), geschlossen und ergänzt, ändert und ist in die(n) Dienstleistungsvereinbarung(en) (nachstehend definiert) ausschließlich in Bezug auf die Covered Services (nachstehend definiert) integriert. Dieses BAA tritt in Kraft, wenn der Kunde elektronisch zur Annahme dieses BAA unterschreibt (das "BAA-Wirksamkeitsdatum").

Der Kunde muss eine bestehende Enterprise Subscription Agreement haben, damit dieses BAA gültig und wirksam ist. Zusammen mit der Enterprise Subscription Agreement regelt dieses BAA die jeweiligen Verpflichtungen der Parteien in Bezug auf Protected Health Information (nachstehend definiert).

Sie versichern und garantieren, dass (i) Sie die volle rechtliche Befugnis haben, den Kunden an dieses BAA zu binden, (ii) Sie dieses BAA gelesen und verstanden haben und (iii) Sie im Namen des Kunden den Bedingungen dieses BAA zustimmen. Wenn Sie nicht die rechtliche Befugnis haben, den Kunden zu binden, oder diesen Bedingungen nicht zustimmen, unterschreiben Sie bitte nicht elektronisch zur Annahme der Bedingungen dieses BAA.

1. Definitionen

Alle hier verwendeten, großgeschriebenen Begriffe, die in diesem BAA nicht anderweitig definiert sind, haben die Bedeutung, die ihnen entweder (i) nach HIPAA und dem HITECH-Gesetz oder (ii) in der(n) Dienstleistungsvereinbarung(en) zugewiesen ist.

• „Business Associate“ hat die unter HIPAA in 45 CFR § 160.103 gegebene Definition.

• „Breach“ hat die unter HIPAA in 45 CFR § 164.402 gegebene Definition. Ein Breach umfasst nicht den Erwerb, Zugriff, die Nutzung oder Offenlegung von PHI, in Bezug auf die Dispel gemäß 45 C.F.R. § 164.402 bestimmt hat, dass die Wahrscheinlichkeit, dass die PHI kompromittiert wurde, gering ist.

• „Breach Notification Rule“ bezeichnet die HIPAA Breach Notification Rule, 45 CFR §§ 164.400-414.

• „Covered Entity“ hat die unter HIPAA in 45 CFR § 160.103 gegebene Definition.

• „Covered Services“ bezeichnet die von Dispel speziell unter Covered Products als durch das Dispel Zero Trust Engine BAA abgedeckt identifizierten Produkte und Dienstleistungen.

• „Designated Record Set“ hat die unter HIPAA in 45 CFR § 164.501 gegebene Definition.

• „HIPAA“ bezeichnet den Health Insurance Portability and Accountability Act von 1996 und die daraus resultierenden Regeln und Verordnungen in der jeweils gültigen Fassung, einschließlich der Privacy Rule, der Breach Notification Rule und der Security Rule sowie der durch das HITECH Act vorgenommenen Änderungen an HIPAA.

• „HIPAA Implementation Guide“ bezeichnet den Informationsleitfaden, den Dispel bereitstellt und der beschreibt, wie die Covered Services vom Kunden im Zusammenhang mit den HIPAA-Compliance-Bemühungen des Kunden konfiguriert werden können. Der HIPAA Implementation Guide für die Covered Services ist unter der folgenden URL zur Einsicht verfügbar: HIPAA Compliance.

• „HITECH Act“ bezeichnet den Health Information Technology for Economic and Clinical Health Act, der vom Kongress der Vereinigten Staaten erlassen wurde, welcher Titel XIII des American Recovery & Reinvestment Act ist, und die daraus resultierenden Verordnungen in der jeweils gültigen Fassung.

• „Privacy Rule“ bezeichnet die HIPAA Privacy Rule, 45 CFR Teil 160 und Unterabschnitte A und E von Teil 164.

• „Protected Health Information“ oder „PHI“ hat die unter HIPAA in 45 CFR § 160.103 gegebene Definition und ist für Zwecke dieses BAA auf PHI innerhalb der Kundendaten beschränkt, auf die Dispel im Rahmen der erlaubten Nutzung der Covered Services durch den Kunden Zugriff hat.

• „Required by Law“ hat die unter HIPAA in 45 CFR § 160.103 gegebene Definition.

• „Security Incident“ hat die unter HIPAA in 45 CFR § 164.304 gegebene Definition.

• „Services Agreement(s)“ bezeichnet die schriftliche Vereinbarung(en), die zwischen Dispel und dem Kunden zur Bereitstellung der Covered Services geschlossen wurden; diese Vereinbarung(en) können in Form von Online-Nutzungsbedingungen vorliegen, einschließlich der Enterprise Subscription Agreement.

• „Security Rule“ bezeichnet die HIPAA Security Rule, 45 CFR Teile 160 und 164, Unterabschnitte A und C.

2. Anwendbarkeit dieses BAA

Dieses BAA gilt, soweit der Kunde als Covered Entity oder als Business Associate handelt, um PHI über einen Covered Service zu erstellen, zu empfangen, zu pflegen oder zu übermitteln, und soweit Dispel deshalb als Business Associate oder Unterauftragnehmer des Kunden nach HIPAA handelt. Dieses BAA gilt nicht für ein Produkt, eine Dienstleistung oder eine Funktion von Dispel, die kein Covered Service ist. Dieses BAA gilt nicht für PHI, die der Kunde außerhalb der Covered Services erstellt, empfängt, pflegt oder übermittelt (einschließlich der Nutzung durch den Kunden von Offline- oder On-Premise-Speicherwerkzeugen oder Anwendungen Dritter).

3. Zulässige und erforderliche Nutzung und Offenlegung von Protected Health Information

(a) Durchführung der Vereinbarung. Sofern in diesem BAA nicht anderweitig beschränkt, darf Dispel PHI nur für oder im Namen des Kunden verwenden und offenlegen, wie es durch die Services Agreements, dieses BAA oder wie gesetzlich vorgeschrieben zulässig oder erforderlich ist.

(b) Verwaltung, Administration und rechtliche Verpflichtungen. Dispel darf PHI für das ordnungsgemäße Management und die Verwaltung des Geschäftsbetriebs von Dispel und/oder zur Erfüllung der gesetzlichen Verpflichtungen von Dispel verwenden und offenlegen, vorausgesetzt, jede Offenlegung von PHI durch Dispel zu solchen Zwecken darf nur erfolgen, wenn: (i) gesetzlich vorgeschrieben; oder (ii) Dispel angemessene Maßnahmen ergreift, um sicherzustellen, dass jede Person, gegenüber der PHI offengelegt wird, an schriftliche Verpflichtungen gebunden ist, die denselben materiellen Schutz für PHI bieten wie dieses BAA.

4. Verpflichtungen von Dispel in Bezug auf Protected Health Information

Wenn Dispel unter diesem BAA als Business Associate handelt, erfüllt Dispel die folgenden Verpflichtungen:

1. Angemessene Schutzmaßnahmen. Dispel wird geeignete Schutzmaßnahmen einsetzen, die darauf ausgelegt sind, unbefugte Nutzung oder Offenlegung von PHI zu verhindern und wie sonst unter HIPAA erforderlich, in Bezug auf die Covered Services. Dispel wird alle Anforderungen der HIPAA Security Rule in Bezug auf elektronische PHI umsetzen.

2. Meldung und damit zusammenhängende Verpflichtungen.

   1. Sicherheitsvorfall- und Verletzungsberichterstattung. Dispel wird den Kunden unverzüglich benachrichtigen über (i) jeden Security Incident, von dem Dispel Kenntnis erlangt, vorbehaltlich Abschnitt 4(2)(c); und (ii) jede Breach, die Dispel entdeckt, einschließlich Verstößen gegen ungesicherte PHI gemäß 45 CFR § 164.410 der Breach Notification Rule, wobei jede Mitteilung über eine Breach unverzüglich und ohne unzumutbare Verzögerung erfolgen wird. Mitteilungen nach diesem Abschnitt werden, soweit möglich, Einzelheiten einer Breach beschreiben, einschließlich der ergriffenen Maßnahmen zur Minderung der potenziellen Risiken und der Maßnahmen, die Dispel dem Kunden empfiehlt, um die Breach zu beheben.

   2. Benachrichtigung. Dispel wird alle anwendbaren Benachrichtigungen an die in der Vereinbarung vom Kunden angegebene Benachrichtigungs-E-Mail-Adresse oder über direkte Kommunikation mit dem Kunden senden.

   3. Erfolglos gebliebene Versuche. Ungeachtet Abschnitt 4(1)(a) gilt dieser Abschnitt 4(2)(c) als Mitteilung an den Kunden, dass Dispel periodisch erfolglose Versuche (einschließlich, aber nicht beschränkt auf Pings, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe, Port-Scans und Versuche) zum unbefugten Zugriff, zur Nutzung, Offenlegung, Änderung oder Zerstörung von Informationen oder zur Störung des allgemeinen Betriebs von Dispels Systemen und der Covered Services erhält. Der Kunde erkennt an und stimmt zu, dass Dispel, selbst wenn solche Ereignisse einen Security Incident darstellen, nicht verpflichtet ist, irgendeine Benachrichtigung gemäß diesem BAA über derartige erfolglose Versuche hinaus dieser Abschnitt 4(2)(c) bereitzustellen.

3. Unterauftragnehmer. Gemäß 45 CFR §§ 164.502(e)(1)(ii) und 164.308(b)(2) von HIPAA wird Dispel angemessene Maßnahmen ergreifen, um sicherzustellen, dass alle von Dispel zur Erfüllung seiner Verpflichtungen aus der Vereinbarung eingesetzten Unterauftragnehmer, die Zugriff auf PHI im Namen von Dispel benötigen, an schriftliche Verpflichtungen gebunden sind, die denselben materiellen Schutz für PHI bieten wie dieses BAA. Soweit Dispel Unterauftragnehmer bei der Erfüllung seiner Verpflichtungen hierunter einsetzt, bleibt Dispel für deren Leistung verantwortlich, als ob diese von Dispel selbst erbracht wurden.

4. Zugriff und Berichtigung. Der Kunde erkennt an und stimmt zu, dass der Kunde allein für die Form und den Inhalt der vom Kunden innerhalb der Covered Services gepflegten PHI verantwortlich ist, einschließlich der Frage, ob der Kunde solche PHI innerhalb der Covered Services in einem Designated Record Set führt. Die Parteien erkennen an und stimmen zu, dass Dispel für den Kunden kein PHI in einem Designated Record Set führt. Dispel wird PHI für Berichtigungen zur Verfügung stellen (und etwaige Berichtigungen einbeziehen, falls erforderlich) und Abrechnungen gemäß 45 CFR § 164.526 und 45 CFR § 164.528 der Privacy Rule durchführen. Dispel wird dem Kunden Zugriff auf die PHI des Kunden über die Covered Services gewähren, damit der Kunde seinen Verpflichtungen nach HIPAA in Bezug auf die Rechte einzelner Personen auf Zugriff und Berichtigung nachkommen kann, hat jedoch keine weiteren Verpflichtungen gegenüber dem Kunden oder einer betroffenen Person hinsichtlich der nach HIPAA gewährten Rechte in Bezug auf Designated Record Sets, einschließlich Zugriffs- oder Berichtigungsrechten an PHI. Der Kunde ist dafür verantwortlich, seine Nutzung der Covered Services so zu verwalten, dass er angemessen auf solche individuellen Anfragen reagiert.

5. Aufzeichnung von Offenlegungen. Auf Anfrage des Kunden wird Dispel Offenlegungen von PHI durch Dispel dokumentieren und dem Kunden eine Abrechnung solcher Offenlegungen in dem Umfang und soweit zur Verfügung stellen, wie es einem Business Associate nach HIPAA und gemäß den für einen Business Associate geltenden Anforderungen vorgeschrieben ist. Da Dispel nicht ohne Weiteres feststellen kann, welche Personen identifiziert sind oder welche Arten von PHI in den vom Kunden oder einem der Endnutzer des Kunden im Rahmen des Kundenkontos in die Covered Services eingestellten PHI enthalten sind, ist der Kunde allein dafür verantwortlich, etwaige Individuen zu identifizieren, die in PHI enthalten gewesen sein könnten, die Dispel offengelegt hat, und eine Beschreibung der offengelegten PHI bereitzustellen.

6. Zugriff des Secretary auf Unterlagen. Dispel stellt seine internen Praktiken, Bücher und Aufzeichnungen bezüglich der Nutzung und Offenlegung von vom Kunden empfangener PHI oder von Dispel im Auftrag des Kunden erstellter oder empfangener PHI dem Secretary des U.S. Department of Health and Human Services (dem „Secretary“) zum Zweck der Überprüfung der Einhaltung dieses BAA zur Verfügung, soweit dies gesetzlich erforderlich ist und unterliegt allen geltenden gesetzlichen Privilegien. Der Datenschutzerklärung Abschnitt der Datenschutzerklärung findet auf Dispels Antwort auf derartige Anfragen des Secretary Anwendung.

7. Rückgabe/Vernichtung von Informationen. Bei Beendigung der Vereinbarung wird Dispel alle vom Kunden erhaltenen PHI oder von Dispel im Auftrag des Kunden erstellte oder erhaltene PHI zurückgeben oder vernichten; vorausgesetzt jedoch, dass, falls eine solche Rückgabe oder Vernichtung nicht durchführbar ist, Dispel den Schutz dieses BAA auf die nicht zurückgegebenen oder nicht vernichteten PHI ausdehnt und weitere Nutzungen und Offenlegungen auf solche Zwecke beschränkt, die die Rückgabe oder Vernichtung der PHI unpraktikabel machen.

8. Erfüllung der Verpflichtungen einer Covered Entity. Soweit Dispel schriftlich zustimmt, eine Verpflichtung einer Covered Entity nach der Privacy Rule zu erfüllen, wird Dispel die auf eine solche Verpflichtung anwendbaren Anforderungen einhalten.

5. Verpflichtungen des Kunden in Bezug auf Protected Health Information

1. Unzulässige Anfragen. Der Kunde wird Dispel oder die Covered Services nicht auffordern, PHI in einer Weise zu verwenden oder offenzulegen, die nach HIPAA nicht zulässig wäre, wenn dies vom Kunden (sofern der Kunde eine Covered Entity ist) oder von der Covered Entity, für die der Kunde ein Business Associate ist, durchgeführt würde (es sei denn, dies ist nach HIPAA für einen Business Associate ausdrücklich erlaubt).

2. Verwendung von Service-Steuerelementen. Für die Endnutzer des Kunden, die die Covered Services im Zusammenhang mit PHI nutzen, wird der Kunde die innerhalb der Dienste verfügbaren Kontrollen verwenden, einschließlich der in der HIPAA Implementation Guide, um sicherzustellen, dass seine Nutzung von PHI auf die Covered Services beschränkt ist. Der Kunde erkennt an und stimmt zu, dass der HIPAA Implementation Guide von Dispel ausschließlich als optionaler, informativer Leitfaden in Bezug auf die Konfigurationsoptionen des Kunden bereitgestellt wird und dass der Kunde allein dafür verantwortlich ist, sicherzustellen, dass seine und die Nutzung der Covered Services durch seine Endnutzer mit HIPAA und dem HITECH Act übereinstimmt.

3. Angemessene Schutzmaßnahmen. Der Kunde wird geeignete Schutzmaßnahmen einsetzen, die darauf ausgelegt sind, unbefugte Nutzung oder Offenlegung von PHI zu verhindern und wie sonst unter HIPAA erforderlich, in Bezug auf die Covered Services.

6. Laufzeit und Beendigung dieses Business Associate Addendum

1. Laufzeit. Die Laufzeit ("Laufzeit") dieses BAA beginnt am BAA-Wirksamkeitsdatum und endet mit dem früheren der folgenden Zeitpunkte: (i) der Beendigung gemäß Abschnitt 6 oder (ii) dem Ablauf oder der Beendigung aller Services Agreements, unter denen der Kunde Zugriff auf einen Covered Service hat.

2. Beendigung bei Verstoß. Wenn eine Partei dieses BAA wesentlich verletzt, kann die nicht verletzende Partei dieses BAA mit einer Frist von 10 Tagen schriftlicher Mitteilung ("Kündigungsfrist") an die verletzende Partei kündigen, sofern der Verstoß nicht innerhalb der Kündigungsfrist behoben wird. Wenn eine Heilung nach diesem Abschnitt 6(2) nicht vernünftigerweise möglich ist, kann die nicht verletzende Partei dieses BAA sofort kündigen, oder falls weder Kündigung noch Heilung nach diesem Abschnitt 6(2) vernünftigerweise möglich sind, kann die nicht verletzende Partei den Verstoß dem Secretary melden, vorbehaltlich aller anwendbaren gesetzlichen Privilegien.

3. Nutzung der Dienste nach Beendigung. Wenn dieses BAA früher als die Services Agreements beendet wird, kann der Kunde die Dienste weiterhin gemäß den Services Agreements nutzen, unter der Bedingung, dass der Kunde vor Ablauf der Kündigungsfrist alle PHI löscht, die er in den Covered Services führt, und unverzüglich nach der Beendigung keine derartigen PHI mehr an Dispel erstellt, empfängt, pflegt oder übermittelt.

7. Sonstiges

1. Fortbestand. Die Abschnitte 4(7) (Rückgabe/Vernichtung von Informationen) und 7 (Sonstiges) bleiben nach Beendigung oder Ablauf dieses BAA in Kraft.

2. Auswirkungen des BAA. Soweit dieses BAA mit dem Rest der(n) Services Agreement(s) in Konflikt steht, hat dieses BAA Vorrang. Dieses BAA unterliegt dem „Anwendbares Recht, Zuständigkeit und Gerichtsstand“-Abschnitt in der(n) Services Agreement(s). Sofern in diesem BAA nicht ausdrücklich geändert oder ergänzt, bleiben die Bestimmungen der(n) Services Agreement(s) in vollem Umfang in Kraft.

3. Keine Drittbegünstigten. Dieses BAA gewährt keiner anderen Person als dem Kunden und Dispel sowie deren jeweiligen Rechtsnachfolgern oder Abtretungsempfängern Rechte oder Pflichten aus diesem BAA.