Acuerdo de socio comercial de la HIPAA

Este Acuerdo de Asociado Comercial ("BAA") forma parte de las Condiciones de Servicio de CurbCutOS u otro acuerdo que rija el uso de los servicios de CurbCutOS ("Acuerdo"), tanto si es un cliente existente que aceptó el Acuerdo como si es un cliente nuevo que acepta el Acuerdo ahora, y solo se le aplicará si utiliza la suscripción de nivel empresarial y ha habilitado la función de cumplimiento de la HIPAA en la Plataforma. Usted reconoce que, en su propio nombre como individuo o en nombre de su empleador o sus Afiliados Autorizados (colectivamente, "Entidad Cubierta" "usted", "su" o el "Cliente") ha leído y entendido y acepta cumplir con este BAA, y está entrando en un acuerdo legal vinculante con CurbCutOS Inc, el propietario de CurbCutOS ("CurbCutOS", "nosotros", "nuestro", o "Asociado de Negocios")."Afiliado autorizado" hace referencia a cualquiera de las filiales del Cliente a las que se permite explícitamente utilizar los Servicios de conformidad con el Acuerdo entre el Cliente y CurbCutOS, pero que no ha firmado su propio acuerdo con CurbCutOS y no es un "Cliente" tal y como se define en el Acuerdo. "Servicios" hace referencia a la plataforma del sistema operativo de trabajo basado en la nube ("Plataforma") y a cualquier otro servicio prestado al Cliente por CurbCutOS en virtud del Acuerdo. En la medida en que el Cliente acepte el presente BAA en relación con el uso que haga de nuestros Servicios en nombre de una entidad que sea un "asociado comercial", según se define en la HIPAA, de una o más entidades cubiertas por la HIPAA y que no sea en sí misma una entidad cubierta por la HIPAA, CurbCutOS reconoce que está funcionando como un "subcontratista" en virtud del presente, según se define en 45 C.F.R. § 160.103 y que el término "Entidad cubierta", tal y como se utiliza en el presente documento, se considerará terminología contractual y no implicará que usted sea una entidad cubierta tal y como se define en la HIPAA. Ambas partes se denominarán las "Partes" y cada una, una "Parte".

En el transcurso de la prestación de los Servicios de conformidad con el Contrato, el Socio comercial podrá acceder, utilizar, divulgar, almacenar y/o procesar la PHI en nombre de la Entidad cubierta. El BAA refleja el acuerdo de las Partes sobre la forma en que el Socio comercial utiliza y/o divulga la Información médica protegida ("PHI") de la Entidad cubierta en nombre de la Entidad cubierta. Los términos en mayúscula no definidos en el presente documento tendrán el significado que se les asigna en el Contrato o según se definen en la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996, con sus modificaciones, y sus reglamentos de implementación, según se actualicen periódicamente (en conjunto, "HIPAA"). Usted declara y garantiza que tiene, o se le ha concedido, plena autoridad para vincular a la Entidad cubierta a este BAA. Si no puede o no está de acuerdo en cumplir y estar obligado por este BAA o no tiene autoridad para obligar a la Entidad Cubierta, por favor no nos proporcione o nos dé acceso a la PHI.

‍Parafirmar un BAA con nosotros, por favor póngase en contacto con su miembro del equipo de experiencia del cliente. En caso de conflicto entre ciertas disposiciones de este BAA y las disposiciones del Contrato, prevalecerán las disposiciones de este BAA.

Las Partes acuerdan cumplir con las siguientes disposiciones con respecto a cualquier PHI que la Entidad Cubierta proporcione al Socio Comercial para que el Socio Comercial preste los Servicios.

1. Usos y divulgaciones permitidos.

El Socio comercial podrá utilizar y divulgar la PHI necesaria para cumplir con sus obligaciones para con la Entidad cubierta según lo establecido en el Contrato o según lo permitido o exigido por la Ley en virtud de la HIPAA, siempre que el Socio comercial no utilice ni divulgue la PHI de un modo que no estaría permitido si lo hiciera la Entidad cubierta. El Socio comercial también podrá:

(a) utilizar la PHI (i) según sea necesario para su correcta gestión y administración, o (ii) para llevar a cabo sus responsabilidades legales; y

(b) divulgar la PHI a terceros para los mismos fines siempre que (i) la divulgación sea exigida por ley o (ii) el Socio comercial obtenga garantías satisfactorias de dicho tercero de que la PHI se mantendrá confidencial y se utilizará o divulgará únicamente según lo exija la ley o para el fin para el que se divulgó y que el tercero notificará al Socio comercial cualquier caso del que tenga conocimiento en el que se haya violado la confidencialidad de la PHI.

El Asociado de Negocio sólo utilizará, divulgará y solicitará la PHI Mínimamente Necesaria para cumplir con el propósito del uso, divulgación o solicitud.

2.Obligaciones del asociado comercial.

(a)         Limitation on Disclosure. The Business Associate agrees not to use or further disclose PHI other than as permitted under the Agreement or BAA, or as Required by Law

(b)         Safeguards. The Business Associate agrees to implement administrative, physical, and technical safeguards that reasonably and appropriately protect the confidentiality, integrity, and availability of the PHI that it creates, receives, stores, maintains or transmits on behalf of the Covered Entity pursuant to this BAA and the Agreement, and shall prevent the use or disclosure of Covered Entity’s PHI other than as provided for in this BAA, Agreement or as Required by Law.

(c)         Mitigation. The Business Associate agrees to mitigate, to the extent practicable, any harmful effect that is known to the Business Associate of a use or disclosure of PHI by the Business Associate in violation of the requirements of the BAA.

(d)         Use of Agents/Subcontractors. The Business Associate agrees to ensure that any agents, including a subcontractor, to whom the Business Associate provides PHI received from, or created or received by, Business Associate on behalf of the Covered Entity, agree to restrictions and conditions with respect to use and disclosure of PHI that are no less restrictive than those that apply to the Business Associate under this BAA.

(e)         Access to PHI. Within fifteen (15) days of receiving a written request from the Covered Entity or an Individual for a copy of PHI within a Designated Record Set, the Business Associate agrees to make the requested PHI available to the Covered Entity to enable the Covered Entity to respond to an Individual who seeks to inspect or copy his/her PHI. The Business Associate is required to comply with the Security Rule with respect to electronic PHI, including but not limited to, making available upon written request, copies of PHI in electronic format, when PHI is stored electronically. Any disclosure of, or decision not to disclose the PHI requested by an Individual and compliance with the requirements applicable to an Individual’s right to access PHI shall be the sole responsibility of the Covered Entity.

(f)         Amendment of PHI. Within fifteen (15) days of receiving a written request from the Covered Entity to make an amendment to PHI within a Designated Record Set, the Business Associate will make such amendment and will inform the Covered Entity that an amendment has been made. If the Business Associate receives an amendment request directly from an Individual, the Business Associate shall notify Covered Entity of the request within fifteen (15) days of receiving a written request from the Individual.

(g)         Accounting of Certain Disclosures.  Within thirty (30) days of receiving a written request from the Covered Entity for an accounting of disclosures of PHI about an Individual, the Business Associate shall provide to the Covered Entity a listing of the persons or entities to which the Business Associate has disclosed PHI about the Individual within the prior six (6) years, along with the dates of, reasons for, and brief descriptions of the disclosures to enable the Covered Entity to respond to an Individual seeking an accounting of the disclosures of the Individual’s PHI in accordance with 45 C.F.R. § 164.528.

(h)         Access to Books and Records.  The Business Associate shall make its internal practices, books, and records relating to the use and disclosure of PHI received from, created by, or received by the Business Associate on behalf of the Covered Entity available upon request to the Secretary of the U.S. Department of Health and Human Services so that it may evaluate the Covered Entity’s compliance with the Privacy Rule.

(i)         Obligations of Business Associate Upon Termination. The Business Associate shall, upon termination or expiration of this BAA, if feasible, return or allow the Covered Entity to destroy all PHI received from, processed by, or received by the Business Associate on behalf of the Covered Entity, that the Business Associate still maintains in any form in connection with this BAA and the Agreement through a deletion option provided by Business Associate in the Platform and retain no copies of such PHI except as otherwise set forth in Section 5(b) of this BAA or the Agreement. If such return or destruction is not feasible as determined by the Business Associate, Business Associate will extend the protections of this BAA to the PHI and limit further uses and disclosures to those purposes that make the return or destruction of the PHI infeasible.

(j)         Reporting of Security Incident. The Business Associate shall report to the Covered Entity any Security Incident of which it becomes aware.  Under 45 C.F.R. § 164.304, a Security Incident is defined as the attempted or successful unauthorized access, use, disclosure, or destruction of information or interference with system operations in an information system.  Notwithstanding the foregoing, the Parties acknowledge and agree that this Section constitutes notice by Business Associate to Covered Entity of the ongoing existence and occurrence of attempted but Unsuccessful Security Incidents.  Unsuccessful Security Incidents shall include, but not be limited to, pings and other broadcast attacks on Business Associate’s firewall, port scans, unsuccessful log-on attempts, denials of service and any combination of the above, or through any other mechanism so long as no such incident results in Unauthorized access, use or disclosure of PHI.

3.Procedimientos de notificación de violaciones.

(a) Notificación de la violación de la PHI no segura. El Socio comercial acepta notificar a la Entidad cubierta cualquier Infracción de la PHI no segura. Dicha notificación se realizará inmediatamente a la Entidad cubierta por escrito y sin demoras injustificadas, pero en ningún caso más tarde de treinta (30) días a partir de la fecha en que el Socio comercial tuvo conocimiento de dicha infracción o, si hubiera actuado con diligencia razonable, debería haber tenido conocimiento de la misma.Además, en caso de que se produzca una Violación de la PHI no segura, el Asociado de Negocio mitigará, en la medida de lo posible, cualquier efecto perjudicial de dicha Violación.

(b) Instrucciones para informar de una Violación de la PHI no segura. Una vez que el Asociado comercial tenga conocimiento de una Infracción de la PHI no segura, el Asociado comercial lo notificará a la Entidad cubierta y, en dicha notificación, el Asociado comercial incluirá, en la medida en que se conozca y esté disponible, la siguiente información: (1) una breve descripción de lo sucedido, incluyendo la fecha del incidente y la fecha del descubrimiento del incidente; (2) la identificación de cada individuo cuya PHI fue divulgada o potencialmente divulgada; (3) una descripción de los tipos de PHI que estuvieron involucrados en el incidente; (4) cualquier medida que los individuos deban tomar para protegerse del daño potencial resultante del incidente; y (5) una breve descripción de lo que el Asociado de Negocio está haciendo para investigar el incidente, mitigar el incidente y protegerse contra cualquier otro incidente. Si dicha información no está disponible en el momento de la notificación, el Socio comercial trabajará razonablemente con la Entidad cubierta para proporcionar más información tan pronto como esté disponible.

4.Cambios relacionados con el cumplimiento.

Las Partes reconocen que la HIPAA puede cambiar o aclararse de vez en cuando, y que puede ser necesario revisar los términos de este BAA, con el asesoramiento de un abogado, para seguir cumpliendo con dichos cambios o aclaraciones. Las Partes acuerdan negociar, de buena fe, las revisiones de los términos de este BAA que causen la violación o incumplimiento potencial o real.

5.Plazo y terminación.

(a) Vigencia.El presente BAA entrará en vigor al hacer clic en "Acepto" en la Plataforma CurbCutOS al habilitar la función de cumplimiento de la HIPAA (solo aplicable a la suscripción de nivel empresarial), incluso si ha firmado anteriormente la versión en línea según lo establecido anteriormente, y finalizará a la terminación o expiración del presente BAA, del Contrato, o cuando toda la PHI procesada o recibida por el Socio comercial en nombre de la Entidad cubierta sea, de conformidad con este BAA, destruida o devuelta al Cliente o, si las Partes determinan que no es factible devolver o destruir la PHI, se amplíen las protecciones a dicha información, de conformidad con los términos del Contrato y este BAA.

(b) Rescisión.Sin perjuicio de cualquier otra disposición de cualquier acuerdo, cualquiera de las Partes podrá rescindir inmediatamente el presente CAA si cualquiera de ellas, actuando razonablemente, determina que la otra Parte ha incumplido una cláusula importante del presente CAA y no ha puesto remedio a dicho incumplimiento en un plazo de treinta (30) días a partir de la recepción de una notificación por escrito al respecto. A la finalización del Acuerdo, del CCOA o de los usos y/o divulgaciones de la PHI por parte del Asociado comercial, el Asociado comercial deberá, si es posible, devolver o permitir que la Entidad cubierta destruya toda la PHI recibida, creada o mantenida por el Asociado comercial en nombre de la Entidad cubierta, o conservada por el Asociado comercial en nombre de la Entidad cubierta que el Asociado comercial aún conserve de cualquier forma en relación con este BAA mediante una opción de eliminación automática proporcionada por el Asociado comercial en la Plataforma y, tras la devolución o eliminación, no conservará ninguna copia de dicha información, excepto una copia utilizada únicamente con fines probatorios y/o para el establecimiento, ejercicio o defensa de reclamaciones legales y/o para el cumplimiento de obligaciones legales. 

6.Obligaciones de la entidad cubierta.

(a) Aviso de prácticas de privacidad. La Entidad cubierta proporcionará al Socio comercial el aviso de prácticas de privacidad que la Entidad cubierta elabore de acuerdo con 45 C.F.R. § 164.520, así como cualquier cambio en dicho aviso.

(b) Revocación del uso o divulgación permitidos de la PHI. La Entidad cubierta comunicará al Socio comercial cualquier cambio o revocación del permiso de una Persona para utilizar o divulgar la PHI, si dichos cambios afectan a los usos y divulgaciones permitidos o requeridos del Socio comercial.

(c) Restricciones en el uso o divulgación de la PHI. La Entidad cubierta notificará al Socio comercial, por escrito, cualquier restricción al uso o divulgación de la PHI que la Entidad cubierta haya acordado de conformidad con 45 C.F.R. § 164.522.

(d) Mínimo necesario. La Entidad cubierta proporcionará al Socio comercial sólo la PHI mínima necesaria para que el Socio comercial realice o cumpla una función específica requerida o permitida en virtud del presente.

7.7. Varios.

(a) Integración e intercambio. La Plataforma del Socio comercial permite integrar, compartir e intercambiar información con Servicios de terceros y Enlaces (ambos, según se definen en el Contrato) que pueden o no cumplir con la ley HIPAA. Si la Entidad cubierta decide utilizar dichos Servicios y/o Enlaces de terceros, la Entidad cubierta es la única responsable del intercambio de información, incluida cualquier PHI entre los servicios del Socio comercial y el tercero. Los proveedores de Servicios de Terceros no prestan servicios relativos a la PHI en nombre de CurbCutOS y no son asociados comerciales de CurbCutOS. Por la presente, CurbCutOS rechaza expresamente cualquier responsabilidad por cualquier uso, divulgación u otra acción realizada por dichos proveedores de Servicios de terceros o cualquier incumplimiento por parte de la Entidad cubierta de cualquier ley, reglamento o disposición contractual aplicable relacionada con el intercambio de información, incluida la PHI, con cualquiera de dichos Servicios de terceros.

(b) Enmienda. La Entidad cubierta y el Socio comercial acuerdan enmendar este BAA en la medida en que sea necesario para permitir que la Entidad cubierta o el Socio comercial cumplan con la ley HIPAA enmendada por el Secretario del Departamento de Salud y Servicios Humanos u otras reglamentaciones o estatutos relacionados. El Socio comercial podrá modificar el presente Acuerdo de delegación de servicios para introducir cambios menores (por ejemplo, erratas, cambios gramaticales y/o cambios no sustanciales) con o sin previo aviso a la Entidad cubierta. Las partes acordarán mutuamente cualquier modificación sustancial del presente Acuerdo. En caso de que cualquiera de las Partes, actuando razonablemente, no pueda acordar términos nuevos o modificados según se requiera para que el BAA cumpla con los requisitos, cualquiera de las Partes podrá rescindir este BAA mediante notificación por escrito a la otra Parte con treinta (30) días de antelación, o antes si fuera necesario para evitar el incumplimiento de un requisito de la HIPAA.

(c) Auditorías. En la medida en que sea necesario para cumplir con la legislación aplicable, el Asociado comercial proporcionará a la Entidad cubierta (y a los organismos reguladores de la Entidad cubierta) acceso durante el horario laboral y previa notificación por escrito razonable (no inferior a catorce (14) días) al personal del Asociado comercial, así como coordinación previa con el mismo, a los registros del Asociado comercial y otra información pertinente, todo ello en la medida en que sea relevante para auditar el cumplimiento por parte del Asociado comercial de sus obligaciones en virtud del presente BAA. El Socio comercial proporcionará toda la asistencia que solicite razonablemente la Entidad cubierta o su representante para llevar a cabo dicha auditoría.

(d) Ausencia de terceros beneficiarios. Ninguna disposición expresa o implícita de este Acuerdo de entidad comercial pretende conferir, ni conferirá, a ninguna persona que no sea la Entidad cubierta, el Socio comercial y sus respectivos sucesores y cesionarios, derechos, recursos, obligaciones o responsabilidades de ningún tipo.

(e) Notificaciones.Todas las notificaciones que deban enviarse a cualquiera de las Partes en virtud del presente Acuerdo de entidad comercial se realizarán por escrito y se enviarán a través de un transportista rastreable, incluido el correo electrónico, de conformidad con los términos del Acuerdo.Las notificaciones surtirán efecto en el momento de su recepción.

f) Legislación aplicable. El presente BAA se regirá e interpretará de conformidad con las leyes que rigen el Acuerdo entre las Partes, sin tener en cuenta sus disposiciones en materia de conflicto de leyes.

El presente BAA sustituye a cualquier BAA anterior entre las Partes relacionado con el objeto del mismo.

Última actualización: 7 de febrero de 2022