業務提携契約
対象事業者である顧客、以下「対象事業者」という。対象事業者以下「対象事業者」という。ビジネスアソシエイトは、DischargeRx Software as a Service Agreement(以下「サービス契約」という。サービス契約以下、「業務提携者」という。本業務提携契約(以下「本契約」という。本契約は、医療保険および説明責任法(HIPAA)、経済的および臨床的健康のための医療情報技術(以下「HITECH」という。HITECH")および2013年1月に公表された最終オムニバス・ルールに従って締結されるものです。両当事者は以下のとおり合意する:
- 定義 本契約で使用される以下の用語は、HIPAA規則における用語と同じ意味を有するものとする:漏洩、データ集積、指定記録セット、開示、医療業務、個人、必要最小限、プライバシー慣行に関する通知、保護されるべき医療情報、法律で義務付けられている事項、長官、セキュリティ事故、下請業者、保護されていない保護されるべき医療情報、および使用。
具体的な定義
(a) ビジネス・アソシエート。"業務提携先"は、一般に、45 CFR 160.103の用語 "業務関係者 "と同じ意味を有するものとし、本契約の当事者については、Troy Group, Inc.
(b) 対象事業者。「対象事業体」とは、一般に、45 CFR 160.103 における「対象事業体」と同じ意味を有するものとし、本契約の当事者については、顧客を意味するものとします。
(c) HIPAA規則。"HIPAA規則" とは、45 CFR Part 160 および Part 164 にあるプライバシー、セキュリティ、侵害通知、および施行規則を意味するものとする。
- ビジネス・アソシエートの義務および活動。 ビジネスアソシエイトは以下の事項に同意する:
(a) 本契約により許可または要求された場合、または法令により要求された場合を除き、保護された健康情報を使用または開示しないこと;
(b) 電子的な保護されるべき健康情報に関して、適切な保護措置を使用し、45 CFR Part 164 の Subpart C を遵守し、本契約で規定されている以外の保護されるべき健康情報の使用または開示を防止すること;
(c) 45 CFR 164.410で義務付けられている保護されていない保護された健康情報の漏えい、およびセキュリテ ィインシデントの発生を含む、合意で規定されていない保護された健康情報の使用または開示につい て、対象事業者が気付いた場合は、対象事業者に報告する;
(d) 該当する場合、45 CFR 164.502(e)(1)(ii)および 164.308(b)(2)に従い、業務関係者に代わって保護された健康情報を作成、受 領、維持、または送信する下請業者が、当該情報に関して業務関係者に適用されるのと同じ制限、 条件、および要件に同意することを確認する;
(e)45CFR164.524に基づく対象事業者の義務を満たすために必要な場合、指定された記録セット内の保護されるべき健康情報を対象事業者に提供する;
(f) 45 CFR 164.526に従い、対象事業体によって指示または合意された、指定された記録セット内の保護される健康情報に対する修正を行うか、または45 CFR 164.526に基づく対象事業体の義務を満たすために必要なその他の措置を講じる;
(g) 45 CFR 164.528に基づく対象事業者の義務を満たすために必要な、対象事業者に対する開示の会計を提供するために必要な情報を維持し、利用可能にすること;
(h) 業務関係者が、45 CFR Part 164のサブパートEに基づく対象事業者の義務を1つ以上履行する範囲において、当該義務の履行において対象事業者に適用されるサブパートEの要件を遵守すること。
(i) HIPAA規則の遵守を判断する目的で、その内部慣行、帳簿、および記録を長官に提供すること。
- 業務提携先による許可された使用および開示
(a)業務提携者は、サービス契約におけるサービスの実施に必要な場合に限り、保護されるべき健康情報を使用または開示することができる。業務関連会社は、サービス契約におけるサービスを実施するために必要な場合、45 CFR 164.514(a)~(c)に従い、保護されるべき健康情報を非識別化するために使用する権限を有する。
(b) 業務提携者は、法律で義務付けられている場合、保護された医療情報を使用または開示することができる。
(c) 業務提携者は、保護されるべき健康情報の使用、開示、および要求を、基本サービス契約に定められた目的を達成するために必要な最小限の量に制限することに同意する。
(d)業務関係者は、45 CFR Part 164のサブパートEに違反するような方法で、保護された健康情報を使用または開示してはならない。
- 対象事業者が業務提携先にプライバシー慣行および制限を通知するための規定
(a) 対象事業体は、45 CFR 164.520に基づく対象事業体のプライバシー慣行通知における制限が、事業関連者による保護される健康情報の使用または開示に影響を及ぼす可能性がある限りにおいて、事業関連者に通知するものとする。
(b) 対象事業体は、個人による保護されるべき健康情報の使用または開示の許可の変更または取消しについて、当該変更が業務関係者による保護されるべき健康情報の使用または開示に影響を及ぼす可能性がある限りにおいて、業務関係者に通知するものとする。
(c) 対象事業体は、保護されるべき健康情報の使用または開示に関する制限のうち、対象事業体が 45 CFR 164.522 に基づき同意したもの、または遵守することが義務付けられているものについて、当該制限が業務提携者による保護されるべき健康情報の使用または開示に影響を及ぼす可能性がある限りにおいて、業務提携者に通知するものとする。
- 対象事業者による許容される要請
適用対象事業体は、適用対象事業体によって行われた場合、45 CFR Part 164 の Subpart E において許容されない方法で、保護される健康情報を使用または開示するよう業務提携先に要請してはならない。
- 契約期間と解約
(a) 期間。本契約の有効期間は、基礎となるサービス契約の日付をもって発効するものとし、(i)対象事業体が業務提携者に提供した、または業務提携者が対象事業体に代わって作成もしくは受領した保護されるべき健康情報のすべてが破棄されるか、対象事業体に返却されるか、または保護されるべき健康情報の返却もしくは破棄が実行不可能な場合は当該情報に保護が拡大されるか、または(ii)対象事業体が本条項(b)で承認された理由により終了した日のいずれか早い時点で終了するものとする。
(b) 理由による終了。業務提携者は、業務提携者が本契約の重要な条件に違反し、業務提携者が違反の是正または違反の終結を、業務提携者が指定した期間内に行わなかったと判断した場合、対象事業体による本契約の終了を承認する。
(c) 終了に伴う業務提携者の義務。理由の如何を問わず本契約が終了した場合、業務提携者は、対象事業体から受領した、または対象事業体のために業務提携者が作成、維持、もしくは受領した、業務提携者が現在も何らかの形で維持しているすべての保護されるべき健康情報を、対象事業体に返却するか、または破棄するものとする。
(d) 存続。本条に基づく業務提携者の義務は、本契約の終了後も存続するものとする。
- その他
(a) 規制上の言及。本契約におけるHIPAA規則の各条項への言及は、施行中または改正後の各条項を意味します。
(b) 修正。両当事者は、HIPAA規則およびその他の適用法の要件を遵守するために必要な場合、本契約を随時修正するために必要な措置を講じることに合意する。
(c) 解釈。本契約のいかなる曖昧さも、HIPAA規則の遵守を可能にするように解釈されるものとします。
(d) 責任の制限。法律で禁止されていない限り、本契約に基づくビジネス アソシエイツの責任は、「サービス契約」に定める責任の制限に従うものとする。