Produkte entdecken
Produkte entdecken

Zusatzmenü

Business Associate Addendum

Dieses Business Associate Addendum („BAA“) ist Teil der Vereinbarung des Kunden mit GoTo und unterliegt deren Bedingungen. Es ersetzt alle in der Vereinbarung (einschließlich der DPA) enthaltenen Verpflichtungen, soweit diese im Widerspruch zueinander stehen, und gilt ausschließlich in Bezug auf die Verarbeitung geschützter Gesundheitsdaten durch GoTo. Dieses BAA tritt mit dem Datum der letzten Unterschrift unten in Kraft („Datum des Inkrafttretens“).

IN DER ERWÄGUNG, dass GoTo vertraglich verpflichtet ist, dem Kunden im Rahmen der Vereinbarung bestimmte Dienste zu erbringen; und

IN DER ERWÄGUNG, dass der Kunde beabsichtigt, die Dienste in einer Weise zu nutzen, die es erforderlich machen kann, dass GoTo geschützte Gesundheitsdaten über die Dienste verarbeitet; und

IN DER ERWÄGUNG, dass die Parteien, soweit anwendbar, verpflichtet sind, ihre Verpflichtungen gemäß dem Health Insurance Portability and Accountability Act von 1996, geändert durch den Health Information Technology for Economic and Clinical Health Act, Pub. L. 111-5 („HIPAA“), in der jeweils gültigen Fassung zu erfüllen.

DAHER legt dieses BAA die Bedingungen fest, unter denen geschützte Gesundheitsdaten, einschließlich elektronischer geschützter Gesundheitsdaten, behandelt werden. Die Parteien vereinbaren wie folgt:

  1. Begriffsbestimmungen
    • 1.1 Allgemeine Definitionen. Alle definierten Begriffe in diesem BAA, die nicht anderweitig in der Vereinbarung (einschließlich der DPA) definiert sind, haben die gleiche Bedeutung wie die Begriffe in den HIPAA-Regeln.
    • 1.2 Spezifische Definitionen. Für die Zwecke dieses BAA haben die folgenden Begriffe die angegebene Bedeutung, wenn der Begriff mit Großbuchstaben am Anfang erscheint:
      • 1.2.1 „Verletzung“ bezeichnet den Erwerb, den Zugriff, die Verwendung oder die Offenlegung von PHI in einer Weise, die nicht durch den HIPAA erlaubt ist und die die Sicherheit oder den Datenschutz der PHI gefährdet, es sei denn, ein solcher Erwerb, ein solcher Zugriff, eine solche Verwendung oder eine solche Offenlegung ist anderweitig gemäß 45 C.F.R. § 164.402 ausgeschlossen.
      • 1.2.2 „Business Associate“ hat die gleiche Bedeutung wie der Begriff in 45 C.F.R. § 160.103 definiert ist.
      • 1.2.3 „Abgedeckter Rechtsträger“ hat die gleiche Bedeutung wie der Begriff in 45 C.F.R. § 164.103 definiert ist.
      • 1.2.4 „Festgelegter Datensatz“ bezeichnet eine Gruppe von Datensätzen, die vom oder für den Kunden im Sinne von 45 C.F.R. § 164.501 geführt werden und aus folgenden Elementen bestehen: (i) die von oder für einen Gesundheitsplan unterhaltenen Datensysteme für Einschreibung, Zahlung, Anspruchsbeurteilung und Fall- oder Medizinmanagement; oder (ii) Datensätze, die ganz oder teilweise vom oder für den Kunden verwendet werden, um Entscheidungen über Einzelpersonen zu treffen. Für die Zwecke dieses Abschnitts bezeichnet der Begriff „Datensatz“ jedes Element, jede Sammlung oder Gruppierung von Informationen, die PHI enthalten und von oder für die betroffene Einrichtung aufbewahrt, erhoben, verwendet oder verbreitet werden.
      • 1.2.5 „Elektronische PHI oder ePHI“ bezeichnet PHI in elektronischer Form.
      • 1.2.6 „HIPAA-Bestimmungen“ bezeichnet die Bestimmungen zum Datenschutz, zur Sicherheit, zur Meldung von Verstößen und zur Durchsetzung der Bestimmungen in 45 C.F.R. Part 160 und Part 164.
      • 1.2.7 „Einzelperson“ hat die gleiche Bedeutung wie der Begriff in 45 C.F.R. § 160.103 definiert ist und schließt eine Person ein, die als persönlicher Vertreter gemäß 45 C.F.R. § 164.502(g) qualifiziert ist.
      • 1.2.8 „Datenschutzbestimmung“ bezeichnet die Standards for Privacy of Individually Identifiable Health Information unter 45 C.F.R. Part 160 und Part 164, Subparts A und E.
      • 1.2.9 „Geschützte Gesundheitsdaten“ oder „PHI“ hat die gleiche Bedeutung wie der Begriff in 45 C.F.R. § 160.103 definiert ist, beschränkt auf solche Informationen, die der Kunde GoTo im Rahmen der Vereinbarung zur Verfügung stellt.
      • 1.2.10 „Gesetzlich vorgeschrieben“ hat die gleiche Bedeutung wie der Begriff in 45 C.F.R. § 164.103 definiert ist.
      • 1.2.11 „Gesundheitsminister(in)“ bezeichnet den Gesundheitsminister bzw. die Gesundheitsministerin der Vereinigten Staaten (United States Secretary of the Department of Health and Human Services, „HHS“) oder seinen bzw. ihren Beauftragten.
      • 1.2.12 „Sicherheitsregel“ bezeichnet die Sicherheitsstandards in 45 C.F.R. Part 160, Part 162 und Part 164.
      • 1.2.13 „Dienste“ bezeichnet die Funktionen, Aktivitäten oder Dienste, die dem Kunden von GoTo gemäß den Bedingungen der Vereinbarung zur Verfügung gestellt werden.
  2. Rollen der Parteien. In dem Maße, in dem GoTo PHI verarbeitet, (i) ist GoTo ein Business Associate des Kunden und (ii) ist der Kunde entweder ein abgedeckter Rechtsträger oder ein übergeordneter Business Associate. Wenn der Kunde ein übergeordneter Business Associate ist, ist er zwischen den Parteien dafür verantwortlich, die in diesem BAA festgelegten Verpflichtungen des abgedeckten Rechtsträgers zu erfüllen bzw. dafür zu sorgen, dass sie erfüllt werden.
  3. Zulässige Verwendungen und Offenlegungen von PHI.
    • 3.1 GoTo kann PHI verwenden oder weitergeben, soweit dies für die Bereitstellung von Diensten für den Kunden erforderlich ist und soweit dies gesetzlich vorgeschrieben ist.
    • 3.2 GoTo kann PHI für seine ordnungsgemäße Geschäftsführung und Verwaltung sowie zur Erfüllung seiner gesetzlichen Verpflichtungen verwenden. GoTo kann PHI auch für seine ordnungsgemäße Geschäftsführung und Verwaltung oder zur Erfüllung seiner gesetzlichen Verpflichtungen offenlegen, vorausgesetzt, dass (i) die Offenlegung gesetzlich vorgeschrieben ist oder (ii) GoTo (a) angemessene Zusicherungen vom Empfänger der PHI erhält, dass die PHI vertraulich bleiben und nur wie gesetzlich vorgeschrieben oder für den Zweck, für den die PHI offengelegt wurden, verwendet oder weitergegeben werden, und (b) der Empfänger zustimmt, GoTo über alle Fälle zu informieren, von denen er Kenntnis erhält, in denen die Vertraulichkeit der PHI verletzt wurde.
    • 3.3 GoTo kann die PHI in Übereinstimmung mit 45 C.F.R. § 164.514 (a)-(c) deidentifizieren und diese Informationen für die legitimen Geschäftszwecke von GoTo verwenden und weitergeben. Deidentifizierte Informationen sind keine PHI mehr und unterliegen nicht diesem BAA.
  4. Verpflichtungen von GoTo.
    GoTo:
    • 4.1 darf PHI nur so verwenden oder weitergeben, wie es die Vereinbarung erlaubt oder wie gesetzlich vorgeschrieben.
    • 4.2 darf nur das Minimum an PHI erfragen, verwenden und weitergeben, das zur Erreichung des beabsichtigten Geschäftszwecks erforderlich ist.
    • 4.3 darf PHI nicht in einer Weise verwenden oder offenlegen, die gegen Subpart E von 45 C.F.R. Part 164 verstoßen würde, wenn sie vom Kunden vorgenommen würde, mit Ausnahme der in den Abschnitten 3.2 und 3.3 genannten Verwendungen und Offenlegungen.
    • 4.4 muss geeignete administrative, physische und technische Sicherheitsvorkehrungen in Übereinstimmung mit Subpart C der Sicherheitsregel (45 C.F.R. Part 164) treffen, um die Verwendung oder Offenlegung von PHI auf andere Weise als in dieser Vereinbarung vorgesehen zu verhindern.
    • 4.5 muss dem Kunden jede Verwendung oder Weitergabe von PHI melden, die nicht in der Vereinbarung vorgesehen ist, oder jeden Sicherheitsvorfall, von dem es Kenntnis erhält. Der Kunde erkennt an, dass GoTo routinemäßig „erfolglose Sicherheitsvorfälle“ erlebt, wie z. B. Pings und andere Broadcast-Angriffe auf die Firewall von GoTo, Port-Scans, erfolglose Anmeldeversuche, Phishing-Versuche, Dienstverweigerungen und jede Kombination der oben genannten Vorfälle, die nicht zu einem unbefugten Zugriff, einer unbefugten Verwendung oder einer unbefugten Weitergabe von PHI führen. GoTo benachrichtigt den Kunden hiermit über solche erfolglosen Sicherheitsvorfälle, und der Kunde erklärt sich damit einverstanden, dass keine weitere Benachrichtigung von GoTo erforderlich ist.
    • 4.6 muss sich in angemessener Weise darum bemühen, nachteilige Auswirkungen, die sich aus der Verwendung oder Weitergabe von PHI durch GoTo ergeben, die durch die Vereinbarung nicht gestattet sind, soweit wie möglich zu mindern.
    • 4.7 muss den Kunden ohne unangemessene Verzögerung und in jedem Fall innerhalb der in 45 C.F.R. § 164.410 festgelegten Fristen über jede Verletzung ungesicherter PHI benachrichtigen. Die Benachrichtigung des Kunden durch GoTo gemäß diesem Abschnitt muss, soweit möglich, die in 45 C.F.R. § 164.404 (c) (1) (A)-(D) enthaltenen Informationen, Kontaktinformationen, an die der Kunde Anfragen richten kann, sowie die Identifizierung jeder Person enthalten, auf deren ungesicherte PHI während des Verstoßes zugegriffen wurde oder von der GoTo vernünftigerweise annimmt, dass auf sie während des Verstoßes zugegriffen, sie erworben, verwendet oder offengelegt wurden. GoTo wird seine Benachrichtigung an den Kunden unverzüglich aktualisieren, wenn GoTo nach der ersten Benachrichtigung eine der vorgenannten Informationen zur Verfügung steht.
    • 4.8 muss, ausschließlich in dem Umfang, in dem GoTo einen festgelegten Datensatz im Namen des Kunden unterhält, der nur eine Kopie solcher PHI ist, und in dem der Kunde nicht in der Lage ist, die Anfrage ohne Hilfe von GoTo zu vervollständigen, auf schriftliche Anfrage des Kunden (i) dem Kunden innerhalb der in 45 C.F.R. § 164.524 festgelegten Fristen Zugang zu PHI gewähren; und (ii) alle Änderungen an PHI in einem festgelegten Datensatz, die der Kunde anordnet oder denen er zustimmt, innerhalb der in 45 C.F.R. § 164.526 festgelegten Fristen vornehmen oder andere Maßnahmen ergreifen, die erforderlich sind, um die Verpflichtungen des Kunden gemäß 45 C.F.R. § 164.526 zu erfüllen.
    • 4.9 muss die Informationen vorhalten und zur Verfügung stellen, die erforderlich sind, um eine Buchführung über die Offenlegungen gegenüber dem Kunden zu erstellen, um den Kunden (oder den betreffenden abgedeckten Rechtsträger, falls es sich nicht um den Kunden handelt) gemäß 45 C.F.R. § 164.528 zufriedenzustellen.
    • 4.10 muss von Unterauftragnehmern, die PHI im Namen von GoTo erstellen, empfangen, pflegen oder übermitteln, verlangen, dass sie denselben Einschränkungen, Bedingungen und Anforderungen zustimmen, die für GoTo in Bezug auf diese Informationen gelten, in Übereinstimmung mit 45 C.F.R. §§ 164.502 (e) (1) (ii) und 164.308 (b) (2), falls zutreffend.
    • 4.11 muss auf Anfrage des Gesundheitsministers dem HHS seine internen Praktiken, Bücher und Aufzeichnungen in Bezug auf die Verwendung und Weitergabe von PHI durch GoTo zur Verfügung stellen, um die Einhaltung der HIPAA-Regeln durch die Parteien zu überprüfen; und
    • 4.12 muss, soweit die Dienste von GoTo die Erfüllung einer oder mehrerer Verpflichtungen des Kunden gemäß Subpart E von 45 C.F.R. Part 164 erfordern, die Anforderungen von Subpart E einhalten, die für den Kunden bei der Erfüllung dieser Verpflichtung(en) gelten.
  5. Verpflichtungen des Kunden
    • 5.1 Der Kunde:
      • 5.1.1 darf gegenüber GoTo nur das Minimum an PHI offenlegen, das vernünftigerweise notwendig ist, um den beabsichtigten Zweck der Vereinbarung zu erreichen.
      • 5.1.2 darf GoTo nicht auffordern, PHI in einer Weise zu verwenden oder weiterzugeben, die nach den HIPAA-Regeln nicht zulässig wäre, wenn der Kunde dies selbst tun würde.
      • 5.1.3 muss GoTo über jegliche Einschränkung(en) in seiner Datenschutzerklärung gemäß 45 C.F.R. § 164.520 benachrichtigen, soweit diese Einschränkung die Verwendung oder Offenlegung von PHI durch GoTo in Übereinstimmung mit dieser Vereinbarung beeinflussen kann. GoTo wird wirtschaftlich angemessene Anstrengungen unternehmen, um diese Beschränkungen einzuhalten.
      • 5.1.4 muss GoTo über alle Änderungen oder den Widerruf der Erlaubnis einer Person informieren, PHI zu verwenden oder weiterzugeben, soweit diese Änderungen die Verwendung oder Weitergabe von PHI durch GoTo in Übereinstimmung mit dieser Vereinbarung beeinflussen können. GoTo verpflichtet sich, die vom Kunden mitgeteilten Änderungen oder den Widerruf der Erlaubnis zu befolgen, soweit dies im Rahmen der Vereinbarung möglich ist.
      • 5.1.5 muss GoTo über alle Beschränkungen der Verwendung oder Weitergabe von PHI benachrichtigen, denen der Kunde gemäß 45 C.F.R. § 164.522 zugestimmt hat, soweit diese Beschränkungen die Verwendung oder Weitergabe von PHI durch GoTo in Übereinstimmung mit dieser Vereinbarung beeinträchtigen können. GoTo wird alle vom Kunden mitgeteilten Beschränkungen einhalten, soweit dies im Rahmen der Vereinbarung und des geltenden Rechts möglich ist.
    • 5.2 Der Kunde ist allein dafür verantwortlich, (i) den HIPAA einzuhalten, (ii) die Dienste nur in einer Weise zu nutzen, die dem HIPAA entspricht, und (iii) sicherzustellen, dass er über ausreichende Rechte verfügt, um PHI an GoTo weiterzugeben und/oder GoTo zu veranlassen, PHI wie in der Vereinbarung vorgesehen zu verarbeiten, einschließlich, aber nicht beschränkt auf die Einholung und Aufrechterhaltung aller erforderlichen Zustimmungen oder Genehmigungen.
  6. Laufzeit und Kündigung
    • 6.1 Automatische Beendigung. Dieses BAA endet automatisch und ohne weiteres Zutun der Parteien, wenn (i) die Vereinbarung gekündigt wird oder ausläuft oder (ii) GoTo die Erbringung von Diensten für den Kunden beendet, die die Verarbeitung von PHI erfordern, je nachdem, was zuerst eintritt.
    • 6.2 Kündigung aus wichtigem Grund. Wenn eine der Parteien von einem wesentlichen Verstoß gegen dieses BAA durch die andere Partei Kenntnis erlangt, informiert die nicht verletzende Partei die verletzende Partei schriftlich über die Art des Verstoßes und räumt ihr eine Frist von 30 Tagen zur Behebung ein. Die nicht verletzende Partei kann dieses BAA oder nach ihrer Wahl die Vereinbarung kündigen, wenn die verletzende Partei die Verletzung nicht zur Zufriedenheit der nicht verletzenden Partei geheilt hat oder wenn eine Heilung nicht möglich ist. Wenn der Kunde die verletzende Partei ist, muss der Kunde sofort aufhören, PHI an die Dienste zu übermitteln oder GoTo zu veranlassen, PHI über die Dienste zu verarbeiten. Diese Bestimmung gilt zusätzlich zu den Kündigungsbestimmungen der Vereinbarung.
    • 6.3 Folge der Kündigung.
      • 6.3.1 Bei Beendigung oder Auslaufen dieses BAA oder der Vereinbarung aus irgendeinem Grund wird GoTo alle PHI gemäß 45 C.F.R. § 164.504 (e) (2) (ii) (J) zurückgeben oder vernichten, wenn dies vernünftigerweise möglich ist. Sollte GoTo zu dem Schluss kommen, dass dies nicht möglich ist, wird GoTo (i) den Kunden über die Gründe für diese Entscheidung informieren und (ii) alle in diesem BAA enthaltenen Schutzmaßnahmen, Beschränkungen und Einschränkungen auf alle nach Beendigung dieser Vereinbarung aufbewahrten PHI ausdehnen, bis die PHI an den Kunden zurückgegeben oder vernichtet werden.
      • 6.3.2 Ungeachtet des Abschnitts 6.4.1 kann GoTo nach Beendigung dieses BAA oder der Vereinbarung aus beliebigen Gründen alle PHI, die für die eigene Verwaltung und Administration oder zur Erfüllung seiner gesetzlichen Pflichten erforderlich sind, zurückbehalten, vorausgesetzt, dass GoTo diese PHI nicht für andere Zwecke verwendet und alle in diesem BAA enthaltenen Schutzmaßnahmen, Einschränkungen und Beschränkungen auf alle PHI ausdehnt, die nach Beendigung dieser Vereinbarung zurückbehalten werden, bis die PHI nicht mehr für diesen Zweck benötigt werden. GoTo muss die Bestimmungen von Abschnitt 6.4.1 einhalten.
  7. Sonstiges
    • 7.1 Fortgeltende Bestimmungen. Die jeweiligen Rechte und Pflichten von GoTo und dem Kunden gemäß den Bestimmungen der Abschnitte 4.3, 4.5 und 4.9, der Abschnitte 6.3.1 und 6.3.2 sowie des Abschnitts 7 bleiben auch nach Beendigung dieser Vereinbarung bestehen, bis die PHI an den Kunden zurückgegeben oder vernichtet werden.
    • 7.2 Änderungen. Zusätzlich zur Änderungsbestimmung in der Vereinbarung vereinbaren die Parteien, die notwendigen Maßnahmen zu ergreifen, um dieses BAA von Zeit zu Zeit zu ändern, um die Anforderungen der HIPAA-Regeln zu erfüllen.
    • 7.3 Keine Drittbegünstigten. Weder ausdrücklich noch stillschweigend wird in dieser Vereinbarung beabsichtigt, einer anderen Person als den Parteien und den jeweiligen Rechtsnachfolgern oder Bevollmächtigten der Parteien irgendwelche Rechte, Rechtsmittel, Verpflichtungen oder Verbindlichkeiten zu übertragen, noch soll irgendetwas in dieser Vereinbarung solche übertragen.
    • 7.4 Verweise auf Bestimmungen. Ein Verweis in diesem BAA auf einen Abschnitt in den HIPAA-Regeln bedeutet den Abschnitt in seiner gültigen oder geänderten Fassung.
    • 7.5 Auslegung. Etwaige Unklarheiten in diesem BAA sind so zu lösen, dass die Parteien die HIPAA-Regeln einhalten können.

Zuletzt aktualisiert: November 2024 (2024.v1.0)