Acuerdo de Asociado Comercial

1.1 "Violación" tendrá el mismo significado que el término "violación" en 45 CFR 164.402.

1.2 "Asociado Comercial" significará Ajentik AI Pte. Ltd.

1.3 "Entidad Cubierta" significará la organización de atención médica que ha ejecutado este Acuerdo.

1.4 "Agregación de Datos" tendrá el mismo significado que el término "agregación de datos" en 45 CFR 164.501.

1.5 "Conjunto de Registros Designado" tendrá el mismo significado que el término "conjunto de registros designado" en 45 CFR 164.501.

1.6 "Información de Salud Protegida Electrónica" o "ePHI" significa Información de Salud Protegida que se crea, recibe, mantiene o transmite en medios electrónicos.

1.7 "Individual" tendrá el mismo significado que el término "individual" en 45 CFR 160.103 e incluirá a una persona que califique como representante personal de acuerdo con 45 CFR 164.502(g).

1.8 "Información de Salud Protegida" o "PHI" tendrá el mismo significado que el término "información de salud protegida" en 45 CFR 160.103.

1.9 "Requerido por Ley" tendrá el mismo significado que el término "requerido por ley" en 45 CFR 164.103.

1.10 "Secretario" significará el Secretario del Departamento de Salud y Servicios Humanos o designado.

1.11 "Incidente de Seguridad" tendrá el mismo significado que el término "incidente de seguridad" en 45 CFR 164.304.

1.12 "Información de Salud Protegida No Asegurada" tendrá el mismo significado que el término "información de salud protegida no asegurada" en 45 CFR 164.402.

2.1 No usar ni divulgar PHI de otra manera que la permitida o requerida por este Acuerdo o según lo Requerido por Ley.

2.2 Usar salvaguardas apropiadas y cumplir con la Subparte C de 45 CFR Parte 164 con respecto a ePHI, para prevenir el uso o divulgación de PHI de otra manera que la prevista en este Acuerdo.

2.3 Informar a la Entidad Cubierta cualquier uso o divulgación de PHI no previsto en este Acuerdo del que tenga conocimiento, incluyendo Violaciones de PHI No Asegurada según lo requerido por 45 CFR 164.410.

2.4 De acuerdo con 45 CFR 164.502(e)(1)(ii) y 164.308(b)(2), asegurar que cualquier subcontratista que cree, reciba, mantenga o transmita PHI en nombre del Asociado Comercial acepte por escrito las mismas restricciones, condiciones y requisitos que se aplican al Asociado Comercial con respecto a dicha información.

2.5 Poner a disposición PHI en un Conjunto de Registros Designado a la Entidad Cubierta según sea necesario para satisfacer las obligaciones de la Entidad Cubierta bajo 45 CFR 164.524.

2.6 Hacer cualquier enmienda(s) a PHI en un Conjunto de Registros Designado según lo indicado o acordado por la Entidad Cubierta de conformidad con 45 CFR 164.526, o tomar otras medidas según sea necesario para satisfacer las obligaciones de la Entidad Cubierta bajo 45 CFR 164.526.

2.7 Mantener y poner a disposición la información requerida para proporcionar un registro de divulgaciones a la Entidad Cubierta según sea necesario para satisfacer las obligaciones de la Entidad Cubierta bajo 45 CFR 164.528.

2.8 En la medida en que el Asociado Comercial deba llevar a cabo una o más de las obligaciones de la Entidad Cubierta bajo la Subparte E de 45 CFR Parte 164, cumplir con los requisitos de la Subparte E que se apliquen a la Entidad Cubierta en el desempeño de dichas obligaciones.

2.9 Poner a disposición del Secretario sus prácticas internas, libros y registros con el propósito de determinar el cumplimiento con las Reglas HIPAA.

3.1 El Asociado Comercial solo puede usar o divulgar PHI según sea necesario para realizar los servicios establecidos en el Acuerdo de Servicio.

3.2 El Asociado Comercial puede usar o divulgar PHI según lo Requerido por Ley.

3.3 El Asociado Comercial acepta hacer usos y divulgaciones y solicitudes de PHI consistentes con las políticas y procedimientos mínimos necesarios de la Entidad Cubierta.

3.4 El Asociado Comercial no puede usar o divulgar PHI de una manera que violaría la Subparte E de 45 CFR Parte 164 si lo hiciera la Entidad Cubierta.

3.5 El Asociado Comercial puede usar PHI para la gestión y administración adecuada del Asociado Comercial o para llevar a cabo las responsabilidades legales del Asociado Comercial, siempre que las divulgaciones sean Requeridas por Ley, o el Asociado Comercial obtenga garantías razonables de la persona a quien se divulga la información de que la información permanecerá confidencial y se usará o divulgará más solo según lo Requerido por Ley o para los propósitos para los que fue divulgada a la persona, y la persona notifica al Asociado Comercial de cualquier instancia de la que tenga conocimiento en la que se haya violado la confidencialidad de la información.

3.6 El Asociado Comercial puede proporcionar servicios de Agregación de Datos relacionados con las operaciones de atención médica de la Entidad Cubierta.

4.1 Salvaguardas Administrativas:

• Designación y responsabilidades del Oficial de Seguridad
• Capacitación del personal y procedimientos de gestión de acceso
• Procedimientos de autorización y terminación de acceso
• Programas de concienciación y capacitación en seguridad
• Procedimientos de respuesta a incidentes de seguridad
• Acuerdos de Asociado Comercial con subcontratistas

4.2 Salvaguardas Físicas:

• Controles de acceso a instalaciones
• Políticas de uso y seguridad de estaciones de trabajo
• Controles de dispositivos y medios

4.3 Salvaguardas Técnicas:

• Identificación única de usuario y cierre de sesión automático
• Cifrado y descifrado de ePHI
• Registros y controles de auditoría
• Controles de integridad
• Seguridad de transmisión

5.1 El Asociado Comercial notificará a la Entidad Cubierta sin demora injustificada y en ningún caso más tarde de sesenta (60) días calendario después del descubrimiento de una Violación de PHI No Asegurada.

5.2 Dicha notificación incluirá, en la medida de lo posible:

• La identificación de cada Individual cuya PHI No Asegurada haya sido, o se crea razonablemente por el Asociado Comercial que haya sido, accedida, adquirida, usada o divulgada durante la Violación
• Una descripción de lo que sucedió, incluyendo la fecha de la Violación y la fecha del descubrimiento
• Una descripción de los tipos de PHI No Asegurada involucrada
• Cualquier paso que los Individuales deban tomar para protegerse del daño potencial
• Una descripción de lo que el Asociado Comercial está haciendo para investigar la Violación, mitigar el daño y proteger contra futuras Violaciones
• Procedimientos de contacto para que los Individuales hagan preguntas o aprendan información adicional

5.3 El Asociado Comercial proporcionará cualquier otra información que la Entidad Cubierta pueda solicitar razonablemente.

5.4 El Asociado Comercial mantendrá documentación de todas las notificaciones requeridas y, previa solicitud, proporcionará dicha documentación a la Entidad Cubierta o al Secretario.

6.1 El Asociado Comercial asegurará que cualquier agente, incluyendo subcontratistas, a quien proporcione PHI acuerde por escrito las mismas restricciones y condiciones que se aplican al Asociado Comercial con respecto a dicha PHI.

6.2 El Asociado Comercial asegurará que cualquier agente, incluyendo subcontratistas, a quien proporcione ePHI acuerde por escrito implementar salvaguardas razonables y apropiadas para proteger dicha ePHI.

6.3 El Asociado Comercial obtendrá certificación por escrito de cualquier agente o subcontratista de que el agente o subcontratista ha implementado salvaguardas administrativas, físicas y técnicas que protegen razonable y apropiadamente la confidencialidad, integridad y disponibilidad de ePHI.

7.1 Acceso: Dentro de diez (10) días hábiles de la recepción de una solicitud de la Entidad Cubierta para acceso a PHI sobre un Individual contenido en un Conjunto de Registros Designado, el Asociado Comercial pondrá a disposición de la Entidad Cubierta dicha PHI mientras el Asociado Comercial mantenga dicha información en el Conjunto de Registros Designado.

7.2 Enmienda: Dentro de diez (10) días hábiles de la recepción de una solicitud de la Entidad Cubierta para la enmienda de la PHI de un Individual contenida en un Conjunto de Registros Designado, el Asociado Comercial incorporará cualquier enmienda a PHI en un Conjunto de Registros Designado que la Entidad Cubierta dirija o acuerde de conformidad con 45 CFR 164.526.

9.1 Terminación por Causa: Al conocimiento de la Entidad Cubierta de una violación material por parte del Asociado Comercial, la Entidad Cubierta deberá:

• Proporcionar una oportunidad para que el Asociado Comercial cure la violación o termine la infracción y termine este Acuerdo si el Asociado Comercial no cura la violación o termina la infracción dentro del tiempo especificado por la Entidad Cubierta; o
• Terminar inmediatamente este Acuerdo si el Asociado Comercial ha violado un término material de este Acuerdo y la cura no es posible.

9.2 Efecto de la Terminación:

• Excepto según lo previsto en el párrafo 9.3, al terminar este Acuerdo, por cualquier motivo, el Asociado Comercial devolverá o destruirá toda la PHI recibida de la Entidad Cubierta, o creada o recibida por el Asociado Comercial en nombre de la Entidad Cubierta. Esta disposición se aplicará a PHI que esté en posesión de subcontratistas o agentes del Asociado Comercial. El Asociado Comercial no retendrá copias de la PHI.
• En caso de que el Asociado Comercial determine que devolver o destruir la PHI es inviable, el Asociado Comercial proporcionará a la Entidad Cubierta notificación de las condiciones que hacen que la devolución o destrucción sea inviable. Al determinar que la devolución o destrucción de PHI es inviable, el Asociado Comercial extenderá las protecciones de este Acuerdo a dicha PHI y limitará usos y divulgaciones adicionales de dicha PHI a aquellos propósitos que hacen que la devolución o destrucción sea inviable, mientras el Asociado Comercial mantenga dicha PHI.

9.3 Supervivencia: Las obligaciones del Asociado Comercial bajo la Sección 9.2 sobrevivirán a la terminación de este Acuerdo.

11.1 El Asociado Comercial indemnizará, defenderá y mantendrá indemne a la Entidad Cubierta, sus funcionarios, directores, empleados y agentes de y contra cualquier reclamo, causa de acción, responsabilidad, daño, costo o gasto (incluyendo honorarios razonables de abogados y costos de litigio) que surjan de o en conexión con cualquier incumplimiento de este Acuerdo por parte del Asociado Comercial o cualquier violación de HIPAA por parte del Asociado Comercial.

11.2 La Entidad Cubierta indemnizará, defenderá y mantendrá indemne al Asociado Comercial, sus funcionarios, directores, empleados y agentes de y contra cualquier reclamo, causa de acción, responsabilidad, daño, costo o gasto (incluyendo honorarios razonables de abogados y costos de litigio) que surjan de o en conexión con cualquier acto u omisión negligente o ilícita de la Entidad Cubierta en conexión con sus obligaciones bajo este Acuerdo o HIPAA.

13.1 Referencias Regulatorias: Una referencia en este Acuerdo a una sección en las Reglas HIPAA significa la sección como está en vigor o según sea enmendada.

13.2 Sin Terceros Beneficiarios: Nada expreso o implícito en este Acuerdo está destinado a conferir, ni nada en este documento conferirá, a ninguna persona que no sean las partes y los respectivos sucesores o cesionarios de las partes, ningún derecho, recurso, obligación o responsabilidad en absoluto.

13.3 Ambigüedades: Cualquier ambigüedad en este Acuerdo se interpretará para permitir el cumplimiento con las Reglas HIPAA.

13.4 Ley Aplicable: Este Acuerdo se regirá por las leyes de Singapur, sin tener en cuenta sus disposiciones sobre conflictos de leyes.