商業夥伴協議

1.1 「違規」應與 45 CFR 164.402 中「違規」一詞的含義相同。

1.2 「商業夥伴」指 Ajentik AI Pte. Ltd.。

1.3 「承保實體」指已簽署本協議的醫療保健組織。

1.4 「資料聚合」應與 45 CFR 164.501 中「資料聚合」一詞的含義相同。

1.5 「指定記錄集」應與 45 CFR 164.501 中「指定記錄集」一詞的含義相同。

1.6 「電子受保護健康資訊」或「ePHI」指在電子媒體中創建、接收、維護或傳輸的受保護健康資訊。

1.7 「個人」應與 45 CFR 160.103 中「個人」一詞的含義相同，並應包括根據 45 CFR 164.502(g) 有資格作為個人代表的人。

1.8 「受保護健康資訊」或「PHI」應與 45 CFR 160.103 中「受保護健康資訊」一詞的含義相同。

1.9 「法律要求」應與 45 CFR 164.103 中「法律要求」一詞的含義相同。

1.10 「部長」指美國衛生與公眾服務部部長或指定人。

1.11 「安全事件」應與 45 CFR 164.304 中「安全事件」一詞的含義相同。

1.12 「未加密受保護健康資訊」應與 45 CFR 164.402 中「未加密受保護健康資訊」一詞的含義相同。

2.1 除本協議允許或要求或法律要求外，不使用或披露 PHI。

2.2 使用適當的保障措施，並遵守 45 CFR 第164部分 C 分部關於 ePHI 的規定，以防止本協議規定以外的 PHI 使用或披露。

2.3 向承保實體報告其知悉的本協議未規定的任何 PHI 使用或披露，包括根據 45 CFR 164.410 要求的未加密 PHI 違規。

2.4 根據 45 CFR 164.502(e)(1)(ii) 和 164.308(b)(2)，確保代表商業夥伴創建、接收、維護或傳輸 PHI 的任何分包商以書面形式同意適用於商業夥伴的相同限制、條件和要求。

2.5 根據需要向承保實體提供指定記錄集中的 PHI，以滿足承保實體根據 45 CFR 164.524 的義務。

2.6 根據 45 CFR 164.526，按照承保實體的指示或同意對指定記錄集中的 PHI 進行任何修改，或採取其他必要措施以滿足承保實體根據 45 CFR 164.526 的義務。

2.7 維護並提供向承保實體提供披露記錄所需的資訊，以滿足承保實體根據 45 CFR 164.528 的義務。

2.8 在商業夥伴執行承保實體在 45 CFR 第164部分 E 分部下的一項或多項義務的範圍內，遵守適用於承保實體在履行此類義務時的 E 分部要求。

2.9 向部長提供其內部做法、帳簿和記錄，以確定是否遵守 HIPAA 規則。

3.1 商業夥伴只能根據服務協議中規定的服務需要使用或披露 PHI。

3.2 商業夥伴可以根據法律要求使用或披露 PHI。

3.3 商業夥伴同意根據承保實體的最低必要政策和程序使用和披露以及請求 PHI。

3.4 商業夥伴不得以承保實體若這樣做會違反 45 CFR 第164部分 E 分部的方式使用或披露 PHI。

3.5 商業夥伴可以將 PHI 用於商業夥伴的適當管理和管理或履行商業夥伴的法律責任，前提是披露是法律要求的，或商業夥伴從資訊披露對象獲得合理保證，即資訊將保持機密並僅根據法律要求或為其披露給該人的目的而使用或進一步披露，並且該人通知商業夥伴其所知悉的資訊機密性已被違反的任何情況。

3.6 商業夥伴可以提供與承保實體醫療保健運營相關的資料聚合服務。

4.1 行政保障措施：

• 安全官員指定和職責
• 員工培訓和訪問管理程序
• 訪問授權和終止程序
• 安全意識和培訓計劃
• 安全事件響應程序
• 與分包商的商業夥伴協議

4.2 物理保障措施：

• 設施訪問控制
• 工作站使用和安全策略
• 設備和媒體控制

4.3 技術保障措施：

• 唯一用戶識別和自動登出
• ePHI 的加密和解密
• 審計日誌和控制
• 完整性控制
• 傳輸安全

5.1 商業夥伴應在發現未加密 PHI 違規後無不當延遲且在任何情況下不遲於六十（60）個曆日內通知承保實體。

5.2 此類通知應在可能的範圍內包括：

• 識別其未加密 PHI 已被或商業夥伴有理由相信在違規期間已被訪問、獲取、使用或披露的每個個人
• 描述發生了什麼，包括違規日期和發現日期
• 描述涉及的未加密 PHI 類型
• 個人應採取的任何保護自己免受潛在傷害的步驟
• 描述商業夥伴正在做什麼來調查違規、減輕傷害並防止未來違規
• 個人提問或了解更多資訊的聯繫程序

5.3 商業夥伴應提供承保實體可能合理要求的其他資訊。

5.4 商業夥伴應維護所有必需通知的文檔，並應根據要求向承保實體或部長提供此類文檔。

6.1 商業夥伴應確保其向其提供 PHI 的任何代理人（包括分包商）以書面形式同意適用於商業夥伴的相同限制和條件。

6.2 商業夥伴應確保其向其提供 ePHI 的任何代理人（包括分包商）以書面形式同意實施合理和適當的保障措施以保護此類 ePHI。

6.3 商業夥伴應從任何代理人或分包商獲得書面證明，證明該代理人或分包商已實施合理和適當保護 ePHI 機密性、完整性和可用性的行政、物理和技術保障措施。

7.1 訪問： 在收到承保實體關於訪問指定記錄集中包含的個人 PHI 的請求後十（10）個工作日內，商業夥伴應向承保實體提供此類 PHI，只要商業夥伴在指定記錄集中維護此類資訊。

7.2 修改： 在收到承保實體關於修改指定記錄集中包含的個人 PHI 的請求後十（10）個工作日內，商業夥伴應根據 45 CFR 164.526 納入承保實體指示或同意的指定記錄集中 PHI 的任何修改。

9.1 因故終止： 在承保實體知悉商業夥伴存在重大違約時，承保實體應：

• 為商業夥伴提供糾正違約或結束違規的機會，如果商業夥伴未在承保實體指定的時間內糾正違約或結束違規，則終止本協議；或
• 如果商業夥伴違反了本協議的重要條款且無法糾正，則立即終止本協議。

9.2 終止的效力：

• 除第9.3段規定外，在本協議因任何原因終止時，商業夥伴應返還或銷毀從承保實體收到的或由商業夥伴代表承保實體創建或接收的所有 PHI。本規定應適用於商業夥伴的分包商或代理人擁有的 PHI。商業夥伴不得保留 PHI 的副本。
• 如果商業夥伴確定返還或銷毀 PHI 不可行，商業夥伴應向承保實體提供使返還或銷毀不可行的條件的通知。在確定返還或銷毀 PHI 不可行後，商業夥伴應將本協議的保護擴展到此類 PHI，並將此類 PHI 的進一步使用和披露限制為使返還或銷毀不可行的目的，只要商業夥伴維護此類 PHI。

9.3 存續： 商業夥伴在第9.2節下的義務應在本協議終止後繼續有效。

11.1 商業夥伴應就商業夥伴違反本協議或商業夥伴違反 HIPAA 而產生的或與之相關的任何索賠、訴因、責任、損害、成本或費用（包括合理的律師費和訴訟費用）對承保實體及其高級職員、董事、員工和代理人進行賠償、辯護並使其免受損害。

11.2 承保實體應就承保實體在履行其根據本協議或 HIPAA 的義務時的任何疏忽或不當作為或不作為而產生的或與之相關的任何索賠、訴因、責任、損害、成本或費用（包括合理的律師費和訴訟費用）對商業夥伴及其高級職員、董事、員工和代理人進行賠償、辯護並使其免受損害。

13.1 法規參考： 本協議中對 HIPAA 規則中某一節的引用指有效或修訂後的該節。

13.2 無第三方受益人： 本協議中明示或暗示的任何內容均不旨在授予，本協議中的任何內容也不得授予除雙方及雙方各自的繼承人或受讓人以外的任何人任何權利、救濟、義務或責任。

13.3 歧義： 本協議中的任何歧義應解釋為允許遵守 HIPAA 規則。

13.4 適用法律： 本協議應受新加坡法律管轄，不考慮其法律衝突條款。