商业伙伴协议

1.1 “违规”应与 45 CFR 164.402 中“违规”一词的含义相同。

1.2 “商业伙伴”指 Ajentik AI Pte. Ltd.。

1.3 “承保实体”指已签署本协议的医疗保健组织。

1.4 “数据聚合”应与 45 CFR 164.501 中“数据聚合”一词的含义相同。

1.5 “指定记录集”应与 45 CFR 164.501 中“指定记录集”一词的含义相同。

1.6 “电子受保护健康信息”或“ePHI”指在电子媒体中创建、接收、维护或传输的受保护健康信息。

1.7 “个人”应与 45 CFR 160.103 中“个人”一词的含义相同，并应包括根据 45 CFR 164.502(g) 有资格作为个人代表的人。

1.8 “受保护健康信息”或“PHI”应与 45 CFR 160.103 中“受保护健康信息”一词的含义相同。

1.9 “法律要求”应与 45 CFR 164.103 中“法律要求”一词的含义相同。

1.10 “部长”指美国卫生与公众服务部部长或指定人。

1.11 “安全事件”应与 45 CFR 164.304 中“安全事件”一词的含义相同。

1.12 “未加密受保护健康信息”应与 45 CFR 164.402 中“未加密受保护健康信息”一词的含义相同。

2.1 除本协议允许或要求或法律要求外，不使用或披露 PHI。

2.2 使用适当的保障措施，并遵守 45 CFR 第164部分 C 分部关于 ePHI 的规定，以防止本协议规定以外的 PHI 使用或披露。

2.3 向承保实体报告其知悉的本协议未规定的任何 PHI 使用或披露，包括根据 45 CFR 164.410 要求的未加密 PHI 违规。

2.4 根据 45 CFR 164.502(e)(1)(ii) 和 164.308(b)(2)，确保代表商业伙伴创建、接收、维护或传输 PHI 的任何分包商以书面形式同意适用于商业伙伴的相同限制、条件和要求。

2.5 根据需要向承保实体提供指定记录集中的 PHI，以满足承保实体根据 45 CFR 164.524 的义务。

2.6 根据 45 CFR 164.526，按照承保实体的指示或同意对指定记录集中的 PHI 进行任何修改，或采取其他必要措施以满足承保实体根据 45 CFR 164.526 的义务。

2.7 维护并提供向承保实体提供披露记录所需的信息，以满足承保实体根据 45 CFR 164.528 的义务。

2.8 在商业伙伴执行承保实体在 45 CFR 第164部分 E 分部下的一项或多项义务的范围内，遵守适用于承保实体在履行此类义务时的 E 分部要求。

2.9 向部长提供其内部做法、账簿和记录，以确定是否遵守 HIPAA 规则。

3.1 商业伙伴只能根据服务协议中规定的服务需要使用或披露 PHI。

3.2 商业伙伴可以根据法律要求使用或披露 PHI。

3.3 商业伙伴同意根据承保实体的最低必要政策和程序使用和披露以及请求 PHI。

3.4 商业伙伴不得以承保实体若这样做会违反 45 CFR 第164部分 E 分部的方式使用或披露 PHI。

3.5 商业伙伴可以将 PHI 用于商业伙伴的适当管理和管理或履行商业伙伴的法律责任，前提是披露是法律要求的，或商业伙伴从信息披露对象获得合理保证，即信息将保持机密并仅根据法律要求或为其披露给该人的目的而使用或进一步披露，并且该人通知商业伙伴其所知悉的信息机密性已被违反的任何情况。

3.6 商业伙伴可以提供与承保实体医疗保健运营相关的数据聚合服务。

4.1 行政保障措施：

• 安全官员指定和职责
• 员工培训和访问管理程序
• 访问授权和终止程序
• 安全意识和培训计划
• 安全事件响应程序
• 与分包商的商业伙伴协议

4.2 物理保障措施：

• 设施访问控制
• 工作站使用和安全策略
• 设备和媒体控制

4.3 技术保障措施：

• 唯一用户识别和自动注销
• ePHI 的加密和解密
• 审计日志和控制
• 完整性控制
• 传输安全

5.1 商业伙伴应在发现未加密 PHI 违规后无不当延迟且在任何情况下不迟于六十（60）个日历日内通知承保实体。

5.2 此类通知应在可能的范围内包括：

• 识别其未加密 PHI 已被或商业伙伴有理由相信在违规期间已被访问、获取、使用或披露的每个个人
• 描述发生了什么，包括违规日期和发现日期
• 描述涉及的未加密 PHI 类型
• 个人应采取的任何保护自己免受潜在伤害的步骤
• 描述商业伙伴正在做什么来调查违规、减轻伤害并防止未来违规
• 个人提问或了解更多信息的联系程序

5.3 商业伙伴应提供承保实体可能合理要求的其他信息。

5.4 商业伙伴应维护所有必需通知的文档，并应根据要求向承保实体或部长提供此类文档。

6.1 商业伙伴应确保其向其提供 PHI 的任何代理人（包括分包商）以书面形式同意适用于商业伙伴的相同限制和条件。

6.2 商业伙伴应确保其向其提供 ePHI 的任何代理人（包括分包商）以书面形式同意实施合理和适当的保障措施以保护此类 ePHI。

6.3 商业伙伴应从任何代理人或分包商获得书面证明，证明该代理人或分包商已实施合理和适当保护 ePHI 机密性、完整性和可用性的行政、物理和技术保障措施。

7.1 访问： 在收到承保实体关于访问指定记录集中包含的个人 PHI 的请求后十（10）个工作日内，商业伙伴应向承保实体提供此类 PHI，只要商业伙伴在指定记录集中维护此类信息。

7.2 修改： 在收到承保实体关于修改指定记录集中包含的个人 PHI 的请求后十（10）个工作日内，商业伙伴应根据 45 CFR 164.526 纳入承保实体指示或同意的指定记录集中 PHI 的任何修改。

9.1 因故终止： 在承保实体知悉商业伙伴存在重大违约时，承保实体应：

• 为商业伙伴提供纠正违约或结束违规的机会，如果商业伙伴未在承保实体指定的时间内纠正违约或结束违规，则终止本协议；或
• 如果商业伙伴违反了本协议的重要条款且无法纠正，则立即终止本协议。

9.2 终止的效力：

• 除第9.3段规定外，在本协议因任何原因终止时，商业伙伴应返还或销毁从承保实体收到的或由商业伙伴代表承保实体创建或接收的所有 PHI。本规定应适用于商业伙伴的分包商或代理人拥有的 PHI。商业伙伴不得保留 PHI 的副本。
• 如果商业伙伴确定返还或销毁 PHI 不可行，商业伙伴应向承保实体提供使返还或销毁不可行的条件的通知。在确定返还或销毁 PHI 不可行后，商业伙伴应将本协议的保护扩展到此类 PHI，并将此类 PHI 的进一步使用和披露限制为使返还或销毁不可行的目的，只要商业伙伴维护此类 PHI。

9.3 存续： 商业伙伴在第9.2节下的义务应在本协议终止后继续有效。

11.1 商业伙伴应就商业伙伴违反本协议或商业伙伴违反 HIPAA 而产生的或与之相关的任何索赔、诉因、责任、损害、成本或费用（包括合理的律师费和诉讼费用）对承保实体及其高级职员、董事、员工和代理人进行赔偿、辩护并使其免受损害。

11.2 承保实体应就承保实体在履行其根据本协议或 HIPAA 的义务时的任何疏忽或不当作为或不作为而产生的或与之相关的任何索赔、诉因、责任、损害、成本或费用（包括合理的律师费和诉讼费用）对商业伙伴及其高级职员、董事、员工和代理人进行赔偿、辩护并使其免受损害。

13.1 法规参考： 本协议中对 HIPAA 规则中某一节的引用指有效或修订后的该节。

13.2 无第三方受益人： 本协议中明示或暗示的任何内容均不旨在授予，本协议中的任何内容也不得授予除双方及双方各自的继承人或受让人以外的任何人任何权利、救济、义务或责任。

13.3 歧义： 本协议中的任何歧义应解释为允许遵守 HIPAA 规则。

13.4 适用法律： 本协议应受新加坡法律管辖，不考虑其法律冲突条款。