Accord d'Associé Commercial

1.1 "Violation" aura la même signification que le terme "violation" au 45 CFR 164.402.

1.2 "Associé Commercial" désignera Ajentik AI Pte. Ltd.

1.3 "Entité Couverte" désignera l'organisation de soins de santé qui a exécuté cet Accord.

1.4 "Agrégation de Données" aura la même signification que le terme "agrégation de données" au 45 CFR 164.501.

1.5 "Ensemble de Dossiers Désigné" aura la même signification que le terme "ensemble de dossiers désigné" au 45 CFR 164.501.

1.6 "Renseignements de Santé Protégés Électroniques" ou "ePHI" désigne les Renseignements de Santé Protégés qui sont créés, reçus, maintenus ou transmis sur des supports électroniques.

1.7 "Individu" aura la même signification que le terme "individu" au 45 CFR 160.103 et comprendra une personne qui se qualifie comme représentant personnel conformément au 45 CFR 164.502(g).

1.8 "Renseignements de Santé Protégés" ou "PHI" aura la même signification que le terme "renseignements de santé protégés" au 45 CFR 160.103.

1.9 "Requis par la Loi" aura la même signification que le terme "requis par la loi" au 45 CFR 164.103.

1.10 "Secrétaire" désignera le Secrétaire du Département de la Santé et des Services sociaux ou son délégué.

1.11 "Incident de Sécurité" aura la même signification que le terme "incident de sécurité" au 45 CFR 164.304.

1.12 "Renseignements de Santé Protégés Non Sécurisés" aura la même signification que le terme "renseignements de santé protégés non sécurisés" au 45 CFR 164.402.

2.1 Ne pas utiliser ou divulguer les PHI autrement que tel que permis ou requis par cet Accord ou tel que Requis par la Loi.

2.2 Utiliser des protections appropriées et se conformer à la Sous-partie C du 45 CFR Partie 164 concernant les ePHI, pour empêcher l'utilisation ou la divulgation de PHI autrement que tel que prévu par cet Accord.

2.3 Signaler à l'Entité Couverte toute utilisation ou divulgation de PHI non prévue par cet Accord dont il prend connaissance, y compris les Violations de PHI Non Sécurisés tel que requis par le 45 CFR 164.410.

2.4 Conformément aux 45 CFR 164.502(e)(1)(ii) et 164.308(b)(2), s'assurer que tous les sous-traitants qui créent, reçoivent, maintiennent ou transmettent des PHI au nom de l'Associé Commercial acceptent par écrit les mêmes restrictions, conditions et exigences qui s'appliquent à l'Associé Commercial concernant ces informations.

2.5 Mettre à disposition les PHI dans un Ensemble de Dossiers Désigné à l'Entité Couverte tel que nécessaire pour satisfaire les obligations de l'Entité Couverte en vertu du 45 CFR 164.524.

2.6 Apporter tout(e) amendement(s) aux PHI dans un Ensemble de Dossiers Désigné tel que dirigé ou convenu par l'Entité Couverte conformément au 45 CFR 164.526, ou prendre d'autres mesures nécessaires pour satisfaire les obligations de l'Entité Couverte en vertu du 45 CFR 164.526.

2.7 Maintenir et mettre à disposition les informations requises pour fournir une comptabilisation des divulgations à l'Entité Couverte tel que nécessaire pour satisfaire les obligations de l'Entité Couverte en vertu du 45 CFR 164.528.

2.8 Dans la mesure où l'Associé Commercial doit exécuter une ou plusieurs des obligations de l'Entité Couverte en vertu de la Sous-partie E du 45 CFR Partie 164, se conformer aux exigences de la Sous-partie E qui s'appliquent à l'Entité Couverte dans l'exécution de ces obligations.

2.9 Mettre ses pratiques internes, livres et registres à la disposition du Secrétaire aux fins de déterminer la conformité avec les Règles HIPAA.

3.1 L'Associé Commercial ne peut utiliser ou divulguer les PHI que tel que nécessaire pour effectuer les services énoncés dans l'Accord de Service.

3.2 L'Associé Commercial peut utiliser ou divulguer les PHI tel que Requis par la Loi.

3.3 L'Associé Commercial accepte de faire des utilisations et divulgations et des demandes de PHI conformes aux politiques et procédures minimales nécessaires de l'Entité Couverte.

3.4 L'Associé Commercial ne peut pas utiliser ou divulguer les PHI d'une manière qui violerait la Sous-partie E du 45 CFR Partie 164 si cela était fait par l'Entité Couverte.

3.5 L'Associé Commercial peut utiliser les PHI pour la gestion et l'administration appropriées de l'Associé Commercial ou pour s'acquitter des responsabilités légales de l'Associé Commercial, à condition que les divulgations soient Requises par la Loi, ou que l'Associé Commercial obtienne des assurances raisonnables de la personne à qui les informations sont divulguées que les informations resteront confidentielles et seront utilisées ou divulguées davantage uniquement tel que Requis par la Loi ou aux fins pour lesquelles elles ont été divulguées à la personne, et que la personne notifie l'Associé Commercial de toute instance dont elle a connaissance dans laquelle la confidentialité des informations a été violée.

3.6 L'Associé Commercial peut fournir des services d'Agrégation de Données relatifs aux opérations de soins de santé de l'Entité Couverte.

4.1 Protections Administratives :

• Désignation et responsabilités de l'Agent de Sécurité
• Formation du personnel et procédures de gestion des accès
• Procédures d'autorisation et de résiliation d'accès
• Programmes de sensibilisation et de formation à la sécurité
• Procédures de réponse aux incidents de sécurité
• Accords d'Associé Commercial avec les sous-traitants

4.2 Protections Physiques :

• Contrôles d'accès aux installations
• Politiques d'utilisation et de sécurité des postes de travail
• Contrôles des appareils et des supports

4.3 Protections Techniques :

• Identification unique de l'utilisateur et déconnexion automatique
• Chiffrement et déchiffrement des ePHI
• Journaux et contrôles d'audit
• Contrôles d'intégrité
• Sécurité de transmission

5.1 L'Associé Commercial notifiera l'Entité Couverte sans retard déraisonnable et en aucun cas plus tard que soixante (60) jours calendaires après la découverte d'une Violation de PHI Non Sécurisés.

5.2 Cette notification comprendra, dans la mesure du possible :

• L'identification de chaque Individu dont les PHI Non Sécurisés ont été, ou sont raisonnablement crus par l'Associé Commercial avoir été, accédés, acquis, utilisés ou divulgués pendant la Violation
• Une description de ce qui s'est passé, y compris la date de la Violation et la date de la découverte
• Une description des types de PHI Non Sécurisés impliqués
• Toutes les mesures que les Individus devraient prendre pour se protéger contre les dommages potentiels
• Une description de ce que l'Associé Commercial fait pour enquêter sur la Violation, atténuer les dommages et se protéger contre de futures Violations
• Procédures de contact pour que les Individus posent des questions ou obtiennent des informations supplémentaires

5.3 L'Associé Commercial fournira toute autre information que l'Entité Couverte peut raisonnablement demander.

5.4 L'Associé Commercial maintiendra la documentation de toutes les notifications requises et, sur demande, fournira cette documentation à l'Entité Couverte ou au Secrétaire.

6.1 L'Associé Commercial s'assurera que tous les agents, y compris les sous-traitants, auxquels il fournit des PHI acceptent par écrit les mêmes restrictions et conditions qui s'appliquent à l'Associé Commercial concernant ces PHI.

6.2 L'Associé Commercial s'assurera que tous les agents, y compris les sous-traitants, auxquels il fournit des ePHI acceptent par écrit de mettre en œuvre des protections raisonnables et appropriées pour protéger ces ePHI.

6.3 L'Associé Commercial obtiendra une certification écrite de tout agent ou sous-traitant que l'agent ou le sous-traitant a mis en œuvre des protections administratives, physiques et techniques qui protègent raisonnablement et de manière appropriée la confidentialité, l'intégrité et la disponibilité des ePHI.

7.1 Accès : Dans les dix (10) jours ouvrables suivant la réception d'une demande de l'Entité Couverte pour l'accès aux PHI concernant un Individu contenu dans un Ensemble de Dossiers Désigné, l'Associé Commercial mettra à disposition de l'Entité Couverte ces PHI aussi longtemps que l'Associé Commercial maintient ces informations dans l'Ensemble de Dossiers Désigné.

7.2 Amendement : Dans les dix (10) jours ouvrables suivant la réception d'une demande de l'Entité Couverte pour l'amendement des PHI d'un Individu contenus dans un Ensemble de Dossiers Désigné, l'Associé Commercial incorporera tout amendement aux PHI dans un Ensemble de Dossiers Désigné que l'Entité Couverte dirige ou convient conformément au 45 CFR 164.526.

9.1 Résiliation pour Cause : À la connaissance de l'Entité Couverte d'une violation matérielle par l'Associé Commercial, l'Entité Couverte devra soit :

• Fournir une opportunité à l'Associé Commercial de remédier à la violation ou de mettre fin à la violation et résilier cet Accord si l'Associé Commercial ne remédie pas à la violation ou ne met pas fin à la violation dans le délai spécifié par l'Entité Couverte ; ou
• Résilier immédiatement cet Accord si l'Associé Commercial a violé un terme matériel de cet Accord et que la correction n'est pas possible.

9.2 Effet de la Résiliation :

• Sauf tel que prévu au paragraphe 9.3, à la résiliation de cet Accord, pour quelque raison que ce soit, l'Associé Commercial retournera ou détruira tous les PHI reçus de l'Entité Couverte, ou créés ou reçus par l'Associé Commercial au nom de l'Entité Couverte. Cette disposition s'appliquera aux PHI qui sont en possession des sous-traitants ou agents de l'Associé Commercial. L'Associé Commercial ne conservera aucune copie des PHI.
• Dans le cas où l'Associé Commercial détermine que le retour ou la destruction des PHI est irréalisable, l'Associé Commercial fournira à l'Entité Couverte une notification des conditions qui rendent le retour ou la destruction irréalisables. Après détermination que le retour ou la destruction des PHI est irréalisable, l'Associé Commercial étendra les protections de cet Accord à ces PHI et limitera les utilisations et divulgations supplémentaires de ces PHI à ces fins qui rendent le retour ou la destruction irréalisables, aussi longtemps que l'Associé Commercial maintient ces PHI.

9.3 Survie : Les obligations de l'Associé Commercial en vertu de la Section 9.2 survivront à la résiliation de cet Accord.

11.1 L'Associé Commercial indemnisera, défendra et dégagera de toute responsabilité l'Entité Couverte, ses dirigeants, administrateurs, employés et agents de et contre toute réclamation, cause d'action, responsabilité, dommage, coût ou dépense (y compris les honoraires d'avocats raisonnables et les frais de litige) découlant de ou en relation avec toute violation de cet Accord par l'Associé Commercial ou toute violation de HIPAA par l'Associé Commercial.

11.2 L'Entité Couverte indemnisera, défendra et dégagera de toute responsabilité l'Associé Commercial, ses dirigeants, administrateurs, employés et agents de et contre toute réclamation, cause d'action, responsabilité, dommage, coût ou dépense (y compris les honoraires d'avocats raisonnables et les frais de litige) découlant de ou en relation avec tout acte ou omission négligent ou illicite de l'Entité Couverte en relation avec ses obligations en vertu de cet Accord ou HIPAA.

13.1 Références réglementaires : Une référence dans cet Accord à une section des Règles HIPAA signifie la section telle qu'en vigueur ou telle que modifiée.

13.2 Pas de tiers bénéficiaires : Rien d'exprimé ou d'implicite dans cet Accord n'est destiné à conférer, ni rien dans les présentes ne conférera, à toute personne autre que les parties et les successeurs ou ayants droit respectifs des parties, aucun droit, recours, obligation ou responsabilité quelconque.

13.3 Ambiguïtés : Toute ambiguïté dans cet Accord sera interprétée pour permettre la conformité avec les Règles HIPAA.

13.4 Loi applicable : Cet Accord sera régi par les lois de Singapour, sans égard à ses dispositions sur les conflits de lois.