사업 제휴 계약

1.1 "위반"은 45 CFR 164.402의 "위반"이라는 용어와 동일한 의미를 가집니다.

1.2 "사업 제휴자"는 Ajentik AI Pte. Ltd.를 의미합니다.

1.3 "적용 대상 기관"은 본 계약을 체결한 의료 기관을 의미합니다.

1.4 "데이터 집계"는 45 CFR 164.501의 "데이터 집계"라는 용어와 동일한 의미를 가집니다.

1.5 "지정 기록 세트"는 45 CFR 164.501의 "지정 기록 세트"라는 용어와 동일한 의미를 가집니다.

1.6 "전자 보호 건강 정보" 또는 "ePHI"는 전자 매체에서 생성, 수신, 유지 또는 전송되는 보호 건강 정보를 의미합니다.

1.7 "개인"은 45 CFR 160.103의 "개인"이라는 용어와 동일한 의미를 가지며 45 CFR 164.502(g)에 따라 개인 대리인으로 자격이 있는 사람을 포함합니다.

1.8 "보호 건강 정보" 또는 "PHI"는 45 CFR 160.103의 "보호 건강 정보"라는 용어와 동일한 의미를 가집니다.

1.9 "법률에 의해 요구됨"은 45 CFR 164.103의 "법률에 의해 요구됨"이라는 용어와 동일한 의미를 가집니다.

1.10 "장관"은 보건복지부 장관 또는 지정된 자를 의미합니다.

1.11 "보안 사고"는 45 CFR 164.304의 "보안 사고"라는 용어와 동일한 의미를 가집니다.

1.12 "보안되지 않은 보호 건강 정보"는 45 CFR 164.402의 "보안되지 않은 보호 건강 정보"라는 용어와 동일한 의미를 가집니다.

2.1 본 계약에 의해 허용되거나 요구되는 경우 또는 법률에 의해 요구되는 경우를 제외하고 PHI를 사용하거나 공개하지 않습니다.

2.2 본 계약에 규정된 것 이외의 PHI 사용 또는 공개를 방지하기 위해 적절한 안전 조치를 사용하고 ePHI와 관련하여 45 CFR 파트 164의 하위 파트 C를 준수합니다.

2.3 45 CFR 164.410에서 요구하는 보안되지 않은 PHI 위반을 포함하여 본 계약에서 규정하지 않은 PHI의 사용 또는 공개를 알게 된 경우 적용 대상 기관에 보고합니다.

2.4 45 CFR 164.502(e)(1)(ii) 및 164.308(b)(2)에 따라 사업 제휴자를 대신하여 PHI를 생성, 수신, 유지 또는 전송하는 모든 하도급자가 해당 정보와 관련하여 사업 제휴자에게 적용되는 것과 동일한 제한, 조건 및 요구 사항에 서면으로 동의하도록 보장합니다.

2.5 적용 대상 기관이 45 CFR 164.524에 따른 의무를 충족하는 데 필요한 경우 지정 기록 세트의 PHI를 적용 대상 기관에 제공합니다.

2.6 45 CFR 164.526에 따라 적용 대상 기관이 지시하거나 동의한 지정 기록 세트의 PHI에 대한 수정을 수행하거나, 적용 대상 기관이 45 CFR 164.526에 따른 의무를 충족하는 데 필요한 기타 조치를 취합니다.

2.7 적용 대상 기관이 45 CFR 164.528에 따른 의무를 충족하는 데 필요한 경우 적용 대상 기관에 공개 기록을 제공하는 데 필요한 정보를 유지하고 제공합니다.

2.8 사업 제휴자가 45 CFR 파트 164의 하위 파트 E에 따른 적용 대상 기관의 의무 중 하나 이상을 수행하는 범위 내에서, 해당 의무 수행 시 적용 대상 기관에 적용되는 하위 파트 E의 요구 사항을 준수합니다.

2.9 HIPAA 규칙 준수 여부를 결정하기 위해 장관이 내부 관행, 장부 및 기록을 사용할 수 있도록 합니다.

3.1 사업 제휴자는 서비스 계약에 명시된 서비스를 수행하는 데 필요한 경우에만 PHI를 사용하거나 공개할 수 있습니다.

3.2 사업 제휴자는 법률에 의해 요구되는 경우 PHI를 사용하거나 공개할 수 있습니다.

3.3 사업 제휴자는 적용 대상 기관의 최소 필요 정책 및 절차와 일치하게 PHI를 사용 및 공개하고 요청하는 데 동의합니다.

3.4 사업 제휴자는 적용 대상 기관이 수행한 경우 45 CFR 파트 164의 하위 파트 E를 위반하는 방식으로 PHI를 사용하거나 공개할 수 없습니다.

3.5 사업 제휴자는 공개가 법률에 의해 요구되는 경우, 또는 사업 제휴자가 정보가 공개되는 사람으로부터 정보가 기밀로 유지되고 법률에 의해 요구되는 경우 또는 공개된 목적을 위해서만 사용되거나 추가로 공개된다는 합리적인 보증을 얻은 경우, 사업 제휴자의 적절한 관리 및 운영 또는 사업 제휴자의 법적 책임을 수행하기 위해 PHI를 사용할 수 있으며, 해당 사람은 정보의 기밀성이 위반된 사례를 사업 제휴자에게 알립니다.

3.6 사업 제휴자는 적용 대상 기관의 의료 운영과 관련된 데이터 집계 서비스를 제공할 수 있습니다.

4.1 관리적 안전 조치:

• 보안 책임자 지정 및 책임
• 직원 교육 및 액세스 관리 절차
• 액세스 승인 및 종료 절차
• 보안 인식 및 교육 프로그램
• 보안 사고 대응 절차
• 하도급자와의 사업 제휴 계약

4.2 물리적 안전 조치:

• 시설 액세스 제어
• 워크스테이션 사용 및 보안 정책
• 장치 및 미디어 제어

4.3 기술적 안전 조치:

• 고유 사용자 식별 및 자동 로그오프
• ePHI의 암호화 및 복호화
• 감사 로그 및 제어
• 무결성 제어
• 전송 보안

5.1 사업 제휴자는 보안되지 않은 PHI 위반을 발견한 후 부당한 지연 없이 그리고 어떤 경우에도 60일 이내에 적용 대상 기관에 통지해야 합니다.

5.2 이러한 통지에는 가능한 범위 내에서 다음이 포함되어야 합니다:

• 위반 중에 보안되지 않은 PHI가 액세스, 획득, 사용 또는 공개되었거나 사업 제휴자가 합리적으로 믿는 각 개인의 식별
• 위반 날짜 및 발견 날짜를 포함하여 발생한 일에 대한 설명
• 관련된 보안되지 않은 PHI 유형에 대한 설명
• 개인이 잠재적인 피해로부터 자신을 보호하기 위해 취해야 할 조치
• 사업 제휴자가 위반을 조사하고 피해를 완화하며 향후 위반을 방지하기 위해 수행하는 작업에 대한 설명
• 개인이 질문하거나 추가 정보를 얻기 위한 연락 절차

5.3 사업 제휴자는 적용 대상 기관이 합리적으로 요청할 수 있는 기타 정보를 제공해야 합니다.

5.4 사업 제휴자는 필요한 모든 통지에 대한 문서를 유지하고 요청 시 적용 대상 기관 또는 장관에게 해당 문서를 제공해야 합니다.

6.1 사업 제휴자는 PHI를 제공하는 대리인(하도급자 포함)이 해당 PHI와 관련하여 사업 제휴자에게 적용되는 것과 동일한 제한 및 조건에 서면으로 동의하도록 보장해야 합니다.

6.2 사업 제휴자는 ePHI를 제공하는 대리인(하도급자 포함)이 해당 ePHI를 보호하기 위해 합리적이고 적절한 안전 조치를 구현하는 데 서면으로 동의하도록 보장해야 합니다.

6.3 사업 제휴자는 대리인 또는 하도급자로부터 대리인 또는 하도급자가 ePHI의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 관리적, 물리적 및 기술적 안전 조치를 구현했다는 서면 인증을 받아야 합니다.

7.1 액세스: 지정 기록 세트에 포함된 개인에 관한 PHI에 대한 액세스 요청을 적용 대상 기관으로부터 받은 후 10영업일 이내에, 사업 제휴자는 지정 기록 세트에서 해당 정보를 유지하는 한 적용 대상 기관에 해당 PHI를 제공해야 합니다.

7.2 수정: 지정 기록 세트에 포함된 개인의 PHI 수정 요청을 적용 대상 기관으로부터 받은 후 10영업일 이내에, 사업 제휴자는 45 CFR 164.526에 따라 적용 대상 기관이 지시하거나 동의한 지정 기록 세트의 PHI 수정을 통합해야 합니다.

9.1 사유로 인한 종료: 적용 대상 기관이 사업 제휴자의 중대한 위반을 알게 된 경우, 적용 대상 기관은 다음 중 하나를 수행해야 합니다:

• 사업 제휴자에게 위반을 시정하거나 위반을 종료할 기회를 제공하고, 사업 제휴자가 적용 대상 기관이 지정한 시간 내에 위반을 시정하지 않거나 위반을 종료하지 않으면 본 계약을 종료합니다; 또는
• 사업 제휴자가 본 계약의 중요한 조항을 위반하고 시정이 불가능한 경우 즉시 본 계약을 종료합니다.

9.2 종료의 효과:

• 9.3항에 규정된 경우를 제외하고, 본 계약이 어떤 이유로든 종료되면 사업 제휴자는 적용 대상 기관으로부터 받은 또는 적용 대상 기관을 대신하여 사업 제휴자가 생성하거나 받은 모든 PHI를 반환하거나 파기해야 합니다. 이 규정은 사업 제휴자의 하도급자 또는 대리인이 소유한 PHI에 적용됩니다. 사업 제휴자는 PHI의 사본을 보유하지 않습니다.
• 사업 제휴자가 PHI 반환 또는 파기가 실행 불가능하다고 결정하는 경우, 사업 제휴자는 적용 대상 기관에 반환 또는 파기를 실행 불가능하게 만드는 조건에 대한 통지를 제공해야 합니다. PHI 반환 또는 파기가 실행 불가능하다고 결정되면, 사업 제휴자는 본 계약의 보호를 해당 PHI로 확장하고 사업 제휴자가 해당 PHI를 유지하는 한 반환 또는 파기를 실행 불가능하게 만드는 목적으로 해당 PHI의 추가 사용 및 공개를 제한해야 합니다.

9.3 존속: 섹션 9.2에 따른 사업 제휴자의 의무는 본 계약 종료 후에도 존속합니다.

11.1 사업 제휴자는 사업 제휴자의 본 계약 위반 또는 사업 제휴자의 HIPAA 위반으로 인해 발생하거나 이와 관련된 청구, 소송 원인, 책임, 손해, 비용 또는 경비(합리적인 변호사 수임료 및 소송 비용 포함)로부터 적용 대상 기관 및 그 임원, 이사, 직원 및 대리인을 면책하고 방어하며 손해를 입히지 않습니다.

11.2 적용 대상 기관은 본 계약 또는 HIPAA에 따른 의무와 관련하여 적용 대상 기관의 과실 또는 부당한 작위 또는 부작위로 인해 발생하거나 이와 관련된 청구, 소송 원인, 책임, 손해, 비용 또는 경비(합리적인 변호사 수임료 및 소송 비용 포함)로부터 사업 제휴자 및 그 임원, 이사, 직원 및 대리인을 면책하고 방어하며 손해를 입히지 않습니다.

13.1 규제 참조: 본 계약에서 HIPAA 규칙의 섹션에 대한 참조는 발효되거나 수정된 섹션을 의미합니다.

13.2 제3자 수익자 없음: 본 계약에서 명시적이거나 묵시적인 어떤 것도 당사자 및 당사자의 각 승계인 또는 양수인 이외의 사람에게 어떤 권리, 구제, 의무 또는 책임을 부여하려는 의도가 없으며, 본 계약의 어떤 것도 부여하지 않습니다.

13.3 모호성: 본 계약의 모호함은 HIPAA 규칙 준수를 허용하도록 해석되어야 합니다.

13.4 준거법: 본 계약은 법률 충돌 조항과 관계없이 싱가포르 법률의 적용을 받습니다.