تخطي إلى المحتوى

Exabeam Appoints Pete Harteveld as CEO — Read More

احصل على عرض توضيحي

اتفاقية شريك الأعمال للبائع

تدخل هذه الاتفاقية الخاصة بالشركاء التجاريين بموجب قانون حماية المعلومات الصحية ("BAA") بين شركة Exabeam، Inc. ("EXABEAM") والطرف الآخر المحدد في الاتفاقية، ومديريها، وضباطها، وموظفيها، والشركات التابعة لها، ووكلائها، والمقاولين من الباطن، والأطراف الثالثة (كما هو موضح في القسم 3) (مجتمعة، "المقاول"). يمكن أن تعمل EXABEAM كشريك تجاري لمقدمي الرعاية الصحية، أو الكيانات المغطاة، أو شركاء تجاريين آخرين بموجب قانون HIPAA. وبالتالي، تنطبق هذه الاتفاقية على المدى الذي تعمل فيه EXABEAM كشريك تجاري لإنشاء أو استلام أو الحفاظ على أو نقل المعلومات الصحية المحمية (PHI) أو المعلومات الشخصية (PII) لصالح كيان مغطى أو شريك تجاري، وإلى المدى الذي يُعتبر فيه المقاول، نتيجة لذلك، بموجب قانون HIPAA أنه يعمل كشريك تجاري أو مقاول من الباطن لشركة EXABEAM. لذلك، يوافق المقاول على اتباع الشروط والأحكام المنصوص عليها في هذه الاتفاقية، كما قد يتم تحديثها من وقت لآخر.

يقر المقاول ويوافق على أنه يقدم خدمات أو يساعد EXABEAM في أداء الخدمات التي قد تتضمن استخدام أو إفشاء المعلومات الصحية المحمية (PHI) والمعلومات الشخصية المحددة (PII)، وبالتالي، تتطلب قوانين HIPAA والقوانين الفيدرالية والولائية الأكثر صرامة، حسب الاقتضاء، حماية PHI وPII من الاستخدامات أو الإفشاءات غير المناسبة. وبناءً عليه، يقر المقاول ويوافق على أن استخدامه وإفشاءه لـ PHI يجب أن يكون متوافقًا مع شروط هذه الاتفاقية و 45 C.F.R. §164.504(e).

تُكمل الشروط والأحكام الخاصة بهذه الاتفاقية (BAA) وتعدل جميع الاتفاقيات والعلاقات بين الأطراف ("الاتفاقية")، التي تنص على أو تؤدي إلى إنشاء المقاول (CONTRACTOR) أو استلامه أو صيانته أو وصوله أو نقله أو استخدامه و/أو إفصاحه عن أي معلومات صحية محمية (PHI) أو معلومات تعريف شخصية (PII)، بأي شكل أو وسيلة، بصفته مساعدًا تجاريًا أو مقاولًا فرعيًا لشركة EXABEAM.

أي غموض في هذه الاتفاقية (BAA) يجب حله للسماح للأطراف بالامتثال لقانون HIPAA. في حالة وجود أي تناقض أو صراع بين الاتفاقية (بما في ذلك، على سبيل المثال لا الحصر، أي مرفقات أو تعديلات أو اتفاقيات أخرى ذات صلة، سواء مع EXABEAM أو مع الشركات التابعة لها أو الشركات الأم أو الضباط أو المديرين أو الموظفين أو المتعاقدين و/أو الوكلاء)، فإن هذه الاتفاقية (BAA) هي التي تسود. باستثناء ما تم تعزيزه و/أو تعديله، ستظل شروط الاتفاقية سارية في الأمور التي تم تناولها في الاتفاقية.

1. التعريفات. أي مصطلحات غير معرفة بشكل صريح هنا أو في الاتفاقية يجب أن تأخذ المعنى المحدد في HIPAA.

1.1 "الشركات التابعة" تعني كيانًا يتحكم فيه مباشرة أو غير مباشرة، أو يتم التحكم فيه من قبل، أو تحت السيطرة المشتركة مع طرف ما. لأغراض هذا التعريف، تعني "السيطرة" الملكية أو السيطرة، بشكل مباشر أو غير مباشر، على ما لا يقل عن خمسين في المئة (50%) أو أكثر من جميع الأسهم القابلة للتصويت (أو الأوراق المالية أو الحقوق الأخرى) التي يحق لها التصويت لانتخاب المديرين أو أي سلطة حاكمة أخرى.

1.2. "شريك الأعمال" له التعريف المعطى له بموجب قانون HIPAA.

1.3 "Breach" له التعريف المعطى له بموجب HIPAA. لأغراض هذه الاتفاقية، يتعلق مصطلح "Breach" أيضًا بتسويات معلومات التعريف الشخصية (PII).

1.4 "موضوع البيانات" يعني الفرد الذي تتعلق به معلومات صحية محمية (PHI) أو معلومات تعريف شخصية (PII)، كما هو معرف بشكل إضافي في قانون HIPAA أو التشريعات المعنية بأمن البيانات.

1.5 "HIPAA" تعني قانون قابلية التأمين الصحي والمساءلة لعام 1996، والقواعد واللوائح المتعلقة به، كما تم تعديلها. يجب أن يتضمن تعريف HIPAA لأغراض هذه الاتفاقية قانون HITECH.

1.6 "قانون تكنولوجيا المعلومات الصحية" يعني قانون تكنولوجيا المعلومات الصحية للصحة الاقتصادية والسريرية الذي أقره الكونجرس الأمريكي، وهو العنوان الثالث عشر من قانون الإنعاش والاستثمار الأمريكي، واللوائح بموجبه، مع التعديلات.

1.7 "معلومات الصحة المحمية" ("PHI") و"معلومات الصحة المحمية الإلكترونية" ("ePHI") لها التعريف المعطى لها بموجب قانون HIPAA.

1.8 "المعلومات الشخصية القابلة للتعريف" أو "PII" تعني المعلومات الشخصية التي تشمل، دون حصر، الأسماء، أرقام الهواتف، العناوين البريدية، معلومات بطاقات الائتمان، أرقام الضمان الاجتماعي، و/أو معلومات الحساب أو المعلومات المالية الخاصة بشركة EXABEAM، والشركات التابعة لها، والعملاء، و/أو المستخدمين النهائيين.

1.9 "الحادث الأمني" له التعريف المعطى له بموجب قانون HIPAA.

2. الاستخدام المسموح به للمعلومات الصحية المحمية (PHI) والمعلومات الشخصية المحددة (PII). يعترف المقاول بأنه يقدم خدمات أو يساعد EXABEAM في أداء وظيفة أو خدمة تتضمن استخدام أو إفشاء أو إنشاء أو استلام أو صيانة أو نقل المعلومات الصحية المحمية (PHI) والمعلومات الشخصية المحددة (PII)، وبالتالي، تتطلب قوانين HIPAA والقوانين الفيدرالية والولائية الأكثر صرامة، حسب الاقتضاء، حماية المعلومات الصحية المحمية (PHI) والمعلومات الشخصية المحددة (PII) من الاستخدامات أو الإفشاءات غير المناسبة.

2.1 الاستخدام المسموح به. باستثناء ما هو مذكور بخلاف ذلك في هذه الاتفاقية، يمكن للمقاول (CONTRACTOR) استخدام أو الكشف أو إنشاء أو استلام أو الحفاظ على أو نقل المعلومات الصحية المحمية (PHI) فقط كما هو مسموح به أو مطلوب بموجب هذه الاتفاقية للقيام بالوظائف والأنشطة والخدمات والعمليات التي يلتزم بها المقاول بموجب اتفاقية EXABEAM، أو كما هو مطلوب بموجب القانون المعمول به.

2.2 الاستخدامات والإفصاحات المحظورة. لا يجوز للمقاول استخدام أو إفشاء أو إنشاء أو استلام أو الاحتفاظ أو نقل المعلومات الصحية المحمية (PHI) أو المعلومات الشخصية المحددة (PII) بأي طريقة غير مسموح بها أو مطلوبة بموجب الاتفاقية أو هذه الاتفاقية الفرعية، أو التي قد تشكل انتهاكًا للقانون المعمول به، بما في ذلك، على سبيل المثال لا الحصر، الأفعال التي يمكن اعتبارها انتهاكًا لقانون HIPAA إذا تم القيام بها من قبل EXABEAM أو كيان مغطى. جميع الاستخدامات والإفصاحات، وطلبات EXABEAM لـ PHI تخضع لقواعد الخصوصية المتعلقة بالحد الأدنى الضروري، ويجب أن تقتصر على المعلومات الواردة في مجموعة بيانات محدودة، بقدر ما هو عملي، ما لم تكن هناك حاجة لمعلومات إضافية لتحقيق الغرض المقصود، أو كما هو مسموح به وفقًا للمادة 13405(b) من قانون HITECH، وأي توجيهات أخرى تم اعتمادها لاحقًا. لا يجوز للمقاول إرسال PHI أو PII خارج بلد المنشأ أو السماح بالوصول إلى PHI أو PII خارج بلد المنشأ دون موافقة خطية مسبقة من EXABEAM.

2.3 قيود على التعويض. لا يجوز للمقاول أن يتلقى مباشرة أو بشكل غير مباشر تعويضًا مقابل أي معلومات صحية محمية (PHI) إلا كما هو مسموح به بموجب 45 CFR 164.502(5)(ii)(B). بالإضافة إلى ذلك، لا يجوز للمقاول أن يتلقى مباشرة أو بشكل غير مباشر تعويضًا فيما يتعلق بالتواصل الذي يتضمن معلومات صحية محمية (PHI) أو معلومات شخصية محددة (PII)، أو يعتمد على معلومات صحية محمية (PHI) أو معلومات شخصية محددة (PII)، لشراء أو استخدام منتج إلا كما هو مسموح به بموجب 45 CFR 164.508(a)(3) ومع إذن كتابي مسبق من EXABEAM.

٢.٤ قيود على طلبات العروض والاتصالات. لا يجوز للمقاول استخدام المعلومات المُستقاة من هذا التعاقد لطلب عروض أو إجراء أي اتصالات مع أي عضو في EXABEAM أو أي من عملائها.

2.5 الاتفاقيات التقييدية. يجب على المقاول الامتثال لأي اتفاقية تقوم بها إكزبيم والتي إما: (i) تقيد استخدام أو إفشاء أو إنشاء أو استلام أو صيانة أو نقل المعلومات الصحية المحمية (PHI) وفقًا لـ 45 CFR 164.522(a)، أو (ii) تتطلب التواصل السري حول المعلومات الصحية المحمية (PHI) وفقًا لـ 45 CFR 164.522(b)، شريطة أن تقوم إكزبيم بإخطار المقاول بالقيود أو التزامات التواصل السري.

3. الكشف لأطراف ثالثة

3.1 متطلبات الموافقة. يجب على المقاول عدم تقديم أو الكشف أو السماح بالوصول إلى معلومات الصحة الشخصية (PHI) أو المعلومات الشخصية القابلة للتحديد (PII) لأي طرف ثالث، بما في ذلك على سبيل المثال لا الحصر أي مقاولين فرعيين أو شركات تابعة أو وكلاء (مجتمعة، "طرف ثالث"), دون الحصول على موافقة خطية مسبقة من EXABEAM.

3.2 اتفاقيات مع أطراف ثالثة. يجب على المقاول الدخول في اتفاقية مع أي طرف ثالث مسموح له بالوصول إلى المعلومات الصحية المحمية أو المعلومات الشخصية التي يتم استلامها من المقاول أو التي يتم توفيرها من قبل المقاول نيابة عن إكزبيم، وذلك بموجب الاتفاقية التي يوافق بموجبها الطرف الثالث على الالتزام بالقيود والشروط والأحكام التي لا تقل صرامة عن تلك المطبقة على المقاول بموجب هذه الاتفاقية، بما في ذلك على سبيل المثال لا الحصر، الضمانات الموصوفة في القسم 4 ("متطلبات الأمان والضمانات") هنا.

3.3 الكشف لأطراف ثالثة. بقدر ما يكشف المقاول أو يجعل المعلومات الصحية المحمية (PHI) أو المعلومات التعريفية الشخصية (PII) متاحة لطرف ثالث، يجب على المقاول، قبل جعل أي من هذه المعلومات الصحية المحمية أو المعلومات التعريفية الشخصية متاحة، وأثناء فترة تعاقده مع الطرف الثالث، التأكد:

  • لدى المقاول اتفاقية شراكة تجارية فعالة مع هذا الطرف الثالث تتضمن نفس القيود والشروط والمتطلبات التي تنطبق على المقاول بموجب هذه الاتفاقية.
  • أي إفصاح أو استخدام من قبل هذا الطرف الثالث يكون فقط لغرض محدود تمت الموافقة عليه كتابيًا من قبل EXABEAM.
  • ما لم يكن محظورًا بموجب القانون المعمول به، فقد حصل المقاول على موافقة خطية من EXABEAM قبل الكشف عن أو إتاحة المعلومات الصحية المحمية (PHI) أو المعلومات الشخصية القابلة للتحديد (PII) لطرف ثالث.
  • لدى المقاول اتفاق يتطلب من الطرف الثالث إبلاغ المقاول على الفور (الذي سيقوم بدوره بإبلاغ إكزبيم وفقًا للقسم 5 من هذه الاتفاقية) عن أي:
    • حادث أمني أو خرق
    • الكشف أو الاستخدام أو الوصول غير المصرح به إلى المعلومات الصحية المحمية (PHI) أو المعلومات الشخصية المحددة (PII)؛
  • لن يقوم المقاول بنقل أي معلومات صحية محمية (PHI) أو معلومات تعريف شخصية (PII) خارج البلد الأصلي دون الحصول على موافقة خطية مسبقة من شركة EXABEAM.

بين المقاول (CONTRACTOR) وإكزبيم (EXABEAM)، سيكون المقاول مسؤولاً وحده عن أي انتهاك أو وصول غير مصرح به أو استخدام أو إفشاء للمعلومات الصحية المحمية (PHI) أو المعلومات الشخصية (PII) من قبل، أو بسبب، أي طرف ثالث. يوافق المقاول على تقديم قائمة بجميع أطرافه الثالثة عند الطلب.

4. متطلبات الأمان والتدابير الوقائية

4.1 يوافق المقاول على أنه سيتخذ جميع التدابير المناسبة، بما في ذلك على الأقل الحد الأدنى من الأحكام المنصوص عليها في سياسة أمان بيانات البائع الخاصة بشركة EXABEAM، والتي يتم تضمين شروطها في هذه الاتفاقية من خلال الإشارة، لمنع الوصول أو الاستخدام أو الكشف عن المعلومات الصحية المحمية (PHI) أو المعلومات الشخصية (PII) التي لم يتم تفويضها صراحةً بموجب هذه الاتفاقية أو الاتفاق. تشمل التدابير الأمنية التدابير الإدارية والفيزيائية والتقنية التي تحمي بشكل معقول ومناسب سرية وسلامة وتوافر المعلومات الصحية المحمية (PHI) والمعلومات الشخصية (PII) التي يستخدمها أو يكشف عنها أو ينشئها أو يستلمها أو يحتفظ بها أو ينقلها نيابةً عن المتطلبات المنصوص عليها في الجزء 160 من قانون 45 CFR والأجزاء الفرعية A و C من الجزء 164 ("قاعدة الأمان"). يجب على المقاول الامتثال لقاعدة الأمان وتنفيذ جميع التدابير المنصوص عليها في قاعدة أمان HIPAA وأي لوائح مرتبطة.

4.2 يجب على المقاول أن يطلب من أي طرف ثالث معتمد تقديم ضمانات مرضية، كما هو موضح في عقد مكتوب وفقًا لـ 45 C.F.R. §164.504(e)(1)(i)، بأن هذا الطرف الثالث يمتثل لنفس التزامات حماية الخصوصية والأمان المتعلقة بالمعلومات الصحية المحمية (PHI) والمعلومات الشخصية المحددة (PII) التي تنطبق على المقاول بموجب هذه الاتفاقية، بما في ذلك على سبيل المثال لا الحصر الأحكام المنصوص عليها في القسم 3 ("الإفصاح للأطراف الثالثة") وسياسة أمان بيانات الموردين الخاصة بـ EXABEAM. وللتوضيح، لا يحق للطرف الثالث الإفصاح عن أي معلومات صحية محمية (PHI) أو معلومات شخصية محددة (PII) لأي طرف آخر دون الحصول على موافقة خطية مسبقة من EXABEAM.

5. الانتهاكات والحوادث الأمنية

5.1 الأحداث. يجب على المقاول، خلال أربع وعشرين (24) ساعة من علمه، الإبلاغ إلى EXABEAM عن أي حادث أمني، أو خرق، أو أي انتهاك آخر أو انتهاك مشتبه به لهذا الاتفاق ("الحدث"). يوافق المقاول على التخفيف، إلى الحد الممكن، من أي تأثير ضار لأي وصول غير مصرح به، أو استخدام، أو إفشاء للمعلومات الصحية المحمية (PHI) أو المعلومات الشخصية (PII) من قبل المقاول أو طرف ثالث. يجب أن تشمل جهود التخفيف هذه، ولكن لا تقتصر على، الامتثال للقانون المعمول به أو متطلبات خرق البيانات التعاقدية. يجب على المقاول التعاون الكامل مع أنشطة إخطار الخرق والتخفيف الخاصة بـ EXABEAM، ويكون مسؤولاً عن جميع التكاليف التي تتحملها EXABEAM لتلك الأنشطة المطلوبة. يجب أن يكون التقرير إلى EXABEAM كتابيًا ويتم إرساله عبر البريد الإلكتروني إلى [email protected] ما لم يتم تحديد خلاف ذلك من قبل EXABEAM.

5.2 التقارير. يجب أن تتضمن هذه التقارير على الأقل:

  • تاريخ ووقت وقوع الحدث وتاريخ اكتشافه؛
  • وصف كامل للبيانات الصحية الشخصية (PHI) أو المعلومات الشخصية التعريفية (PII) المعنية، بما في ذلك على سبيل المثال لا الحصر (1) طبيعة وخصائص المعلومات المعنية في الحدث و(2) حجم المعلومات التي تم المساس بها أو التي تم محاولة المساس بها في الحدث؛
  • وصف كامل للحدث، وأسبابه، والأثر الذي أحدثه على أنظمة وبيانات EXABEAM. يجب أن يتضمن ذلك، ولكن لا يقتصر على: (1) أسماء الأنظمة المتأثرة، والخوادم، والبرامج، وما إلى ذلك، و(2) أسماء الكيانات أو الأفراد الذين حصلوا على وصول غير مصرح به إلى المعلومات الصحية المحمية (PHI) أو المعلومات الشخصية المحددة (PII) نتيجةً للحدث؛
  • معلومات الاتصال للتواصل بشأن الحدث؛
  • وصف للخطوات الأولية للتخفيف التي تم اتخاذها لاحتواء الحدث وتقييم مستوى التهديد الذي تعرضت له المعلومات الصحية المحمية (PHI) أو المعلومات الشخصية القابلة للتحديد (PII) التي تعرض لها المقاول و/أو الأطراف الثالثة.
  • وصف للخطة لتصحيح التنازلات المتعلقة بالمعلومات الصحية المحمية (PHI) أو المعلومات الشخصية القابلة للتحديد (PII) ولمنع تكرار الحادث في المستقبل؛ و
  • "أي معلومات أخرى، بما في ذلك تقرير مكتوب، قد تطلبها EXABEAM بشكل معقول أو كما هو مطلوب بموجب القانون."

5.3 الحوادث التي تم محاولة تنفيذها. تعترف كلا الطرفين، مع ذلك، أن العدد الكبير من المحاولات غير المجدية للوصول، أو الاستخدام، أو الكشف، أو التعديل، أو التدمير غير المصرح به لمعلومات الصحة المحمية (PHI) أو المعلومات الشخصية (PII) في أنظمة معلومات المقاول قد يجعل متطلبات الإبلاغ في الوقت الحقيقي صعبة لكلا الطرفين. يعتقد كلا الطرفين أن متطلبات إشعار HIPAA قد تم الوفاء بها من خلال إنشاء عملية يتم من خلالها:

  • يجب على المقاول الكشف عن المعدلات وأنواع الحوادث التي تم محاولة حدوثها في الوقت الذي يتم فيه توقيع هذه الاتفاقية.
  • المقاول يراقب معدل وطبيعة مثل هذه المحاولات على مدى الزمن؛ و
  • يجب على المقاول إبلاغ إكزبيم بأي تغييرات جوهرية في المعدل أو طبيعة هذه المحاولات التي قد تؤثر سلبًا على إكزبيم بشكل مباشر أو غير مباشر.

فيما يلي أمثلة على حوادث أمنية غير ناجحة عندما لا تؤدي إلى الوصول غير المصرح به أو الاستخدام أو الصيانة أو الإفشاء أو النقل أو التعديل أو التدمير للمعلومات الصحية المحمية (PHI) أو المعلومات الشخصية المحددة (PII) أو التداخل مع نظام المعلومات.

  • إشارات اختبار الاتصال على جدار الحماية؛
  • مسح المنافذ
  • محاولات تسجيل الدخول إلى نظام أو قاعدة بيانات باستخدام اسم مستخدم أو كلمة مرور غير صحيحة؛ و
  • برمجيات خبيثة (مثل: الديدان، الفيروسات).

إذا لاحظ المقاول من خلال المراقبة المستمرة حوادث أمنية ناجحة تتجاوز هذه المحاولات الروتينية غير الناجحة بطريقة قد تؤثر على سرية أو نزاهة أو توفر المعلومات الصحية المحمية أو المعلومات الشخصية، يوافق المقاول على إبلاغ EXABEAM على الفور.

5.4 الإشعارات. يجب على المقاول الامتثال للقوانين المعمول بها التي تتطلب إشعار السلطات أو الأفراد المعنيين في حالة حدوث وصول غير مصرح به أو إفراج عن معلومات شخصية أو معلومات صحية، كما هو محدد بموجب القانون الفيدرالي أو القانون المحلي المعمول به ("حدث الإشعار")، سواء كان حدث الإشعار هذا مسؤولية المقاول أو طرف ثالث تم الكشف له عن المعلومات الشخصية أو المعلومات الصحية. عندما يكون الإشعار للأفراد المعنيين مطلوبًا بموجب القانون أو تحدده EXABEAM، وفقًا لتقديرها الخاص، على أنه ضروري، سواء كان حدث الإشعار هذا مسؤولية المقاول أو طرف ثالث تم الكشف له عن المعلومات الشخصية أو المعلومات الصحية، يجب على المقاول التنسيق مع EXABEAM لـ (أ) التحقيق في حدث الإشعار، (ب) إبلاغ جميع الأفراد المعنيين المتأثرين، و (ج) التخفيف من حدث الإشعار. وفقًا لتقدير EXABEAM الخاص، يتضمن التخفيف، ولكن لا يقتصر على تأمين خدمات مراقبة الائتمان أو الحماية للأفراد المعنيين المتأثرين لفترة تحددها EXABEAM. سيكون المقاول مسؤولاً عن أي وجميع التكاليف التي يتم تكبدها من الاستجابة والتخفيف من مثل هذه الأحداث الإشعار، بما في ذلك، على سبيل المثال لا الحصر، تكاليف البريد، تكاليف الأفراد، أتعاب المحامين، تكاليف مراقبة الائتمان، وغيرها من النفقات أو التكاليف ذات الصلة.

6. طلب الوصول إلى المعلومات الصحية المحمية أو المعلومات التعريفية الشخصية

6.1 طلبات الوصول إلى معلومات صحية محمية أو معلومات تعريف شخصية. خلال يومي عمل (2) من طلب الوصول إلى أي معلومات صحية محمية أو معلومات تعريف شخصية، سواء كان هذا الطلب صادرًا من شخص معني أو سلطة تنظيمية، يجب على المقاول (CONTRACTOR) أن يقوم، خلال يومي عمل (2)، بإحالة هذا الطلب إلى EXABEAM. لتجنب أي شك، وإلى الحد الذي يسمح به القانون، يجب على المقاول (CONTRACTOR) عدم الإفصاح أو إصدار أي معلومات صحية محمية أو معلومات تعريف شخصية استجابةً لهذا الطلب دون استشارة والحصول على الموافقة المكتوبة من EXABEAM.

6.2 إنتاج ePHI بصيغة قابلة للوصول. بقدر ما يحتفظ المقاول بـ ePHI في مجموعة السجلات المحددة، فيما يتعلق بـ ePHI لموضوع البيانات، يوافق المقاول على أن لموضوع البيانات، وEXABEAM نيابة عن موضوع البيانات، الحق في الحصول على نسخة إلكترونية من هذه المعلومات بالشكل والصيغة التي يطلبها موضوع البيانات أو EXABEAM، إذا كانت هذه ePHI قابلة للتكرار بسهولة بالشكل والصيغة المطلوبة. إذا لم تكن المعلومات قابلة للتكرار بسهولة بالشكل أو الصيغة التي يطلبها إما موضوع البيانات أو EXABEAM، يجب على المقاول جعل المعلومات متاحة بصيغة إلكترونية معقولة كما تم الاتفاق عليه بشكل متبادل بين موضوع البيانات والمقاول وEXABEAM. ستكون قدرة المقاول على نقل ePHI خاضعة للقيود المنصوص عليها في القسم 6(أ) من هذه الاتفاقية. إذا كانت هذه الإفصاح مصرح بها، كتابةً، من قبل EXABEAM، يوافق المقاول على نقل نسخة إلكترونية من ePHI مباشرةً إلى شخص أو كيان معين من قبل موضوع البيانات، بشرط أن يكون التوجيه كتابيًا وواضحًا وبارزًا ومحددًا.

7. التعديلات. في حال تلقي المقاول طلبًا من موضوع البيانات يتعلق بتعديل أو حذف المعلومات الصحية المحمية أو المعلومات الشخصية القابلة للتحديد، يجب إبلاغ EXABEAM على الفور، ولكن في جميع الأحوال لا يقل عن يومين (2) عمل من تاريخ الطلب. يجب على المقاول الامتثال لأي تعليمات تقدمها EXABEAM تتعلق بهذا الطلب، طالما أن هذه التعليمات تتماشى مع القانون المعمول به.

8. محاسبة الإفصاحات

8.1 سجل الإفصاح. يجب على المقاول الاحتفاظ بسجلات واضحة لجميع الإفصاحات المتعلقة بالمعلومات الصحية المحمية (PHI) التي قام بها المقاول ("سجل الإفصاح"). يجب أن يتضمن سجل الإفصاح جميع حالات الاستخدام والوصول والإفصاح عن PHI أو PII التي حدثت في السنوات الست (6) الماضية. يجب أن يتضمن كل سجل جميع العناصر المنصوص عليها في 45 CFR 164.528(b)(2).

8.2 في غضون عشرة (10) أيام عمل من إشعار EXABEAM للمقاول بأنه قد تلقى طلبًا صالحًا للمحاسبة عن إفصاحات المعلومات الصحية المحمية (PHI) المتعلقة بشخص بيانات من كيان مغطى، كما هو موضح في 45 CFR 164.528، يجب على المقاول أن يجعل أي معلومات طلبها EXABEAM أو الكيان المغطى متاحة من أجل الوفاء بطلب المحاسبة. إذا تم تسليم طلب المحاسبة مباشرة إلى المقاول، يجب على المقاول، في غضون يومين (2) عمل من استلام هذا الطلب، أن يحول هذا الطلب إلى EXABEAM وألا يتخذ أي إجراء آخر ما لم instruct EXABEAM خلاف ذلك.

8.3 بالنسبة للإفصاحات التي يتعين تتبعها، يجب على المقاول، كحد أدنى، تقديم المعلومات التالية لشركة EXABEAM:

  • تاريخ الإفصاح؛
  • اسم الكيان أو الشخص الذي استلم المعلومات الصحية المحمية (PHI)، وإذا كان معروفًا، عنوان هذا الكيان أو الشخص؛
  • وصف مختصر لـ PHI؛
  • بيان مختصر لغرض هذا الإفصاح، يتضمن شرحًا للأساس الذي يستند إليه هذا الإفصاح؛ و
  • يجب على المقاول (CONTRACTOR) أيضًا تقديم أي معلومات إضافية حسبما يتطلبه قانون HIPAA، وأي لوائح مصاحبة، والقوانين المعمول بها.

8.4 بقدر ما يتعين على المقاول تنفيذ واحد أو أكثر من التزامات EXABEAM بموجب الجزء الفرعي E من 45 CFR الجزء 164، يجب الامتثال لمتطلبات الجزء الفرعي E التي تنطبق على EXABEAM في تنفيذ هذه الالتزام(ات).

9. التدقيقات والتفتيشات

9.1 يوافق المقاول بموجب هذا على جعل ممارساته الداخلية وكتبه وسجلاته المتعلقة باستخدام وكشف المعلومات الصحية المحمية أو المعلومات الشخصية التي تم استلامها من، أو التي تم إنشاؤها أو استلامها من قبل المقاول نيابة عن إكزبيم متاحة لـ: (i) وزير وزارة الصحة والخدمات الإنسانية لتحديد امتثال إكزبيم والمقاول لقانون HIPAA؛ (ii) لإكزبيم لأغراضه في الاستجابة لتحقيق رسمي أو إجراء إنفاذ من قبل وزير الصحة والخدمات الإنسانية أو أي سلطة حكومية أو تنظيمية أخرى، أو لغرض تقييم و/أو الاستجابة لمراجعة امتثال تم تنفيذها أو إدارتها أو الإشراف عليها، كليًا أو جزئيًا، من قبل الوكالات الحكومية أو التنظيمية.

9.2 يجب على المقاول، على أساس سنوي، تقديم شهادة تفيد بأنه هو والأطراف الثالثة التابعة له ملتزمون بشروط هذه الاتفاقية (بما في ذلك أي مرفقات لها) ويجب أن يسمح لـ EXABEAM بتدقيق دفاتره وسجلاته وعملياته لتحديد الامتثال لالتزامات المقاول بموجب هذه الاتفاقية.

10. المدة وإنهاء العقد

10.1 المدة. ستكون مدة هذه الاتفاقية سارية اعتبارًا من تاريخ سريان الاتفاقية وستنتهي فقط عندما لا يكون لدى المقاول أي وصول إلى أي معلومات صحية محمية أو معلومات تعريف شخصية مشمولة بهذا الاتفاق.

10.2 إنهاء للسبب. يمكن لـ EXABEAM إنهاء الاتفاقية إذا قررت أن المقاول قد انتهك شرطًا ماديًا من هذه الاتفاقية. بالإضافة إلى أي حقوق أخرى قد تكون لدى EXABEAM في الاتفاقية، أو هذه الاتفاقية، أو بموجب القانون أو في الإنصاف، يمكن لـ EXABEAM، وفقًا لتقديرها الخاص، عند حدوث خرق أو انتهاك لهذه الاتفاقية: (i) توفير فرصة معقولة للمقاول لعلاج أو إنهاء أي انتهاك من هذا القبيل في الوقت المحدد من قبل EXABEAM؛ (ii) إذا كان المقاول يعتقد بشكل معقول أن العلاج غير ممكن أو إذا لم يقم المقاول بعلاج هذا الخرق أو الانتهاك، يمكن لـ EXABEAM إنهاء الاتفاقية على الفور. لا ينبغي تفسير خيار EXABEAM لعلاج الخرق على أنه تنازل عن أي حقوق أخرى تمتلكها EXABEAM في الاتفاقية، أو هذه الاتفاقية، أو بموجب القانون أو في الإنصاف.

10.3 أثر الإنهاء. ستظل التزامات المقاول وحقوق إكزبيم بموجب هذا القسم سارية بعد إنهاء هذه الاتفاقية أو الاتفاق. عند إنهاء أي اتفاق لأي سبب، يجب على المقاول إعادة أو تدمير جميع المعلومات الشخصية المحمية (PHI) أو المعلومات الشخصية القابلة للتحديد (PII) التي تم استلامها من، أو إنشاؤها، أو استلامها، أو الاحتفاظ بها من قبل المقاول والتي لا يزال يحتفظ بها المقاول بأي شكل من الأشكال، ويجب ألا يحتفظ بأي نسخ من هذه المعلومات. سيطلب المقاول من أي طرف ثالث تم الكشف له عن PHI أو PII إعادة نفس المعلومات إلى المقاول (حتى يتمكن المقاول من إعادتها إلى إكزبيم أو تدميرها) بأي شكل أو وسيلة تم استلامها من المقاول، بما في ذلك جميع النسخ منها وجميع البيانات والتجميعات والأعمال الأخرى المشتقة منها التي تسمح بتحديد أي فرد هو موضوع PHI أو PII، ويجب أن يشهد للمقاول بأن هذه المعلومات قد تم إعادتها أو تدميرها. سيكمل المقاول هذه الالتزامات بأسرع ما يمكن، ولكن ليس بعد ثلاثين (30) يومًا من تاريخ سريان الإنهاء أو انتهاء أي اتفاق، ويجب أن يقدم شهادة بأن جميع PHI و PII المقدمة بموجب هذه الاتفاقية قد تم إعادتها أو تدميرها. ومع ذلك، يجوز لإكزبيم أن تطلب، ويجب على المقاول الامتثال، أن يتم إعادة أو تدمير PHI و PII في وقت أقرب من ثلاثين (30) يومًا.

إذا لم يكن من الممكن إعادة أو تدمير المعلومات الصحية المحمية (PHI) أو المعلومات الشخصية القابلة للتحديد (PII) من قبل المقاول أو طرف ثالث:

  • يجب على المقاول عدم استخدام أو إفشاء هذه المعلومات لأي غرض.
  • الالتزام بحماية الخصوصية وضمان أمان المعلومات الصحية الشخصية (PHI) والمعلومات الشخصية (PII) كما هو محدد في هذه الاتفاقية (BAA) سيكون مستمراً وسينجو من إنهاء أو أي استنتاج آخر لهذه الاتفاقية أو أي اتفاقيات أخرى، بما في ذلك بيانات العمل، المبرمة بين المقاول والمقاول. علاوة على ذلك، يجب على المقاول، على أساس سنوي، تقديم شهادة تفيد بأنه هو والأطراف الثالثة التابعة له ملتزمون بالاتفاقية (بما في ذلك سياسة أمان البيانات المرفقة) ويجب أن يسمح لـ EXABEAM بتدقيق دفاتره وسجلاته وعملياته لتحديد الامتثال لالتزامات المقاول بموجب الاتفاقية.

11. معايير المعاملات

11.1 مجموعات رموز ICD-10. إذا كانت خدمات أو منتجات المقاول تستخدم أو تتطلب استخدام مجموعات الرموز، كما هو محدد في HIPAA، فإن المقاول يجب أن يستخدم التصنيف الدولي للأمراض (ICD)، الإصدار العاشر، التعديل السريري ("ICD-10-CM"), أو أحدث رموز ICD المتاحة، لتشفير التشخيص، والتصنيف الدولي للأمراض، الإصدار العاشر، نظام تشفير الإجراءات ("ICD-10-PCS"), أو أحدث رموز ICD المتاحة، لتشفير إجراءات المستشفى للمرضى الداخليين لجميع الخدمات أو المنتجات التي يتعين على المقاول تقديمها بموجب العقد إلى EXABEAM.

11.1.1 EXABEAM غير مسؤولة عن أي خدمات إضافية، أو برمجة، أو معالجة، أو اختبار، أو أي تكاليف تنفيذ أخرى يتحملها المقاول لتنفيذ ICD-10-CM وICD-10-PCS، حيث إن هذه هي مسؤولية المقاول.  لا تتحمل EXABEAM أي التزام بتعويض المقاول عن أي تكاليف تتعلق بالاختبار، أو التنفيذ، أو الإصلاح المرتبط بتنفيذ المقاول لـ ICD-10-CM وICD-10-PCS.

11.1.2 إذا قرر المقاول بشكل معقول أن منتجات أو خدمات المقاول لم تنفذ أو تعالج الأحكام المعمول بها من معايير مجموعة رموز HIPAA أو الأحكام المنصوص عليها في هذه الاتفاقية، وشرط أن المقاول لا يقوم بإصلاح هذه المشكلة خلال ثلاثين (30) يومًا تقويميًا من الإخطار، أو كما تم الاتفاق عليه بخلاف ذلك من قبل EXABEAM كتابةً، يجوز لـEXABEAM حجب المدفوعات عن المقاول حتى يتم إصلاح المشكلة إلى رضا EXABEAM المعقول.

11.2 الامتثال لمعاملات المعايير الخاصة بـ HIPAA

11.2.1 إذا قام المقاول أو طرف ثالث بإجراء أو تنفيذ (كليًا أو جزئيًا) معاملات إلكترونية نيابة عن إكزبيم والتي وضعت وزارة الصحة والخدمات الإنسانية (“DHHS”) معايير لها (يشار إليها مجتمعة باسم “المعاملات”)، يجب على المقاول الامتثال (ويجب أن يتطلب من أي طرف ثالث معني باستلام أو معالجة مثل هذه المعاملات الامتثال) لمتطلبات قاعدة المعاملات، 45 C.F.R. الجزء 162، بما في ذلك أي مواصفات دليل التنفيذ المدمجة في HIPAA بالإشارة.

11.2.1.1 لن يدخل المقاول، أو يسمح لطرفه الثالث بالدخول في، أي اتفاقية شراكة تجارية تتعلق بإجراء معاملات قياسية نيابة عن إكزبيم التي:

  • يغير تعريف أو حالة بيانات أو استخدام عنصر بيانات أو جزء من بيانات في معاملة قياسية؛
  • يضيف أي عنصر بيانات أو جزء إلى مجموعة البيانات المحددة كحد أقصى؛
  • يستخدم أي كود أو عنصر بيانات يتم وضع علامة "غير مستخدم" في مواصفات تنفيذ المعاملة القياسية أو غير موجود في مواصفات تنفيذ المعاملة القياسية؛ أو
  • يغير المعنى أو الهدف من تنفيذ المواصفات القياسية للمعاملات.

11.2.1.2 EXABEAM غير مسؤولة عن أي خدمات إضافية أو برمجة أو معالجة أو اختبار أو أي تكاليف تنفيذ أخرى يتحملها المقاول لتحقيق الامتثال لمعيار المعاملات HIPAA حيث إن هذه هي مسؤولية المقاول.  لا تتحمل EXABEAM أي التزام بتعويض المقاول عن أي تكاليف تتعلق بالاختبار أو التنفيذ أو التصحيح المرتبطة بامتثال المقاول لقواعد معاملات HIPAA.

11.2.3 اختبار الامتثال. عند طلب EXABEAM، يجب على المقاول إجراء اختبار امتثال شامل أو اختبارات أخرى للمعاملات ومجموعة الأكواد، وشهادة لـ EXABEAM بأن المقاول يتوافق مع القوانين المعمول بها.

11.2.3.1 عند طلب EXABEAM، يجب على المقاول تقديم نسخة من شهادة الامتثال الخاصة به (لكلا المستويين 1 و 2) من شركة شهادة معتمدة من طرف ثالث. في غياب تحديد EXABEAM المعقول لمشاكل الامتثال المتعلقة بالمعاملات أو مجموعة الشفرات، يجب أن تقتصر هذه الطلبات على مرة واحدة في السنة.

11.2.3.2 عند إشعار كتابي من ‘ بشأن مشكلة تتعلق بالامتثال للمعاملات أو مجموعة الرموز، يجب على EXABEAM وCONTRACTOR، حسب الاقتضاء، التحقيق في هذه المشكلة وإصلاحها ضمن إطار زمني متفق عليه. يجب أن يتضمن الإصلاح أي أنشطة اختبار قد تكون مطلوبة للتحقق من الامتثال. إذا اختلفت EXABEAM وCONTRACTOR في تفسير المعيار أو اللوائح أو القواعد، يتفق الطرفان على تقديم طلب للحصول على توضيح و/أو تفسير إلى هيئة معترف بها في الصناعة أو هيئة معينة، بما في ذلك على سبيل المثال لا الحصر، لجنة المعايير المعتمدة (ASC) X12 أو مجموعة العمل لتبادل البيانات الإلكترونية (WEDI).

11.4 إذا قررت EXABEAM بشكل معقول أن المقاول غير ملتزم بقواعد المعاملات أو مجموعة الرموز أو الأحكام المنصوص عليها في هذا القسم، وشرط أن لا يقوم المقاول بإصلاح مشكلة الامتثال هذه خلال ثلاثين (30) يومًا تقويميًا من الإخطار، يجوز لـ EXABEAM إنهاء الاتفاقيات ويكون لها الحق في التعويضات، والتي قد تشمل، ولكن لا تقتصر على، استرداد الرسوم المدفوعة بشكل نسبي. بقدر ما يتم تغريم EXABEAM، أو فرض عقوبة عليها، أو تحملها المسؤولية عن أي مشكلة في الامتثال للمعاملات أو مجموعة الرموز، وكانت هذه المخالفة مرتبطة بأفعال أو إغفالات المقاول، يجب على المقاول تعويض EXABEAM عن جميع هذه الغرامات، والعقوبات، أو التكاليف المرتبطة الأخرى المفروضة على EXABEAM.

12. متفرقات

12.1 حقوق الأطراف الثالثة. باستثناء ما يتطلبه القانون، فإن شروط هذه الاتفاقية لا تمنح أي حقوق لأي طرف ثالث.

12.2 حالة المقاول المستقل. لأغراض هذه الاتفاقية، يُعتبر المقاول مقاولًا مستقلًا لشركة EXABEAM، ولا يُعتبر وكيلًا لشركة EXABEAM. لا شيء في هذه الاتفاقية أو أي خدمات أو اتفاق مشابه بين الأطراف يُنشئ علاقة وكالة بين EXABEAM والمقاول، وتتنازل الأطراف صراحةً عن وجود أي علاقة من هذا القبيل.

12.3 الامتثال للقوانين. يوافق المقاول، بما في ذلك على سبيل المثال لا الحصر، الأطراف الثالثة الخاصة به، على الامتثال لجميع القوانين والأنظمة الفيدرالية والولائية المعمول بها، واللوائح، والأحكام، أو التشريعات من أي سلطة حكومية تحكم استخدام المعلومات الصحية المحمية (PHI) والمعلومات الشخصية (PII)، بما في ذلك، على سبيل المثال لا الحصر، قوانين أمان خرق البيانات الولائية المعمول بها لكل موضوع بيانات.

12.4 تغييرات في القانون. توافق EXABEAM والمقاول على اتخاذ الإجراءات اللازمة لتعديل هذه الاتفاقية من وقت لآخر حسب الضرورة للامتثال لمتطلبات HIPAA وأي قانون آخر قابل للتطبيق. يجب على الأطراف تعديل هذه الاتفاقية لتتوافق مع أي تشريع أو قواعد أو لوائح جديدة أو معدلة تخضع لها EXABEAM الآن أو في المستقبل بما في ذلك، على سبيل المثال لا الحصر، HIPAA.

12.5 الملكية. تحت أي ظرف من الظروف، لا يُعتبر المقاول بأي شكل من الأشكال مالكًا لأي معلومات صحية شخصية أو معلومات تعريف شخصية مقدمة من إكزبيم.

12.6 الغموض والتعديلات على القانون. يجب تفسير أي غموض في هذه الاتفاقية للسماح بالامتثال لقانون HIPAA. في حال أصبح قانون HIPAA، أو أي قانون آخر قابل للتطبيق، ساري المفعول بعد تاريخ سريان هذه الاتفاقية، فسيتم تعديل هذه الاتفاقية تلقائيًا بحيث تظل الالتزامات التي تفرضها على المقاول متوافقة مع هذه اللوائح.

12.7 الاستدعاءات وأوامر المحكمة. في حال استلم المقاول استدعاءً أو أمرًا من المحكمة أو أمرًا إداريًا، أو أي طلب اكتشاف أو تفويض لإطلاق معلومات صحية محمية أو معلومات تعريف شخصية، يجب على المقاول إبلاغ إكزبيم كتابيًا قبل الرد على هذا الطلب لتمكين إكزبيم من الاعتراض. يجب على المقاول إبلاغ إكزبيم بالطلب في أقرب وقت ممكن، ولكن في جميع الأحوال خلال يومي عمل (2) من استلام هذا الطلب.

12.8 التعويض العادل. يقر المقاول بأن استخدامه أو إفشاؤه غير المصرح به لمعلومات الصحة المحمية أو المعلومات الشخصية أثناء أداء الخدمات بموجب هذه الاتفاقية سيؤدي إلى ضرر لا يمكن إصلاحه لشركة إكزبيم، وفي هذه الحالة، يحق لشركة إكزبيم اتخاذ إجراءات قانونية في أي محكمة ذات اختصاص للحصول على تعويضات وأوامر قضائية.

12.9 التعويض. بغض النظر عن أي قيود على المسؤولية منصوص عليها في هذه الاتفاقية أو أي اتفاقيات أخرى، بما في ذلك بيانات العمل، بين الأطراف، يجب على المقاول تعويض وحماية EXABEAM وضباطها، وأمنائها، وموظفيها، والشركات التابعة لها، ووكلائها، والمقاولين من الباطن، وأي من عملائها، من أي وجميع المطالبات، والغرامات، والرسوم، والتكاليف، والمسؤوليات، أو الأضرار، بما في ذلك على سبيل المثال لا الحصر أتعاب المحاماة المعقولة، التي تتكبدها EXABEAM والتي تنشأ عن أو تتعلق بـ: (i) انتهاك المقاول لأي التزامات بموجب هذه الاتفاقية؛ أو (ii) أي غرامات أو عقوبات حكومية، أو مطالبات من طرف ثالث، أو أضرار، أو غرامات، أو تكاليف، أو أي ضرر ذي صلة مرتبط بأحداث الإخطار. كما يوافق المقاول على تعويض وحماية EXABEAM، أو في حالة عمل EXABEAM كشريك تجاري لواحد أو أكثر من الكيانات المغطاة، كل واحد من شركاء الأعمال أو العملاء المغطاة من أي وجميع المسؤوليات، والأضرار، والتكاليف (بما في ذلك أتعاب المحاماة المعقولة والتكاليف) والنفقات المفروضة أو المزعومة ضد EXABEAM وأي من شركاء الأعمال أو العملاء المغطاة الناشئة عن أي مطالبات، أو مطالب، أو جوائز، أو تسويات، أو غرامات، أو أحكام تتعلق بوصول المقاول، أو استخدامه، أو إفصاحه عن المعلومات الصحية المحمية أو المعلومات الشخصية المحددة بشكل غير متوافق مع أحكام هذه الاتفاقية أو القانون المعمول به. بغض النظر عن أي شيء يتعارض مع ذلك في الاتفاقية، فإن أي خرق لهذه الاتفاقية من قبل المقاول والالتزامات التعويضية المذكورة أعلاه لن تخضع لأي قيود على المسؤولية المنصوص عليها في الاتفاقية.

الإصدار 200310