Zum Inhalt springen

Exabeam Confronts AI Insider Threats Extending Behavior Detection and Response to OpenAI ChatGPT and Microsoft Copilot — Read the Release.

Demo anfordern

Vereinbarung mit einem Geschäftspartner

Diese HIPAA-Geschäftspartnervereinbarung („BAA“) wird zwischen Exabeam, Inc. („EXABEAM“) und der anderen in der Vereinbarung genannten Partei, ihren Direktoren, leitenden Angestellten, Mitarbeitern, verbundenen Unternehmen, Vertretern, Subunternehmern und Drittparteien (wie in Abschnitt 3 dargelegt) (zusammen „AUFTRAGNEHMER“) geschlossen. EXABEAM kann gemäß HIPAA als Geschäftspartner für Gesundheitsdienstleister, abgedeckte Einrichtungen oder andere Geschäftspartner fungieren. Daher gilt diese BAA in dem Umfang, in dem EXABEAM als Geschäftspartner fungiert, um PHI oder PII für eine abgedeckte Einrichtung oder einen Geschäftspartner zu erstellen, zu empfangen, zu verwalten oder zu übertragen, und in dem Umfang, in dem der AUFTRAGNEHMER gemäß HIPAA als Geschäftspartner oder Subunternehmer von EXABEAM gilt. Daher erklärt sich der AUFTRAGNEHMER damit einverstanden, die in dieser BAA festgelegten Bedingungen einzuhalten, die von Zeit zu Zeit aktualisiert werden können.

Der AUFTRAGNEHMER erkennt an und stimmt zu, dass er Dienstleistungen erbringt oder EXABEAM bei der Erbringung von Dienstleistungen unterstützt, die die Verwendung oder Offenlegung von PHI und PII beinhalten können. Daher verlangen HIPAA und strengere staatliche und bundesstaatliche Gesetze, soweit anwendbar, den Schutz von PHI und PII vor unangemessener Verwendung oder Offenlegung. Daher erkennt der AUFTRAGNEHMER an und stimmt zu, dass seine Verwendung und Offenlegung von PHI in Übereinstimmung mit den Bedingungen dieser BAA und 45 CFR §164.504(e) erfolgen muss.

Die Bedingungen dieser BAA ergänzen und ändern sämtliche Vereinbarungen und Beziehungen zwischen den Parteien („Vereinbarung“), die die Erstellung, den Empfang, die Pflege, den Zugriff, die Übertragung, die Verwendung und/oder die Offenlegung von PHI oder PII durch den AUFTRAGNEHMER in seiner Eigenschaft als Geschäftspartner oder Subunternehmer von EXABEAM in jeglicher Form oder auf jeglichem Medium vorsehen oder dazu führen.

Unklarheiten in dieser BAA werden so geklärt, dass die Parteien HIPAA-konform sind. Im Falle von Unstimmigkeiten oder Konflikten zwischen der Vereinbarung (einschließlich, aber nicht beschränkt auf Anhänge, Änderungen oder sonstige Vereinbarungen dazu, sei es mit EXABEAM oder deren Tochtergesellschaften, verbundenen Unternehmen, Muttergesellschaften, leitenden Angestellten, Direktoren, Mitarbeitern, Auftragnehmern und/oder Vertretern) und dieser BAA gilt diese BAA. Sofern nicht ergänzt und/oder geändert, gelten weiterhin die Bedingungen der Vereinbarung für die in der Vereinbarung behandelten Angelegenheiten.

1. DEFINITIONEN. Alle hierin oder in der Vereinbarung nicht ausdrücklich definierten Begriffe haben die im HIPAA festgelegte Bedeutung.

1.1 „Verbundene Unternehmen“ bezeichnet ein Unternehmen, das eine Partei direkt oder indirekt kontrolliert, von ihr kontrolliert wird oder mit ihr unter gemeinsamer Kontrolle steht. Im Sinne dieser Definition bedeutet „Kontrolle“ den direkten oder indirekten Besitz oder die Kontrolle von mindestens fünfzig Prozent (50 %) aller stimmberechtigten Aktien (oder sonstigen Wertpapiere oder Rechte), die zur Wahl von Direktoren oder anderen Leitungsorganen berechtigt sind.

1.2. „Geschäftspartner“ hat die ihm gemäß HIPAA zugewiesene Definition.

1.3 „Verstoß“ hat die im HIPAA festgelegte Definition. Im Rahmen dieser Vereinbarung bezieht sich der Begriff „Verstoß“ außerdem auf die Gefährdung personenbezogener Daten.

1.4 „Betroffene Person“ bezeichnet die Person, auf die sich bestimmte PHI oder PII beziehen, wie im HIPAA oder den geltenden Datenschutzgesetzen näher definiert.

1.5 „HIPAA“ bezeichnet den Health Insurance Portability and Accountability Act von 1996 sowie die dazugehörigen Regeln und Vorschriften in der jeweils gültigen Fassung. Die Definition von HIPAA im Rahmen dieser Vereinbarung umfasst auch den HITECH Act.

1.6 „HITECH Act“ bezeichnet den Health Information Technology for Economic and Clinical Health Act, der vom Kongress der Vereinigten Staaten verabschiedet wurde und Titel XIII des American Recovery & Reinvestment Act darstellt, sowie die dazugehörigen Bestimmungen in der jeweils gültigen Fassung.

1.7 „Geschützte Gesundheitsinformationen“ („PHI“) und „elektronische geschützte Gesundheitsinformationen“ („ePHI“) haben die Definition gemäß HIPAA.

1.8 „Personenbezogene Daten“ oder „PII“ bezeichnet persönliche Informationen, d. h., ohne Einschränkung, Namen, Telefonnummern, Postanschriften, Kreditkarteninformationen, Sozialversicherungsnummern und/oder Konto- oder Finanzinformationen von EXABEAM, seinen verbundenen Unternehmen, Kunden und/oder Endbenutzern.

1.9 „Sicherheitsvorfall“ hat die Definition gemäß HIPAA.

2. Zulässige Verwendung von PHI und PII. Der AUFTRAGNEHMER erkennt an, dass er Dienstleistungen erbringt oder EXABEAM bei der Durchführung einer Funktion oder Dienstleistung unterstützt, die die Verwendung, Offenlegung, Erstellung, den Empfang, die Pflege oder die Übertragung von PHI und PII beinhaltet, und dass daher HIPAA und strengere staatliche und bundesstaatliche Gesetze, soweit anwendbar, verlangen, dass PHI und PII vor unangemessener Verwendung oder Offenlegung geschützt werden.

2.1 Zulässige Nutzung. Sofern in dieser BAA nichts anderes angegeben ist, darf der AUFTRAGNEHMER PHI nur wie in dieser BAA gestattet oder gefordert verwenden, offenlegen, erstellen, empfangen, verwalten oder übermitteln, um die Funktionen, Aktivitäten, Dienste und Vorgänge auszuführen, zu denen der AUFTRAGNEHMER gemäß der Vereinbarung von EXABEAM vertraglich verpflichtet ist, oder wie nach geltendem Recht erforderlich.

2.2 Verbotene Verwendungen und Offenlegungen. Der AUFTRAGNEHMER darf PHI oder PII nicht auf eine Weise verwenden, offenlegen, erstellen, empfangen, verwalten oder übermitteln, die nicht durch den Vertrag oder diese BAA gestattet oder vorgeschrieben ist oder die anderweitig einen Verstoß gegen geltendes Recht darstellen würde, einschließlich, aber nicht beschränkt auf Handlungen, die als Verstoß gegen HIPAA gelten würden, wenn sie von EXABEAM oder einer abgedeckten Einheit vorgenommen würden. Sämtliche Verwendungen und Offenlegungen von PHI sowie Anfragen von EXABEAM nach PHI unterliegen der Mindestanforderung der Datenschutzstandards und sind, soweit praktikabel, auf die in einem begrenzten Datensatz enthaltenen Informationen zu beschränken, es sei denn, es werden zusätzliche Informationen benötigt, um den beabsichtigten Zweck zu erreichen, oder wie anderweitig gemäß Abschnitt 13405(b) von HITECH und allen anderen nachfolgend verabschiedeten Richtlinien gestattet. Der AUFTRAGNEHMER darf PHI oder PII nicht außerhalb des Ursprungslandes senden oder den Zugriff auf PHI oder PII außerhalb des Ursprungslandes ohne vorherige schriftliche Zustimmung von EXABEAM gestatten.

2.3 Vergütungsbeschränkung. Der AUFTRAGNEHMER darf weder direkt noch indirekt eine Vergütung für den Kauf oder die Nutzung von PHI erhalten, außer wie in 45 CFR 164.502(5)(ii)(B) gestattet. Darüber hinaus darf der AUFTRAGNEHMER weder direkt noch indirekt eine Vergütung im Zusammenhang mit einer Kommunikation erhalten, die PHI oder PII enthält oder auf PHI oder PII basiert, um ein Produkt zu kaufen oder zu verwenden, außer wie in 45 CFR 164.508(a)(3) gestattet und mit vorheriger schriftlicher Zustimmung von EXABEAM.

2.4 Einschränkung von Werbung und Kommunikation. Der AUFTRAGNEHMER darf die im Rahmen dieses Auftrags erhaltenen Informationen nicht dazu verwenden, um Werbung für ein EXABEAM-Mitglied oder einen Kunden von EXABEAM zu machen oder mit diesen zu kommunizieren.

2.5 Einschränkende Vereinbarungen. Der AUFTRAGNEHMER ist verpflichtet, alle von EXABEAM getroffenen Vereinbarungen einzuhalten, die entweder (i) die Verwendung, Offenlegung, Erstellung, den Empfang, die Pflege oder die Übertragung von PHI gemäß 45 CFR 164.522(a) einschränken oder (ii) eine vertrauliche Kommunikation über PHI gemäß 45 CFR 164.522(b) erfordern, vorausgesetzt, EXABEAM benachrichtigt den AUFTRAGNEHMER über die Einschränkung oder die Verpflichtung zur vertraulichen Kommunikation.

3. Weitergabe an Dritte

3.1 Zustimmungserfordernis. Der AUFTRAGNEHMER darf ohne vorherige schriftliche Zustimmung von EXABEAM keine PHI oder PII an Dritte weitergeben, offenlegen oder den Zugriff darauf gestatten, einschließlich, aber nicht beschränkt auf Subunternehmer, verbundene Unternehmen oder Vertreter (zusammen „Dritte“).

3.2 Vereinbarungen mit Drittparteien. Der AUFTRAGNEHMER muss mit jeder zugelassenen Drittpartei, die Zugriff auf PHI oder PII hat, die der AUFTRAGNEHMER im Namen von EXABEAM erhält oder bereitstellt, eine Vereinbarung abschließen, gemäß der sich die jeweilige Drittpartei verpflichtet, an Beschränkungen, Bedingungen und Konditionen gebunden zu sein, die mindestens so restriktiv sind wie diejenigen, die für den AUFTRAGNEHMER im Rahmen dieser BAA gelten, einschließlich, aber nicht beschränkt auf die in Abschnitt 4 („Sicherheitsanforderungen und Schutzmaßnahmen“) beschriebenen Sicherheitsvorkehrungen.

3.3 Offenlegung gegenüber Dritten. Sofern der AUFTRAGNEHMER PHI oder PII gegenüber Dritten offenlegt oder zugänglich macht, muss der AUFTRAGNEHMER vor der Bereitstellung solcher PHI oder PII und während der gesamten Dauer seiner Zusammenarbeit mit dem Dritten Folgendes sicherstellen:

  • Der AUFTRAGNEHMER verfügt über eine wirksame Geschäftspartnervereinbarung mit einem solchen Dritten, die dieselben Beschränkungen, Bedingungen und Anforderungen enthält, die für den AUFTRAGNEHMER gemäß dieser BAA gelten.
  • Eine solche Offenlegung gegenüber oder Verwendung durch einen solchen Dritten erfolgt ausschließlich zu einem begrenzten Zweck, der von EXABEAM schriftlich genehmigt wurde.
  • Sofern dies nicht durch geltendes Recht untersagt ist, hat der AUFTRAGNEHMER vor der Offenlegung oder Bereitstellung von PHI oder PII gegenüber einem solchen Dritten die schriftliche Zustimmung von EXABEAM eingeholt;
  • Der AUFTRAGNEHMER hat eine Vereinbarung abgeschlossen, die den betreffenden Dritten verpflichtet, den AUFTRAGNEHMER (der wiederum EXABEAM gemäß Abschnitt 5 dieser BAA benachrichtigt) unverzüglich über Folgendes zu informieren:
    • Sicherheitsvorfall oder -verletzung;
    • Unbefugte Offenlegung oder Verwendung von oder Zugriff auf PHI oder PII;
  • Der AUFTRAGNEHMER wird ohne die vorherige schriftliche Zustimmung von EXABEAM keine PHI oder PII außerhalb des Herkunftslandes übermitteln.

Im Verhältnis zwischen dem AUFTRAGNEHMER und EXABEAM haftet der AUFTRAGNEHMER allein für jegliche Verstöße oder unbefugten Zugriff, Nutzung oder Offenlegung von PHI oder PII durch Dritte oder verursacht durch Dritte. Der AUFTRAGNEHMER verpflichtet sich, EXABEAM auf Anfrage eine Liste aller seiner Drittparteien vorzulegen.

4. SICHERHEITSANFORDERUNGEN UND SCHUTZMASSNAHMEN

4.1 Der AUFTRAGNEHMER verpflichtet sich, alle angemessenen Sicherheitsvorkehrungen zu treffen, darunter mindestens die in der Datensicherheitsrichtlinie für Lieferanten von EXABEAM festgelegten Mindestbestimmungen, deren Bedingungen durch Bezugnahme in diese BAA aufgenommen werden, um den Zugriff auf, die Verwendung oder die Offenlegung von PHI oder PII zu verhindern, die nicht ausdrücklich durch diese BAA oder den Vertrag genehmigt sind. Zu den Sicherheitsvorkehrungen gehören administrative, physische und technische Schutzmaßnahmen, die die Vertraulichkeit, Integrität und Verfügbarkeit der PHI und PII, die er verwendet, offenlegt, erstellt, empfängt, verwaltet oder in dessen Namen übermittelt, angemessen und geeignet schützen, wie in 45 CFR Teil 160 und den Unterteilen A und C von Teil 164 („Sicherheitsregel“) gefordert. Der AUFTRAGNEHMER muss die Sicherheitsregel einhalten und alle in der HIPAA-Sicherheitsregel und allen damit verbundenen Vorschriften festgelegten Maßnahmen umsetzen.

4.2 Der AUFTRAGNEHMER muss von jedem zugelassenen Dritten zufriedenstellende Zusicherungen verlangen, wie durch einen schriftlichen Vertrag gemäß 45 CFR §164.504(e)(1)(i) nachgewiesen, dass dieser Dritte dieselben Datenschutz- und Sicherheitsverpflichtungen in Bezug auf PHI und PII einhält, die für den AUFTRAGNEHMER gemäß dieser BAA gelten, einschließlich, aber nicht beschränkt auf die Bestimmungen in Abschnitt 3 („Weitergabe an Dritte“) und der Datensicherheitsrichtlinie von EXABEAM für Lieferanten. Zur Klarstellung: Ein Dritter ist nicht berechtigt, PHI oder PII ohne vorherige schriftliche Zustimmung von EXABEAM an Dritte weiterzugeben.

5. VERLETZUNGEN UND SICHERHEITSVORFÄLLE

5.1 Ereignisse. Der AUFTRAGNEHMER ist verpflichtet, EXABEAM innerhalb von vierundzwanzig (24) Stunden nach Kenntnisnahme von Sicherheitsvorfällen, Verstößen oder anderen Verstößen oder vermuteten Verstößen gegen diese BAA („Ereignis“) zu informieren. Der AUFTRAGNEHMER verpflichtet sich, alle schädlichen Auswirkungen eines unbefugten Zugriffs auf oder einer unbefugten Nutzung oder Offenlegung von PHI oder PII durch den AUFTRAGNEHMER oder Dritte im Rahmen des Möglichen zu mindern. Zu diesen Minderungsbemühungen gehört unter anderem die Einhaltung geltender Gesetze oder vertraglicher Anforderungen im Umgang mit Datenschutzverletzungen. Der AUFTRAGNEHMER ist verpflichtet, bei der Meldung von Datenschutzverletzungen und den Minderungsmaßnahmen von EXABEAM uneingeschränkt zu kooperieren und trägt alle Kosten, die EXABEAM für diese erforderlichen Maßnahmen entstehen. Die Meldung an EXABEAM erfolgt schriftlich und per E-Mail an [email protected], sofern von EXABEAM nichts anderes angegeben wurde.

5.2 Berichte. Ein solcher Bericht muss mindestens Folgendes enthalten:

  • Datum und Uhrzeit des Ereignisses sowie das Datum, an dem es entdeckt wurde;
  • Eine vollständige Beschreibung der betroffenen PHI oder PII, einschließlich, aber nicht beschränkt auf (i) Art und Eigenschaften der im Ereignis enthaltenen Informationen und (ii) den Umfang der im Ereignis kompromittiert oder kompromittiert zu werden versuchten Informationen;
  • Eine vollständige Beschreibung des Ereignisses, seiner Ursache und seiner Auswirkungen auf die Systeme und Daten von EXABEAM. Dies sollte Folgendes umfassen, ist aber nicht darauf beschränkt: (i) die Namen der betroffenen Systeme, Server, Programme usw. und (ii) die Namen der Unternehmen oder Personen, die infolge des Ereignisses unbefugten Zugriff auf die PHI oder PII hatten;
  • Kontaktinformationen für Mitteilungen bezüglich der Veranstaltung;
  • Eine Beschreibung der ersten Maßnahmen zur Eindämmung des Ereignisses und eine Einschätzung des Ausmaßes der Gefährdung von PHI oder PII durch den AUFTRAGNEHMER und/oder Dritte;
  • Eine Beschreibung des Plans zur Behebung der Gefährdungen von PHI oder PII und zur Verhinderung eines erneuten Auftretens des Ereignisses in der Zukunft; und
  • Alle anderen Informationen, einschließlich eines schriftlichen Berichts, die EXABEAM in angemessenem Umfang anfordern kann oder die anderweitig gesetzlich vorgeschrieben sind.

5.3 Versuchte Vorfälle. Beide Parteien sind sich jedoch darüber im Klaren, dass die erhebliche Anzahl sinnloser Versuche, unbefugt auf PHI oder PII in den Informationssystemen des AUFTRAGNEHMERS zuzugreifen, diese zu verwenden, offenzulegen, zu ändern oder zu zerstören, die Anforderung einer Echtzeit-Meldung für beide Parteien zu einer enormen Herausforderung machen könnte. Beide Parteien sind der Ansicht, dass die HIPAA-Meldepflichten durch die Einführung eines Prozesses erfüllt werden, der:

  • Der AUFTRAGNEHMER gibt die Häufigkeit und Art der versuchten Vorfälle bekannt, die zum Zeitpunkt der Unterzeichnung dieser BAA stattfinden;
  • Der AUFTRAGNEHMER überwacht die Häufigkeit und Art solcher Versuche im Laufe der Zeit; und
  • Der AUFTRAGNEHMER meldet EXABEAM alle wesentlichen Änderungen hinsichtlich der Häufigkeit oder Art solcher Versuche, die sich direkt oder indirekt nachteilig auf EXABEAM auswirken könnten.

Die folgenden Beispiele sind Beispiele für erfolglose Sicherheitsvorfälle, sofern sie nicht zu einem unbefugten Zugriff, einer unbefugten Nutzung, Pflege, Offenlegung, Übertragung, Änderung oder Zerstörung von PHI oder PII oder zu Störungen eines Informationssystems führen:

  • Pings auf einer Firewall;
  • Port-Scans;
  • Versuche, sich mit einem ungültigen Passwort oder Benutzernamen bei einem System anzumelden oder eine Datenbank aufzurufen; und
  • Schadsoftware (z. B. Würmer, Viren).

Wenn der AUFTRAGNEHMER durch laufende Überwachung erfolgreiche Sicherheitsvorfälle feststellt, die über diese routinemäßigen, erfolglosen Versuche hinausgehen und die Vertraulichkeit, Integrität oder Verfügbarkeit von PHI oder PII beeinträchtigen könnten, erklärt sich der AUFTRAGNEHMER damit einverstanden, EXABEAM unverzüglich zu benachrichtigen.

5.4 Benachrichtigungen. Der AUFTRAGNEHMER hat die geltenden Gesetze einzuhalten, die im Falle eines unbefugten Zugriffs auf oder einer unbefugten Freigabe von PII oder PHI gemäß der Definition der geltenden Landes- oder Bundesgesetze („Benachrichtigungsereignis“) eine Benachrichtigung von Behörden oder betroffenen Personen vorschreiben, unabhängig davon, ob ein solches Benachrichtigungsereignis in der Verantwortung des AUFTRAGNEHMERS oder eines Dritten lag, dem der AUFTRAGNEHMER PII oder PHI offengelegt hat. Wenn eine Benachrichtigung der betroffenen Personen gesetzlich vorgeschrieben ist oder von EXABEAM nach eigenem Ermessen für notwendig erachtet wird, unabhängig davon, ob ein solches Benachrichtigungsereignis in der Verantwortung des AUFTRAGNEHMERs oder eines Dritten lag, dem der AUFTRAGNEHMER PII oder PHI offengelegt hat, stimmt sich der AUFTRAGNEHMER mit EXABEAM ab, um (a) das Benachrichtigungsereignis zu untersuchen, (b) alle betroffenen betroffenen Personen zu informieren und (c) das Benachrichtigungsereignis zu mildern. Nach alleinigem Ermessen von EXABEAM umfasst die Milderung unter anderem die Sicherstellung von Kreditüberwachungs- oder -schutzdiensten für betroffene Datenpersonen für einen von EXABEAM festgelegten Zeitraum. Der AUFTRAGNEHMER ist für sämtliche Kosten verantwortlich, die durch die Beantwortung und Minderung solcher Benachrichtigungsereignisse entstehen, einschließlich, aber nicht beschränkt auf Portokosten, Personalkosten, Anwaltsgebühren, Kosten für die Kreditüberwachung und andere damit verbundene Ausgaben oder Kosten.

6. ANTRAG AUF ZUGRIFF AUF PHI ODER PII

6.1 Anfragen zum Zugriff auf geschützte Gesundheitsdaten (PHI) oder personenbezogene Daten (PII). Innerhalb von zwei (2) Werktagen nach einer Anfrage auf Zugriff auf geschützte Gesundheitsdaten (PHI) oder personenbezogene Daten (PII), unabhängig davon, ob diese Anfrage von einer betroffenen Person oder einer Aufsichtsbehörde stammt, leitet der AUFTRAGNEHMER diese Anfrage innerhalb von zwei (2) Werktagen an EXABEAM weiter. Zur Vermeidung von Missverständnissen und soweit gesetzlich zulässig, wird der AUFTRAGNEHMER als Reaktion auf eine solche Anfrage keine geschützten Gesundheitsdaten (PHI) oder personenbezogenen Daten offenlegen oder freigeben, ohne zuvor EXABEAM zu konsultieren und dessen schriftliche Zustimmung einzuholen.

6.2 Bereitstellung von ePHI in zugänglichem Format. Soweit der AUFTRAGNEHMER ePHI in einem bestimmten Datensatz speichert, stimmt der AUFTRAGNEHMER in Bezug auf solche ePHI einer betroffenen Person zu, dass die betroffene Person und EXABEAM im Namen der betroffenen Person das Recht haben, eine elektronische Kopie dieser Informationen in der von der betroffenen Person oder EXABEAM gewünschten Form und im gewünschten Format zu erhalten, sofern diese ePHI in der gewünschten Form und im gewünschten Format problemlos reproduzierbar sind. Wenn die Informationen in der von der betroffenen Person oder EXABEAM gewünschten Form oder im gewünschten Format nicht problemlos reproduzierbar sind, stellt der AUFTRAGNEHMER die Informationen in einem angemessenen elektronischen Format zur Verfügung, das von der betroffenen Person, dem AUFTRAGNEHMER und EXABEAM einvernehmlich vereinbart wurde. Die Fähigkeit des AUFTRAGNEHMERs zur Übermittlung von ePHI unterliegt den in Abschnitt 6(a) dieser BAA festgelegten Beschränkungen. Wenn eine solche Offenlegung von EXABEAM schriftlich genehmigt wird, erklärt sich der AUFTRAGNEHMER damit einverstanden, eine elektronische Kopie der ePHI direkt an eine von der betroffenen Person benannte Person oder Stelle zu übermitteln, vorausgesetzt, die Anweisung erfolgt schriftlich und ist klar, deutlich und spezifisch.

7. ÄNDERUNGEN. Erhält der AUFTRAGNEHMER eine Anfrage einer betroffenen Person bezüglich einer Änderung oder Löschung von PHI oder PII, wird EXABEAM unverzüglich, spätestens jedoch zwei (2) Werktage nach dem Datum der Anfrage, benachrichtigt. Der AUFTRAGNEHMER hat alle Anweisungen von EXABEAM bezüglich einer solchen Anfrage zu befolgen, sofern diese Anweisungen mit geltendem Recht vereinbar sind.

8. BILANZIERUNG VON ANGABEN

8.1 Offenlegungsprotokoll. Der AUFTRAGNEHMER führt sämtliche Offenlegungen von PHI oder PII durch den AUFTRAGNEHMER übersichtlich („Offenlegungsprotokoll“). Das Offenlegungsprotokoll enthält sämtliche Fälle der Nutzung, des Zugriffs und der Offenlegung von PHI oder PII in den letzten sechs (6) Jahren. Jedes Protokoll enthält alle in 45 CFR 164.528(b)(2) aufgeführten Punkte.

8.2 Innerhalb von zehn (10) Werktagen nach der Benachrichtigung des AUFTRAGNEHMERS durch EXABEAM über den Eingang einer gültigen Anfrage zur Offenlegung von geschützten Gesundheitsinformationen (PHI) einer betroffenen Person von einer abgedeckten Einheit gemäß 45 CFR 164.528 stellt der AUFTRAGNEHMER EXABEAM alle von EXABEAM oder der abgedeckten Einheit angeforderten Informationen zur Erfüllung der Anfrage zur Verfügung. Wird die Anfrage zur Offenlegung direkt an den AUFTRAGNEHMER übermittelt, leitet dieser diese Anfrage innerhalb von zwei (2) Werktagen nach Erhalt an EXABEAM weiter und ergreift keine weiteren Maßnahmen, sofern EXABEAM keine anderen Anweisungen erteilt.

8.3 Für Offenlegungen, die nachverfolgt werden müssen, muss der AUFTRAGNEHMER EXABEAM mindestens die folgenden Informationen zur Verfügung stellen:

  • Das Datum der Offenlegung;
  • Der Name der Entität oder Person, die die PHI erhalten hat, und, falls bekannt, die Adresse dieser Entität oder Person;
  • Eine kurze Beschreibung der PHI;
  • Eine kurze Erklärung zum Zweck der Offenlegung, einschließlich einer Erläuterung der Grundlage für die Offenlegung; und
  • Der AUFTRAGNEHMER stellt darüber hinaus alle zusätzlichen Informationen in dem gemäß HIPAA, den dazugehörigen Vorschriften und dem geltenden Recht erforderlichen Umfang bereit.

8.4 Soweit der AUFTRAGNEHMER eine oder mehrere Verpflichtungen von EXABEAM gemäß Unterabschnitt E von 45 CFR Part 164 erfüllen muss, muss er die Anforderungen von Unterabschnitt E einhalten, die für EXABEAM bei der Erfüllung dieser Verpflichtung(en) gelten.

9. PRÜFUNGEN UND INSPEKTIONEN

9.1 Der AUFTRAGNEHMER erklärt sich hiermit einverstanden, seine internen Verfahren, Bücher und Aufzeichnungen in Bezug auf die Verwendung und Offenlegung von PHI oder PII, die er vom AUFTRAGNEHMER im Namen von EXABEAM erhalten oder erstellt oder erhalten hat, folgenden Stellen zur Verfügung zu stellen: (i) dem Minister des Gesundheitsministeriums, um die HIPAA-Konformität von EXABEAM und dem AUFTRAGNEHMER festzustellen; (ii) EXABEAM für seine Zwecke als Reaktion auf eine formelle Untersuchung oder Zwangsmaßnahme des Gesundheitsministeriums oder einer anderen Regierungs- oder Aufsichtsbehörde oder für den Zweck der Bewertung und/oder Reaktion auf eine Konformitätsprüfung, die ganz oder teilweise von Regierungs- oder Aufsichtsbehörden durchgeführt, überwacht oder verwaltet wird.

9.2 Der AUFTRAGNEHMER muss jährlich eine Bescheinigung vorlegen, dass er und seine Drittparteien die Bedingungen dieser BAA (einschließlich aller Anlagen hierzu) einhalten, und muss EXABEAM gestatten, seine Bücher, Aufzeichnungen und Betriebsabläufe zu prüfen, um die Einhaltung der Verpflichtungen des AUFTRAGNEHMERs im Rahmen dieser BAA festzustellen.

10. LAUFZEIT UND KÜNDIGUNG

10.1 Laufzeit. Die Laufzeit dieser Vereinbarung beginnt mit dem Datum des Inkrafttretens der Vereinbarung und endet erst, wenn der AUFTRAGNEHMER keinen Zugriff mehr auf die von dieser BAA abgedeckten PHI oder PII hat.

10.2 Kündigung aus wichtigem Grund. EXABEAM kann den Vertrag kündigen, wenn EXABEAM feststellt, dass der AUFTRAGNEHMER gegen eine wesentliche Bestimmung dieser BAA verstoßen hat. Zusätzlich zu allen anderen Rechten, die EXABEAM nach diesem Vertrag, dieser BAA oder kraft Gesetzes oder nach Billigkeitsrecht zustehen, kann EXABEAM im Falle einer Verletzung dieser BAA nach eigenem Ermessen: (i) dem AUFTRAGNEHMER innerhalb einer von EXABEAM gesetzten Frist eine angemessene Gelegenheit geben, die Verletzung zu beheben oder zu beenden; (ii) wenn der AUFTRAGNEHMER vernünftigerweise davon ausgeht, dass eine Behebung nicht möglich ist, oder wenn der AUFTRAGNEHMER die Verletzung nicht behebt, kann EXABEAM den Vertrag fristlos kündigen. Die Option von EXABEAM, eine Verletzung beheben zu lassen, stellt keinen Verzicht auf andere Rechte dar, die EXABEAM nach diesem Vertrag, dieser BAA oder kraft Gesetzes oder nach Billigkeitsrecht zustehen.

10.3 Wirkung der Kündigung. Die Pflichten des AUFTRAGNEHMERS und die Rechte von EXABEAM gemäß diesem Abschnitt bleiben auch nach Beendigung dieser BAA oder des Vertrags bestehen. Bei Beendigung eines Vertrags aus irgendeinem Grund hat der AUFTRAGNEHMER sämtliche PHI oder PII, die er vom AUFTRAGNEHMER erhalten oder erstellt, erhalten oder aufbewahrt hat und die der AUFTRAGNEHMER noch in irgendeiner Form aufbewahrt, zurückzugeben oder zu vernichten und darf keine Kopien dieser Informationen aufbewahren. Der AUFTRAGNEHMER wird von allen Dritten, denen der AUFTRAGNEHMER PHI oder PII offengelegt hat, verlangen, diese in jeglicher Form oder auf jedem Medium, das er vom AUFTRAGNEHMER erhalten hat, an den AUFTRAGNEHMER zurückzugeben (damit der AUFTRAGNEHMER sie an EXABEAM zurückgeben oder vernichten kann), einschließlich aller Kopien davon und aller Daten, Zusammenstellungen und anderer daraus abgeleiteter Werke, die eine Identifizierung einer Person ermöglichen, die Gegenstand der PHI oder PII ist, und dem AUFTRAGNEHMER zu bestätigen, dass diese Informationen zurückgegeben oder vernichtet wurden. Der AUFTRAGNEHMER wird diesen Verpflichtungen so schnell wie möglich, spätestens jedoch dreißig (30) Tage nach dem Datum der Kündigung oder des Ablaufs einer Vereinbarung nachkommen und eine Bescheinigung vorlegen, dass alle im Rahmen dieser BAA bereitgestellten PHI und PII zurückgegeben oder vernichtet wurden. Ungeachtet des Vorstehenden kann EXABEAM verlangen, dass PHI und PII früher als dreißig (30) Tage zurückgegeben oder vernichtet werden, und der AUFTRAGNEHMER hat diesem Verlangen nachzukommen.

Wenn eine solche Rückgabe oder Vernichtung von PHI oder PII durch den AUFTRAGNEHMER oder dessen Drittpartei nicht möglich ist:

  • Der AUFTRAGNEHMER darf diese Informationen zu keinem Zweck verwenden oder offenlegen; und
  • Die Verpflichtung zum Schutz der Privatsphäre und zur Wahrung der Sicherheit von PHI und PII gemäß dieser BAA bleibt dauerhaft bestehen und gilt auch nach Beendigung oder sonstigem Abschluss dieser BAA oder sonstiger Vereinbarungen, einschließlich Leistungsbeschreibungen, die zwischen dem AUFTRAGNEHMER und dem AUFTRAGNEHMER geschlossen wurden. Darüber hinaus muss der AUFTRAGNEHMER jährlich eine Bescheinigung darüber vorlegen, dass er und seine Drittparteien die BAA (einschließlich der beigefügten Datensicherheitsrichtlinie) einhalten, und EXABEAM gestatten, seine Bücher, Aufzeichnungen und Betriebsabläufe zu prüfen, um die Einhaltung der Verpflichtungen des AUFTRAGNEHMERs gemäß der BAA festzustellen.

11. TRANSAKTIONSSTANDARDS

11.1 ICD-10-Codesätze. Wenn die Dienstleistungen oder Produkte des AUFTRAGNEHMERS Codesätze gemäß der Definition im HIPAA verwenden oder deren Verwendung erfordern, dann hat der AUFTRAGNEHMER die Internationale Klassifikation der Krankheiten (ICD), 10. Revision, Klinische Modifikation („ICD-10-CM“) oder die aktuellsten ICD-Codes zur Diagnosekodierung und die Internationale Klassifikation der Krankheiten, 10. Revision, Verfahrenskodierungssystem („ICD-10-PCS“) oder die aktuellsten ICD-Codes zur Kodierung stationärer Krankenhausverfahren für alle Dienstleistungen oder Produkte zu verwenden, die der AUFTRAGNEHMER vertraglich verpflichtet ist, EXABEAM bereitzustellen.

11.1.1 EXABEAM ist nicht für zusätzliche Dienstleistungen, Programmierung, Verarbeitung, Tests oder sonstige Implementierungskosten verantwortlich, die dem AUFTRAGNEHMER für die Implementierung von ICD-10-CM und ICD-10-PCS entstehen, da diese in der Verantwortung des AUFTRAGNEHMERS liegen. EXABEAM ist nicht verpflichtet, dem AUFTRAGNEHMER Kosten für Tests, Implementierung oder Sanierung im Zusammenhang mit der Implementierung von ICD-10-CM und ICD-10-PCS durch den AUFTRAGNEHMER zu erstatten.

11.1.2 Wenn der AUFTRAGNEHMER begründet feststellt, dass die Produkte oder Dienstleistungen des AUFTRAGNEHMERS die geltenden Bestimmungen der HIPAA Code Set Standards oder die in dieser BAA dargelegten Bestimmungen nicht umgesetzt oder berücksichtigt haben, und sofern der AUFTRAGNEHMER dieses Problem nicht innerhalb von dreißig (30) Kalendertagen nach der Benachrichtigung oder wie anderweitig schriftlich mit EXABEAM vereinbart behebt, kann EXABEAM Zahlungen an den AUFTRAGNEHMER zurückhalten, bis das Problem zur angemessenen Zufriedenheit von EXABEAM behoben ist.

11.2 EINHALTUNG DER HIPAA-STANDARDTRANSAKTIONEN

11.2.1 Wenn der AUFTRAGNEHMER oder ein Dritter im Namen von EXABEAM elektronische Transaktionen (ganz oder teilweise) durchführt, für die das Department of Health and Human Services („DHHS“) Standards festgelegt hat (kollektiv als „Transaktionen“ bezeichnet), muss der AUFTRAGNEHMER die Anforderungen der Transaktionsregel 45 CFR Part 162 einhalten (und von allen Dritten verlangen, die am Empfang oder der Verarbeitung solcher Transaktionen beteiligt sind), einschließlich aller durch Verweis in HIPAA aufgenommenen Spezifikationen des Implementierungsleitfadens.

11.2.1.1 Der AUFTRAGNEHMER wird im Zusammenhang mit der Durchführung von Standardtransaktionen im Namen von EXABEAM keine Handelspartnervereinbarung abschließen oder seinen Drittparteien den Abschluss solcher Vereinbarungen gestatten, die:

  • Ändert die Definition, den Datenzustand oder die Verwendung eines Datenelements oder Segments in einer Standardtransaktion;
  • Fügt dem maximal definierten Datensatz ein beliebiges Datenelement oder Segment hinzu;
  • Verwendet Code oder Datenelemente, die in der Implementierungsspezifikation der Standardtransaktion als „nicht verwendet“ gekennzeichnet sind oder nicht in der Implementierungsspezifikation der Standardtransaktion enthalten sind; oder
  • Ändert die Bedeutung oder Absicht der Implementierungsspezifikation der Standardtransaktion.

11.2.1.2 EXABEAM ist nicht für zusätzliche Dienstleistungen, Programmierung, Verarbeitung, Tests oder sonstige Implementierungskosten verantwortlich, die dem AUFTRAGNEHMER entstehen, um die Einhaltung der HIPAA-Standardtransaktion zu erreichen, da diese in der Verantwortung des AUFTRAGNEHMERs liegen. EXABEAM ist nicht verpflichtet, dem AUFTRAGNEHMER Kosten im Zusammenhang mit Tests, Implementierung oder Abhilfemaßnahmen zu erstatten, die mit der Einhaltung der HIPAA-Standardtransaktionsregeln durch den AUFTRAGNEHMER verbunden sind.

11.2.3 Konformitätsprüfung. Auf Anfrage von EXABEAM führt der AUFTRAGNEHMER End-to-End- oder andere Konformitätsprüfungen für Transaktionen und Codesätze durch und bescheinigt EXABEAM, dass der AUFTRAGNEHMER die geltenden Gesetze einhält.

11.2.3.1 Auf Anfrage von EXABEAM muss der AUFTRAGNEHMER eine Kopie seiner Konformitätsbescheinigung (für Stufe 1 und 2) von einem zugelassenen Zertifizierungsunternehmen vorlegen. Sofern EXABEAM keine hinreichenden Konformitätsprobleme bei Transaktionen oder Codesätzen feststellt, sind solche Anfragen auf einmal pro Jahr beschränkt.

11.2.3.2 Nach schriftlicher Mitteilung von EXABEAM über ein Problem mit der Einhaltung von Transaktionen oder Codesätzen werden EXABEAM und der AUFTRAGNEHMER, je nach Fall, dieses Problem innerhalb eines gemeinsam vereinbarten Zeitrahmens untersuchen und beheben. Die Behebung umfasst alle erforderlichen Testaktivitäten zur Bestätigung der Konformität. Sollten EXABEAM und der AUFTRAGNEHMER über die Auslegung des Standards, der Verordnung oder der Regeln uneinig sein, vereinbaren die Parteien, eine Anfrage zur Klärung und/oder Auslegung an eine anerkannte oder benannte Stelle der Branche zu richten, insbesondere an das Accredited Standards Committee (ASC) X12 oder die Workgroup for Electronic Data Interchange (WEDI).

11.4 Stellt EXABEAM begründet fest, dass der AUFTRAGNEHMER die Transaktions- oder Codesatzregeln oder die in diesem Abschnitt dargelegten Bestimmungen nicht einhält, und behebt der AUFTRAGNEHMER diesen Konformitätsmangel nicht innerhalb von dreißig (30) Kalendertagen nach der Benachrichtigung, kann EXABEAM die Verträge kündigen und hat Anspruch auf Schadensersatz, der unter anderem eine anteilige Rückerstattung der gezahlten Gebühren umfassen kann. Sofern EXABEAM mit einer Geldbuße oder Strafe belegt wird oder anderweitig für einen Konformitätsmangel bei Transaktionen oder Codesätzen verantwortlich gemacht wird und diese Nichteinhaltung auf Handlungen oder Unterlassungen des AUFTRAGNEHMERs zurückzuführen ist, hat der AUFTRAGNEHMER EXABEAM alle derartigen Geldbußen, Strafen oder sonstigen damit verbundenen Kosten zu erstatten, die EXABEAM auferlegt wurden.

12. SONSTIGES

12.1 Rechte Dritter. Sofern gesetzlich nicht vorgeschrieben, gewähren die Bedingungen dieser BAA Dritten keinerlei Rechte.

12.2 Status als unabhängiger Auftragnehmer. Im Sinne dieser BAA ist der AUFTRAGNEHMER ein unabhängiger Auftragnehmer von EXABEAM und gilt nicht als Vertreter von EXABEAM. Nichts in dieser BAA oder in Dienstleistungs- oder ähnlichen Vereinbarungen zwischen den Parteien begründet ein Agenturverhältnis zwischen EXABEAM und dem AUFTRAGNEHMER, und die Parteien lehnen das Bestehen eines solchen Verhältnisses ausdrücklich ab.

12.3 Einhaltung von Gesetzen. Der AUFTRAGNEHMER, einschließlich, aber nicht beschränkt auf seine Drittparteien, erklärt sich damit einverstanden, alle geltenden staatlichen und bundesstaatlichen Gesetze, Verordnungen, Vorschriften, Urteile oder Erlasse jeglicher Regierungsbehörden einzuhalten, die die Verwendung von PHI und PII regeln, einschließlich, aber nicht beschränkt auf die für jede betroffene Person geltenden staatlichen Datenschutzgesetze.

12.4 Gesetzesänderungen. EXABEAM und AUFTRAGNEHMER vereinbaren, die erforderlichen Maßnahmen zu ergreifen, um diese BAA von Zeit zu Zeit zu ändern, soweit dies zur Einhaltung der Anforderungen des HIPAA und anderer geltender Gesetze erforderlich ist. Die Parteien werden diese BAA an alle neuen oder überarbeiteten Gesetze, Regeln oder Vorschriften anpassen, denen EXABEAM jetzt oder in Zukunft unterliegt, einschließlich, aber nicht beschränkt auf den HIPAA.

12.5 Eigentum. Unter keinen Umständen gilt der AUFTRAGNEHMER in irgendeiner Hinsicht als Eigentümer von PHI oder PII von oder von EXABEAM bereitgestellt.

12.6 Unklarheiten und Gesetzesänderungen. Unklarheiten in dieser BAA sind so auszulegen, dass die Einhaltung des HIPAA gewährleistet ist. Sollte der HIPAA oder ein anderes anwendbares Gesetz nach dem Inkrafttreten dieser BAA in Kraft treten, wird diese BAA automatisch so geändert, dass die dem AUFTRAGNEHMER daraus erwachsenden Verpflichtungen weiterhin mit diesen Vorschriften übereinstimmen.

12.7 Vorladungen und Gerichtsbeschlüsse. Erhält der AUFTRAGNEHMER eine Vorladung, einen Gerichts- oder Verwaltungsbeschluss oder eine sonstige Offenlegungsaufforderung oder ein Mandat zur Freigabe geschützter Gesundheitsinformationen (PHI oder PII), benachrichtigt der AUFTRAGNEHMER EXABEAM schriftlich, bevor er auf eine solche Aufforderung antwortet, damit EXABEAM Einspruch erheben kann. Der AUFTRAGNEHMER benachrichtigt EXABEAM so schnell wie möglich, in jedem Fall jedoch innerhalb von zwei (2) Werktagen nach Erhalt der Aufforderung über die Aufforderung.

12.8 Billigkeitsrecht. Der AUFTRAGNEHMER legt fest, dass seine unbefugte Verwendung oder Offenlegung von PHI oder PII während der Erbringung von Dienstleistungen gemäß dieser BAA EXABEAM irreparablen Schaden zufügen würde und dass EXABEAM in einem solchen Fall berechtigt ist, vor jedem zuständigen Gericht ein Verfahren auf Schadensersatz und Unterlassung einzuleiten.

12.9 Schadloshaltung. Ungeachtet jeglicher Haftungsbeschränkungen in dieser oder anderen Vereinbarungen, einschließlich Leistungsbeschreibungen, zwischen den Parteien, stellt der AUFTRAGNEHMER EXABEAM und seine leitenden Angestellten, Treuhänder, Mitarbeiter, verbundenen Unternehmen, Vertreter, Subunternehmer und alle seine Kunden von allen Ansprüchen, Strafen, Bußgeldern, Kosten, Verbindlichkeiten oder Schäden frei, einschließlich, aber nicht beschränkt auf angemessene Anwaltskosten, die EXABEAM aus oder im Zusammenhang mit Folgendem entstehen: (i) Verletzung von Verpflichtungen des AUFTRAGNEHMERs gemäß dieser BAA; oder (ii) jeglichen staatlichen Bußgeldern und Strafen oder Ansprüchen, Schäden, Bußgeldern, Kosten oder anderen damit verbundenen Schäden Dritter im Zusammenhang mit Benachrichtigungsereignissen. Der AUFTRAGNEHMER erklärt sich ferner damit einverstanden, EXABEAM oder, falls EXABEAM als Geschäftspartner eines oder mehrerer abgedeckter Unternehmen fungiert, jeden einzelnen seiner abgedeckten Unternehmens-Geschäftspartner oder Kunden von jeglicher Haftung, Schäden, Kosten (einschließlich angemessener Anwaltsgebühren und -kosten) und Ausgaben freizustellen, die EXABEAM und seinen abgedeckten Unternehmens-Geschäftspartnern oder Kunden aus Ansprüchen, Forderungen, Schiedssprüchen, Vergleichen, Bußgeldern oder Urteilen im Zusammenhang mit dem Zugriff, der Verwendung oder der Offenlegung von PHI oder PII durch den AUFTRAGNEHMER entgegen den Bestimmungen dieser BAA oder geltendem Recht auferlegt oder geltend gemacht werden. Ungeachtet anderslautender Bestimmungen in der Vereinbarung unterliegt eine Verletzung dieser BAA durch den AUFTRAGNEHMER und der vorstehenden Entschädigungsverpflichtungen keiner in der Vereinbarung festgelegten Haftungsbeschränkung.

Version 200310