HIPAA Geschäftspartnervereinbarung
GESCHÄFTSPARTNERVEREINBARUNG
Diese Geschäftspartnervereinbarung („GPV”) ist Teil unserer Servicebedingungen („Vereinbarung”), unabhängig davon, ob Sie ein bestehender Kunde sind und die Vereinbarung akzeptiert haben oder ob Sie ein neuer Kunde sind und die Vereinbarung jetzt akzeptieren. Sie bestätigen, dass Sie in Ihrem eigenen Namen als Einzelperson und im Namen Ihres Arbeitgebers oder einer anderen juristischen Person (zusammenfassend „Betroffene Rechtsperson”, „Sie”, „Ihr” oder der „Kunde”) diese GPV gelesen und verstanden haben und sich damit einverstanden erklären, diese GPV einzuhalten, und dass Sie damit eine rechtsverbindliche Vereinbarung mit monday.com Ltd. dem Eigentümer von monday.com („monday.com”, „uns”, „wir”, „unser” oder „Dienstleister”) eingehen, um die Vereinbarung der Parteien in Bezug auf die Nutzung und/oder Offenlegung der geschützten Gesundheitsinformationen der betroffenen Rechtsperson durch den Business Associate, definiert in 45 C.F.R. § 160.103 („PGI”, was sich für die Bedingungen dieser Vereinbarung kollektiv auf PGI in jedem Medium bezieht, ob elektronisch, auf Papier oder mündlich), wiederzugeben.
Beide Parteien werden als die „Parteien” oder einzeln als eine „Partei” bezeichnet. In Großbuchstaben geschriebene Begriffe, die hier nicht definiert sind, haben die Bedeutung, die diesen Begriffen in der Vereinbarung oder gemäß dem Health Insurance Portability and Accountability Act von 1996 und seinen Durchführungsbestimmungen, welche gelegentlich aktualisiert werden, zugewiesen wird (zusammenfassend „HIPAA”). Sie sichern zu und gewährleisten, dass Sie die volle Befugnis haben, den Kunden an diese BAV zu binden, oder dass Ihnen diese Befugnis erteilt wurde. Falls Sie nicht in der Lage sind, diese BAV einzuhalten und daran gebunden zu sein, oder nicht die Befugnis haben, den Kunden oder eine andere Entität an diesels BAV zu binden, stellen Sie uns bitte keine PGI zur Verfügung. Sie schließen diese BAV in Ihrem eigenen Namen und, soweit dies nach dem HIPAA und den geltenden Datenschutzgesetzen und -vorschriften erforderlich ist, im Namen und im Auftrag des Kunden und der verbundenen Unternehmen des Kunden ab, falls und soweit Sie oder der Kunde PGI verarbeiten, für die diese verbundenen Unternehmen als „Betroffene Person” qualifizieren. Nur für die Zwecke dieser BAV und sofern nicht anders angegeben, umfasst der Begriff „Betroffene Person” Sie selbst, den Kunden und/oder die verbundenen Unternehmen des Kunden.
Im Zuge der Erbringung der Services gemäß der Vereinbarung können wir als „Geschäftspartner” auf PGI zugreifen, diese nutzen, offenlegen und/oder im Namen von dir und/oder dem Kunden verarbeiten. Die Parteien verpflichten sich, die folgenden Bestimmungen in Bezug auf PGI einzuhalten, wobei jede Partei angemessen und in gutem Glauben handelt. Falls Sie eine unterschriebene Kopie dieser GPV benötigen, können Sie diese GPV unter www.monday.com/terms/hipaa-baa herunterladen und eine unterschriebene Kopie an legal@monday.com senden. Im Falle eines Widerspruchs zwischen bestimmten Bestimmungen dieser GPV und den Bestimmungen der Vereinbarung, haben die Bestimmungen dieser GPV Vorrang vor den widersprüchlichen Bestimmungen der Vereinbarung.
Der Geschäftspartner verwendet und/oder offenbart derzeit die PGI der Rechtsperson, um die Services bereitzustellen, wie in der Vereinbarung zwischen den Parteien näher beschrieben; und durch die Bereitstellung von Services gemäß der Vereinbarung wird der Geschäftspartner ein Geschäftspartner der Rechtsperson, wie dieser Begriff unter HIPAA definiert ist, und hat daher Verpflichtungen in Bezug auf die Vertraulichkeit und den Datenschutz von PGI, die der Geschäftspartner für den Kunden erstellt oder von oder im Namen des Kunden erhält.
1. Erlaubte Verwendungen und Offenlegungen. Der Geschäftspartner darf PGI verwenden und offenlegen, die zur Erfüllung seiner Verpflichtungen gegenüber der Betroffenen Person erforderlich sind, wie in der Vereinbarung dargelegt oder wie anderweitig gesetzlich gemäß HIPAA erlaubt oder erforderlich, vorausgesetzt, dass der Geschäftspartner die PGI nicht in einer Weise verwenden oder offenlegen darf, die nicht erlaubt wäre, wenn sie von der Betroffenen Einrichtung durchgeführt würde. Der Geschäftspartner darf auch:
(a) PGI verwenden, (i) soweit dies für seine ordnungsgemäße Geschäftsführung und Verwaltung erforderlich ist, oder (ii) um seine gesetzlichen Pflichten zu erfüllen;
(b) PGI an Dritte zu denselben Zwecken weitergeben, solange (i) die Weitergabe gesetzlich vorgeschrieben ist oder (ii) der Geschäftspartner von dem Dritten zufriedenstellende Zusicherungen erhält, dass die PGI vertraulich behandelt und nur wie gesetzlich vorgeschrieben oder für den Zweck, für den sie weitergegeben wurden, verwendet oder weitergegeben werden und dass die Drittpartei den Geschäftspartner über alle Fälle, von denen sie Kenntnis hat, in denen die Vertraulichkeit der PGI verletzt wurde, informieren wird; und
(c) Der Geschäftspartner erklärt sich damit einverstanden, Verwendungen und Offenlegungen sowie Anfragen nach PGI in Übereinstimmung mit den minimal notwendigen Richtlinien und Verfahren der betroffenen Einrichtung vorzunehmen.
2. Verpflichtungen des Geschäftspartners.
(a) Einschränkung der Offenlegung. Der Geschäftspartner verpflichtet sich, PGI nur so zu verwenden oder weiterzugeben, wie es in dieser Vereinbarung, in jeder anderen schriftlichen Vereinbarung (einschließlich der Vereinbarung) erlaubt oder vorgeschrieben ist oder wie es das Gesetz verlangt.
(b) Sicherheitsvorkehrungen. Der Geschäftspartner verpflichtet sich, administrative, physische und technische Sicherheitsvorkehrungen zu treffen, die die Vertraulichkeit, Integrität und Verfügbarkeit der PGI, die er im Namen der betroffenen Einrichtung gemäß dieser Vereinbarung oder einer relevanten Vereinbarung erstellt, erhält, speichert, aufbewahrt oder überträgt, in angemessener Weise schützen, und die Verwendung oder Offenlegung der PGI der betroffenen Einrichtung auf andere Weise als in dieser Vereinbarung vorgesehen oder gesetzlich vorgeschrieben zu verhindern.
(c) Berichterstattung über nicht in der Vereinbarung vorgesehene Verwendungen / Offenlegungen. Der Geschäftspartner verpflichtet sich, der Betroffenen Rechtsperson jede Nutzung oder Offenlegung von PGI zu melden, die hierin oder in einer schriftlichen Vereinbarung nicht vorgesehen ist und von der er Kenntnis erhält.
(d) Schadensminderung. Der Geschäftspartner erklärt sich damit einverstanden, alle schädlichen Auswirkungen, die dem Geschäftspartner aus einer Nutzung oder Offenlegung der PGI durch den Geschäftspartner unter Verletzung der Anforderungen dieser Vereinbarung bekannt sind, im Rahmen des Möglichen abzumildern.
(e) Einsatz von Vertretern/Subunternehmern. Der Geschäftspartner erklärt sich bereit, sicherzustellen, dass alle Vertreter, einschließlich eines Unterauftragnehmers, denen der Geschäftspartner PGI zur Verfügung stellt, die er von der Abgedeckten Einrichtung erhalten hat oder die er im Namen der Abgedeckten Einrichtung erstellt oder erhalten hat, im Wesentlichen ähnlichen Einschränkungen und Bedingungen zustimmen müssen, die für den Geschäftspartner in Bezug auf die PGI gelten. Der Geschäftspartner ist gemäß seinen Verpflichtungen nach dem HIPAA und dieser Vereinbarung voll dafür verantwortlich, dass er eine Vereinbarung mit seinen Unterauftragnehmern abschließt, die nicht weniger restriktive Verpflichtungen als die Bedingungen dieser Vereinbarung enthält.
(f) Zugriff auf PGI. Innerhalb von fünfzehn (15) Tagen nach Erhalt einer schriftlichen Anfrage der Betroffenen Rechtsperson nach einer Kopie von PGI erklärt sich der Geschäftspartner bereit, die angefragten PGI der Betroffenen Rechtsperson zur Verfügung zu stellen, um die Betroffene Rechtsperson in die Lage zu versetzen, einer Person zu antworten, die PGI einsehen oder kopieren möchte, es sei denn, der Geschäftspartner ist der Ansicht, dass es vernünftige Gründe für die Ablehnung einer solchen Anfrage in Übereinstimmung mit 45 C.F.R. § 164.524 gibt; in diesem Fall wird er die Betroffene Rechtsperson entsprechend benachrichtigen. Der Geschäftspartner ist verpflichtet, die Sicherheitsrichtlinien in Bezug auf elektronische PGI einzuhalten, einschließlich, aber nicht beschränkt auf die Bereitstellung von Kopien Der PGI in elektronischem Format auf schriftliche Anfrage, falls PGI elektronisch gespeichert werden.
(g) Änderung der PGI. Innerhalb von fünfzehn (15) Tagen nach Erhalt einer schriftlichen Aufforderung der betroffenen Rechtsperson, eine Änderung der PGI vorzunehmen, wird der Geschäftspartner eine solche Änderung vornehmen und jeden Inhaber der PGI, der dem Geschäftspartner bekannt ist, darüber informieren, dass eine Änderung vorgenommen wurde, es sei denn, der Geschäftspartner ist der Ansicht, dass es vernünftige Gründe für die Verweigerung einer solchen Aufforderung in Übereinstimmung mit 45 C.F.R. § 164.526 gibt; in diesem Fall wird er die Betroffene Rechtsperson entsprechend informieren.
(h) Zusammenstellung bestimmter Angaben. Innerhalb von dreißig (30) Tagen nach Erhalt einer schriftlichen Anfrage der betroffenen Rechtsperson nach einer Zusammenstellung der Offenlegungen der PGI über eine Person stellt der Geschäftspartner der betroffenen Rechtsperson eine Auflistung der Personen oder Entitäten zur Verfügung, an die der Geschäftspartner PGI über die Person innerhalb der letzten sechs (6) Jahre offengelegt hat, zusammen mit den Daten, Gründen und kurzen Beschreibungen der Offenlegungen, um es der betroffenen Rechtsperson zu ermöglichen, einer Person zu antworten, die eine Zusammenstellung der Offenlegungen der PGI der Person wünscht. (Siehe 45 C.F.R. § 164.528.)
(i) Zugang zu Büchern und Aufzeichnungen. Auf Anfrage stellt der Geschäftspartner dem U.S. Department of Health and Human Services seine internen Praktiken, Bücher und Aufzeichnungen in Bezug auf die Nutzung und Offenlegung Der PGI, die er von der betroffenen Rechtsperson erhalten, erstellt oder im Auftrag der betroffenen Rechtsperson erhalten hat, zur Verfügung, damit es die Einhaltung der Datenschutzbestimmungen durch die Betroffene Rechtsperson bewerten kann.
(j) Verpflichtungen des Geschäftspartners bei Beendigung. Der Geschäftspartner wird bei Beendigung der Vereinbarung oder der Nutzung und/oder Offenlegung der PGI durch den Geschäftspartner, falls dies möglich ist, alle PGI, die er von der betroffenen Rechtsperson erhalten hat, die von dieser erstellt wurden, zurückgeben oder vernichten lassen, oder vom Geschäftspartner im Namen der betroffenen Rechtsperson erhalten wurden, die der Geschäftspartner noch in irgendeiner Form in Verbindung mit dieser Vereinbarung aufbewahrt, durch eine vom Geschäftspartner zur Verfügung gestellte Löschoption zurückgeben oder vernichten lassen und keine Kopien dieser Informationen aufbewahren oder, falls eine solche Rückgabe oder Vernichtung nicht durchführbar ist, den Schutz dieser Vereinbarung auf die PGI ausdehnen und weitere Verwendungen und Offenlegungen auf die Zwecke beschränken, die die Rückgabe oder Vernichtung der PGI undurchführbar machen.
(k) Meldung von Sicherheitsvorfällen. Der Geschäftspartner muss der betroffenen Rechtsperson jeden Sicherheitsvorfall melden, von dem er Kenntnis erlangt. (Gemäß 45 C.F.R. § 164.304 ist ein Sicherheitsvorfall definiert als versuchter oder erfolgreicher unbefugter Zugriff, Verwendung, Offenlegung oder Zerstörung von Informationen oder Störung des Systembetriebs in einem Informationssystem). Ungeachtet des Vorstehenden erkennen die Parteien an und vereinbaren, dass dieser Abschnitt eine Mitteilung des Geschäftspartners an die betroffene Rechtsperson über die fortlaufende Existenz und das Auftreten von versuchten, aber erfolglosen Sicherheitsvorfällen darstellt. Erfolglose Sicherheitsvorfälle umfassen unter anderem Pings und andere Broadcast-Angriffe auf die Firewall des Geschäftspartners, Port-Scans, erfolglose Anmeldeversuche, Dienstverweigerungen und jede Kombination der oben genannten Vorfälle oder Sicherheitsvorfälle durch jeden anderen Mechanismus, solange ein solcher Vorfall nicht zu einem unbefugten Zugriff, einer unbefugten Nutzung oder Offenlegung der PGI führt.
3. Benachrichtigungsverfahren bei Verstößen.
(a) Berichterstattung über nicht in der Vereinbarung vorgesehene Verwendungen/Offenlegungen. Der Geschäftspartner verpflichtet sich, der betroffenen Rechtsperson jeden Verstoß – einschließlich, aber nicht beschränkt auf jeden angeblich unbefugten, unzulässigen Erwerb, Zugriff, Verwendung oder Offenlegung von PGI (in jeder Form) – in voller Übereinstimmung mit dem HIPAA zu melden. Eine solche Benachrichtigung über vermeintlich unbefugte Verwendungen oder Offenlegungen von PGI (in jeglicher Form) hat unverzüglich und ohne unangemessene Verzögerung schriftlich an die betroffene Rechtsperson zu erfolgen, jedoch in keinem Fall später als dreißig (30) Werktage ab dem Datum, an dem der Geschäftspartner von solchen vermeintlich unbefugten Verwendungen oder Offenlegungen Kenntnis erlangt hat oder bei Anwendung angemessener Sorgfalt von solchen vermeintlich unbefugten Verwendungen oder Offenlegungen hätte Kenntnis erlangen müssen. Darüber hinaus muss der Geschäftspartner im Falle einer unbefugten Nutzung oder Weitergabe der PGI alle schädigenden Auswirkungen dieser Nutzung oder Weitergabe, die ihm bekannt sind oder bekannt sein sollten, im Rahmen des Möglichen abmildern.
(b) Anweisungen zum Melden eines Verstoßes. Falls ein meldepflichtiger Verstoß gemäß HIPAA eintritt, wird der Geschäftspartner die betroffene Rechtsperson benachrichtigen, und in dieser Benachrichtigung muss der Geschäftspartner ohne Einschränkung, soweit möglich, die folgenden Informationen enthalten: (1) eine kurze Beschreibung des Vorfalls, einschließlich des Datums des Vorfalls und des Datums der Entdeckung des Vorfalls; (2) die Identifizierung aller Personen, deren PGI kompromittiert oder potenziell kompromittiert wurden; (3) eine Beschreibung der Art der PGI, die in dem Zwischenfall beeinträchtigt wurden; (4) alle Schritte, die Einzelpersonen unternehmen sollten, um sich vor potenziellen Schäden zu schützen, die aus dem Zwischenfall resultieren; und (5) eine kurze Beschreibung dessen, was der Geschäftspartner unternimmt, um den Zwischenfall zu untersuchen, die Kompromittierung der PGI zu mindern und sich vor weiteren Zwischenfällen zu schützen. Falls solche Informationen zum Zeitpunkt der Benachrichtigung nicht verfügbar sind, wird Geschäftspartner mit der betroffenen Rechtsperson zusammenarbeiten, um unverzüglich weitere Informationen bereitzustellen, sobald diese verfügbar werden.
4. Compliance-bezogene Änderungen .
Die Parteien erkennen an, dass sich der HIPAA von Zeit zu Zeit ändern oder präzisiert werden kann und dass die Bedingungen dieser Vereinbarung möglicherweise auf Anraten eines Rechtsbeistandes revidiert werden müssen, um die Compliance mit solchen Änderungen oder Präzisierungen aufrechtzuerhalten, und die Parteien vereinbaren, in gutem Glauben über Revisionen der Bedingung oder Bedingungen zu verhandeln, die die potenzielle oder tatsächliche Verletzung oder Nicht-Compliance verursachen. Falls eine der Parteien im Rahmen des Zumutbaren nicht in der Lage ist, sich auf neue oder geänderte Bedingungen zu einigen, die erforderlich sind, um die gesamte Vereinbarung in Übereinstimmung zu bringen, kann jede Partei diese Vereinbarung mit einer Frist von dreißig (30) Tagen schriftlich gegenüber der anderen Partei kündigen, oder früher, falls dies erforderlich ist, um die Nichteinhaltung einer Frist oder eines Termins zu verhindern oder um die fraglichen PGI zu schützen sowie die Einhaltung aller Verpflichtungen im Rahmen dieser Verfahren, Regeln, Vorschriften oder Gesetze sicherzustellen.
5. Laufzeit und Beendigung.
(a) Laufzeit. Diese Vereinbarung wird am oben genannten Datum des Inkrafttretens wirksam und endet mit der Beendigung oder dem Ablauf der Vereinbarung und wenn alle PGI, die eine der Parteien der anderen zur Verfügung gestellt hat oder die der Business Associate im Namen des Kunden erstellt oder erhalten hat, in Übereinstimmung mit diesem Abschnitt vernichtet oder an den Kunden zurückgegeben werden oder, falls die Parteien entscheiden, dass eine Rückgabe oder Vernichtung der PGI nicht durchführbar ist, der Schutz auf diese Informationen in Übereinstimmung mit den Bedingungen dieser Vereinbarung ausgedehnt wird.
(b) Beendigung. Ungeachtet anderer Bestimmungen einer Vereinbarung kann jede Partei diese Vereinbarung mit sofortiger Wirkung kündigen, falls eine der Parteien nach vernünftigem Ermessen zu dem Schluss kommt, dass die andere Partei gegen eine wesentliche Bestimmung dieser BAA verstoßen hat und diesen Verstoß nicht innerhalb von dreißig (30) Tagen nach Erhalt einer entsprechenden schriftlichen Mitteilung behoben hat. Bei Beendigung der Vereinbarung oder der Nutzung und/oder Offenlegung der PGI durch den Business Associate wird der Business Associate, wenn möglich, alle PGI, die er von der betroffenen Rechtsperson erhalten, erstellt oder im Namen der betroffenen Rechtsperson aufbewahrt hat und die der Business Associate in Verbindung mit dieser BAV noch in irgendeiner Form aufbewahrt, durch eine vom Business Associate bereitgestellte automatische Löschoption zurückgeben oder der betroffenen Rechtsperson ermöglichen, diese zu vernichten, und keine Kopien dieser Informationen zurückbehalten.
6. Sonstiges.
(a) Integration und Freigabe. Der Service des Business Associate ermöglicht die Integration, die gemeinsame Nutzung und den Austausch von Informationen mit Diensten von Drittanbietern und Links (beides, wie in der Vereinbarung definiert), die mit dem HIPAA konform sein mögen oder nicht. Falls die Betroffene Rechtsperson sich entscheidet, einen solchen Service und/oder Links von Dritten zu nutzen, ist die Betroffene Rechtsperson allein haftbar und verantwortlich für den Austausch von Informationen, einschließlich aller PGI zwischen den Services des Business Associates und der dritten Partei. Drittanbieter erbringen keine Services im Auftrag von monday.com und sind keine Business Associates von monday.com. monday.com lehnt hiermit ausdrücklich jegliche Haftung für die Nutzung, Offenlegung oder andere Maßnahmen ab, die von solchen Drittanbietern durchgeführt werden, oder für die Nichteinhaltung von anwendbaren Gesetzen, Vorschriften oder vertraglichen Bestimmungen bezüglich der Weitergabe von Informationen, einschließlich PGI, an solche Drittanbieter.
(b) Prüfungen. Falls und soweit dies erforderlich ist, um geltendem Recht zu genügen, gewährt der Business Associate der Betroffenen Rechtsperson (und den Aufsichtsbehörden der Betroffenen Rechtsperson) zu angemessenen Zeiten und nach angemessener Vorankündigung und in Abstimmung mit dem Personal des Business Associate Zugang zu den Einrichtungen, in denen oder von denen aus Services in Bezug auf PGI erbracht werden, sowie zu den Aufzeichnungen des Business Associate und anderen einschlägigen Informationen, soweit dies für die Prüfung der Einhaltung der Verpflichtungen des Business Associate im Rahmen dieser Vereinbarung relevant ist. Der Business Associate muss jede von der Betroffenen Rechtsperson oder ihrem Beauftragten berechtigterweise angeforderte Unterstützung bei der Durchführung einer solchen Prüfung leisten.
(c) (c) Keine Drittbegünstigten. Nichts in dieser Vereinbarung soll ausdrücklich oder stillschweigend dazu dienen, einer anderen Person als der Betroffenen Rechtsperson, dem Business Associate und ihren jeweiligen Rechtsnachfolgern und Abtretungsempfängern irgendwelche Rechte, Rechtsmittel, Verpflichtungen oder Verbindlichkeiten zu übertragen.
Der Business Associate verpflichtet sich, alle Anforderungen zu erfüllen und die Anforderungen in seine eigenen Vereinbarungen zu übernehmen, soweit dies gesetzlich vorgeschrieben ist. Diese Vereinbarung ersetzt alle früheren HIPAA Business Associate Vereinbarungen zwischen den Parteien, die sich auf den Gegenstand dieser Vereinbarung beziehen.
[ Unterschriftsseite folgt ]ZU URKUND DESSEN haben die Parteien diese Business Associate Vereinbarung durch ihre ordnungsgemäß bevollmächtigten Vertreter mit Wirkung zum Datum des Inkrafttretens unterzeichnen lassen.