Portal jurídico da monday.com

Last Updated: novembro 24, 2020

Adendo de Associado Comercial HIPAA

Last Updated: novembro 24, 2020

ADENDO DE ASSOCIADO COMERCIAL

Este Adendo de Associado Comercial (“BAA”) faz parte dos nossos Termos de Serviço (“Contrato”), seja você um cliente existente que aceitou o Contrato ou um novo cliente que está aceitando o Contrato agora. Você reconhece que, em seu próprio nome como pessoa física e em nome de seu empregador ou outra pessoa jurídica (coletivamente, “Entidade coberta” “você”, “seu” ou o “Cliente”) leu, compreendeu e concorda em cumprir este BAA, e está celebrando um contrato legal vinculante com a monday.com Ltd, o proprietário da monday.com (“monday.com”, “nós”, “nosso” ou “prestador de serviços”) para refletir o contrato das partes em relação aos usos e/ou divulgações do Associado Comercial das Informações de Saúde Protegidas da Entidade Coberta definidas em 45 C.F.R. § 160.103 ( “PHI”, que, para os termos deste Contrato, pertence coletivamente à PHI em qualquer meio, seja eletrônico, papel ou verbal).

Ambas as partes devem ser designadas como “Partes”, e cada uma, uma ”Parte”. Os termos em letras maiúsculas não definidos neste documento terão os significados atribuídos a tais termos no Contrato ou na Lei de Portabilidade e Responsabilidade do Seguro de Saúde de 1996 e seus regulamentos de implementação, que podem ser atualizados periodicamente (coletivamente, ”HIPAA”). Você declara e garante que tem, ou lhe foi concedida, poderes plenos para obrigar o Cliente a este BAA. Se você não puder ou não concordar em cumprir e ficar vinculado a este BAA ou não tiver poderes para obrigar o Cliente ou qualquer outra entidade, não forneça PHI para nós. Você celebra este BAA em seu nome e, na medida exigida pela HIPAA e pelas leis e regulamentos de proteção de dados aplicáveis, em nome do Cliente e das afiliadas do Cliente, se e na medida em que você ou o Cliente tratarem PHI para o qual tais afiliadas se qualificam como uma ”Entidade coberta”. Apenas para efeitos do presente BAA, e salvo indicação em contrário, o termo ”Entidade coberta” inclui você mesmo, o Cliente e/ou as afiliadas do Cliente.

No decorrer da prestação dos Serviços de acordo com o Contrato, podemos acessar, usar, divulgar e/ou tratar PHI em seu nome e/ou em nome do Cliente, na qualidade de “Associado Comercial”. As Partes concordam em cumprir as seguintes disposições em relação a qualquer PHI, cada uma agindo de forma razoável e de boa-fé. Se você precisar de uma cópia assinada deste BAA, poderá baixar este BAA em www.monday.com/terms/hipaa-baa e enviar uma cópia assinada para legal@monday.com, e nós forneceremos uma cópia assinada. No caso de qualquer conflito entre determinadas disposições deste BAA e as disposições do Contrato, as disposições deste BAA prevalecerão sobre as disposições conflitantes do Contrato.

O Associado Comercial atualmente usa e/ou divulga PHI da Entidade Abrangida para fornecer os Serviços, conforme descrito no Contrato entre as Partes; e, ao fornecer Serviços de acordo com o Contrato, o Associado Comercial se tornará um associado comercial da Entidade Coberta, pois tal termo é definido na HIPAA, e, portanto, terá obrigações em relação à confidencialidade e privacidade da PHI que o Associado Comercial criar para ou receber de ou em nome do Cliente.        

1.Usos e divulgações permitidos. O Associado Comercial pode usar e divulgar as PHI necessárias para cumprir suas obrigações para com a Entidade Coberta, conforme estabelecido no Contrato ou conforme permitido ou exigido por lei nos termos da HIPAA, desde que o Associado Comercial não use ou divulgue PHI de uma maneira que não seria permitida se feita pela Entidade Coberta. O Associado Comercial também pode:

 (a) usar PHI (i) conforme necessário para sua gestão e administração adequadas, ou (ii) para cumprir suas responsabilidades legais;

 (b) divulgar PHI a terceiros para os mesmos fins, desde que (i) a divulgação seja exigida por lei ou (ii) o Associado Comercial obtenha garantias satisfatórias do referido terceiro de que as PHI serão mantidas confidencialmente e usadas ou divulgadas posteriormente apenas conforme exigido por lei ou para o propósito para o qual foi divulgado, e que o terceiro notificará o Associado Comercial de quaisquer casos de que tenha conhecimento em que a confidencialidade das PHI for violada; e

 (c) O Associado Comercial concorda em fazer usos e divulgações e solicitações de PHI consistentes com as políticas e procedimentos mínimos necessários da Entidade Coberta.

2. Obrigações do Associado Comercial.

(a) Limitação de divulgação. O Associado Comercial concorda em não usar ou divulgar PHI além do permitido ou exigido neste documento, em qualquer Contrato escrito (incluindo o Contrato) ou conforme exigido por lei.

(b) Proteções. O Associado Comercial concorda em implementar proteções administrativas, físicas e técnicas que protejam de forma razoável e adequada a confidencialidade, integridade e disponibilidade das PHI que criar, receber, armazenar, mantiver ou transmitir em nome da Entidade Coberta nos termos do presente Contrato ou qualquer contrato relevante, e deve impedir uso ou divulgação das PHI da Entidade Coberta que não esteja conforme ao previsto no presente Contrato ou ao exigido por lei.

(c) Relatórios de usos/divulgações não previstas no contrato. O Associado Comercial concorda em comunicar à Entidade Coberta qualquer uso ou divulgação de PHI não previsto neste documento ou por qualquer contrato escrito de que tome conhecimento.

(d) Mitigação. O Associado Comercial concorda em mitigar, na medida do possível, qualquer efeito prejudicial conhecido pelo Associado Comercial de uso ou divulgação de PHI pelo Associado Comercial em violação dos requisitos deste Contrato.

(e) Uso de agentes/subcontratados. O Associado Comercial concorda em garantir que quaisquer agentes, incluindo subcontratados, a quem o Associado Comercial fornecer PHI recebidas de ou criadas ou recebidas pelo Associado Comercial em nome da Entidade Coberta concordem com restrições e condições substancialmente semelhantes às que se aplicarem ao Associado Comercial com relação à PHI. O Associado Comercial, de acordo com suas obrigações segundo a HIPAA e este Contrato, é totalmente responsável por garantir que celebrará com seus subcontratados um contrato contendo obrigações não menos restritivas do que os termos deste Contrato.

(f) Acesso a PHI. Dentro de quinze (15) dias após o recebimento de uma solicitação por escrito da Entidade Coberta para uma cópia das PHI, o Associado Comercial concorda em disponibilizar as PHI solicitadas para a Entidade Coberta para permitir que a Entidade Coberta responda a um indivíduo que desejar inspecionar ou copiar PHI, a menos que o Associado Comercial considere que há motivos razoáveis para a recusa de tal solicitação de acordo com 45 C.F.R. § 164.524, e nesse caso deve notificar a Entidade Coberta a respeito. O Associado Comercial é obrigado a cumprir a Regra de Segurança com relação a PHI eletrônicas, incluindo, sem limitação, disponibilizar, mediante solicitação por escrito, cópias de PHI em formato eletrônico, quando as PHI forem armazenadas eletronicamente.

(g) Alteração de PHI. Dentro de quinze (15) dias após o recebimento de uma solicitação por escrito da Entidade Coberta para fazer uma alteração às PHI, o Associado Comercial fará tal alteração e informará a qualquer titular das PHI conhecido do Associado Comercial que uma alteração foi feita, a menos que o Associado Comercial considere que haja motivos razoáveis para a recusa de tal solicitação de acordo com 45 C.F.R. § 164.526, e nesse caso deverá notificar a Entidade Coberta a respeito.

(h) Prestação de contas de determinadas divulgações.  No prazo de trinta (30) dias após o recebimento de uma solicitação por escrito da Entidade Coberta para uma prestação de contas das divulgações de PHI sobre um indivíduo, o Associado Comercial deverá fornecer à Entidade Coberta uma lista das pessoas ou entidades para as quais o Associado Comercial divulgou PHI sobre o indivíduo nos seis (6) anos anteriores, juntamente com as datas, os motivos e breves descrições das divulgações para permitir que a Entidade Coberta responda a um indivíduo que buscar uma prestação de contas das divulgações das PHI do indivíduo. (Ver 45 C.F.R. § 164.528.)

(i) Acesso a livros e registros.  O Associado Comercial deve disponibilizar suas práticas internas, livros e registros relacionados ao uso e divulgação de PHI recebidas do, criadas por ou recebidas pelo Associado Comercial em nome da Entidade Coberta, mediante solicitação ao Departamento de Saúde e Serviços Humanos dos EUA para que possa avaliar a conformidade da Entidade Coberta com a Regra de Privacidade.

(j) Obrigações do Associado Comercial após rescisão. O Associado Comercial deverá, na rescisão de qualquer contrato ou dos usos e/ou divulgações das PHI pelo Associado Comercial, se possível, devolver ou permitir que a Entidade Coberta destrua todas as PHI recebidas de, criadas por ou recebidas pelo Associado Comercial em nome da Entidade Coberta que o Associado Comercial ainda mantiver, em qualquer forma, em conexão com este Contrato, por meio de uma opção de exclusão fornecida pelo Associado Comercial, e não reter nenhuma cópia de tais informações ou, se tal devolução ou destruição não for viável, estender as proteções deste Contrato para as PHI e limitar outros usos e divulgações às finalidades que tornam a devolução ou destruição da PHI inviável.

(k) Relatórios de incidentes de segurança. O Associado Comercial deve comunicar à Entidade Coberta qualquer Incidente de Segurança de que tome conhecimento.  (Em 45 C.F.R. § 164.304, um Incidente de Segurança é definido como a tentativa ou sucesso de acesso não autorizado, uso, divulgação ou destruição de informações ou interferência nas operações do sistema em um sistema de informações.)  Não obstante o acima exposto, as Partes reconhecem e concordam que esta Seção constitui notificação do Associado Comercial à Entidade Coberta sobre a existência e ocorrência contínua de tentativas de Incidentes de Segurança, mas sem sucesso.  Incidentes de Segurança malsucedidos incluirão, sem limitação, pings e outros ataques de transmissão no firewall do Associado Comercial, varreduras de portas, tentativas de logon malsucedidas, negações de serviço e qualquer combinação dos itens acima, ou através de qualquer outro mecanismo, desde que nenhum incidente resulte em acesso não autorizado, uso ou divulgação de PHI.

3. Procedimentos de notificação de violação.

(a) Relatórios de usos/divulgações não previstas no contrato. O Associado Comercial concorda em comunicar à Entidade Coberta qualquer Violação (incluindo, sem limitação, qualquer suposta aquisição, acesso, uso ou divulgação não autorizada de PHI (de qualquer forma)) em total conformidade com a HIPAA. Tal notificação de quaisquer supostos usos ou divulgações não autorizados de PHI (de qualquer forma) deve ser feita imediatamente à Entidade Coberta por escrito, sem demora injustificada, mas sempre em até trinta (30) dias úteis a partir da data em que o Associado Comercial tomar conhecimento de tais supostos usos ou divulgações não autorizados ou da data na qual, por exercício de diligência razoável, deveria ter conhecimento de tais supostos usos ou divulgações não autorizados.  Além disso, no caso de uso ou divulgação não autorizado de PHI, o Associado Comercial deverá mitigar, na medida do possível, quaisquer efeitos prejudiciais de tal uso ou divulgação que sejam ou devam ser conhecidos por ele.

(b) Instruções para relatar uma violação. Se ocorrer uma violação relatável de acordo com a HIPAA, o Associado Comercial deve notificar a Entidade Coberta e, em tal notificação, o Associado Comercial deve incluir, sem limitação, na medida do possível, as seguintes informações: (1) uma breve descrição do que aconteceu, incluindo a data do incidente e a data da descoberta do incidente; (2) a identificação de cada indivíduo cujas PHI foram comprometidas ou potencialmente comprometidas; (3) uma descrição dos tipos de PHI que estavam envolvidos no incidente; (4) quaisquer medidas que os indivíduos devam tomar para se proteger de potenciais danos resultantes do incidente; e (5) uma breve descrição do que o Associado Comercial está fazendo para investigar o incidente, mitigar o comprometimento das PHI e se proteger contra quaisquer outros incidentes. Se alguma dessas informações não estiver disponível no momento da notificação, o Associado Comercial deverá colaborar com a Entidade Coberta para fornecer mais informações imediatamente após a disponibilização das informações.

4. Alterações relacionadas a conformidade.

As Partes reconhecem que a HIPAA pode ser alterada ou esclarecida periodicamente e que os termos deste Contrato podem precisar ser revisados, sob orientação de um advogado, a fim de permanecer em conformidade com tais alterações ou esclarecimentos, e as Partes concordam em negociar, de boa-fé, as revisões do termo ou os termos que causarem violação ou não conformidade potencial ou real. Caso uma das Partes, agindo razoavelmente, seja incapaz de concordar com os termos novos ou modificados, conforme exigido para cumprir todo o Contrato, qualquer uma das partes pode rescindir este Contrato mediante notificação por escrito à outra Parte em trinta (30) dias ou antes, se necessário, para evitar o descumprimento de um prazo ou data efetiva ou para proteger quaisquer PHI em questão, bem como garantir o cumprimento de todas as obrigações de qualquer um desses procedimentos, regras, regulamentos ou leis.

5. Prazo e rescisão.

(a) Prazo.  Este Contrato entrará em vigor na Data de Vigência estabelecida acima e será encerrado com a rescisão ou expiração do Contrato e quando todas as PHI fornecidas por qualquer uma das Partes à outra, ou criadas ou recebidas pelo Associado Comercial em nome do Cliente, forem, de acordo com esta Seção, destruídas ou devolvidas ao Cliente, ou, se as Partes determinarem que não é viável devolver ou destruir PHI, forem estendidas a tais informações proteções de acordo com os termos deste Contrato.

(b) Rescisão.  Não obstante qualquer outra disposição de qualquer contrato, qualquer uma das Partes pode rescindir imediatamente este Contrato se qualquer uma das Partes, agindo razoavelmente, determinar que a outra Parte violou um termo substancial deste BAA e não conseguiu corrigir tal violação dentro de trinta (30) dias após o recebimento da notificação por escrito.  Na rescisão do Contrato ou dos usos e/ou divulgações das PHI pelo Associado Comercial, o Associado Comercial deve, se possível, devolver ou permitir que a Entidade Coberta destrua todas as PHI recebidas, criadas ou mantidas pelo Associado Comercial em nome da Entidade Coberta que o Associado Comercial ainda mantiver, em qualquer forma, em conexão com este BAA por meio de uma opção de exclusão automática fornecida pelo Associado Comercial, sem reter cópias de tais informações.

6. Diversos.

(a) Integração e compartilhamento. O serviço do Associado Comercial permite a integração, o compartilhamento e a troca de informações com Serviços de Terceiros e links (ambos conforme definido no Contrato) que podem ou não estar em conformidade com a HIPAA. Se a Entidade Coberta optar por usar o Serviço de Terceiros e/ou Links, a Entidade Coberta será a única responsável pela troca de informações, incluindo quaisquer PHI entre os serviços do Associado Comercial e o terceiro. Os prestadores de serviços terceirizados não fornecem serviços em nome da monday.com e não são Associados Comerciais da monday.com. A monday.com renuncia expressamente a qualquer responsabilidade por qualquer uso, divulgação ou outra ação tomada por tais prestadores de serviços terceirizados ou qualquer descumprimento por parte da Entidade Coberta de qualquer lei aplicável, regulamento ou disposição contratual relacionada ao compartilhamento de informações, incluindo PHI, com qualquer serviço de terceiros.

(b) Auditorias. Se e na âmbito exigido para cumprir a lei aplicável, o Associado Comercial deverá fornecer à Entidade Coberta (e aos reguladores da Entidade Coberta) acesso. em horários razoáveis e mediante notificação razoável e coordenação com o pessoal do Associado Comercial, às instalações de ou a partir das quais serviços relacionados à PHI estão sendo fornecidos e aos registros do Associado Comercial e outras informações pertinentes, tudo na medida relevante para auditar a conformidade do Associado Comercial com suas obrigações sob este Contrato. O Associado Comercial deve prestar qualquer assistência razoavelmente solicitada pela Entidade Coberta ou seu designado na realização de tal auditoria.

(c) Nenhum terceiro beneficiário. Nada expresso ou implícito neste Contrato se destina a conferir nem conferirá a qualquer pessoa que não a Entidade Coberta, o Associado Comercial e seus respectivos sucessores e cessionários quaisquer direitos, recursos, obrigações ou responsabilidades de qualquer natureza.

O Associado Comercial concorda em cumprir todos os requisitos e em incorporar os requisitos a seus próprios contratos, na medida exigida por lei. Este Contrato substitui qualquer Contrato de Associado Comercial da HIPAA anterior entre as Partes relacionado ao objeto deste.

[Segue a página de assinaturas]

         E ESTANDO ASSIM JUSTAS E CONTRATADAS, as partes fizeram com que este Contrato de Parceiro Comercial fosse firmado por seus representantes devidamente autorizados, para que entre em vigor na Data de Vigência.

AVISO: Esta versão é uma tradução do original em inglês, fornecida apenas para fins de conveniência. O original em inglês é a versão oficial e juridicamente vinculante, e prevalecerá em caso de discrepância.

Capacitando equipes para realizar mais, em conjunto

Avaliação grátis de 14 dias | Não é necessário cartão de crédito