SaaS. Geschäftspartnervereinbarung

Transkript

1 SaaS Geschäftspartnervereinbarung Diese Geschäftspartnervereinbarung tritt gemäß den Bedingungen in Abschnitt 5 des Endbenutzerservicevertrags ("EUSA") zwischen dem Kunden ("betroffene Einrichtung") und Citrix in Kraft. Die betroffene Einrichtung und Citrix sind Parteien des EUSA, gemäß dessen Citrix der betroffenen Einrichtung bestimmte Services zur Verfügung stellt und in Verbindung mit solchen Services bestimmte geschützte gesundheitliche Daten (Protected Health Information) zu Patienten der betroffenen Einrichtung, die gemäß dem Health Insurance Portability and Accountability Act von 1996 ("HIPAA") und dem Health Information Technology for Economic and Clinical Health Act ("HITECH Act") zu schützen sind, für die oder im Namen der betroffenen Einrichtung empfangen, nutzen und/oder offenlegen kann. Aufgrund solcher Aktivitäten sind die Parteien der Ansicht, dass Citrix ein Geschäftspartner der betroffenen Einrichtung ist. Die betroffene Einrichtung und der Geschäftspartner möchten die Anforderungen des HIPAA und des HITECH Act, die für die Beziehung zwischen betroffenen Einrichtungen (Covered Entities) und ihren Geschäftspartnern (Business Associates) gelten, in jeder Hinsicht erfüllen. Die betroffene Einrichtung und der Geschäftspartner möchten zudem die Änderungen an den Bestimmungen der HIPAA zum Datenschutz, zur Sicherheit, zur Durchsetzung und zur Anzeigepflicht bei Verstößen gemäß dem Health Information Technology for Economic and Clinical Health Act und dem Genetic Information Nondiscrimination Act, die am 25. Januar 2013 veröffentlicht wurden, in jeder Hinsicht erfüllen. 1. Definitionen. Begriffe, die in dieser Geschäftspartnervereinbarung verwendet, jedoch nicht anderweitig definiert werden, besitzen dieselbe Bedeutung wie die in der Datenschutzbestimmung oder der Sicherheitsbestimmung dargelegten Begriffe. (a) Verletzung. "Verletzung" bezeichnet den unbefugten Erwerb oder Zugriff auf oder die unbefugte Nutzung oder Offenlegung von geschützten gesundheitlichen Daten auf eine Weise, die gemäß der Datenschutzbestimmung nicht zugelassen ist, wodurch die Sicherheit oder der Schutz solcher Daten gefährdet wird. Folgendes stellt keine Verletzung dar: (i) (ii) (iii) der unbeabsichtigte Erwerb von oder Zugriff auf oder die unbeabsichtigte Nutzung von geschützten gesundheitlichen Daten durch einen Mitarbeiter der betroffenen Einrichtung oder des Geschäftspartners oder eine Person, die im Auftrag der betroffenen Einrichtung oder des Geschäftspartners handelt, sofern ein solcher Erwerb oder Zugriff bzw. eine solche Nutzung in gutem Glauben und innerhalb der jeweiligen Befugnisse erfolgte und nicht zu einer weiteren Nutzung oder Offenlegung auf eine Weise, die gemäß der Datenschutzbestimmung nicht zugelassen ist, führt. die versehentliche Offenlegung durch eine Person, die befugt ist, bei der betroffenen Einrichtung oder dem Geschäftspartner auf geschützte gesundheitliche Daten zuzugreifen, gegenüber einer anderen Person, die befugt ist, bei der betroffenen Einrichtung oder dem Geschäftspartner auf geschützte gesundheitliche Daten zuzugreifen, sofern die Daten, die infolge einer solchen Offenlegung empfangen werden, nicht auf eine Weise, die gemäß der Datenschutzbestimmung nicht zugelassen ist, weiter genutzt oder offengelegt werden. eine Offenlegung von geschützten gesundheitlichen Daten, wenn die betroffene Einrichtung oder der Geschäftspartner in gutem Glauben annehmen, dass eine unbefugte Person, gegenüber der die Offenlegung erfolgte, nach vernünftigem Ermessen nicht in der Lage gewesen wäre, solche Daten aufzubewahren.

2 Mit Ausnahme der oben unter (i)-(iii) aufgeführten Fälle werden der Erwerb von, der Zugriff auf, die Nutzung von oder die Offenlegung von geschützten gesundheitlichen Daten auf eine Weise, die gemäß den Datenschutzbestimmung nicht zugelassen ist, als Verletzung betrachtet, sofern nicht die betroffene Einrichtung oder der Geschäftspartner, wie jeweils zutreffend, basierend auf einer Risikobewertung von mindestens den folgenden Faktoren nachweist, dass eine geringe Wahrscheinlichkeit besteht, dass die geschützten gesundheitlichen Daten kompromittiert wurden: (i) (ii) (iii) (iv) Art und Umfang der betroffenen geschützten gesundheitlichen Daten, einschließlich der Typen von Identifikatoren und der Wahrscheinlichkeit einer Reidentifikation; die unbefugte Person, die die geschützten gesundheitlichen Daten genutzt hat oder gegenüber der die Offenlegung erfolgt ist; die Frage, ob geschützten gesundheitlichen Daten tatsächlich erworben oder angesehen wurden; und der Umfang, in dem das Risiko für die geschützten gesundheitlichen Daten abgemildert worden ist. (b) Elektronische geschützte gesundheitliche Daten. "Elektronische geschützte gesundheitliche Daten" bezeichnet geschützte gesundheitliche Daten, die über elektronische Medien (Electronic Media; gemäß der Definition in der Sicherheitsbestimmung) übermittelt oder in diesen aufbewahrt werden. (c) Datenschutzbestimmung. "Datenschutzbestimmung" bezeichnet die Standards for Privacy of Individually Identifiable Health Information unter 45 CFR Part 160 und Part 164, Subparts A und E. (d) Geschützte gesundheitliche Daten. "Geschützte gesundheitliche Daten" besitzt dieselbe Bedeutung wie der Begriff "protected health information" unter 45 CFR , beschränkt auf die Daten, die vom Geschäftspartner von oder im Namen der betroffenen Einrichtung empfangen werden. (e) Gesundheitsminister(in). "Gesundheitsminister(in)" bezeichnet den Gesundheitsminister bzw. die Gesundheitsministerin der Vereinigten Staaten (Secretary of the Department of Health and Human Services) oder seinen bzw. ihren Beauftragten. (f) Sicherheitszwischenfall. "Sicherheitszwischenfall" bezeichnet den versuchten oder erfolgreichen unbefugten Zugriff auf oder die unbefugte Nutzung, Offenlegung, Modifizierung oder Vernichtung von Daten oder die Störung des Systembetriebs in einem Informationssystem, das Zugriff auf geschützte gesundheitliche Daten bietet. (g) Sicherheitsbestimmung. "Sicherheitsbestimmung" bezeichnet die Security Standards for the Protection of Electronic Protected Health Information unter 45 CFR Part 164 Subpart C. 2. Verpflichtungen und Aktivitäten des Geschäftspartners. Der Geschäftspartner verpflichtet sich dazu: (a) geschützte gesundheitliche Daten nicht auf andere Weise zu nutzen oder weiter offenzulegen, als es diese Geschäftspartnervereinbarung erlaubt oder erfordert oder als es die Gesetze erfordern. (b) nur den mindestens zur Durchführung seiner Services für die betroffene Einrichtung erforderlichen Umfang an geschützten gesundheitlichen Daten zu nutzen, offenzulegen und anzufordern. (c) bezüglich elektronischer geschützter gesundheitlicher Daten angemessene Sicherheitsvorkehrungen zu treffen und die Sicherheitsbestimmung einzuhalten, um eine Nutzung oder Offenlegung der geschützten gesundheitlichen Daten, die nicht in Übereinstimmung mit dieser Geschäftspartnervereinbarung erfolgt, zu verhindern.

3 (d) soweit möglich, alle schädlichen Auswirkungen, die dem Geschäftspartner in Zusammenhang mit einer Nutzung oder Offenlegung von geschützten gesundheitlichen Daten durch den Geschäftspartner unter Verletzung der Anforderungen dieser Geschäftspartnervereinbarung oder der Datenschutzbestimmung bekannt sind, abzumildern. (e) der betroffenen Einrichtung jede Nutzung oder Offenlegung der geschützten gesundheitlichen Daten zu melden, die nicht in Übereinstimmung mit dieser Geschäftspartnervereinbarung erfolgt, von der der Geschäftspartner Kenntnis erlangt, einschließlich jeder Verletzung ungesicherter geschützter gesundheitlicher Daten und jedes Sicherheitszwischenfalls. Hinsichtlich der Meldepflicht gemäß dieser Geschäftspartnervereinbarung erkennen die Parteien an, dass der Geschäftspartner die Art der geschützten gesundheitlichen Daten in den Konten der betroffenen Einrichtung nicht kennt und es daher dem Geschäftspartner nicht möglich ist, Informationen zur Identität möglicherweise betroffener Einzelpersonen oder eine Beschreibung der Art der Informationen, die einem Sicherheitszwischenfall oder Sicherheitsverletzung unterliegen könnten, zur Verfügung zu stellen. (f) in Übereinstimmung mit der Datenschutzbestimmung und der Sicherheitsbestimmung sicherzustellen, dass alle Auftragnehmer, einschließlich Unterauftragnehmer, denen er geschützte gesundheitliche Daten zur Verfügung stellt, die er von der betroffenen Einrichtung oder in deren Namen erhalten hat, denselben Beschränkungen und Bedingungen zustimmen, die für den Geschäftspartner gelten. (g) soweit sich geschützte gesundheitliche Daten in einem designierten Datensatz befinden, geschützte gesundheitliche Daten in dem Umfang, zu den Zwecken und auf die Weise verfügbar zu machen, wie es 45 CFR (Access of individuals to Protected Health Information) und 45 CFR (Amendment of Protected Health Information) erfordern, und Änderungen an geschützten gesundheitlichen Daten wie unter 45 CFR gefordert aufzunehmen. (h) soweit der Geschäftspartner eine oder mehrere der Verpflichtungen der betroffenen Einrichtung im Rahmen der Datenschutzbestimmung wahrnehmen soll, die Anforderungen der Datenschutzbestimmung zu erfüllen, die für die betroffene Einrichtung bei der Wahrnehmung solcher Verpflichtungen gelten. (i) interne Praktiken, Bücher und Unterlagen in Zusammenhang mit der Nutzung und Offenlegung von geschützten gesundheitlichen Daten, die er von der betroffenen Einrichtung oder in deren Namen erhalten hat, für den bzw. die Gesundheitsminister(in) zum Zwecke der Prüfung der Einhaltung der Datenschutzbestimmung oder der Sicherheitsbestimmung durch die betroffene Einrichtung verfügbar zu machen. (j) solche Offenlegungen von geschützten gesundheitlichen Daten und Informationen in Zusammenhang mit solchen Offenlegungen so zu dokumentieren, wie es seitens der betroffenen Einrichtung erforderlich wäre, um einer Anforderung eines Nachweises über Offenlegungen von geschützten gesundheitlichen Daten durch eine Einzelperson in Übereinstimmung mit 45 CFR (Accounting of disclosures of Protected Health Information) nachzukommen. Zum Ausschluss von Zweifeln stimmt der Geschäftspartner zu, bei Anforderung durch die betroffene Einrichtung die erforderlichen Informationen für einen Nachweis zu Offenlegungen in Übereinstimmung mit 45 CFR , von dem der Geschäftspartner Kenntnis hat, zu dokumentieren und nachzukommen. Da der Geschäftspartner keine Kenntnisse der genannten Personen oder der Art der geschützten gesundheitlichen Daten in den Konten einer betroffenen Einrichtung hat, ist die betroffene Einrichtung alleine dafür verantwortlich, die Personen zu identifizieren, die zu möglicherweise offen gelegten Daten der betroffenen Einrichtung gehören und eine kurze Beschreibung der offen gelegten geschützten gesundheitlichen Daten zu geben. (k) der betroffenen Einrichtung zu einem von den Parteien vereinbarten Zeitpunkt und auf eine von diesen vereinbarte Weise Daten zur Verfügung zu stellen, die in Übereinstimmung mit Abschnitt 2(i) dieser Geschäftspartnervereinbarung gesammelt wurden, um der betroffenen Einrichtung zu ermöglichen, einer Anforderung eines Nachweises über Offenlegungen von geschützten gesundheitlichen Daten durch eine Einzelperson in Übereinstimmung mit 45 CFR nachzukommen.

4 3. Erlaubte Nutzung und Offenlegung durch den Geschäftspartner. (a) Allgemeine Bestimmungen für die Nutzung und Offenlegung. Vorbehaltlich der Bedingungen dieser Geschäftspartnervereinbarung darf der Geschäftspartner geschützte gesundheitliche Daten nutzen oder offenlegen, um die Funktionen, Aktivitäten und Services für die oder im Namen der betroffenen Einrichtung durchzuführen, vorausgesetzt, dass eine solche Nutzung oder Offenlegung die Datenschutzbestimmung nicht verletzen würde, wenn sie von der betroffenen Einrichtung durchgeführt würde. (b) Spezielle Bestimmungen für die Nutzung und Offenlegung. Der Geschäftspartner darf geschützte gesundheitliche Daten für die ordnungsgemäße Verwaltung des Geschäftspartners nutzen oder offenlegen (z. B. zu Zwecken der Qualitätsverbesserung und von Produkt- oder Servicetests, Support sowie Systempflege), vorausgesetzt, dass der Geschäftspartner solche geschützten gesundheitlichen Daten nur wie folgt offenlegen darf: (i) wie gesetzlich erforderlich oder (ii) gegenüber Personen, von denen der Geschäftspartner angemessene Zusicherungen erhält, dass die Daten vertraulich bleiben und nur wie gesetzlich erforderlich oder zu dem Zweck, zu dem sie offengelegt wurden, genutzt oder weiter offengelegt werden, und die jeweilige Person muss den Geschäftspartner über alle ihr bekannten Fälle von Verletzungen der Vertraulichkeit der Daten benachrichtigen. (c) Melden von Gesetzesverletzungen. Der Geschäftspartner kann geschützte gesundheitliche Daten dazu verwenden, Verletzungen von Gesetzen von Bundes- und Landesbehörden in Übereinstimmung mit 45 CFR (j)(1) zu melden. 4. Verpflichtungen der betroffenen Einrichtung. Die betroffene Einrichtung stimmt Folgendem zu: (a) dass sie in den von der Datenschutzbestimmung verlangten Hinweis zu den Datenschutzpraktiken (Notice of Privacy Practices) der betroffenen Einrichtung eine Bestimmung aufgenommen hat und auch zukünftig aufnehmen wird, die besagt, dass die betroffene Einrichtung geschützte gesundheitliche Daten für Vorgänge der Gesundheitsversorgung und zu Zahlungszwecken offenlegen darf. Auf Anforderung stellt die betroffene Einrichtung dem Geschäftspartner eine Kopie des Hinweises zu den Datenschutzpraktiken der betroffenen Einrichtung sowie von allen Änderungen dieses Hinweises zur Verfügung. (b) dass sie den Geschäftspartner auf ggf. bestehende Einschränkungen bei den Datenschutzpraktiken der betroffenen Einrichtung hingewiesen hat, soweit sich solche Einschränkungen auf die Durchführung von Services für die betroffene Einrichtung oder die Nutzung oder Offenlegung geschützter gesundheitlicher Daten seitens des Geschäftspartners auswirken könnten. (c) dass sie auf angemessene Anforderung des Geschäftspartners Kopien von allen Zustimmungen, Ermächtigungen, Einverständniserklärungen oder Genehmigungen einer Einzelperson bezüglich der Nutzung oder Offenlegung von geschützten gesundheitlichen Daten zur Verfügung stellen wird, die sich auf die Durchführung von Services für die betroffene Einrichtung oder die Nutzung oder Offenlegung von geschützten gesundheitlichen Daten seitens des Geschäftspartners auswirken könnten. (d) dass sie von Einzelpersonen die Zustimmungen, Ermächtigungen und anderen Genehmigungen eingeholt hat und in Zukunft einholen wird, die ggf. für die Erfüllung ihrer jeweiligen Verpflichtungen seitens des Geschäftspartners und der betroffenen Einrichtung sowie im Rahmen dieser Geschäftspartnervereinbarung erforderlich oder durch Gesetze, die für die betroffene Einrichtung gelten, vorgeschrieben sind. (e) dass sie dem Geschäftspartner alle Änderungen oder Widerrufe von Genehmigungen einer Einzelperson bezüglich der Nutzung oder Offenlegung von geschützten gesundheitlichen Daten mitteilen wird, falls sich solche Änderungen auf die Durchführung von Services für die betroffene Einrichtung oder die Nutzung oder Offenlegung von geschützten gesundheitlichen Daten seitens des Geschäftspartners auswirken. (f) dass sie auf Anforderung des Geschäftspartners dem Geschäftspartner den Namen und die Kontaktdaten des Datenschutzbeauftragten mitteilen wird, der von der betroffenen Einrichtung in Übereinstimmung mit 45 CFR ernannt wurde.

5 5. Zulässige Anforderungen seitens der betroffenen Einrichtung Die betroffene Einrichtung darf den Geschäftspartner nicht dazu auffordern, geschützte gesundheitliche Daten auf irgendeine Weise zu nutzen oder offenzulegen, die gemäß der Datenschutzbestimmung nicht zulässig wäre, wenn diese Nutzung oder Offenlegung seitens der betroffenen Einrichtung erfolgen würde, außer wie im obigen Abschnitt 3(b) dargelegt. 6. Laufzeit und Beendigung (a) (b) Laufzeit Die betroffene Einrichtung hat das Recht, diese Geschäftspartnervereinbarung bei einer wesentlichen Verletzung dieser Geschäftspartnervereinbarung zu beenden. Dies setzt jedoch voraus, dass die betroffene Einrichtung den Geschäftspartner vor einer solchen Beendigung auf das Bestehen einer vermeintlichen wesentlichen Verletzung hinweist und dem Geschäftspartner die Möglichkeit zur Behebung der vermeintlichen wesentlichen Verletzung gibt. Falls der Geschäftspartner die wesentliche Verletzung nicht innerhalb von dreißig (30) Tagen nach Erhalt einer entsprechenden schriftlichen Benachrichtigung behebt, kann die betroffene Einrichtung diese Geschäftspartnervereinbarung danach sofort beenden. Folge der Beendigung: (i) (ii) Außer wie in Absatz (ii) dieses Abschnitts angegeben, muss der Geschäftspartner nach Beendigung dieser Geschäftspartnervereinbarung aus einem beliebigen Grund alle geschützten gesundheitlichen Daten, die er von der betroffenen Einrichtung erhalten oder im Namen der betroffenen Einrichtung erstellt oder erhalten hat, zurückgeben oder vernichten oder solche geschützten gesundheitlichen Daten in ein anonymisiertes Format konvertieren, das der Datenschutzbestimmung entspricht. Diese Bestimmung gilt auch für geschützte gesundheitliche Daten, die sich im Besitz von Unterauftragnehmern oder Auftragnehmern des Geschäftspartners befinden. Der Geschäftspartner darf keine Kopien der geschützten gesundheitlichen Daten zurückbehalten. Falls der Geschäftspartner bestimmt, dass die Rückgabe oder Vernichtung der geschützten gesundheitlichen Daten nicht durchführbar ist, muss der Geschäftspartner der betroffenen Einrichtung die Bedingungen mitteilen, die die Rückgabe oder Vernichtung undurchführbar machen. Der Geschäftspartner muss die Schutzmaßnahmen der Geschäftspartnervereinbarung auf solche geschützten gesundheitlichen Daten ausdehnen und die weitere Nutzung und Offenlegung solcher geschützter gesundheitlicher Daten auf die Zwecke beschränken, die die Rückgabe oder Vernichtung undurchführbar machen, solange der Geschäftspartner solche geschützten gesundheitlichen Daten aufbewahrt. Die Parteien vereinbaren, dass eine Rückgabe solcher geschützter gesundheitlicher Daten als nicht durchführbar betrachtet wird, soweit der Geschäftspartner gesetzlich zur Aufbewahrung von Kopien geschützter gesundheitlicher Daten verpflichtet ist, und dass der Geschäftspartner das Recht besitzt, solche geschützten gesundheitlichen Daten wie gesetzlich erforderlich aufzubewahren. Dies gilt jedoch unter der Voraussetzung, dass der Geschäftspartner solche geschützten gesundheitlichen Daten nur zu Zwecken der Gesetzeserfüllung und wie gesetzlich erforderlich nutzen oder offenlegen darf. Die jeweiligen Rechte und Verpflichtungen des Geschäftspartners unter Abschnitt 6 dieser Geschäftspartnervereinbarung bestehen über die Beendigung dieser Geschäftspartnervereinbarung hinaus fort.

6 7. Verschiedenes (a) Verweise auf Bestimmungen. In dieser Geschäftspartnervereinbarung enthaltene Verweise auf Abschnitte der Datenschutzbestimmung oder der Sicherheitsbestimmung beziehen sich auf den jeweiligen Abschnitt in seiner gültigen oder jeweils aktuellen Fassung, dessen Einhaltung erforderlich ist. (b) Änderung. Citrix wird diese Geschäftspartnervereinbarung von Zeit zu Zeit ändern, wie es für die betroffene Einrichtung oder den Geschäftspartner jeweils notwendig ist, um die Anforderungen des HIPAA, der Datenschutzbestimmung, der Sicherheitsbestimmung oder des HITECH Act zu erfüllen. (c) Auslegung. Alle ggf. in dieser Geschäftspartnervereinbarung enthaltenen Mehrdeutigkeiten müssen zugunsten einer Bedeutung aufgelöst werden, die der betroffenen Einrichtung oder dem Geschäftspartner, wie jeweils zutreffend, erlaubt, die Anforderungen des HIPAA, der Datenschutzbestimmung, der Sicherheitsbestimmung oder des HITECH Act zu erfüllen. (d) Kein Begünstigter. Es gibt keine Drittbegünstigten dieser Geschäftspartnervereinbarung, was insbesondere für Einzelpersonen gilt, die Gegenstand der geschützten gesundheitlichen Daten sind. (e) Anwendbares Recht. Diese Geschäftspartnervereinbarung unterliegt den internen Rechtsvorschriften in Abschnitt 10 des EUSA und wird in Übereinstimmung mit diesen ausgelegt. (f) Integration. Diese Geschäftspartnervereinbarung, die in den EUSA aufgenommen wurde, ist die einzige und vollständige Vereinbarung zwischen den Parteien in Bezug auf Verpflichtungen im Rahmen des HIPAA, der Datenschutzbestimmung, der Sicherheitsbestimmung und des HITECH Act und ersetzt alle früheren diesbezüglichen Vereinbarungen, Abmachungen und Mitteilungen. Ungeachtet des Voranstehenden unterliegen alle anderen Bedingungen zwischen den Parteien dem EUSA. Dies gilt insbesondere für Bedingungen in Zusammenhang mit den bereitgestellten Services, Zahlungsverpflichtungen und Haftungsbeschränkungen hinsichtlich der zugrunde liegende Vereinbarungen und dieser Geschäftspartnervereinbarung. CTX_code: Saas