Bekijk onze producten
Bekijk onze producten

Menu Hulpprogramma’s

Bijlage Zakelijke Partner

Deze Bijlage Zakelijke Partner (Business Associate Addendum ('BAA')) maakt deel uit van de overeenkomst tussen de klant en GoTo en is onderworpen aan de voorwaarden ervan. Deze overeenkomst vervangt alle verplichtingen in de Overeenkomst (inclusief de Bijlage Gegevensverwerking (Data Processing Addendum ('DPA')) voor zover deze tegenstrijdig zijn, en is alleen van toepassing op de Verwerking van Beschermde Gezondheidsinformatie (Protected Health Information ('PHI')) door GoTo. Deze BAA gaat in op de datum van de laatste handtekening hieronder ("Ingangsdatum").

OVERWEGENDE dat GoTo zich ertoe heeft verbonden om bepaalde Services aan de Klant te leveren uit hoofde van de Overeenkomst; en

OVERWEGENDE dat de Klant van plan is de Services op zodanige wijze te gebruiken dat GoTo via de Services Beschermde Gezondheidsinformatie kan verwerken; en

OVERWEGENDE dat, voor zover van toepassing, de Partijen zich ertoe verbinden hun verplichtingen na te leven krachtens de Health Insurance Portability and Accountability Act van 1996, zoals gewijzigd door de Health Information Technology for Economic and Clinical Health Act, Pub. L. 111-5 ("HIPAA"), die van tijd tot tijd verder gewijzigd kan worden.

DERHALVE zet deze BAA de voorwaarden uiteen waaronder Beschermde Gezondheidsinformatie, inclusief Elektronische Beschermde Gezondheidsinformatie, zal worden behandeld. De Partijen komen het volgende overeen:

  1. Definities
    • 1.1 Algemene definities. Alle gedefinieerde termen die in deze BAA voorkomen en niet anderszins gedefinieerd zijn in de Overeenkomst (inclusief de DPA) hebben dezelfde betekenis als die termen in de HIPAA-regels.
    • 1.2 Specifieke definities. In deze BAA hebben de volgende termen de aangegeven betekenis wanneer ze met een hoofdletter worden geschreven:
      • 1.2.1 'Inbreuk' betekent het verkrijgen, raadplegen, gebruiken of openbaar maken van PHI op een wijze die niet is toegestaan door HIPAA en die de veiligheid of privacy van de PHI in gevaar brengt, tenzij het verkrijgen, raadplegen, gebruiken of openbaar maken anderszins is uitgesloten op grond van 45 C.F.R. § 164.402.
      • 1.2.2 'Zakelijke Partner' heeft dezelfde betekenis als de term die is gedefinieerd in 45 C.F.R. § 160.103.
      • 1.2.3 'Bevoegde Entiteit' heeft dezelfde betekenis als de term die is gedefinieerd in 45 C.F.R. § 164.103.
      • 1.2.4 'Set van Aangewezen Documenten' betekent de verzameling documenten die door of voor de Klant wordt bijgehouden in de zin van 45 C.F.R. § 164.501 en die bestaat uit: (i) de registratie-, betalings-, claimafhandelings- en dossier- of medische beheerssystemen die door of voor een zorgverzekeraar worden bijgehouden; of (ii) gegevens die geheel of gedeeltelijk door of voor de Klant worden gebruikt om beslissingen over Personen te nemen. Voor de toepassing van dit artikel betekent de term 'document' elk item, elke verzameling of elke groepering van informatie die PHI bevat en die wordt onderhouden, verzameld, gebruikt of verspreid door of voor de Bevoegde Entiteit.
      • 1.2.5 'Elektronische PHI of ePHI' betekent PHI in elektronische vorm.
      • 1.2.6 'HIPAA-regels' zijn de regels voor privacy, beveiliging, kennisgeving van inbreuken en handhaving in 45 C.F.R. Deel 160 en Deel 164.
      • 1.2.7 'Persoon' heeft dezelfde betekenis als de term die is gedefinieerd in 45 C.F.R. § 160.103 en omvat ook persoonlijke vertegenwoordigers, in overeenstemming met 45 C.F.R. § 164.502(g).
      • 1.2.8 'Privacyregels' zijn de Normen voor de Privacy van Individueel Identificeerbare Gezondheidsinformatie zoals bedoeld in 45 C.F.R. Deel 160 en Deel 164, Subdelen A en E.
      • 1.2.9 'Beschermde Gezondheidsinformatie' of 'PHI' heeft dezelfde betekenis als de term die is gedefinieerd in 45 C.F.R. § 160.103, beperkt tot dergelijke informatie die door de Klant aan GoTo is verstrekt in het kader van de Overeenkomst.
      • 1.2.10 'Wettelijk vereist' heeft dezelfde betekenis als de term die is gedefinieerd in 45 C.F.R. § 164.103.
      • 1.2.11 'Staatssecretaris' betekent de staatssecretaris van het Amerikaanse ministerie van Volksgezondheid en Welzijn (Ministry of Health and Human Services ('HHS')) of een door hem/haar aangewezen persoon.
      • 1.2.12 'Beveiligingsregels' zijn de Beveiligingsnormen in 45 C.F.R. Deel 160, Deel 162, en Deel 164.
      • 1.2.13 'Services' zijn de functies, activiteiten of diensten die door GoTo onder de voorwaarden van de Overeenkomst aan de Klant worden geleverd.
  2. Rollen van de partijen. Voor zover GoTo Beschermde Gezondheidsinformatie (PHI) verwerkt, (i) is GoTo een Zakelijke Partner van de Klant; en (ii) is de Klant een Bevoegde Entiteit of een Zakelijke Partner van hoger niveau Als de Klant een Zakelijke Partner van hoger niveau is, is de Klant van de partijen verantwoordelijk voor het nakomen van de in deze BAA uiteengezette verplichtingen van de Bevoegde Entiteit, of voor het doen nakomen van deze verplichtingen, voor zover van toepassing.
  3. Toegestaan gebruik en openbaarmaking van Beschermde Gezondheidsinformatie (PHI).
    • 3.1 GoTo mag PHI gebruiken of openbaar maken zoals redelijkerwijs nodig is om Services aan de Klant te verlenen en zoals anderszins wettelijk vereist.
    • 3.2 GoTo mag PHI gebruiken voor zijn eigen beheer en administratie en om aan zijn wettelijke verplichtingen te voldoen. GoTo mag ook PHI openbaar maken voor zijn eigen degelijk beheer en administratie of om zijn wettelijke verplichtingen uit te voeren, op voorwaarde dat (i) de openbaarmakingen Wettelijk vereist (ii) GoTo (a) redelijke garanties krijgt van de ontvanger van de PHI dat de PHI vertrouwelijk zal blijven en alleen gebruikt of verder openbaar gemaakt zal worden zoals wettelijk vereist of voor het doel waarvoor de PHI aan hem openbaar gemaakt is, en (b) de ontvanger ermee instemt GoTo op de hoogte te stellen van alle gevallen waarvan hij weet dat de vertrouwelijkheid van de PHI geschonden is.
    • 3.3 GoTo mag de PHI anonimiseren in overeenstemming met 45 C.F.R. § 164.514 (a)-(c) en dergelijke informatie gebruiken en openbaar maken voor legitieme zakelijke doeleinden van GoTo. Geanonimiseerde informatie wordt niet langer beschouwd als PHI en valt derhalve niet onder deze BAA.
  4. Verplichtingen van GoTo.
    GoTo zal:
    • 4.1 PHI alleen gebruiken of openbaar maken zoals toegestaan door de Overeenkomst of zoals Wettelijk vereist.
    • 4.2 De minimale PHI opvragen, gebruiken en openbaar maken die nodig is om het beoogde zakelijke doel te bereiken
    • 4.3 PHI niet gebruiken of openbaar maken op een wijze die subdeel E van 45 C.F.R. Deel 164 zou schenden als dit door de Klant zou worden gedaan, met uitzondering van het gebruik en de openbaarmaking zoals uiteengezet in Artikelen 3.2 en 3.3.
    • 4.4 Passende administratieve, fysieke en technische beveiligingsmaatregelen handhaven in overeenstemming met Subdeel C van de Beveiligingsregel (45 C.F.R. Deel 164) om gebruik of openbaarmaking van PHI anders dan bepaald in deze Overeenkomst te voorkomen.
    • 4.5 Enig gebruik of openbaarmaking van PHI waarin de Overeenkomst niet voorziet, of van elk Beveiligingsincident waarvan zij kennis krijgt, rapporteren aan de Klant. De klant erkent dat GoTo regelmatig te kampen heeft met 'Niet-geslaagde Beveiligingsincidenten', zoals pings en andere broadcast-aanvallen op de firewall van GoTo, poortscans, mislukte aanmeldpogingen, phishing-pogingen, serviceweigeringen en elke combinatie van bovenstaande, die niet resulteren in onbevoegde toegang tot, gebruik of openbaarmaking van PHI. GoTo stelt de Klant hierbij op de hoogte van dergelijke Niet-geslaagde Beveiligingsincidenten, en de Klant gaat ermee akkoord dat er geen aanvullende kennisgeving van GoTo nodig is.
    • 4.6 Zich redelijkerwijs inspannen om, voor zover praktisch mogelijk, eventuele schadelijke gevolgen te beperken die voortvloeien uit het gebruik of de openbaarmaking van PHI door GoTo die niet is toegestaan volgens de Overeenkomst.
    • 4.7 De Klant zonder onredelijke vertraging en in alle gevallen binnen de termijnen die zijn vastgelegd in 45 C.F.R. § 164.410 op de hoogte stellen van een inbreuk op onbeveiligde PHI. De kennisgeving van GoTo aan de Klant krachtens dit artikel zal, voor zover mogelijk, de informatie bevatten die in 45 C.F.R. § 164.404 (c) (1) (A)-(D) staat, evenals contactinformatie waar de Klant terecht kan met vragen, en de identificatiegegevens van alle personen van wie GoTo redelijkerwijs kan aannemen dat zij tijdens de Inbreuk toegang hebben gehad tot onbeveiligde PHI, of deze hebben verkregen, gebruikt of openbaar hebben gemaakt. GoTo zal de kennisgeving aan de Klant onmiddellijk bijwerken indien GoTo na de eerste kennisgeving over een van de bovengenoemde gegevens beschikt.
    • 4.8 Alleen voor zover GoTo namens de Klant een Set van Aangewezen Documenten onderhoudt die slechts een kopie is van dergelijke PHI, en de Klant niet in staat is om het verzoek zonder hulp van GoTo in te dienen, zal GoTo op schriftelijk verzoek van de Klant (i) de Klant toegang verlenen tot PHI binnen de termijnen die zijn vastgesteld in 45 C.F.R. § 164.524; en (ii) alle wijzigingen in PHI in een Set van Aangewezen Documenten doorvoeren die de Klant beheert of waar de Klant mee instemt binnen de termijnen die worden uiteengezet in 45 C.F.R. § 164.526, of andere maatregelen treffen die nodig zijn om aan de verplichtingen van de Klant onder 45 C.F.R. § 164.526 te voldoen.
    • 4.9 De informatie die nodig is voor het verstrekken van een overzicht van openbaarmakingen aan de Klant onderhouden en beschikbaar stellen, voor zover dit nodig is om de Klant (of de betreffende Bevoegde Entiteit indien dit niet de Klant is) tegemoet te komen op grond van 45 C.F.R. § 164.528.
    • 4.10 Van onderaannemers die namens GoTo PHI creëren, ontvangen, onderhouden of verzenden, eisen dat zij instemmen met dezelfde beperkingen, voorwaarden en vereisten die voor GoTo gelden met betrekking tot dergelijke informatie, in overeenstemming met 45 C.F.R. § 164.502 (e) (1) (ii) en 164.308 (b) (2), indien van toepassing.
    • 4.11 Op verzoek van de Staatssecretaris aan het HHS de interne praktijken, boeken en bescheiden met betrekking tot het gebruik en de openbaarmaking van PHI door GoTo ter beschikking stellen, zodat kan worden vastgesteld of de partijen de HIPAA-regels naleven; en
    • 4.12 Voor zover de Services van GoTo vereisen dat GoTo een of meer verplichtingen van de Klant uit hoofde van Subdeel E van 45 C.F.R. Deel 164 uitvoert, moet GoTo bij de uitvoering van deze verplichting(en) voldoen aan de vereisten van Subdeel E die op de Klant van toepassing zijn.
  5. Verplichtingen van de klant
    • 5.1 De Klant zal:
      • 5.1.1 Alleen de minimale hoeveelheid PHI die redelijkerwijs nodig is om het beoogde doel onder de Overeenkomst te bereiken, aan GoTo openbaar maken.
      • 5.1.2 GoTo niet verzoeken om PHI te gebruiken of openbaar te maken op een manier die volgens de HIPAA-regels niet toegestaan zou zijn als de Klant dit zou doen.
      • 5.1.3 GoTo op de hoogte stellen van eventuele beperkingen in de privacyverklaring overeenkomstig 45 C.F.R. § 164.520, voor zover deze beperkingen van invloed kunnen zijn op het gebruik of de openbaarmaking van PHI door GoTo overeenkomstig deze overeenkomst. GoTo zal commercieel redelijke inspanningen doen om aan dergelijke beperkingen te voldoen.
      • 5.1.4 GoTo op de hoogte stellen van wijzigingen in of intrekking van toestemming van een persoon om PHI te gebruiken of openbaar te maken, voor zover dergelijke wijzigingen van invloed kunnen zijn op het gebruik of de openbaarmaking van PHI door GoTo, in overeenstemming met deze Overeenkomst. GoTo stemt ermee in zich te houden aan deze wijzigingen in of intrekking van toestemming die door de Klant zijn doorgegeven, voor zover dit uitvoerbaar is uit hoofde van de Overeenkomst.
      • 5.1.5 GoTo op de hoogte stellen van alle beperkingen op het gebruik of de openbaarmaking van PHI waarmee de Klant heeft ingestemd in overeenstemming met 45 C.F.R. § 164.522, voor zover deze beperkingen van invloed kunnen zijn op het gebruik of de openbaarmaking van PHI door GoTo in overeenstemming met deze Overeenkomst. GoTo zal zich houden aan alle door de Klant meegedeelde beperkingen, voor zover uitvoerbaar uit hoofde van de Overeenkomst en de toepasselijke wetgeving.
    • 5.2 De Klant is als enige verantwoordelijk voor (i) de naleving van HIPAA; (ii) het gebruik van de Services op een wijze die in overeenstemming is met HIPAA; en (iii) de waarborging dat de Klant voldoende rechten heeft om PHI aan GoTo bekend te maken en/of GoTo PHI te laten verwerken zoals voorzien in de Overeenkomst, waaronder, maar niet beperkt tot, het verkrijgen en behouden van alle vereiste toestemmingen of autorisaties.
  6. Abonnementsperiode en beëindiging
    • 6.1 Automatische beëindiging. Deze BAA wordt automatisch beëindigd zonder verdere actie van de partijen bij (i) beëindiging of afloop van de Overeenkomst; of (ii) de voltooiing van de levering van Services door GoTo aan de Klant waarbij Verwerking van PHI vereist is, afhankelijk van welke van de twee het eerst plaatsvindt.
    • 6.2 Geldige redenen voor beëindiging. Indien een van de Partijen zich bewust wordt van een wezenlijke schending van deze BAA door de andere Partij, zal de Partij die de schending niet heeft begaan de schendende Partij hiervan schriftelijk in kennis stellen, waarbij de aard van de schending uiteen wordt gezet en 30 dagen de tijd wordt gegeven om de schending ongedaan te maken. De Partij die de schending niet heeft begaan mag deze BAA beëindigen, of, naar eigen keuze, de Overeenkomst, als de schendende Partij de schending niet tot diens tevredenheid heeft hersteld, of als herstel niet mogelijk is. Als de Klant de schendende Partij is, zal de Klant onmiddellijk ophouden met het verstrekken van PHI aan GoTo en GoTo er niet langer toe aanzetten PHI te verwerken via de Services. Deze bepaling geldt naast de overige beëindigingsbepalingen van de Overeenkomst.
    • 6.3 Effecten van beëindiging.
      • 6.3.1 Bij beëindiging of afloop van deze BAA of van de Overeenkomst, om welke reden dan ook, zal GoTo alle PHI retourneren of vernietigen overeenkomstig 45 C.F.R. § 164.504 (e) (2) (ii) (J) als dit redelijkerwijs uitvoerbaar is. Als GoTo bepaalt dat het voorgaande niet haalbaar is, zal GoTo (i) de Klant op de hoogte stellen van de redenen voor dit besluit; en (ii) alle bescherming, beperkingen en restricties die in deze BAA zijn opgenomen, uitbreiden naar alle PHI die na beëindiging van deze Overeenkomst wordt bewaard, totdat de PHI aan de Klant is geretourneerd of is vernietigd.
      • 6.3.2 Onverminderd paragraaf 6.4.1, mag GoTo na beëindiging van deze BAA of de Overeenkomst om welke reden dan ook, alle PHI behouden die nodig is voor haar eigen beheer en administratie of om haar wettelijke verantwoordelijkheden uit te voeren; op voorwaarde dat GoTo dergelijke PHI niet voor andere doeleinden zal gebruiken en alle beschermingen, beperkingen en restricties in deze BAA zal uitbreiden naar alle PHI die na beëindiging van deze Overeenkomst behouden blijft, totdat de PHI niet langer nodig is voor dit doel. GoTo zal voldoen aan de bepalingen van paragraaf 6.4.1.
  7. Diversen
    • 7.1 Voortbestaan van bepalingen. De respectievelijke rechten en plichten van GoTo en de Klant uit hoofde van de bepalingen van paragraaf 4.3, 4.5 en 4.9; paragraaf 6.3.1 en 6.3.2 en paragraaf 7, blijven ook na beëindiging van deze Overeenkomst van kracht totdat de PHI aan de Klant is teruggegeven of vernietigd is.
    • 7.2 Wijzigingen. In aanvulling op de wijzigingsbepaling in de Overeenkomst komen de Partijen overeen de nodige maatregelen te nemen om deze BAA van tijd tot tijd aan te passen, voor zover dit nodig is om te voldoen aan de vereisten van de HIPAA-regels.
    • 7.3 Geen begunstiging van derden. Niets uitdrukkelijk of stilzwijgend in deze Overeenkomst is bedoeld om andere personen dan de Partijen en de respectieve opvolgers of rechtverkrijgenden van de Partijen rechten, rechtsmiddelen, verplichtingen of aansprakelijkheden van welke aard dan ook toe te kennen, noch zal iets in deze Overeenkomst dergelijke rechten, rechtsmiddelen, verplichtingen of aansprakelijkheden toekennen.
    • 7.4 Verwijzingen naar wet- en regelgeving. Een verwijzing in deze BAA naar een artikel in de HIPAA-regels betekent het betreffende artikel zoals het van kracht is of zoals het is gewijzigd.
    • 7.5 Interpretatie. Dubbelzinnigheden in deze BAA worden zodanig opgelost dat de partijen kunnen voldoen aan de HIPAA-regels.

Laatst bijgewerkt: november 2024 (2024.v1.0)