Acuerdo de Socios de Negocios HIPAA

Acuerdo de Socios de Negocios HIPAA

El ACUERDO DE SOCIOS DE NEGOCIOS HIPAA (el “BAA”) es por y entre Opticare Plus Vision Inc. (“Entidad Cubierta”), y , (“Negocio Asociado”).

Con relación a los servicios que actualmente brinda o será proveído por el “Negocio Asociado” para la “Entidad Cubierta” (“Servicios”), o de otra manera requerido por el Acta de Seguro de Salud, Portabilidad y Contabilidad de 1996, Ley Pública 104-191, como la enmienda ("HIPAA"), la “Entidad Cubierta” ha asesorado al Socio de Negocios para que en algunos datos a los que el Socio de Negocios tenga acceso, cree y/o reciba de, o en nombre de la “Entidad Cubierta” estén considerados como Información de Salud Protegida ("PHI") conforme lo define el término de “HIPAA”. Este BAA reemplazará cualquier BAA anterior entre las partes.

Por lo tanto, la “Entidad Cubierta” y el “Negocio Asociado” están entrando en este BAA para asegurar y proveer el tratamiento y la protección de su “PHI” conforme lo señala la Ley HIPAA, modificada por la Ley Genética de Información de No Discriminación de 2008, Ley Pública 110-233 ("GINA"), y Tecnología de la Información de Salud para la Ley de Salud económico y clínico de 2009 ("Ley HITECH") bajo la Ley de Recuperación y Reinversión Americana del 2009, Ley Pública 111-5 ("ARRA"), y sus regulaciones implementadas.

1. Definiciones

Para propósitos de este BAA, los términos utilizados en mayúscula y no definidos de otra manera en este documento, tendrán el significado que se indica a continuación; y de tener un significado diferente se requiere la aclaración correspondiente en el contexto.

(a) “Incumplimiento”, tendrá el mismo significado definido en el numeral 45 CFR §164.402.

(b) "El Incumplimiento de la Regla de Notificación", tendrá el mismo significado que "la Notificación en el Caso de Incumplimiento de Obligaciones PHI" numeral 45 CFR Parte 164, Subparte D, el cual podrá ser revisado por el Secretario.

(c) “Agresión de Datos”, tendrá el mismo significado definido en el numeral 45 CFR § 164.501.

(d) “Conjunto de Registros Designados”, tendrá el mismo significado definido en el numeral 45 CFR

§164.501.

(e) “PHI Electrónico”, tendrá el mismo significado definido en el numeral 45 CFR §160.103.

(f) “Información Genética”, tendrá el mismo significado definido en el Título I de XXXX.

(g) “Individual/Individuo”, tendrá el mismo significado definido en el numeral 45 CFR §160.103 e incluirá a una persona que califique como representante personal en concordancia con lo señalado en el numeral 45 CFR §164.502(g).

(h) “Regla de Privacidad” significa las Normas para la Privacidad del Individuo sobre la Información de Salud en el numeral 45 CFR Parte 160 y Parte 164, Subpartes A y E, la cual podrá ser revisada por el Secretario.

(i) “Información de Salud Protegida” o “PHI”, tendrá el mismo significado definido en el numeral 45 CFR §160.103, se limita a acceder a la información, creada y/o recibida por el socio Empresarial de, o en nombre de la “Entidad Cubierta”.

(j) “Requerido por la Ley”, tendrá el mismo significado definido en el numeral 45 CFR §164.103.

(k) “Secretario” significará el Secretario del Departamento de Salud y Servicios Humanos o su representante.

(l) “Incidentes de Seguridad”, significa el intento, o acceso no autorizado, el uso, la divulgación, la modificación o la destrucción del “PHI” electrónico o la interferencia con las operaciones del sistema en un sistema de información no autorizado, de acuerdo con lo señalado por el numeral 45 CFR §

164.304. Para efectos de este “BAA”, un incidente de seguridad no incluye incidentes triviales que ocurren a diario, como los escaneos, "pings", o los intentos fallidos de penetrar en las redes de ordenadores o servidores mantenidos por el Socio Empresarial.

(m) “Regla de Seguridad” significa las Normas para la Privacidad del Individuo sobre la Información de Salud electrónica del “PHI” conforme al numeral 45 CFR, Partes 160 y 164, Subpartes A y C, la cual podrá ser revisada por el Secretario .

(n) El “PHI sin Garantía” significa que el “PHI” no está asegurado, debido al uso de una tecnología o metodología ilegible, indescifrable o inservible, utilizado por personas no autorizadas conforme a lo indicado en el numeral 45 CFR §164.402.

2. Uso y Contrato del PHI

El Socio Empresarial, para cumplir con sus obligaciones en virtud de la Regla de Privacidad, se compromete a lo siguiente:

(a) Los Negocios Asociados, pueden usar o revelar el contrato “PHI”, siempre y cuando tal uso o divulgación no viole las Reglas de Privacidad, para lo cual deberán observar lo siguiente: (1) sólo lo establecido en este BAA, incluyendo la prestación de servicios, (2) lo requerido por la Ley, (3) para ser utilizado en la gestión y administración del Socio Empresarial, (4) para cumplir con las responsabilidades jurídicas presentes o futuras; (5) para utilizar los datos de los servicios de agregación a la Entidad Cubierta, o (6) cualquier uso y divulgación de “PHI” que no sea identificado en el sentido de la 45 CFR § 164.514.

(b) Utilizar todas las precauciones necesarias para evitar el uso no autorizado o la revelación del “PHI” y los esfuerzos razonables para mitigar cualquier efecto dañino.

(c) Informar a la Entidad Cubierta, dentro de los diez (10) días hábiles, de cualquier uso no autorizado o la revelación de “PHI”, descrito en la Sección 2(c) que constituye una violación de las Obligaciones del “PHI”, pero estas medidas no serán de aplicación, sino se aplicarán las disposiciones de la Sección 5 (a).

(d) Xxxxxxxxse de que cualquier agente, incluyendo un subcontratista a quienes se les ofrece el “PHI” conozcan y estén de acuerdo con las mismas restricciones y condiciones que se aplican en este BAA, al Socio Empresarial con respecto a su PHI.

(e) Siempre que lo solicite la Entidad Cubierta, facilitar oportunamente el acceso de un individuo, que cumpla con los requisitos establecidos en el numeral 45 CFR § 164.524, al archivo del “PHI”, Negocios Asociados tendrá el derecho de cobrar al individuo un razonable costo, conforme a lo permitido por el numeral 45 CFR § 164.524. El Asociado Comercial, no asume ninguna obligación de coordinar la prestación del “PHI” con otros agentes o subcontratistas de la Entidad Cubierta o Asociados de Negocio del Plan de la Entidad Cubierta del Grupo de Salud.

(f) A petición de la Entidad Cubierta, hacer las modificaciones del “PHI” en un archivo designado; así como para incorporar las enmiendas de acuerdo con el numeral 45 CFR § 164.526.

(g) Hacer prácticas internas en los libros y registros, incluyendo sus políticas y procedimientos sin limitación, y el “PHI” con relación a los Servicios, está a disposición de la Entidad Cubierta, o cuando ésta lo solicite a través de la Secretaría, fines que ésta evaluará para el cumplimiento de la Entidad Protegida con la Regla de Privacidad.

(h) En caso de divulgación de los documentos del “PHI”, y de la información relacionada a dicha comunicación, es necesario que la Entidad Cubierta para responder a la petición de una persona acerca del “PHI” sea de acuerdo con la Regla de Privacidad. Estos Registros de divulgación incluyen: (1) la fecha de divulgación, solicitada (2) el nombre y, si se conoce la dirección del destinatario de su “PHI”, (3) una breve descripción del “PHI”, y (4) breve declaración que razonablemente informe a la Entidad Cubierta del propósito de la divulgación. El Negocio Asociado facilitará la información en el tiempo y forma solicitada por la Entidad Cubierta.

(i) Requerir, usar, o revelar solo la minima cantidad necesaria de “PHI” con el propósito de lograr lo requerido, uso o contrato.

(j) No usar o dar a conocer el “PHI” que contenga Información Genética, si el uso o contrato viole XXXX.

(k) No recibir remuneración, directa o indirectamente, a cambio del “PHI” como lo señala el numeral 42.

U.S.C. § 17935 (d). A partir de su fecha de cumplimiento.

(l) No hacer ni causar ninguna comunicación sobre el producto o servicio el cual es prohibido por el numeral 42 U.S.C. § 17936(a) A partir de su fecha de cumplimiento.

(m) No hacer ni causar ningún tipo de comunicación escrita recaudando fondos, el cual es prohibido por el numeral: 42 U.S.C. § 17936(b) A partir de su fecha de cumplimiento.

(n) Recolectar razonables requerimientos hechos por individuos a través de una comunicación confidencial de acuerdo con el numeral 42 U.S.C. § 164.522(b).

3. Seguridad Electrónica del “PHI"

Para cumplir con las obligaciones bajo la Ley de Seguridad, y Acuerdo de Negocios, se debe cumplir con lo siguiente:

(a) Establecer y mantener una apropiada administración y salvaguardar la parte física y técnica, tal como está proveída por el numeral 45 CFR §§ 164.308, 164.310, y 164.312, respectivamente, así se podrá proteger de una manera razonable y apropiada la confidencialidad, integridad y disponibilidad de la seguridad Electrónica del “PHI”.

(b) Seguidamente, aceptar los principios y requerimientos de seguridad del sistema de la Ley de Seguridad.

(c) Establecer y mantener una política apropiada, así como los procedimientos y la documentación, como es proveída en el numeral 45 CFR §164.316.

(d) Xxxxxxxxse que ningún agente, incluyendo el subcontratista, a quien se le ha proveído la Seguridad Electrónica del “PHI”, esté de acuerdo en implementar razonable y apropiada protección para la Seguridad Electrónica “PHI”.

(e) Reportar, dentro de los 10 días hábiles, de sucedido cualquier incidente contra su Seguridad del “PHI” con el departamento de “Covered Entity”, para merecer atención inmediata sobre el citado incidente.

4. Obligaciones de la Entidad Cubierta

(a) Conforme a lo dispuesto en el numeral 45 CFR §164.520, la Entidad Cubierta notificará a “Negocios Asociados” sobre cualquier limitación (es) en sus notificaciones de prácticas privadas, incluyendo cualquier cambio, o renovación de permiso de un individuo para usar o divulgar el “PHI”.

(b) La Entidad Cubierta notificará a “Negocios Asociados” sobre cualquier restricción para usar o divulgar la información sobre el “PHI”, la Entidad Cubierta ha concordado con el numeral 45 CFR

§164.522 por el motivo de que cada restricción pueda afectar el uso o la divulgación del “PHI” de “Negocios Asociados”. Toda la Información recibida por “Negocios Asociados” debe ser considerada como el “PHI” a menos que ésta pruebe que no contiene el “PHI”.

(c) La Entidad Cubierta deberá proporcionar a “Negocios Asociados” solo lo necesario del “PHI” para realizar los servicios proveídos por éste.

5. Requisitos de Notificación de Infracciones:

(a) Para los propósitos de esta Sección 5, Negocios Asociado tendrá la responsabilidad, a raíz de una sospecha de incumplimiento, para determinar si tal incumplimiento constituye una violación de Obligaciones PHI de acuerdo con la regla de notificación de las infracciones. Negocios Asociados notificará a la Entidad Cubierta, por escrito, dentro de los diez (10) días hábiles después del descubrimiento de un incumplimiento de Obligaciones del PHI.

(b) En la medida en que Negocio Asociado determina que el incumplimiento de Obligaciones PHI se ha producido, éste deberá notificar por escrito, en nombre de la Entidad Cubierta, en un plazo no mayor de sesenta (60) días siguientes a la fecha en que el incumplimiento de Obligaciones PHI es descubierto por el Negocio Asociado, o la fecha posterior que está autorizada por CFR §164.412, a:

1. El Individuo al que su PHI, Sin Garantía, ha sido o razonablemente el Negocio Asociado cree que ha sido accedido, adquirido, utilizado o divulgado, como resultado de la violación, y

2. Los medios de comunicación, en la medida requerida por el numeral 45 CFR § 164.406.

(c) A menos que el individuo acceda a una notificación electrónica como se establece en el numeral 45 CFR § 164.404, el Negocio Asociado enviará avisos a los individuos describiendo en el documento la última dirección conocida de la persona en los archivos y del Negocio Asociado. Si la notificación al individuo es devuelta, el Negocio Asociado tomará las medidas que sean necesarias según la Ley de Notificación de Infracciones.

(d) El Negocio Asociado se hará responsable de la redacción, contenido, forma y método de entrega de cada uno de los avisos que deben ser proveídos por el Negocio Asociado según la sección 5; al ser proveídos, el Negocio Asociado deberá cumplir, en todos los aspectos, con 45 CFR § 164,404 y las demás disposiciones aplicables de la ley de Notificación de Infracciones.

(e) Cualquier notificación debe ser entregada por el Negocio Asociado, a expensas de éste.

(f) El Negocio Asociado deberá llevar a cabo una evaluación de riesgo necesaria para determinar si se requiere notificación y mantener todos los registros relacionados con las políticas internas de Negocios Asociados y de los procedimientos y las disposiciones aplicables de la ley de Notificación de Infracciones.

6. Aplicación de Penalidades Civiles y Criminales

Negocios Asociados reconoce que está sujeta a lo dispuesto en el numeral 42 U.S.C. 1320d-5 y 1320d-6, de la misma manera dichas secciones aplican a una entidad cubierta, en la medida en que el Negocios Asociado viole el § 13401 (a), 13.404 (a), o 13.404 (b) de HITECH Act.

7. Período y Término

(a) Período. Este BAA será efectivo a partir del término de: (1) la fecha de la norma que rige en vigor, o

(2) la fecha de ejecución del BAA por ambas partes. El BAA debe terminarse como está dispuesto en la Sección 7 (b) después o con noventa (90) días de anticipación mediante una notificación escrita por la Entidad Cubierta o el Negocio Asociado. \

(b) Término por causa. Cuando cualquiera de las partes conozca del incumplimiento material de BAA por la otra parte; la parte no infractora deberá:

1. Proveer una oportunidad para que la parte incumplidora subsane el incumplimiento o finalice la violación y, si el infractor no resuelve la infracción o pone fin a la violación, dentro del tiempo especificado por la parte no infractora, se da por terminado este BAA que subyace en cualquier contrato de servicio, o

2. Rescindir inmediatamente del presente BAA y cualquier acuerdo de servicio subyacente si el infractor ha violado uno de los términos de este BAA y la cura no es posible, o

3. Si la terminación, ni la cura es posible, la parte no infractora deberá denunciar la violación a la Secretaría.

(c) Efectos del Término.

1. Al término de este BAA por cualquier razón, el Socio Empresarial devolverá o destruirá todo el PHI recibido de la Entidad Cubierta, incluidos aquellos creados o recibidos por el Socio Empresarial en nombre de la Entidad Cubierta. Esta disposición se aplicará al PHI que está en posesión de los subcontratistas o agentes del Promotor. El Asociado de Negocios no deberá retener copias del PHI.

2. En el caso de que el retorno o la destrucción del PHI sea factible, el Socio Empresarial informará, a través de notificación a la Entidad Cubierta, sobre las condiciones que hacen inviable dicha devolución o destrucción. En el caso de que se determinara que la devolución o destrucción de la PHI es viable, el Socio Empresarial continuará extendiendo la protección de este BAA al PHI y limitará otros usos y divulgaciones del PHI a fin que la devolución o destrucción sea inviable, durante tanto tiempo como el Asociado de Negocios mantiene tal PHI.

8. Noticias

Todas las notificaciones, solicitudes, consentimientos y la continuación de otras comunicaciones serán conforme a lo siguiente: (a) por escrito, (b) dirigido a la dirección de la parte receptora que se establece a continuación; para hacer frente a otros, una de las partes podrá designar por estos avisos,

(c) será: (1) entrega en mano, (2) realizadas a través de fax, (3) enviado por correo urgente, o (4) enviado por correo registrado o certificado con acuse de recibo, o con franqueo pagado.

Dirigido para el Negocio Asociado:

ATTE:

Dirigido para la Entidad Cubierta: Opticare Plus Vision, Inc.

ATTE: Compliance Officer 0000 Xxxx Xxxxxxx Xxxx Xxxx Xxxx Xxxx, XX 00000

9. Terceros No beneficiarios

Los derechos de los recursos u obligaciones expresados o implícitos en este BAA solo son de competencia de la Entidad Cubierta, Negocio Asociado y sus respectivos sucesores o encargados.

10. Modificaciones y Enmiendas

Los términos y disposiciones de la presente BAA podrán ser modificados o enmendados por acuerdo escrito, ejecutado por las partes; dichas modificaciones deberán ser acordes con los requisitos aplicables de la Ley HIPAA.

11. Referencias Normativas

Hacer una referencia de la Ley HIPAA en este BAA con respecto a una sección en la Regla de Privacidad, la Regla de Seguridad, GINA o la Ley de HITECH, significa una enmienda que deberá ser de cumplimiento inmediato.

12. Relación entre las partes

El Negocio Asociado será considerado un contratista independiente en el desempeño de sus obligaciones y no podrá ser considerado un agente de la Entidad Cubierta.

13. Divisibilidad

Todo lo previsto en este BAA deberá cumplirse tal como está escrito. Sin embargo, si cualquier parte o disposición de este BAA, en alguna medida, es declarada ilegal o inaplicable por un tribunal debidamente autorizado que tenga jurisdicción, entonces el resto del BAA, o la aplicación de dicha parte o disposición en circunstancias distintas se declarará ilegal o no ejecutable, no se verán afectados por ella, y cada parte y las disposiciones de este BAA serán válidos y exigibles en la máxima medida permitida por la ley.

14. Legislación Aplicable

Este BAA se regirá e interpretará de acuerdo con las leyes de Utah en la medida de lo posible con la Ley HIPAA y otras leyes federales aplicables.

15. Contrapartes

Este BAA deberá ser firmado por las contrapartes, que en conjunto constituye un acuerdo.

EN FE DE LO CUAL, las partes han acordado que este BAA tiene que estar debidamente firmado por sus representantes autorizados a partir de la fecha que se indica a continuación.

Opticare Plus Vision

Firma Firma

Xxxxx Xxxxxxxx Nombre Nombre

CEO/Presidente Xxxxxx Xxxxxx

Fecha Fecha