اتفاقية شريك تجاري

اتفاقية الامتثال لقانون نقل المعلومات الصحية والمسؤولية (HIPAA) بشأن المعلومات الصحية المحمية

تاريخ السريان: عند القبول
الإصدار: baa_v2025-10-17

أطراف هذه الاتفاقية

الكيان المشمول: عيادة الأسنان أو الكيان الصحي الذي يشتري الخدمات ("الكيان المشمول")

شريك تجاري: Dental Education, Inc.، التي تعمل تحت اسم Intake.Dental ("الشريك التجاري")

المنتج/الخدمة: Dental Forms Pro - خدمات استقبال المرضى وإدارة السجلات الطبية وتخزين المستندات الطبية المحمية (PHI) القائمة على السحابة

الاعتبارات

وحيث أن الكيان المشمول هو مقدم رعاية صحية خاضع لقانون قابلية نقل التأمين الصحي والمساءلة لعام 1996 ("HIPAA")، وقانون تكنولوجيا المعلومات الصحية من أجل الصحة الاقتصادية والسريرية ("قانون HITECH")، واللوائح ذات الصلة (يُشار إليها مجتمعة باسم "قواعد HIPAA")؛

وحيث أن الشريك التجاري يقدم خدمات برمجية قائمة على السحابة تتضمن إنشاء أو استلام أو صيانة أو نقل أو الوصول إلى المعلومات الصحية المحمية نيابة عن الكيان المشمول؛

وحيث أن قواعد HIPAA تتطلب من الكيان المشمول الدخول في اتفاقية شراكة تجارية مع الشريك التجاري لضمان توفير الضمانات المناسبة للمعلومات الصحية المحمية؛

لذلك، وبالنظر إلى الوعود المتبادلة الواردة أدناه ولأسباب أخرى وجيهة وقيّمة، يتفق الطرفان على ما يلي:

1. التعاريف

المصطلحات المستخدمة في هذه الاتفاقية والتي لم يتم تعريفها بخلاف ذلك، لها نفس المعنى الوارد في قواعد HIPAA (45 CFR الأجزاء 160 و 164).

1.1 المعلومات الصحية المحمية (PHI): وفقًا للتعريف الوارد في 45 CFR § 160.103، تعني المعلومات الصحية القابلة للتعريف بشكل فردي والتي يتم نقلها عبر الوسائط الإلكترونية أو الاحتفاظ بها في الوسائط الإلكترونية أو نقلها أو الاحتفاظ بها بأي شكل أو وسيلة أخرى. تشمل المعلومات الصحية المحمية (PHI)، على سبيل المثال لا الحصر، أسماء المرضى وعناوينهم وتواريخ ميلادهم وأرقام الضمان الاجتماعي، وأرقام السجلات الطبية، وأرقام المستفيدين من خطط الرعاية الصحية، وأرقام الحسابات، والصور الفوتوغرافية، والمعرفات البيومترية، وأي أرقام أو خصائص أو رموز تعريفية فريدة أخرى، إلى جانب المعلومات الصحية المتعلقة بالصحة أو الحالة البدنية أو العقلية السابقة أو الحالية أو المستقبلية للفرد، وتقديم الرعاية الصحية للفرد، أو المدفوعات السابقة أو الحالية أو المستقبلية لتقديم الرعاية الصحية للفرد.

1.2 حادث أمني: محاولة أو نجاح الوصول غير المصرح به إلى المعلومات أو استخدامها أو الكشف عنها أو تعديلها أو إتلافها أو التدخل في عمليات النظام في نظام معلومات.

1.3 الانتهاك: الحصول على المعلومات الصحية المحمية (PHI) أو الوصول إليها أو استخدامها أو الكشف عنها بطريقة غير مسموح بها بموجب قاعدة الخصوصية والتي تعرض أمن أو خصوصية المعلومات الصحية المحمية (PHI) للخطر، كما هو محدد في 45 CFR § 164.402، باستثناء حالات الكشف التي يكون فيها احتمال تعرض المعلومات الصحية المحمية (PHI) للخطر منخفضًا.

1.4 المعلومات الصحية المحمية إلكترونياً (ePHI): المعلومات الصحية المحمية (PHI) التي يتم نقلها أو الاحتفاظ بها في وسائط إلكترونية.

1.5 مطلوب بموجب القانون: تفويض وارد في القانون يلزم الكيان باستخدام أو الكشف عن المعلومات الصحية المحمية (PHI) ويكون قابلاً للتنفيذ في المحكمة.

1.6 المقاول من الباطن: شخص أو كيان يفوضه الشريك التجاري بمهمة أو نشاط أو خدمة، بخلاف صفة عضو في القوة العاملة للشريك التجاري.

2. التزامات وأنشطة شريك الأعمال

2.1 معايير تخزين البيانات وأمنها

يجب على الشريك التجاري تخزين جميع المعلومات الصحية المحمية حصريًا في بيئات آمنة ومشفرة مع اتخاذ الإجراءات الوقائية التالية:

2.1.1 متطلبات التشفير:

  • تشفير البيانات المخزنة باستخدام AES-256 أو تشفير مكافئ معياري في الصناعة
  • تشفير أثناء النقل باستخدام TLS 1.2 أو أعلى لجميع عمليات نقل البيانات
  • نسخ احتياطية مشفرة بنفس مستوى الحماية الذي تتمتع به بيانات الإنتاج

2.1.2 ضوابط الوصول:

  • التحكم في الوصول على أساس الدور (RBAC) الذي يقصر الوصول إلى المعلومات الصحية المحمية (PHI) على الموظفين المصرح لهم فقط
  • المصادقة متعددة العوامل (MFA) مطلوبة لجميع عمليات الوصول الإدارية
  • معرفات مستخدم فريدة لجميع الأشخاص الذين لديهم حق الوصول إلى ePHI
  • تسجيل الخروج التلقائي بعد فترة من عدم النشاط
  • إجراءات الوصول في حالات الطوارئ مع سجل التدقيق

2.1.3 مراقبة الأمن:

  • إجراء عمليات تدقيق أمني وتقييمات للضعف بشكل منتظم (على الأقل مرة واحدة سنوياً)
  • المراقبة المستمرة لمحاولات الوصول غير المصرح بها
  • أنظمة كشف ومنع الاختراق
  • تحديثات وتصحيحات أمنية منتظمة لجميع الأنظمة

2.2 الاستخدامات والإفصاحات المسموح بها للمعلومات الصحية المحمية (PHI)

2.2.1 يجوز للشريك التجاري استخدام المعلومات الصحية المحمية والكشف عنها فقط وفقًا لما تسمح به أو تتطلبه هذه الاتفاقية أو وفقًا لما يقتضيه القانون.

2.2.2 يجوز للشريك التجاري استخدام المعلومات الصحية المحمية (PHI) من أجل الإدارة السليمة لخدمات الشريك التجاري، بما في ذلك:

  • استضافة وتخزين ونسخ احتياطي لنماذج استقبال المرضى وتاريخهم الصحي
  • توجيه المعلومات الصحية المحمية إلى الكيان المشمول من خلال روابط آمنة ومحددة المدة تنتهي صلاحيتها
  • الدعم الفني وحل المشكلات عند الطلب الصريح من قبل الكيان المشمول
  • صيانة النظام وتحسين الأداء

2.2.3 يجوز للشريك التجاري الكشف عن المعلومات الصحية المحمية (PHI) من أجل الإدارة السليمة للشريك التجاري فقط في الحالات التالية:

  • الإفصاح مطلوب بموجب القانون؛ أو
  • يحصل الشريك التجاري على ضمانات معقولة من الشخص الذي يتم الكشف عن المعلومات له بأنها ستبقى سرية ولن يتم استخدامها أو الكشف عنها إلا وفقًا لما يقتضيه القانون أو للغرض الذي تم الكشف عنها من أجله لهذا الشخص، ويقوم هذا الشخص بإخطار الشريك التجاري بأي حالات يكون على علم بها تم فيها انتهاك سرية المعلومات.

2.2.4 يجوز للشريك التجاري إزالة الهوية عن المعلومات الصحية المحمية (PHI) وفقًا للمادة 45 CFR § 164.514(a)-(c) واستخدام هذه البيانات التي تمت إزالة هويتها لأغراض تحسين النظام والتحليلات وضمان الجودة. لا يجوز للشريك التجاري محاولة إعادة تحديد هوية المعلومات التي تمت إزالة هويتها.

2.2.5 الاستخدامات المحظورة: لا يجوز للشريك التجاري:

  • استخدام المعلومات الصحية المحمية لأغراض تسويقية دون الحصول على إذن كتابي صريح من الكيان المشمول
  • بيع المعلومات الصحية المحمية أو استخدامها لأي غرض تجاري لا يرتبط مباشرة بتقديم الخدمات
  • مشاركة المعلومات الصحية المحمية مع خدمات تحليلات تابعة لجهات خارجية أو نماذج تدريب الذكاء الاصطناعي أو أنظمة التعلم الآلي دون الحصول على إذن كتابي صريح
  • الكشف عن المعلومات الصحية المحمية لأي طرف غير مشمول باتفاقية شريك تجاري فرعي

2.3 المعيار الأدنى الضروري

يجب على الشريك التجاري أن يقتصر في استخدامه أو إفشائه أو طلبه للمعلومات الصحية المحمية (PHI) على الحد الأدنى الضروري لتحقيق الغرض المقصود، وفقًا للمادة 45 CFR § 164.502(b) و§ 164.514(d).

2.4 الضمانات المناسبة

يجب على الشريك التجاري استخدام الضمانات الإدارية والمادية والتقنية المناسبة التي تحمي بشكل معقول ومناسب سرية وسلامة وتوافر المعلومات الصحية الإلكترونية المحمية (ePHI) التي ينشئها أو يتلقاها أو يحتفظ بها أو ينقلها نيابة عن الكيان المشمول، وفقًا للمادة 45 CFR الجزء 164، الفقرة الفرعية C (قاعدة الأمان).

2.5 متطلبات الإبلاغ

2.5.1 الإبلاغ عن الانتهاك: يجب على الشريك التجاري إبلاغ الكيان المشمول بأي انتهاك لخصوصية المعلومات الصحية المحمية (PHI) غير المؤمنة التي يكتشفها في غضون خمسة (5) أيام عمل من اكتشافه، أو في وقت أقرب إذا كان ذلك مطلوبًا بموجب القانون المعمول به. يجب أن يتضمن الإبلاغ، قدر الإمكان، ما يلي:

  • وصف للخرق، بما في ذلك تاريخ الخرق وتاريخ اكتشافه
  • تحديد الأفراد الذين تم الوصول إلى معلوماتهم الصحية المحمية (PHI) أو يُعتقد بشكل معقول أنه تم الوصول إليها أو الحصول عليها أو استخدامها أو الكشف عنها خلال الانتهاك.
  • وصف لأنواع المعلومات الصحية المحمية (مثل الاسم الكامل ورقم الضمان الاجتماعي وتاريخ الميلاد ورقم السجل الطبي)
  • وصف موجز لما تقوم به شركة Business Associate للتحقيق في الانتهاك، والتخفيف من الأضرار التي لحقت بالأفراد، والحماية من المزيد من الانتهاكات.
  • معلومات الاتصال للأفراد لطرح الأسئلة أو الحصول على معلومات إضافية

2.5.2 الإبلاغ عن الحوادث الأمنية: يجب على الشريك التجاري الإبلاغ عن الحوادث الأمنية إلى الكيان المشمول عند الطلب أو حسبما يتم الاتفاق عليه. يقر الشريك التجاري والكيان المشمول بأن هذا القسم يشكل إشعارًا من الشريك التجاري إلى الكيان المشمول بوجود وحوادث أمنية مستمرة ومحاولات فاشلة (مثل محاولات تسجيل الدخول الفاشلة، واختبارات الاتصال، ومسح المنافذ، وهجمات رفض الخدمة، والبرامج الضارة التي لا تؤدي إلى الوصول إلى ePHI). يجب على الشريك التجاري الإبلاغ عن الحوادث الأمنية الناجحة في نفس الإطار الزمني للانتهاكات.

2.5.3 الاستخدام أو الكشف غير السليم: يجب على الشريك التجاري إبلاغ الكيان المشمول بأي استخدام أو كشف لمعلومات الصحة المحمية (PHI) غير منصوص عليه في هذه الاتفاقية في غضون خمسة (5) أيام عمل من علمه بهذا الاستخدام أو الكشف.

2.6 اتفاقيات المقاولين من الباطن

2.6.1 يجب على الشريك التجاري التأكد من أن أي مقاولين من الباطن يقومون بإنشاء أو استلام أو حفظ أو نقل المعلومات الصحية المحمية (PHI) نيابة عن الشريك التجاري يوافقون كتابةً على نفس القيود والشروط والمتطلبات التي تنطبق على الشريك التجاري فيما يتعلق بهذه المعلومات الصحية المحمية (PHI).

2.6.2 يشمل المقاولون من الباطن الحاليون ما يلي:

  • Amazon Web Services (AWS) - بنية تحتية للاستضافة والتخزين السحابي
  • Supabase - خدمات قواعد البيانات
  • مزودي خدمات البريد الإلكتروني لتسليم المعلومات الصحية المحمية بشكل آمن

2.6.3 يجب على الشريك التجاري الحصول على اتفاقيات شراكة تجارية سارية المفعول مع جميع المقاولين من الباطن الذين يتعاملون مع المعلومات الصحية المحمية (PHI) والاحتفاظ بها، كما يجب عليه توفير نسخ من هذه الاتفاقيات للكيان المشمول عند الطلب المعقول.

2.6.4 يجب على الشريك التجاري إخطار الكيان المشمول بأي تغييرات تطرأ على المقاولين من الباطن في غضون ثلاثين (30) يومًا من حدوث هذه التغييرات.

2.7 الوصول إلى المعلومات الصحية المحمية

2.7.1 في غضون عشرة (10) أيام عمل من تاريخ طلب الكيان المشمول، يجب على الشريك التجاري أن يتيح للكيان المشمول أو، وفقًا لتوجيهات الكيان المشمول، لأي فرد، المعلومات الصحية المحمية (PHI) في مجموعة السجلات المحددة التي يحتفظ بها الشريك التجاري أو التي يتم الاحتفاظ بها نيابة عنه، في الوقت وبالطريقة التي يحددها الكيان المشمول، لتمكين الكيان المشمول من الوفاء بالتزاماته بموجب 45 CFR § 164.524.

2.7.2 إذا كان الشريك التجاري يحتفظ بمجموعة سجلات إلكترونية مخصصة، فيجب عليه توفير المعلومات الصحية المحمية (PHI) في شكل إلكتروني لتمكين الكيان المشمول من الوفاء بالتزاماته بموجب 45 CFR § 164.524(c)(2)(ii).

2.8 تعديل المعلومات الصحية المحمية

في غضون عشرة (10) أيام عمل من استلام طلب من الكيان المشمول، يجب على الشريك التجاري إتاحة المعلومات الصحية المحمية (PHI) المحفوظة في مجموعة السجلات المخصصة للتعديل وإدراج أي تعديلات على المعلومات الصحية المحمية (PHI) في مجموعة السجلات المخصصة وفقًا للمادة 45 CFR § 164.526، وفقًا لتوجيهات الكيان المشمول.

2.9 المحاسبة المتعلقة بالإفصاحات

2.9.1 يجب على الشريك التجاري توثيق جميع عمليات الكشف عن المعلومات الصحية المحمية (PHI) والمعلومات المتعلقة بهذه العمليات، وذلك بما يتطلبه الأمر لكي تتمكن الكيانات المشمولة من الاستجابة لطلب أي فرد بالحصول على كشف بحالات الكشف وفقًا للمادة 45 CFR § 164.528.

2.9.2 في غضون عشرة (10) أيام عمل من إخطار الكيان المشمول بأنه تلقى طلبًا لإجراء محاسبة عن الكشف عن المعلومات الصحية المحمية (PHI)، يجب على الشريك التجاري أن يتيح للكيان المشمول المعلومات التي في حوزته والتي يحتاجها الكيان المشمول لإجراء المحاسبة المطلوبة بموجب 45 CFR § 164.528.

2.9.3 يجب على الشريك التجاري الاحتفاظ بالسجلات المحاسبية لمدة لا تقل عن ست (6) سنوات من تاريخ الكشف.

2.10 الوصول إلى الكتب والسجلات

يجب على الشريك التجاري أن يتيح ممارساته الداخلية ودفاتره وسجلاته المتعلقة باستخدام وكشف المعلومات الصحية المحمية (PHI) التي حصل عليها أو أنشأها أو تلقّاها نيابة عن الكيان المشمول لوزير الصحة والخدمات الإنسانية لأغراض تحديد مدى امتثال الكيان المشمول لقواعد HIPAA، في الوقت والطريقة التي يحددها الوزير.

2.11 الامتثال لقانون HITECH

يجب على الشريك التجاري الامتثال للمتطلبات المعمول بها في قانون HITECH واللوائح الصادرة بموجبه، بما في ذلك على سبيل المثال لا الحصر:

  • قيود على بيع المعلومات الصحية المحمية (42 U.S.C. § 17935(d))
  • قيود التسويق (42 U.S.C. § 17936(a))
  • محاسبة الإفصاحات (42 U.S.C. § 17935(c))
  • متطلبات الإخطار في حالة حدوث خرق (42 U.S.C. § 17932)

3. التزامات الكيان المشمول

3.1 إشعار بممارسات الخصوصية

يجب على الكيان المشمول تزويد الشريك التجاري بنسخة من إشعاره المتعلق بممارسات الخصوصية وأي تغييرات تطرأ عليه، إلى الحد الذي يؤثر فيه هذا الإشعار أو التغييرات على الاستخدامات والإفصاحات المسموح بها أو المطلوبة من الشريك التجاري.

3.2 الإذن بالاستخدام أو الكشف

لا يجوز للكيان المشمول أن يطلب من الشريك التجاري استخدام أو الكشف عن المعلومات الصحية المحمية بأي طريقة لا تكون مسموحة بموجب قاعدة الخصوصية إذا قام بها الكيان المشمول، باستثناء ما هو مسموح به بموجب 45 CFR §§ 164.504(e)(2) و 164.504(e)(3).

3.3 قيود على الاستخدام والإفصاح

يجب على الكيان المشمول إخطار الشريك التجاري بأي قيود على استخدام أو الكشف عن المعلومات الصحية المحمية (PHI) التي وافق عليها الكيان المشمول وفقًا للمادة 45 CFR § 164.522، إلى الحد الذي تؤثر فيه هذه القيود على استخدام الشريك التجاري للمعلومات الصحية المحمية (PHI) أو الكشف عنها.

3.4 الطلبات المسموح بها

تقر الكيان المشمول وتضمن أن أي معلومات صحية محمية (PHI) يتم توفيرها إلى الشريك التجاري، أو أي معلومات صحية محمية (PHI) يقوم الشريك التجاري بإنشائها أو تلقيها نيابة عن الكيان المشمول، يتم ذلك وفقًا لقواعد HIPAA.

4. المدة والإنهاء

4.1 المدة

تسري هذه الاتفاقية اعتبارًا من تاريخ قبول الكيان المشمول لهذه الشروط (إلكترونيًا أو كتابيًا) وتظل سارية المفعول حتى يتم إتلاف أو إعادة جميع المعلومات الصحية المحمية (PHI) التي قدمها الكيان المشمول إلى الشريك التجاري، أو التي أنشأها أو تلقّاها أو احتفظ بها الشريك التجاري نيابة عن الكيان المشمول، أو إذا كان من غير الممكن إعادة أو إتلاف المعلومات الصحية المحمية (PHI)، تتم تمديد الحماية لتلك المعلومات الصحية المحمية وفقًا لأحكام الإنهاء الواردة في هذا القسم.

4.2 الإنهاء لسبب وجيه

4.2.1 يجوز للكيان المشمول إنهاء هذه الاتفاقية فورًا بموجب إشعار كتابي إلى الشريك التجاري إذا قرر الكيان المشمول أن الشريك التجاري قد انتهك شرطًا جوهريًا من شروط هذه الاتفاقية ولم يعالج هذا الانتهاك في غضون ثلاثين (30) يومًا من استلام الإشعار الكتابي بالانتهاك من الكيان المشمول.

4.2.2 يجوز للشريك التجاري إنهاء هذه الاتفاقية فورًا بموجب إشعار كتابي إذا انتهكت الكيان المشمول أحد الشروط الجوهرية ولم تقم بإصلاح هذا الانتهاك في غضون ثلاثين (30) يومًا من استلام الإشعار الكتابي.

4.2.3 يجوز لأي من الطرفين إنهاء هذه الاتفاقية فورًا بموجب إشعار كتابي إذا أصبح الطرف الآخر موضوعًا لطلب إفلاس، أو أصبح معسرًا، أو قام بتحويل ملكية لصالح الدائنين.

4.3 أثر الإنهاء

4.3.1 إعادة أو إتلاف المعلومات الصحية المحمية:

عند إنهاء هذه الاتفاقية لأي سبب من الأسباب، يتعين على الشريك التجاري القيام بما يلي:

أ) فترة الاسترجاع: منح الكيان المشمول ثلاثين (30) يومًا لاسترجاع أو تصدير جميع المعلومات الصحية المحمية من أنظمة الشريك التجاري. خلال هذه الفترة، يجب على الشريك التجاري:

  • الحفاظ على وصول الكيان المشمول إلى جميع المعلومات الصحية المحمية (PHI)
  • تقديم المساعدة التقنية لتصدير البيانات
  • تقديم البيانات بتنسيقات شائعة الاستخدام وقابلة للقراءة آليًا
  • لا تفرض رسومًا إضافية على تصدير البيانات القياسية

ب) التدمير: بعد انتهاء فترة الاسترجاع البالغة ثلاثين (30) يومًا، يجب على الشريك التجاري:

  • حذف أو إتلاف جميع المعلومات الصحية المحمية (PHI) بشكل دائم وبجميع أشكالها (الإلكترونية والمادية)
  • الكتابة فوق جميع وسائط التخزين التي تحتوي على معلومات صحية محمية (PHI) بشكل آمن وفقًا لإرشادات NIST الخاصة بالمنشور 800-88 لتطهير الوسائط.
  • حذف جميع المعلومات الصحية المحمية من أنظمة النسخ الاحتياطي في غضون تسعين (90) يومًا أو عند دورة النسخ الاحتياطي التالية
  • تقديم شهادة مكتوبة بإتلاف البيانات إلى الكيان المشمول في غضون عشرة (10) أيام من الانتهاء من العملية.

4.3.2 عدم إمكانية الإعادة أو التدمير:

إذا قرر الشريك التجاري أن إعادة أو إتلاف المعلومات الصحية المحمية غير ممكن، يجب على الشريك التجاري:

  • تقديم إخطار كتابي إلى الكيان المشمول يشرح الأسباب المحددة التي تجعل الإرجاع أو التدمير غير ممكن.
  • توسيع نطاق الحماية التي توفرها هذه الاتفاقية لتشمل المعلومات الصحية المحمية (PHI)
  • قصر الاستخدامات والإفصاحات الإضافية عن هذه المعلومات الصحية المحمية على الأغراض التي تجعل إعادتها أو إتلافها غير ممكن.
  • عدم استخدام أو الكشف عن هذه المعلومات الصحية المحمية لأي غرض آخر

ومن أمثلة عدم الجدوى، على سبيل المثال لا الحصر: المتطلبات القانونية أو التنظيمية للاحتفاظ بالسجلات، والقيود التقنية لأنظمة النسخ الاحتياطي، أو الدعاوى القضائية الجارية أو التحقيقات الحكومية.

4.4 البقاء على قيد الحياة

تظل التزامات الشريك التجاري بموجب المادة 4.3 (أثر الإنهاء) والمادة 7 (المسؤولية والتعويض) سارية بعد إنهاء هذه الاتفاقية.

5. حقوق التدقيق

5.1 طلبات التوثيق

بعد إرسال إشعار كتابي معقول (لا يقل عن خمسة عشر (15) يوم عمل)، يجوز للكيان المشمول أن يطلب من الشريك التجاري تقديم وثائق تثبت سياساته الأمنية، وضوابط التشفير، وسجلات التدقيق، وسجلات تدريب الموظفين، واتفاقيات الشركاء التجاريين من الباطن، وذلك بهدف تحديد مدى امتثال الشريك التجاري لهذه الاتفاقية.

5.2 طرق المراجعة

يمكن للشريك التجاري تلبية متطلبات التدقيق من خلال أي من الطرق التالية:

  • ملخصات مكتوبة للضوابط والسياسات والإجراءات الأمنية
  • تقارير الامتثال من جهات خارجية (مثل SOC 2 Type II، شهادة HITRUST، ISO 27001)
  • مقتطفات من سجل التدقيق لفترات زمنية محددة (مجهولة الهوية حيثما أمكن ذلك)
  • فحص افتراضي أو شخصي للمرافق والأنظمة، بناءً على اتفاق متبادل بشأن التاريخ والنطاق

5.3 تواتر المراجعة

يجوز للكيان المشمول أن يطلب إجراء عمليات تدقيق مرة واحدة فقط في السنة التقويمية ما لم:

  • حدث خرق أو حادث أمني
  • مطلوب بموجب القانون أو اللوائح
  • الكيان المشمول لديه سبب معقول للاعتقاد بأن الشريك التجاري لا يمتثل

5.4 تكاليف المراجعة

يتحمل كل طرف التكاليف الخاصة به المرتبطة بعمليات التدقيق، ما لم يكشف التدقيق عن عدم امتثال جوهري من جانب الشريك التجاري، وفي هذه الحالة يتعين على الشريك التجاري أن يسدد للكيان المشمول التكاليف المعقولة للتدقيق.

5.5 السرية

تُعامل أي معلومات يتم الكشف عنها أثناء عملية التدقيق على أنها معلومات تجارية سرية وتُستخدم فقط لغرض التحقق من الامتثال لهذه الاتفاقية.

6. المسؤولية والتعويض

6.1 المسؤولية المتبادلة

يتحمل كل طرف المسؤولية عن أفعاله أو إهماله، وأفعال أو إهمال موظفيه أو وكلائه أو مقاولي الباطن التابعين له، فيما يتعلق بهذه الاتفاقية إلى الحد الذي يسمح به القانون.

6.2 حدود المسؤولية

6.2.1 باستثناء ما هو منصوص عليه في القسم 6.2.2، لا تتجاوز المسؤولية الإجمالية للشريك التجاري تجاه الكيان المشمول بموجب هذه الاتفاقية عن أي وجميع المطالبات الناشئة عن أو المتعلقة بهذه الاتفاقية مبلغًا يعادل اثني عشر (12) شهرًا من الرسوم المدفوعة أو المستحقة الدفع من الكيان المشمول إلى الشريك التجاري.

6.2.2 لا ينطبق القيد الوارد في القسم 6.2.1 على:

  • سوء السلوك المتعمد أو المخالفة المتعمدة
  • الإهمال الجسيم
  • الخرق المتعمد لالتزامات السرية
  • السلوك الإجرامي
  • انتهاكات قانون HIPAA الناتجة عن إخفاق الشريك التجاري في تنفيذ الإجراءات الوقائية المطلوبة
  • الالتزامات بموجب القسم 6.3 (التعويض)

6.2.3 لا يتحمل أي من الطرفين المسؤولية عن أي أضرار غير مباشرة أو عرضية أو تبعية أو خاصة أو عقابية، بما في ذلك على سبيل المثال لا الحصر خسارة الأرباح فقدان البيانات أو فقدان فرص العمل، حتى لو تم الإبلاغ عن احتمال حدوث مثل هذه الأضرار، باستثناء الحالات التي تنتج فيها هذه الأضرار عن إهمال جسيم أو سوء سلوك متعمد.

6.3 التعويض من قبل الشريك التجاري

يتعهد الشريك التجاري بتعويض الكيان المشمول ومديريه ومسؤوليه وموظفيه ووكلائه والدفاع عنهم وحمايتهم من أي مطالبات أو مسؤوليات أو أضرار أو خسائر أو تكاليف أو نفقات (بما في ذلك أتعاب المحاماة المعقولة) تنشأ عن أو تتعلق بما يلي:

  • خرق الشريك التجاري لهذه الاتفاقية
  • انتهاك شريك العمل لقواعد HIPAA
  • استخدام أو إفشاء المعلومات الصحية المحمية (PHI) من قبل شريك العمل دون إذن
  • مطالبات الأطراف الثالثة الناشئة عن أفعال أو إهمال شريك الأعمال
  • الخرق أو الحادث الأمني الناجم عن شريك تجاري أو مقاولي الباطن التابعين له

لا ينطبق التزام التعويض هذا في حالة ما إذا كانت أي مطالبات أو مسؤوليات أو أضرار أو خسائر أو تكاليف أو نفقات ناجمة عن خرق الكيان المشمول لهذه الاتفاقية أو انتهاك قواعد HIPAA.

6.4 التعويض من قبل الكيان المشمول

يجب على الكيان المشمول تعويض الشريك التجاري ومديريه ومسؤوليه وموظفيه ووكلائه والدفاع عنهم وحمايتهم من أي مطالبات أو مسؤوليات أو أضرار أو خسائر أو تكاليف أو نفقات (بما في ذلك أتعاب المحاماة المعقولة) تنشأ عن أو تتعلق بما يلي:

  • خرق الكيان المشمول لهذه الاتفاقية
  • انتهاك الكيان المشمول لقواعد HIPAA
  • تقديم الكيان المشمول بمعلومات صحية محمية غير دقيقة أو غير كاملة إلى الشريك التجاري
  • تعليمات من الكيان المشمول إلى الشريك التجاري تنتهك قواعد HIPAA

6.5 التأمين

يجب على كل طرف الحفاظ على تغطية تأمينية مناسبة، بما في ذلك تأمين المسؤولية الإلكترونية، بمبالغ كافية بشكل معقول لتغطية الالتزامات المحتملة بموجب هذه الاتفاقية. عند الطلب، يجب على كل طرف تزويد الطرف الآخر بشهادات التأمين.

7. التغييرات والتعديلات التنظيمية

7.1 التغييرات التنظيمية

تقر الأطراف بأن قواعد HIPAA قد يتم تعديلها من وقت لآخر من قبل وزير الصحة والخدمات الإنسانية. يوافق الشريك التجاري على تنفيذ التغييرات على ممارساته وسياساته وإجراءاته حسب الضرورة للحفاظ على الامتثال لقواعد HIPAA بصيغتها المعدلة.

7.2 تعديلات الاتفاقية

7.2.1 يجب على الشريك التجاري إخطار الكيان المشمول بأي تغييرات جوهرية في قواعد HIPAA تؤثر على هذه الاتفاقية في غضون ثلاثين (30) يومًا من تاريخ سريان هذه التغييرات.

7.2.2 إذا قرر أي من الطرفين أن تعديل هذه الاتفاقية ضروري للامتثال للتغييرات في قواعد HIPAA، يتعين على الطرفين التفاوض بحسن نية لتعديل هذه الاتفاقية وفقًا لذلك.

7.2.3 لا يجوز تعديل هذه الاتفاقية إلا بموجب اتفاقية مكتوبة وموقعة من قبل ممثلي الطرفين المفوضين.

7.2.4 يحتفظ الشريك التجاري بالحق في تحديث نسخة هذه الاتفاقية من وقت لآخر. سيتم نشر النسخ المحدثة على الموقع الإلكتروني للشريك التجاري، وسيتم إخطار الكيان المشمول عبر البريد الإلكتروني قبل ثلاثين (30) يومًا على الأقل من تاريخ سريان التغييرات الجوهرية.

8- أحكام متنوعة

8.1 القانون الحاكم

تخضع هذه الاتفاقية لقوانين الدولة التي يقع فيها الكيان المشمول، وتفسر وفقًا لها، دون اعتبار لأحكام تنازع القوانين، باستثناء الحالات التي يكون فيها القانون الفيدرالي له الأسبقية على قانون الولاية.

8.2 الاختصاص القضائي ومكان المحاكمة

أي إجراء قانوني ينشأ عن أو يتعلق بهذه الاتفاقية يجب أن يُرفع حصريًا أمام المحاكم الولائية أو الفيدرالية الموجودة في الولاية القضائية التي تحتفظ فيها الكيان المشمول بمقر عملها الرئيسي.

8.3 التفسير

أي غموض في هذه الاتفاقية سيتم حله لصالح المعنى الذي يسمح للكيان المشمول بالامتثال لقواعد HIPAA. في حالة وجود أي تعارض بين أحكام هذه الاتفاقية وقواعد HIPAA، تسري قواعد HIPAA.

8.4 عدم وجود مستفيدين من أطراف ثالثة

لا يمنح أي بند في هذه الاتفاقية أي شخص غير الأطراف وخلفائهم أو من ينوب عنهم أي حقوق أو تعويضات أو التزامات أو مسؤوليات من أي نوع.

8.5 التنازل

لا يشكل إخفاق أي من الطرفين في إنفاذ أي بند من بنود هذه الاتفاقية تنازلاً عن ذلك البند أو أي بند آخر، ولا يمنع هذا الإخفاق ذلك الطرف من إنفاذ ذلك البند في وقت لاحق.

8.6 قابلية الفصل

إذا تم اعتبار أي بند من بنود هذه الاتفاقية غير صالح أو غير قابل للتنفيذ، تظل البنود المتبقية سارية المفعول والتأثير بالكامل، ويتم تعديل البند غير الصالح أو غير القابل للتنفيذ بالحد الأدنى اللازم لجعله صالحًا وقابلًا للتنفيذ.

8.7 التعيين

لا يجوز لأي من الطرفين التنازل عن هذه الاتفاقية دون موافقة خطية مسبقة من الطرف الآخر، باستثناء أن الشريك التجاري يجوز له التنازل عن هذه الاتفاقية إلى كيان خليفة فيما يتعلق بدمج أو استحواذ أو بيع جميع أصوله أو معظمها، شريطة أن يوافق المتنازل له على تحمل جميع الالتزامات بموجب هذه الاتفاقية.

8.8 الاتفاقية الكاملة

تشكل هذه الاتفاقية، إلى جانب أي اتفاقية خدمة بين الطرفين، الاتفاقية الكاملة بين الطرفين فيما يتعلق بموضوع هذه الاتفاقية، وتحل محل جميع الاتفاقيات الشفوية أو المكتوبة السابقة أو المعاصرة المتعلقة بهذا الموضوع.

8.9 الإشعارات

يجب أن تكون جميع الإشعارات المطلوبة أو المسموح بها بموجب هذه الاتفاقية مكتوبة وتعتبر مقدمة عندما:

  • تم التسليم شخصياً
  • مرسل عبر بريد إلكتروني مؤكد
  • مرسل بواسطة بريد معتمد أو مسجل، مع طلب إيصال بالاستلام
  • يتم التسليم بواسطة خدمة بريد سريع معترف بها على الصعيد الوطني

يجب إرسال الإشعارات إلى الشريك التجاري إلى: Dental Education, Inc. d/b/a Intake.Dental 1041 N. Dupont Hwy Dover, DE 19901 البريد الإلكتروني: support@intake.dental

يجب إرسال الإشعارات إلى الكيان المشمول إلى عنوان البريد الإلكتروني والعنوان الفعلي المقدمين أثناء التسجيل.

8.10 القوة القاهرة

لا يتحمل أي من الطرفين المسؤولية عن أي تأخير أو فشل في الأداء بسبب أسباب خارجة عن سيطرته المعقولة، بما في ذلك على سبيل المثال لا الحصر، القضاء والقدر، والكوارث الطبيعية، والحرب، والإرهاب، وأعمال الشغب، والنزاعات العمالية، أو الإجراءات الحكومية، شريطة أن يقوم الطرف المتضرر بإخطار الطرف الآخر على الفور وبذل جهود معقولة لاستئناف الأداء.

8.11 النسخ المطابقة والتوقيعات الإلكترونية

يمكن تنفيذ هذه الاتفاقية في نسخ متطابقة، تعتبر كل منها أصلية وتشكل جميعها معًا وثيقة واحدة. التوقيعات الإلكترونية والتوقيعات المرسلة إلكترونيًا لها نفس قوة وفعالية التوقيعات الأصلية.

9. القبول والتنفيذ

9.1 طرق القبول

تعتبر اتفاقية الشراكة التجارية هذه سارية المفعول وملزمة تمامًا في الحالات التالية:

  • القبول الإلكتروني: يتم القبول رقمياً عن طريق التوقيع الإلكتروني أثناء تسجيل الحساب عبر الإنترنت أو عملية الدفع؛ أو
  • التوقيع المكتوب: تم التوقيع من قبل ممثلين مفوضين من كلا الطرفين عبر التوقيع الإلكتروني أو الورقي.

9.2 سلطة التوقيع

بتوقيعه على هذه الاتفاقية، يقر الفرد ويضمن أن لديه السلطة الكاملة لإلزام الكيان المشمول بشروط وأحكام هذه الاتفاقية.

9.3 الاحتفاظ بالسجلات

يجب على الطرفين الاحتفاظ بنسخة من هذه الاتفاقية الموقعة لمدة لا تقل عن ست (6) سنوات من تاريخ إنهائها أو انتهاء صلاحيتها، أو لأي فترة أطول قد يقتضيها القانون.

10. تعريفات مصطلحات الخدمة الرئيسية

لأغراض هذه الاتفاقية، تنطبق الشروط الخاصة بالخدمة التالية:

10.1 منصة Dental Forms Pro: منصة البرمجيات كخدمة القائمة على السحابة التي يوفرها شريك الأعمال لإنشاء وجمع وتخزين وتسليم نماذج استقبال المرضى والتاريخ الصحي والوثائق ذات الصلة.

10.2 الروابط منتهية الصلاحية: عناوين URL آمنة ومحددة المدة يتم إنشاؤها بواسطة المنصة وتسمح للكيان المشمول بالوصول إلى المعلومات الصحية المحمية (PHI) لفترة محددة (عادةً ما تكون 48-72 ساعة)، وبعدها تنتهي صلاحية الروابط تلقائيًا وتصبح غير قابلة للوصول.

10.3 التخزين السحابي: خدمات التخزين المشفرة المقدمة من خلال AWS S3 والبنية التحتية Supabase، المستخدمة لتخزين المعلومات الصحية المحمية (PHI) بشكل آمن نيابة عن الكيان المشمول.

10.4 تقديمات المرضى: النماذج الإلكترونية التي يملؤها المرضى والتي تحتوي على معلومات صحية محمية، بما في ذلك على سبيل المثال لا الحصر التاريخ الطبي والأدوية الحالية والحساسية ومعلومات التأمين ونماذج الموافقة.

معلومات الاتصال

للأسئلة المتعلقة باتفاقية الشراكة التجارية هذه أو مسائل الامتثال لقانون HIPAA:

Dental Education, Inc. d/b/a Intake.Dental
البريد الإلكتروني: support@intake.dental
الموقع الإلكتروني: https://intake.dental
مسؤول الامتثال: جوردان توماس
الهاتف: (916) 752-2280

معلومات الوثيقة

إصدار الاتفاقية: baa_v2025-10-17
آخر تحديث: 17 أكتوبر 2025
تاريخ المراجعة التالية: 17 أكتوبر 2026

تتوافق اتفاقية الشراكة التجارية هذه مع:

  • قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) لعام 1996
  • قانون تكنولوجيا المعلومات الصحية من أجل الصحة الاقتصادية والسريرية (HITECH) لعام 2009
  • 45 CFR الأجزاء 160 و 164 (قواعد HIPAA للخصوصية والأمن والإخطار بالانتهاكات)
  • قانون ESIGN (قانون التوقيعات الإلكترونية في التجارة العالمية والوطنية)

إشعار هام للكيانات المشمولة:

بالمضي قدماً في عملية الدفع أو النقر على "أوافق"، فإنك تقر بما يلي:

  1. لقد قرأت وفهمت اتفاقية الشريك التجاري هذه بالكامل.
  2. أنت ممثل مفوض لممارستك/كيانك ولديك الصلاحية لإبرام هذه الاتفاقية
  3. أنت توافق على الالتزام بجميع الشروط والأحكام الواردة في هذه الوثيقة.
  4. سيكون توقيعك الإلكتروني ملزماً قانونياً ومكافئاً للتوقيع بخط اليد.
  5. ستظل هذه الاتفاقية سارية المفعول طوال مدة علاقة الخدمة بيننا وما بعدها على النحو المحدد في أحكام الإنهاء.

هذا عقد ملزم قانونًا. يرجى الاحتفاظ بنسخة منه في سجلاتك.

للحصول على الدعم الفني أو لطرح الأسئلة: support@intake.dental
للأسئلة المتعلقة بالامتثال لقانون HIPAA: support@intake.dental

Document ID: BAA-{Generated upon acceptance}
Generated: {Date of acceptance}