Accord de partenariat commercial

Accord de conformité HIPAA pour les informations médicales protégées

Date d'entrée en vigueur : dès acceptation
Version : baa_v2025-10-17

Parties au présent accord

Entité couverte : le cabinet dentaire ou l'établissement de santé qui achète des services (« entité couverte »)

Partenaire commercial : Dental Education, Inc., exerçant ses activités sous le nom d'Intake.Dental (« Partenaire commercial »)

Produit/service : Dental Forms Pro - Services cloud d'enregistrement des patients, de gestion des antécédents médicaux et de stockage des documents contenant des informations médicales protégées (PHI).

Considérants

ATTENDU QUE l'entité couverte est un prestataire de soins de santé soumis à la loi américaine de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act, « HIPAA »), à la loi américaine sur les technologies de l'information en matière de santé économique et clinique (Health Information Technology for Economic and Clinical Health Act, « HITECH Act ») et aux réglementations connexes (collectivement, les « règles HIPAA ») ;

ATTENDU QUE le partenaire commercial fournit des services logiciels basés sur le cloud qui impliquent la création, la réception, la maintenance, la transmission ou l'accès à des informations médicales protégées pour le compte de l'entité couverte ;

ATTENDU QUE les règles HIPAA exigent que l'entité couverte conclue un accord de partenariat commercial avec le partenaire commercial afin de garantir des mesures de protection appropriées pour les informations médicales protégées ;

PAR CONSÉQUENT, compte tenu des promesses mutuelles ci-dessous et d'autres considérations valables et importantes, les parties conviennent de ce qui suit :

1. Définitions

Les termes utilisés dans le présent accord, mais non définis autrement, ont la même signification que ceux utilisés dans les règles HIPAA (45 CFR Parties 160 et 164).

1.1 Informations médicales protégées (PHI) : telles que définies par 45 CFR § 160.103, désignent les informations médicales identifiables individuellement qui sont transmises par voie électronique, conservées sur support électronique ou transmises ou conservées sous toute autre forme ou sur tout autre support. Les PHI comprennent, sans s'y limiter, les noms, adresses, dates de naissance, numéros de sécurité sociale, numéros de dossiers médicaux, numéros de bénéficiaires de régimes de santé, numéros de compte, photographies, identifiants biométriques et tout autre numéro, caractéristique ou code d'identification unique, ainsi que les informations de santé relatives à la santé ou à l'état physique ou mental passé, présent ou futur d'une personne, à la prestation de soins de santé à une personne ou au paiement passé, présent ou futur de la prestation de soins de santé à une personne.

1.2 Incident de sécurité : tentative ou réussite d'accès, d'utilisation, de divulgation, de modification ou de destruction non autorisés d'informations, ou d'interférence avec le fonctionnement d'un système d'information.

1.3 Violation : l'acquisition, l'accès, l'utilisation ou la divulgation de PHI d'une manière non autorisée par la règle de confidentialité qui compromet la sécurité ou la confidentialité des PHI, telle que définie dans 45 CFR § 164.402, à l'exclusion des divulgations pour lesquelles il existe une faible probabilité que les PHI aient été compromises.

1.4 Informations médicales protégées électroniques (ePHI) : informations médicales protégées transmises ou conservées sur des supports électroniques.

1.5 Exigé par la loi : obligation prévue par la loi qui oblige une entité à utiliser ou à divulguer des informations médicales protégées et qui est exécutoire devant un tribunal.

1.6 Sous-traitant : personne physique ou morale à laquelle le partenaire commercial délègue une fonction, une activité ou un service, autrement qu'en tant que membre du personnel du partenaire commercial.

2. Obligations et activités du partenaire commercial

2.1 Normes relatives au stockage et à la sécurité des données

Le partenaire commercial doit stocker toutes les informations médicales protégées exclusivement dans des environnements sécurisés et cryptés, avec les mesures de protection suivantes :

2.1.1 Exigences en matière de cryptage :

  • Chiffrement au repos à l'aide du standard AES-256 ou d'un chiffrement équivalent conforme aux normes de l'industrie
  • Chiffrement en transit à l'aide du protocole TLS 1.2 ou supérieur pour toutes les transmissions de données
  • Sauvegardes cryptées avec le même niveau de protection que les données de production

2.1.2 Contrôles d'accès :

  • Contrôle d'accès basé sur les rôles (RBAC) limitant l'accès aux informations médicales protégées au personnel autorisé uniquement
  • Authentification multifactorielle (MFA) requise pour tous les accès administratifs
  • Identifiants uniques pour toutes les personnes ayant accès aux ePHI
  • Déconnexion automatique après une période d'inactivité
  • Procédures d'accès d'urgence avec piste d'audit

2.1.3 Surveillance de la sécurité :

  • Audits de sécurité et évaluations de vulnérabilité réguliers (au moins une fois par an)
  • Surveillance continue des tentatives d'accès non autorisées
  • Systèmes de détection et de prévention des intrusions
  • Correctifs de sécurité et mises à jour réguliers pour tous les systèmes

2.2 Utilisations et divulgations autorisées des renseignements médicaux protégés

2.2.1 Le partenaire commercial ne peut utiliser et divulguer les informations médicales protégées que dans la mesure où le présent accord l'y autorise ou l'y oblige, ou dans la mesure où la loi l'exige.

2.2.2 Le partenaire commercial peut utiliser les informations médicales protégées pour la gestion et l'administration appropriées des services du partenaire commercial, notamment :

  • Hébergement, stockage et sauvegarde des formulaires d'admission des patients et des antécédents médicaux
  • Transfert des informations médicales protégées vers l'entité couverte via des liens sécurisés à durée limitée
  • Assistance technique et dépannage lorsque cela est explicitement demandé par l'entité couverte
  • Maintenance du système et optimisation des performances

2.2.3 Le partenaire commercial peut divulguer des informations médicales protégées aux fins de la bonne gestion et administration du partenaire commercial uniquement si :

  • La divulgation est requise par la loi ; ou
  • Le partenaire commercial obtient de la personne à qui les informations sont divulguées l'assurance raisonnable qu'elles seront conservées de manière confidentielle et utilisées ou divulguées uniquement dans les cas prévus par la loi ou aux fins pour lesquelles elles ont été divulguées à cette personne, et celle-ci informe le partenaire commercial de tout cas dont elle a connaissance et dans lequel la confidentialité des informations a été violée.

2.2.4 Le partenaire commercial peut anonymiser les informations médicales protégées conformément à la section 45 CFR § 164.514(a)-(c) et utiliser ces données anonymisées à des fins d'amélioration du système, d'analyse et d'assurance qualité. Le partenaire commercial ne doit pas tenter de réidentifier les informations anonymisées.

2.2.5 Utilisations interdites : Le partenaire commercial ne doit PAS :

  • Utiliser les informations médicales protégées à des fins marketing sans l'autorisation écrite explicite de l'entité couverte.
  • Vendre des informations médicales protégées ou les utiliser à des fins commerciales sans rapport direct avec la prestation de services.
  • Partager des informations médicales protégées avec des services d'analyse tiers, des modèles d'entraînement d'IA ou des systèmes d'apprentissage automatique sans autorisation écrite explicite.
  • Divulguer les informations médicales protégées à toute partie non couverte par un accord de partenariat commercial en aval.

2.3 Norme minimale nécessaire

Le partenaire commercial limitera son utilisation, sa divulgation ou sa demande d'informations médicales protégées au minimum nécessaire pour atteindre l'objectif visé, conformément aux dispositions 45 CFR § 164.502(b) et § 164.514(d).

2.4 Mesures de sauvegarde appropriées

Le partenaire commercial doit utiliser des mesures de protection administratives, physiques et techniques appropriées qui protègent de manière raisonnable et adéquate la confidentialité, l'intégrité et la disponibilité des ePHI qu'il crée, reçoit, conserve ou transmet pour le compte de l'entité couverte, conformément à la norme 45 CFR Part 164, Subpart C (la règle de sécurité).

2.5 Exigences en matière de rapports

2.5.1 Notification de violation : Le partenaire commercial doit signaler à l'entité couverte toute violation des informations médicales protégées non sécurisées dont il a connaissance dans les cinq (5) jours ouvrables suivant sa découverte, ou plus tôt si la loi applicable l'exige. La notification doit inclure, dans la mesure du possible :

  • Une description de la violation, y compris la date de la violation et la date de sa découverte.
  • Identification des personnes dont les renseignements médicaux protégés ont été, ou sont raisonnablement soupçonnés d'avoir été, consultés, acquis, utilisés ou divulgués pendant la violation.
  • Une description des types de renseignements médicaux protégés concernés (par exemple, nom complet, numéro de sécurité sociale, date de naissance, numéro de dossier médical)
  • Brève description des mesures prises par le partenaire commercial pour enquêter sur la violation, atténuer les dommages causés aux personnes et se prémunir contre d'autres violations.
  • Coordonnées pour les personnes souhaitant poser des questions ou obtenir des informations supplémentaires

2.5.2 Signalement des incidents de sécurité : le partenaire commercial doit signaler les incidents de sécurité à l'entité couverte sur demande ou selon les modalités convenues. Le partenaire commercial et l'entité couverte reconnaissent que cette section constitue une notification par le partenaire commercial à l'entité couverte de l'existence et de la survenue d'incidents de sécurité tentés mais infructueux (tels que les tentatives de connexion infructueuses, les pings, les scans de ports, les attaques par déni de service et les logiciels malveillants qui ne permettent pas d'accéder aux ePHI). Le partenaire commercial doit signaler les incidents de sécurité réussis dans les mêmes délais que les violations.

2.5.3 Utilisation ou divulgation inappropriée : le partenaire commercial doit signaler à l'entité couverte toute utilisation ou divulgation des informations médicales protégées non prévue par le présent accord dans les cinq (5) jours ouvrables suivant la prise de connaissance de cette utilisation ou divulgation.

2.6 Contrats avec les sous-traitants

2.6.1 Le partenaire commercial doit s'assurer que tous les sous-traitants qui créent, reçoivent, conservent ou transmettent des informations médicales protégées pour le compte du partenaire commercial acceptent par écrit les mêmes restrictions, conditions et exigences qui s'appliquent au partenaire commercial en ce qui concerne ces informations médicales protégées.

2.6.2 Les sous-traitants actuels comprennent :

  • Amazon Web Services (AWS) - Infrastructure d'hébergement et de stockage dans le cloud
  • Supabase - Services de base de données
  • Fournisseurs de services de messagerie électronique pour la transmission sécurisée des informations médicales protégées

2.6.3 Le partenaire commercial doit obtenir et conserver des accords de partenariat commercial valides avec tous les sous-traitants traitant des informations médicales protégées et doit mettre des copies de ces accords à la disposition de l'entité couverte sur demande raisonnable.

2.6.4 Le partenaire commercial doit informer l'entité couverte de tout changement concernant les sous-traitants dans les trente (30) jours suivant ce changement.

2.7 Accès aux renseignements médicaux protégés

2.7.1 Dans les dix (10) jours ouvrables suivant la demande d'une entité couverte, le partenaire commercial doit mettre à la disposition de l'entité couverte ou, selon les instructions de l'entité couverte, à la disposition d'une personne, les informations médicales protégées contenues dans un ensemble de dossiers désignés qui est conservé par ou pour le partenaire commercial, dans les délais et selon les modalités désignés par l'entité couverte, afin de permettre à l'entité couverte de remplir ses obligations en vertu de l'article 45 CFR § 164.524.

2.7.2 Si le partenaire commercial conserve un ensemble de dossiers désignés sous forme électronique, il doit fournir les informations médicales protégées sous forme électronique afin de permettre à l'entité couverte de remplir ses obligations en vertu de l'article 45 CFR § 164.524(c)(2)(ii).

2.8 Modification des renseignements médicaux protégés

Dans les dix (10) jours ouvrables suivant la réception d'une demande de l'entité couverte, le partenaire commercial doit mettre à disposition les informations médicales protégées conservées dans un ensemble de dossiers désignés afin qu'elles puissent être modifiées, et intégrer toute modification apportée aux informations médicales protégées dans un ensemble de dossiers désignés, conformément à la norme 45 CFR § 164.526, selon les instructions de l'entité couverte.

2.9 Comptabilisation des informations à fournir

2.9.1 Le partenaire commercial doit documenter toutes les divulgations de PHI et les informations relatives à ces divulgations qui seraient nécessaires à l'entité couverte pour répondre à une demande d'un individu concernant un relevé des divulgations, conformément à la norme 45 CFR § 164.528.

2.9.2 Dans les dix (10) jours ouvrables suivant la notification par l'entité couverte qu'elle a reçu une demande de compte rendu des divulgations de PHI, le partenaire commercial mettra à la disposition de l'entité couverte les informations en sa possession et nécessaires à l'entité couverte pour établir le compte rendu requis par 45 CFR § 164.528.

2.9.3 Le partenaire commercial doit conserver les registres comptables pendant au moins six (6) ans à compter de la date de divulgation.

2.10 Accès aux livres et registres

Le partenaire commercial mettra ses pratiques internes, ses livres et ses registres relatifs à l'utilisation et à la divulgation des informations médicales protégées reçues de l'entité couverte ou créées ou reçues par le partenaire commercial pour le compte de celle-ci à la disposition du secrétaire à la Santé et aux Services sociaux afin de déterminer la conformité de l'entité couverte aux règles HIPAA, dans les délais et selon les modalités fixés par le secrétaire.

2.11 Conformité à la loi HITECH

Le partenaire commercial doit se conformer aux exigences applicables de la loi HITECH et aux réglementations promulguées en vertu de celle-ci, y compris, mais sans s'y limiter :

  • Restrictions relatives à la vente des informations médicales protégées (42 U.S.C. § 17935(d))
  • Restrictions en matière de commercialisation (42 U.S.C. § 17936(a))
  • Comptabilisation des divulgations (42 U.S.C. § 17935(c))
  • Obligations de notification en cas de violation (42 U.S.C. § 17932)

3. Obligations de l'entité couverte

3.1 Avis relatif aux pratiques en matière de confidentialité

L'entité couverte fournira au partenaire commercial une copie de son avis relatif aux pratiques en matière de confidentialité et de toute modification y afférente, dans la mesure où cet avis ou ces modifications ont une incidence sur les utilisations et divulgations autorisées ou requises du partenaire commercial.

3.2 Autorisation d'utilisation ou de divulgation

L'entité couverte ne doit pas demander au partenaire commercial d'utiliser ou de divulguer des informations médicales protégées d'une manière qui ne serait pas autorisée en vertu de la règle de confidentialité si elle était effectuée par l'entité couverte, sauf dans les cas autorisés par les articles 45 CFR §§ 164.504(e)(2) et 164.504(e)(3).

3.3 Restrictions relatives à l'utilisation et à la divulgation

L'entité couverte doit informer le partenaire commercial de toute restriction relative à l'utilisation ou à la divulgation des informations médicales protégées (PHI) qu'elle a acceptée conformément à la norme 45 CFR § 164.522, dans la mesure où cette restriction affecte l'utilisation ou la divulgation des informations médicales protégées (PHI) par le partenaire commercial.

3.4 Demandes autorisées

L'entité couverte déclare et garantit que toute information médicale protégée fournie au partenaire commercial, ou toute information médicale protégée que le partenaire commercial crée ou reçoit pour le compte de l'entité couverte, est conforme aux règles HIPAA.

4. Durée et résiliation

4.1 Durée

Le présent accord prend effet à la date à laquelle l'entité couverte accepte les présentes conditions (par voie électronique ou par écrit) et reste en vigueur jusqu'à ce que toutes les informations médicales protégées fournies par l'entité couverte au partenaire commercial, ou créées, reçues ou conservées par le partenaire commercial pour le compte de l'entité couverte, soient détruites ou renvoyées à l'entité couverte ou, s'il n'est pas possible de renvoyer ou de détruire les informations médicales protégées, des mesures de protection sont étendues à ces informations conformément aux dispositions de résiliation de la présente section.

4.2 Résiliation pour motif valable

4.2.1 L'entité couverte peut résilier le présent accord immédiatement après notification écrite au partenaire commercial si elle estime que ce dernier a enfreint une clause importante du présent accord et n'a pas remédié à cette violation dans les trente (30) jours suivant la réception de la notification écrite de violation de la part de l'entité couverte.

4.2.2 Le partenaire commercial peut résilier le présent accord immédiatement par notification écrite si l'entité couverte a enfreint une clause importante et n'a pas remédié à cette violation dans les trente (30) jours suivant la réception de la notification écrite.

4.2.3 Chaque partie peut résilier le présent Contrat immédiatement par notification écrite si l'autre partie fait l'objet d'une demande de mise en faillite, devient insolvable ou procède à une cession au profit de ses créanciers.

4.3 Effet de la résiliation

4.3.1 Retour ou destruction des renseignements médicaux protégés :

En cas de résiliation du présent Contrat pour quelque raison que ce soit, le Partenaire commercial devra :

a) Délai de récupération : accorder à l'entité couverte un délai de trente (30) jours pour récupérer ou exporter toutes les informations médicales protégées (PHI) des systèmes du partenaire commercial. Pendant cette période, le partenaire commercial doit :

  • Maintenir l'accès complet de l'entité couverte à toutes les informations médicales protégées (PHI)
  • Fournir une assistance technique pour l'exportation des données
  • Proposer les données dans des formats couramment utilisés et lisibles par machine.
  • Ne pas facturer de frais supplémentaires pour l'exportation standard des données

b) Destruction : À l'expiration du délai de trente (30) jours, le partenaire commercial doit :

  • Supprimer ou détruire définitivement toutes les informations médicales protégées sous toutes leurs formes (électroniques et physiques).
  • Écrasez de manière sécurisée tous les supports de stockage contenant des informations médicales protégées, conformément à la publication spéciale 800-88 du NIST intitulée « Guidelines for Media Sanitization » (Directives pour la désinfection des supports).
  • Supprimer toutes les informations médicales protégées des systèmes de sauvegarde dans un délai de quatre-vingt-dix (90) jours ou lors du prochain cycle de sauvegarde.
  • Fournir une attestation écrite de destruction à l'entité concernée dans les dix (10) jours suivant la fin de l'opération.

4.3.2 Impossibilité de retour ou de destruction :

Si le partenaire commercial détermine qu'il n'est pas possible de restituer ou de détruire les informations médicales protégées, il doit :

  • Fournir une notification écrite à l'entité couverte expliquant les raisons spécifiques pour lesquelles le retour ou la destruction est impossible.
  • Étendre les protections prévues par le présent accord à ces informations médicales protégées.
  • Limiter les utilisations et divulgations ultérieures de ces informations médicales protégées aux fins qui rendent leur restitution ou leur destruction impossible.
  • Ne pas utiliser ni divulguer ces informations médicales protégées à d'autres fins.

Les exemples d'impossibilité comprennent, sans s'y limiter : les exigences légales ou réglementaires en matière de conservation des documents, les limitations techniques des systèmes de sauvegarde, ou les litiges en cours ou les enquêtes gouvernementales.

4.4 Survie

Les obligations du partenaire commercial en vertu de la section 4.3 (Effet de la résiliation) et de la section 7 (Responsabilité et indemnisation) resteront en vigueur après la résiliation du présent accord.

5. Droits d'audit

5.1 Demandes de documentation

Après un préavis écrit raisonnable (au moins quinze (15) jours ouvrables), l'entité couverte peut demander au partenaire commercial de fournir des documents attestant de ses politiques de sécurité, de ses contrôles de cryptage, de ses journaux d'audit, de ses registres de formation du personnel et de ses accords avec les sous-traitants partenaires commerciaux afin de déterminer la conformité du partenaire commercial au présent accord.

5.2 Méthodes d'audit

Le partenaire commercial peut satisfaire aux exigences d'audit par l'une des méthodes suivantes :

  • Résumés écrits des contrôles, politiques et procédures de sécurité
  • Rapports de conformité tiers (par exemple, SOC 2 Type II, certification HITRUST, ISO 27001)
  • Extraits du journal d'audit pour des périodes spécifiques (anonymisés dans la mesure du possible)
  • Inspection virtuelle ou physique des installations et des systèmes, après accord mutuel sur la date et la portée

5.3 Fréquence des audits

L'entité couverte peut demander des audits au maximum une fois par année civile, sauf si :

  • Il y a eu une violation ou un incident de sécurité.
  • Exigé par la loi ou la réglementation
  • L'entité couverte a des motifs raisonnables de croire que le partenaire commercial ne se conforme pas aux exigences.

5.4 Coûts d'audit

Chaque partie supporte ses propres frais liés aux audits, sauf si l'audit révèle une non-conformité importante de la part du partenaire commercial, auquel cas ce dernier rembourse à l'entité couverte les frais d'audit raisonnables.

5.5 Confidentialité

Toute information divulguée au cours d'un audit sera traitée comme une information commerciale confidentielle et utilisée uniquement dans le but de vérifier la conformité au présent accord.

6. Responsabilité et indemnisation

6.1 Responsabilité mutuelle

Chaque partie est responsable de ses propres actes ou omissions négligents, ainsi que de ceux de ses employés, agents ou sous-traitants, dans le cadre du présent contrat, dans la mesure permise par la loi.

6.2 Limitation de responsabilité

6.2.1 Sauf dans les cas prévus à la section 6.2.2, la responsabilité totale du partenaire commercial envers l'entité couverte en vertu du présent accord pour toute réclamation découlant du présent accord ou liée à celui-ci ne peut dépasser un montant équivalent à douze (12) mois de frais payés ou payables par l'entité couverte au partenaire commercial.

6.2.2 La limitation prévue à la section 6.2.1 ne s'applique pas :

  • Faute intentionnelle ou acte répréhensible délibéré
  • Négligence grave
  • Violation intentionnelle des obligations de confidentialité
  • Comportement criminel
  • Violations de la loi HIPAA résultant du non-respect par le partenaire commercial des mesures de protection requises
  • Obligations en vertu de la section 6.3 (Indemnisation)

6.2.3 AUCUNE DES PARTIES NE SERA RESPONSABLE DE TOUT DOMMAGE INDIRECT, ACCESSOIRE, CONSÉCUTIF, SPÉCIAL OU PUNITIF, Y COMPRIS, MAIS SANS S'Y LIMITER, LA PERTE DE BÉNÉFICES, PERTE DE DONNÉES OU PERTE D'OPPORTUNITÉ COMMERCIALE, MÊME SI ELLE A ÉTÉ INFORMÉE DE LA POSSIBILITÉ DE TELS DOMMAGES, SAUF DANS LA MESURE OÙ CES DOMMAGES RÉSULTENT D'UNE NÉGLIGENCE GRAVE OU D'UNE FAUTE INTENTIONNELLE.

6.3 Indemnisation par le partenaire commercial

Le partenaire commercial indemnisera, défendra et dégagera de toute responsabilité l'entité couverte, ses administrateurs, dirigeants, employés et agents contre toute réclamation, responsabilité, dommage, perte, coût et dépense (y compris les honoraires raisonnables d'avocat) découlant de ou liés à :

  • Violation du présent accord par le partenaire commercial
  • Violation des règles HIPAA par un partenaire commercial
  • Utilisation ou divulgation non autorisée des informations médicales protégées par un partenaire commercial
  • Réclamations de tiers découlant des actes ou omissions du partenaire commercial
  • Violation ou incident de sécurité causé par un partenaire commercial ou ses sous-traitants

Cette obligation d'indemnisation ne s'applique pas dans la mesure où ces réclamations, responsabilités, dommages, pertes, coûts ou dépenses sont causés par la violation du présent accord ou des règles HIPAA par l'entité couverte.

6.4 Indemnisation par l'entité couverte

L'entité couverte indemnisera, défendra et dégagera de toute responsabilité le partenaire commercial, ses administrateurs, dirigeants, employés et agents contre toute réclamation, responsabilité, dommage, perte, coût et dépense (y compris les honoraires raisonnables d'avocat) découlant de ou liés à :

  • Violation du présent accord par l'entité couverte
  • Violation des règles HIPAA par l'entité couverte
  • Fourniture par l'entité couverte d'informations médicales protégées inexactes ou incomplètes à un partenaire commercial
  • Instructions données par une entité couverte à un partenaire commercial qui enfreignent les règles HIPAA

6.5 Assurance

Chaque partie doit souscrire une assurance appropriée, y compris une assurance responsabilité civile cyber, d'un montant raisonnablement suffisant pour couvrir les responsabilités potentielles découlant du présent accord. Sur demande, chaque partie doit fournir à l'autre partie les certificats d'assurance correspondants.

7. Modifications et amendements réglementaires

7.1 Modifications réglementaires

Les parties reconnaissent que les règles HIPAA peuvent être modifiées de temps à autre par le secrétaire à la Santé et aux Services sociaux. Le partenaire commercial s'engage à mettre en œuvre les changements nécessaires à ses pratiques, politiques et procédures afin de rester en conformité avec les règles HIPAA telles que modifiées.

7.2 Modifications apportées à l'accord

7.2.1 Le partenaire commercial doit informer l'entité couverte de toute modification importante apportée aux règles HIPAA qui affecte le présent accord dans les trente (30) jours suivant la date d'entrée en vigueur de ces modifications.

7.2.2 Si l'une des parties estime qu'une modification du présent accord est nécessaire pour se conformer aux changements apportés aux règles HIPAA, les parties négocieront de bonne foi afin de modifier le présent accord en conséquence.

7.2.3 Le présent accord ne peut être modifié que par un accord écrit signé par les représentants autorisés des deux parties.

7.2.4 Le partenaire commercial se réserve le droit de mettre à jour la version du présent accord de temps à autre. Les versions mises à jour seront publiées sur le site Web du partenaire commercial, et l'entité couverte en sera informée par e-mail au moins trente (30) jours avant la date d'entrée en vigueur des modifications importantes.

8. Dispositions diverses

8.1 Droit applicable

Le présent accord est régi et interprété conformément aux lois de l'État dans lequel l'entité couverte est située, sans égard à ses dispositions en matière de conflit de lois, sauf dans la mesure où la loi fédérale prévaut sur la loi étatique.

8.2 Compétence et lieu

Toute action en justice découlant du présent accord ou s'y rapportant sera portée exclusivement devant les tribunaux d'État ou fédéraux situés dans la juridiction où l'entité couverte a son siège social.

8.3 Interprétation

Toute ambiguïté dans le présent accord sera résolue en faveur d'une interprétation qui permette à l'entité couverte de se conformer aux règles HIPAA. En cas de conflit entre les dispositions du présent accord et les règles HIPAA, ces dernières prévaudront.

8.4 Absence de tiers bénéficiaires

Aucune disposition du présent accord ne confère à toute personne autre que les parties et leurs successeurs ou ayants droit respectifs, des droits, recours, obligations ou responsabilités quels qu'ils soient.

8.5 Renonciation

Le fait pour l'une ou l'autre des parties de ne pas faire valoir une disposition du présent accord ne constitue pas une renonciation à cette disposition ou à toute autre disposition, et n'empêche pas cette partie de faire valoir cette disposition ultérieurement.

8.6 Divisibilité

Si une disposition du présent accord est jugée invalide ou inapplicable, les autres dispositions resteront pleinement en vigueur, et la disposition invalide ou inapplicable sera modifiée dans la mesure minimale nécessaire pour la rendre valide et applicable.

8.7 Cession

Aucune des parties ne peut céder le présent Contrat sans le consentement écrit préalable de l'autre partie, sauf si le Partenaire commercial cède le présent Contrat à une entité remplaçante dans le cadre d'une fusion, d'une acquisition ou d'une vente de la totalité ou de la quasi-totalité de ses actifs, à condition que le cessionnaire accepte d'assumer toutes les obligations prévues par le présent Contrat.

8.8 Intégralité de l'accord

Le présent Contrat, ainsi que tout Contrat de service conclu entre les parties, constitue l'intégralité de l'accord entre les parties concernant l'objet des présentes et remplace tous les accords antérieurs ou contemporains, oraux ou écrits, concernant cet objet.

8.9 Avis

Toutes les notifications requises ou autorisées en vertu du présent Contrat doivent être faites par écrit et sont réputées avoir été données lorsque :

  • Livré en personne
  • Envoyé par transmission électronique confirmée
  • Envoyé par courrier recommandé ou certifié, avec accusé de réception
  • Livré par un service de messagerie express reconnu à l'échelle nationale

Les avis destinés au partenaire commercial doivent être envoyés à : Dental Education, Inc. d/b/a Intake.Dental 1041 N. Dupont Hwy Dover, DE 19901 E-mail : support@intake.dental

Les avis destinés à l'entité couverte doivent être envoyés à l'adresse électronique et à l'adresse postale fournies lors de l'inscription.

8.10 Force majeure

Aucune des parties ne sera responsable de tout retard ou manquement dans l'exécution dû à des causes indépendantes de sa volonté, y compris, mais sans s'y limiter, les cas de force majeure, les catastrophes naturelles, les guerres, le terrorisme, les émeutes, les conflits sociaux ou les mesures gouvernementales, à condition que la partie concernée en informe rapidement l'autre partie et fasse tout son possible pour reprendre l'exécution.

8.11 Contreparties et signatures électroniques

Le présent accord peut être signé en plusieurs exemplaires, chacun d'entre eux étant considéré comme un original et tous ensemble constituant un seul et même instrument. Les signatures électroniques et les signatures transmises par voie électronique ont la même force et le même effet que les signatures originales.

9. Acceptation et exécution

9.1 Méthodes d'acceptation

Le présent accord de partenariat commercial est considéré comme pleinement exécuté et contraignant lorsque :

  • Acceptation électronique : acceptation numérique via signature électronique lors de la création d'un compte en ligne ou du processus de paiement ; OU
  • Signature manuscrite : Signé par les représentants autorisés des deux parties via une signature électronique ou physique.

9.2 Pouvoir de signature

En signant le présent accord, la personne déclare et garantit qu'elle dispose de tous les pouvoirs nécessaires pour engager l'entité couverte à respecter les conditions générales du présent accord.

9.3 Conservation des documents

Les deux parties conserveront une copie du présent accord signé pendant au moins six (6) ans à compter de la date de sa résiliation ou de son expiration, ou pendant toute période plus longue requise par la loi.

10. Définitions des principaux termes relatifs aux services

Aux fins du présent Contrat, les conditions spécifiques aux services suivants s'appliquent :

10.1 Plateforme Dental Forms Pro : plateforme logicielle en tant que service basée sur le cloud fournie par le partenaire commercial pour créer, collecter, stocker et transmettre les formulaires d'admission des patients, leurs antécédents médicaux et les documents connexes.

10.2 Liens expirés : URL sécurisées et limitées dans le temps générées par la plateforme qui permettent à l'entité couverte d'accéder aux informations médicales protégées pendant une période déterminée (généralement 48 à 72 heures), après quoi les liens expirent automatiquement et deviennent inaccessibles.

10.3 Stockage dans le cloud : services de stockage cryptés fournis via AWS S3 et l'infrastructure Supabase, utilisés pour stocker en toute sécurité les informations médicales protégées pour le compte de l'entité couverte.

10.4 Soumissions relatives à l'admission des patients : formulaires électroniques remplis par les patients contenant des informations médicales protégées, y compris, mais sans s'y limiter, les antécédents médicaux, les médicaments actuels, les allergies, les informations d'assurance et les formulaires de consentement.

Coordonnées

Pour toute question concernant le présent accord de partenariat commercial ou les questions de conformité HIPAA :

Dental Education, Inc. d/b/a Intake.Dental
E-mail : support@intake.dental
Site Web : https://intake.dental
Responsable de la conformité : Jordan Thomas
Téléphone : (916) 752-2280

Informations sur le document

Version de l'accord : baa_v2025-10-17
Dernière mise à jour : 17 octobre 2025
Prochaine date de révision : 17 octobre 2026

Le présent accord de partenariat commercial est conforme à :

  • Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) de 1996
  • Loi de 2009 sur les technologies de l'information dans le domaine de la santé économique et clinique (HITECH)
  • 45 CFR Parties 160 et 164 (Règles HIPAA relatives à la confidentialité, à la sécurité et à la notification des violations)
  • Loi ESIGN (loi sur les signatures électroniques dans le commerce mondial et national)

AVIS IMPORTANT AUX ENTITÉS CONCERNÉES :

En procédant au paiement ou en cliquant sur « J'accepte », vous reconnaissez que :

  1. Vous avez lu et compris l'intégralité du présent accord de partenariat commercial.
  2. Vous êtes un représentant autorisé de votre cabinet/entité et avez le pouvoir de conclure le présent accord.
  3. Vous acceptez d'être lié par toutes les conditions générales énoncées dans les présentes.
  4. Votre signature électronique aura valeur légale et équivaudra à une signature manuscrite.
  5. Le présent accord restera en vigueur pendant toute la durée de notre relation de service et au-delà, comme spécifié dans les dispositions relatives à la résiliation.

Ceci est un contrat juridiquement contraignant. Veuillez en conserver une copie pour vos archives.

Pour toute assistance technique ou question : support@intake.dental
Pour toute question relative à la conformité HIPAA : support@intake.dental

Document ID: BAA-{Generated upon acceptance}
Generated: {Date of acceptance}