Perjanjian Mitra Bisnis

Perjanjian Kepatuhan HIPAA untuk Informasi Kesehatan yang Dilindungi

Tanggal Berlaku: Saat Diterima
Versi: baa_v2025-10-17

Pihak-pihak dalam Perjanjian ini

Entitas yang Tercover: Praktik kedokteran gigi atau entitas layanan kesehatan yang membeli layanan ("Entitas yang Tercover")

Mitra Bisnis: Dental Education, Inc., yang beroperasi dengan nama Intake.Dental ("Mitra Bisnis")

Produk/Layanan: Dental Forms Pro - Layanan berbasis cloud untuk pendaftaran pasien, pengelolaan riwayat kesehatan, dan penyimpanan dokumen Informasi Kesehatan Terlindungi (PHI).

Konser

SEBAB, Entitas Terkait adalah penyedia layanan kesehatan yang tunduk pada Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan Tahun 1996 ("HIPAA"), Undang-Undang Teknologi Informasi Kesehatan untuk Kesehatan Ekonomi dan Klinis ("HITECH Act"), dan peraturan terkait (secara kolektif, "Aturan HIPAA");

SEBAB, Mitra Bisnis menyediakan layanan perangkat lunak berbasis cloud yang melibatkan pembuatan, penerimaan, pemeliharaan, pengiriman, atau akses terhadap Informasi Kesehatan yang Dilindungi atas nama Entitas yang Terkait;

SEBAB, Peraturan HIPAA mewajibkan Entitas Terkait untuk menandatangani Perjanjian Mitra Bisnis dengan Mitra Bisnis guna memastikan perlindungan yang memadai terhadap Informasi Kesehatan yang Dilindungi;

SEKARANG OLEH KARENA ITU, dengan mempertimbangkan janji-janji timbal balik di bawah ini dan untuk pertimbangan lain yang baik dan berharga, para pihak sepakat sebagai berikut:

1. Definisi

Istilah-istilah yang digunakan dalam Perjanjian ini, tetapi tidak didefinisikan secara terpisah, memiliki arti yang sama dengan istilah-istilah tersebut dalam Peraturan HIPAA (45 CFR Bagian 160 dan 164).

1.1 Informasi Kesehatan yang Dilindungi (PHI): Seperti yang didefinisikan dalam 45 CFR § 160.103, berarti informasi kesehatan yang dapat diidentifikasi secara individu yang dikirimkan melalui media elektronik, disimpan dalam media elektronik, atau dikirimkan atau disimpan dalam bentuk atau media lain. PHI mencakup, namun tidak terbatas pada, nama pasien, alamat, tanggal lahir, nomor Jaminan Sosial, nomor rekam medis, nomor peserta program kesehatan, nomor akun, foto, pengenal biometrik, dan nomor, karakteristik, atau kode unik lainnya, serta informasi kesehatan yang berkaitan dengan kondisi fisik atau mental masa lalu, sekarang, atau masa depan seseorang, pemberian layanan kesehatan kepada seseorang, atau pembayaran masa lalu, sekarang, atau masa depan untuk pemberian layanan kesehatan kepada seseorang.

1.2 Insiden Keamanan: Upaya atau keberhasilan akses, penggunaan, pengungkapan, modifikasi, atau penghancuran informasi secara tidak sah, atau gangguan terhadap operasi sistem dalam sistem informasi.

1.3 Pelanggaran: Pengambilan, akses, penggunaan, atau pengungkapan PHI dengan cara yang tidak diizinkan berdasarkan Aturan Privasi, yang mengancam keamanan atau privasi PHI, sebagaimana didefinisikan dalam 45 CFR § 164.402, dan tidak termasuk pengungkapan di mana terdapat kemungkinan rendah bahwa PHI telah terkompromi.

1.4 Informasi Kesehatan yang Dilindungi Secara Elektronik (ePHI): Informasi Kesehatan yang Dilindungi (PHI) yang dikirimkan melalui atau disimpan dalam media elektronik.

1.5 Diwajibkan oleh Undang-Undang: Ketentuan yang tercantum dalam undang-undang yang mewajibkan suatu entitas untuk menggunakan atau mengungkapkan PHI dan yang dapat ditegakkan di pengadilan.

1.6 Subkontraktor: Pihak atau entitas yang ditugaskan oleh Mitra Bisnis untuk melaksanakan fungsi, kegiatan, atau layanan, selain dalam kapasitas sebagai anggota tenaga kerja Mitra Bisnis.

2. Kewajiban dan Kegiatan Mitra Bisnis

2.1 Standar Penyimpanan dan Keamanan Data

Mitra Bisnis wajib menyimpan semua PHI secara eksklusif dalam lingkungan yang aman dan terenkripsi dengan pengamanan sebagai berikut:

2.1.1 Persyaratan Enkripsi:

  • Enkripsi saat data disimpan menggunakan AES-256 atau enkripsi standar industri yang setara.
  • Enkripsi selama transmisi menggunakan TLS 1.2 atau versi yang lebih tinggi untuk semua transmisi data.
  • Cadangan terenkripsi dengan tingkat perlindungan yang sama seperti data produksi.

2.1.2 Kontrol Akses:

  • Kontrol akses berbasis peran (RBAC) yang membatasi akses ke informasi kesehatan pribadi (PHI) hanya untuk personel yang berwenang.
  • Otentikasi multi-faktor (MFA) diwajibkan untuk semua akses administratif.
  • Identifikasi pengguna unik untuk semua orang yang memiliki akses ke ePHI
  • Logout otomatis setelah periode ketidakaktifan
  • Prosedur akses darurat dengan jejak audit

2.1.3 Pemantauan Keamanan:

  • Audit keamanan rutin dan penilaian kerentanan (setidaknya sekali setahun)
  • Pemantauan berkelanjutan terhadap upaya akses yang tidak sah
  • Sistem deteksi dan pencegahan intrusi
  • Pembaruan keamanan rutin dan pembaruan sistem secara berkala untuk semua sistem.

2.2 Penggunaan dan Pengungkapan PHI yang Diperbolehkan

2.2.1 Mitra Bisnis hanya dapat menggunakan dan mengungkapkan PHI sebagaimana diizinkan atau diwajibkan oleh Perjanjian ini atau sebagaimana diwajibkan oleh undang-undang.

2.2.2 Mitra Bisnis dapat menggunakan PHI untuk pengelolaan dan administrasi yang tepat atas layanan Mitra Bisnis, termasuk:

  • Penyimpanan, penyimpanan, dan pencadangan formulir pendaftaran pasien dan riwayat kesehatan.
  • Pengiriman PHI ke Entitas Terkait melalui tautan aman yang kedaluwarsa dalam waktu tertentu
  • Dukungan teknis dan pemecahan masalah ketika secara eksplisit diminta oleh Entitas yang Tercover
  • Pemeliharaan sistem dan optimasi kinerja

2.2.3 Mitra Bisnis dapat mengungkapkan PHI untuk pengelolaan dan administrasi yang tepat dari Mitra Bisnis hanya jika:

  • Pengungkapan ini diwajibkan oleh undang-undang; atau
  • Mitra Bisnis memperoleh jaminan yang wajar dari pihak yang menerima informasi bahwa informasi tersebut akan dijaga kerahasiaannya dan hanya akan digunakan atau diungkapkan lebih lanjut sesuai dengan ketentuan hukum yang berlaku atau untuk tujuan yang telah disepakati saat informasi tersebut diungkapkan kepada pihak tersebut, serta pihak tersebut memberitahukan Mitra Bisnis mengenai setiap kasus yang diketahui di mana kerahasiaan informasi tersebut telah dilanggar.

2.2.4 Mitra Bisnis dapat mendeklasifikasi PHI sesuai dengan 45 CFR § 164.514(a)-(c) dan menggunakan data yang telah dideklasifikasi tersebut untuk tujuan perbaikan sistem, analisis, dan jaminan kualitas. Mitra Bisnis tidak boleh mencoba untuk mengidentifikasi kembali informasi yang telah dideklasifikasi.

2.2.5 Penggunaan yang Dilarang: Mitra Bisnis TIDAK BOLEH:

  • Menggunakan PHI untuk tujuan pemasaran tanpa izin tertulis yang jelas dari Entitas Terkait.
  • Menjual PHI atau menggunakan PHI untuk tujuan komersial apa pun yang tidak langsung terkait dengan penyediaan layanan.
  • Berbagi PHI dengan layanan analitik pihak ketiga, model pelatihan AI, atau sistem pembelajaran mesin tanpa izin tertulis yang jelas.
  • Mengungkapkan PHI kepada pihak mana pun yang tidak tercakup dalam Perjanjian Mitra Bisnis Hulu.

2.3 Standar Minimum yang Diperlukan

Mitra Bisnis wajib membatasi penggunaan, pengungkapan, atau permintaan PHI hanya pada yang diperlukan untuk mencapai tujuan yang dimaksud, sesuai dengan 45 CFR § 164.502(b) dan § 164.514(d).

2.4 Pengamanan yang Tepat

Mitra Bisnis wajib menggunakan langkah-langkah pengamanan administratif, fisik, dan teknis yang memadai untuk melindungi kerahasiaan, integritas, dan ketersediaan ePHI yang diciptakan, diterima, disimpan, atau dikirimkan atas nama Entitas Terkait, sesuai dengan 45 CFR Bagian 164, Subbagian C (Aturan Keamanan).

2.5 Persyaratan Pelaporan

2.5.1 Pemberitahuan Pelanggaran: Mitra Bisnis wajib melaporkan kepada Entitas Terkait setiap pelanggaran terhadap PHI yang tidak aman yang diketahui dalam waktu lima (5) hari kerja sejak penemuan, atau lebih cepat jika diwajibkan oleh undang-undang yang berlaku. Pemberitahuan tersebut harus mencakup, sejauh mungkin:

  • Deskripsi tentang Pelanggaran, termasuk tanggal terjadinya Pelanggaran dan tanggal penemuan Pelanggaran.
  • Identifikasi individu-individu yang PHI-nya telah diakses, diperoleh, digunakan, atau diungkapkan selama Pelanggaran.
  • Penjelasan mengenai jenis-jenis PHI yang terlibat (misalnya, nama lengkap, nomor Jaminan Sosial, tanggal lahir, nomor rekam medis)
  • Ringkasan singkat tentang apa yang dilakukan oleh Mitra Bisnis dalam menyelidiki Pelanggaran, memitigasi dampak negatif terhadap individu, dan melindungi dari Pelanggaran lebih lanjut.
  • Informasi kontak untuk individu yang ingin mengajukan pertanyaan atau mendapatkan informasi tambahan.

2.5.2 Pelaporan Insiden Keamanan: Mitra Bisnis wajib melaporkan Insiden Keamanan kepada Entitas Terkait atas permintaan atau sebagaimana disepakati lainnya. Pihak Terkait dan Entitas Terkait mengakui bahwa bagian ini merupakan pemberitahuan dari Pihak Terkait kepada Entitas Terkait mengenai keberadaan dan terjadinya Insiden Keamanan yang gagal (seperti upaya login yang gagal, ping, pemindaian port, serangan penolakan layanan, dan malware yang tidak mengakibatkan akses ke ePHI). Pihak Terkait wajib melaporkan Insiden Keamanan yang berhasil dalam jangka waktu yang sama dengan pelanggaran.

2.5.3 Penggunaan atau Pengungkapan yang Tidak Sesuai: Mitra Bisnis wajib melaporkan kepada Entitas Terkait setiap penggunaan atau pengungkapan PHI yang tidak diatur dalam Perjanjian ini dalam waktu lima (5) hari kerja sejak mengetahui adanya penggunaan atau pengungkapan tersebut.

2.6 Perjanjian Subkontraktor

2.6.1 Mitra Bisnis wajib memastikan bahwa setiap Subkontraktor yang menciptakan, menerima, menyimpan, atau mentransmisikan PHI atas nama Mitra Bisnis setuju secara tertulis untuk mematuhi batasan, syarat, dan ketentuan yang sama yang berlaku bagi Mitra Bisnis sehubungan dengan PHI tersebut.

2.6.2 Subkontraktor saat ini meliputi:

  • Amazon Web Services (AWS) - Infrastruktur hosting dan penyimpanan cloud
  • Supabase - Layanan basis data
  • Penyedia layanan email untuk pengiriman yang aman dari PHI

2.6.3 Mitra Bisnis wajib memperoleh dan mempertahankan Perjanjian Mitra Bisnis yang sah dengan semua Subkontraktor yang menangani Informasi Kesehatan Pribadi (PHI) dan wajib menyediakan salinan perjanjian tersebut kepada Entitas Terkait atas permintaan yang wajar.

2.6.4 Mitra Bisnis wajib memberitahukan Entitas Terkait mengenai perubahan apa pun pada Subkontraktor dalam waktu tiga puluh (30) hari sejak terjadinya perubahan tersebut.

2.7 Akses ke PHI

2.7.1 Dalam waktu sepuluh (10) hari kerja sejak permintaan dari Entitas Terkait, Mitra Bisnis wajib menyediakan PHI dalam Set Catatan yang Ditunjuk yang dikelola oleh atau untuk Mitra Bisnis kepada Entitas Terkait atau, sesuai arahan Entitas Terkait, kepada individu, dalam waktu dan cara yang ditentukan oleh Entitas Terkait, untuk memungkinkan Entitas Terkait memenuhi kewajibannya sesuai dengan 45 CFR § 164.524.

2.7.2 Jika Mitra Bisnis menyimpan Set Catatan yang Ditunjuk secara elektronik, Mitra Bisnis wajib menyediakan PHI dalam format elektronik agar Entitas yang Terkait dapat memenuhi kewajibannya sesuai dengan 45 CFR § 164.524(c)(2)(ii).

2.8 Perubahan atas PHI

Dalam waktu sepuluh (10) hari kerja sejak menerima permintaan dari Entitas Terkait, Mitra Bisnis wajib menyediakan PHI yang disimpan dalam Set Catatan yang Ditunjuk untuk diperbarui dan memasukkan setiap perubahan pada PHI dalam Set Catatan yang Ditunjuk sesuai dengan 45 CFR § 164.526, sebagaimana diarahkan oleh Entitas Terkait.

2.9 Pelaporan Pengungkapan

2.9.1 Mitra Bisnis wajib mendokumentasikan semua pengungkapan PHI dan informasi yang terkait dengan pengungkapan tersebut, sebagaimana diperlukan oleh Entitas Terkait untuk menanggapi permintaan individu mengenai catatan pengungkapan sesuai dengan 45 CFR § 164.528.

2.9.2 Dalam waktu sepuluh (10) hari kerja sejak pemberitahuan dari Entitas Terkait bahwa Entitas Terkait telah menerima permintaan untuk membuat daftar pengungkapan PHI, Mitra Bisnis wajib menyediakan kepada Entitas Terkait informasi yang ada dalam kepemilikan Mitra Bisnis dan yang diperlukan oleh Entitas Terkait untuk membuat daftar pengungkapan yang diwajibkan oleh 45 CFR § 164.528.

2.9.3 Mitra Bisnis wajib menyimpan catatan akuntansi setidaknya selama enam (6) tahun sejak tanggal pengungkapan.

2.10 Akses ke Buku dan Catatan

Mitra Bisnis wajib menyediakan praktik internal, buku, dan catatan yang berkaitan dengan penggunaan dan pengungkapan PHI yang diterima dari, atau dibuat atau diterima oleh Mitra Bisnis atas nama, Entitas Terkait kepada Menteri Kesehatan dan Layanan Kemanusiaan untuk tujuan menentukan kepatuhan Entitas Terkait terhadap Peraturan HIPAA, dalam waktu dan cara yang ditentukan oleh Menteri.

2.11 Kepatuhan terhadap Undang-Undang HITECH

Mitra Bisnis wajib mematuhi persyaratan yang berlaku sesuai dengan Undang-Undang HITECH dan peraturan yang dikeluarkan berdasarkan undang-undang tersebut, termasuk namun tidak terbatas pada:

  • Pembatasan penjualan PHI (42 U.S.C. § 17935(d))
  • Pembatasan pemasaran (42 U.S.C. § 17936(a))
  • Pelaporan pengungkapan (42 U.S.C. § 17935(c))
  • Persyaratan pemberitahuan dalam hal terjadi pelanggaran (42 U.S.C. § 17932)

3. Kewajiban Entitas yang Tercover

3.1 Pemberitahuan tentang Kebijakan Privasi

Entitas yang Terkait wajib memberikan kepada Mitra Bisnis salinan Pemberitahuan Praktik Privasi dan setiap perubahannya, sejauh Pemberitahuan atau perubahan tersebut mempengaruhi penggunaan dan pengungkapan yang diizinkan atau diwajibkan bagi Mitra Bisnis.

3.2 Izin untuk Menggunakan atau Mengungkapkan

Entitas Terkait tidak boleh meminta Mitra Bisnis untuk menggunakan atau mengungkapkan PHI dengan cara apa pun yang tidak diperbolehkan berdasarkan Aturan Privasi jika dilakukan oleh Entitas Terkait, kecuali sebagaimana diizinkan berdasarkan 45 CFR §§ 164.504(e)(2) dan 164.504(e)(3).

3.3 Pembatasan Penggunaan dan Pengungkapan

Entitas Terkait wajib memberitahukan kepada Mitra Bisnis mengenai setiap pembatasan penggunaan atau pengungkapan PHI yang telah disetujui oleh Entitas Terkait sesuai dengan 45 CFR § 164.522, sejauh pembatasan tersebut mempengaruhi penggunaan atau pengungkapan PHI oleh Mitra Bisnis.

3.4 Permintaan yang Diperbolehkan

Entitas Terkait menyatakan dan menjamin bahwa setiap PHI yang disediakan kepada Pihak Terkait, atau PHI yang dibuat atau diterima oleh Pihak Terkait atas nama Entitas Terkait, dilakukan sesuai dengan Peraturan HIPAA.

4. Masa Berlakunya dan Pengakhiran

4.1 Istilah

Perjanjian ini berlaku efektif sejak tanggal Entitas Terkait menerima syarat-syarat ini (secara elektronik atau tertulis) dan tetap berlaku hingga semua PHI yang disediakan oleh Entitas Terkait kepada Mitra Bisnis, atau yang dibuat, diterima, atau disimpan oleh Mitra Bisnis atas nama Entitas Terkait, dihancurkan atau dikembalikan kepada Entitas Terkait, atau, jika tidak memungkinkan untuk mengembalikan atau menghancurkan PHI, perlindungan akan diperluas terhadap PHI tersebut sesuai dengan ketentuan pengakhiran dalam Bagian ini.

4.2 Pemutusan Hubungan Kerja karena Alasan Tertentu

4.2.1 Pihak yang Terikat dapat mengakhiri Perjanjian ini secara segera dengan memberikan pemberitahuan tertulis kepada Pihak Mitra Bisnis jika Pihak yang Terikat menentukan bahwa Pihak Mitra Bisnis telah melanggar ketentuan material dalam Perjanjian ini dan tidak memperbaiki pelanggaran tersebut dalam waktu tiga puluh (30) hari sejak menerima pemberitahuan tertulis mengenai pelanggaran dari Pihak yang Terikat.

4.2.2 Mitra Bisnis dapat mengakhiri Perjanjian ini secara segera dengan pemberitahuan tertulis jika Entitas Terkait telah melanggar ketentuan material dan tidak memperbaiki pelanggaran tersebut dalam waktu tiga puluh (30) hari sejak menerima pemberitahuan tertulis.

4.2.3 Salah satu pihak dapat mengakhiri Perjanjian ini secara segera dengan pemberitahuan tertulis jika pihak lain menjadi objek permohonan pailit, menjadi tidak mampu membayar utang, atau melakukan penugasan untuk kepentingan kreditor.

4.3 Dampak Penghentian

4.3.1 Pengembalian atau Pemusnahan PHI:

Setelah berakhirnya Perjanjian ini karena alasan apa pun, Mitra Bisnis wajib:

a) Masa Pengambilan: Memberikan Entitas Terkait waktu tiga puluh (30) hari untuk mengambil atau mengekspor semua PHI dari sistem Mitra Bisnis. Selama periode ini, Mitra Bisnis wajib:

  • Pastikan akses penuh bagi Entitas Terkait terhadap semua Informasi Kesehatan Pribadi (PHI).
  • Memberikan bantuan teknis untuk ekspor data
  • Sediakan data dalam format yang umum digunakan dan dapat dibaca oleh mesin.
  • Tidak mengenakan biaya tambahan untuk ekspor data standar.

b) Penghancuran: Setelah masa pengambilan data selama tiga puluh (30) hari berakhir, Mitra Bisnis wajib:

  • Hapus secara permanen atau musnahkan semua PHI dalam segala bentuk (elektronik dan fisik).
  • Hapus secara aman semua media penyimpanan yang mengandung PHI sesuai dengan Pedoman Sanitasi Media dalam Publikasi Khusus NIST 800-88.
  • Hapus semua PHI dari sistem cadangan dalam waktu sembilan puluh (90) hari atau pada siklus cadangan berikutnya.
  • Berikan sertifikat tertulis tentang penghancuran kepada Entitas yang Terkait dalam waktu sepuluh (10) hari setelah penyelesaian.

4.3.2 Ketidakmungkinan Pengembalian atau Pemusnahan:

Jika Mitra Bisnis menentukan bahwa mengembalikan atau menghancurkan PHI tidak memungkinkan, Mitra Bisnis harus:

  • Berikan pemberitahuan tertulis kepada Entitas yang Terkait menjelaskan alasan spesifik mengapa pengembalian atau penghancuran tidak memungkinkan.
  • Perluas perlindungan Perjanjian ini untuk mencakup PHI tersebut.
  • Membatasi penggunaan dan pengungkapan lebih lanjut dari PHI tersebut hanya untuk tujuan-tujuan yang membuat pengembalian atau penghancuran menjadi tidak mungkin.
  • Tidak menggunakan atau mengungkapkan PHI tersebut untuk tujuan lain apa pun.

Contoh ketidakmungkinan meliputi, namun tidak terbatas pada: persyaratan hukum atau peraturan untuk menyimpan catatan, batasan teknis sistem cadangan, atau litigasi yang sedang berlangsung atau penyelidikan pemerintah.

4.4 Kelangsungan Hidup

Kewajiban Mitra Bisnis sebagaimana diatur dalam Pasal 4.3 (Dampak Pengakhiran) dan Pasal 7 (Tanggung Jawab dan Ganti Rugi) tetap berlaku meskipun Perjanjian ini telah berakhir.

5. Hak Audit

5.1 Permohonan Dokumen

Dengan pemberitahuan tertulis yang wajar (tidak kurang dari lima belas (15) hari kerja), Entitas Terkait dapat meminta Mitra Bisnis untuk menyediakan dokumen mengenai kebijakan keamanan, kontrol enkripsi, catatan audit, catatan pelatihan karyawan, dan Perjanjian Mitra Bisnis Subkontraktor untuk tujuan menentukan kepatuhan Mitra Bisnis terhadap Perjanjian ini.

5.2 Metode Audit

Mitra Bisnis dapat memenuhi persyaratan audit melalui salah satu metode berikut:

  • Ringkasan tertulis tentang pengendalian keamanan, kebijakan, dan prosedur
  • Laporan kepatuhan pihak ketiga (misalnya, SOC 2 Tipe II, sertifikasi HITRUST, ISO 27001)
  • Catatan audit untuk periode waktu tertentu (dihapus identitasnya jika memungkinkan)
  • Inspeksi virtual atau tatap muka terhadap fasilitas dan sistem, dengan kesepakatan bersama mengenai tanggal dan ruang lingkupnya.

5.3 Frekuensi Audit

Entitas yang Tercover dapat meminta audit tidak lebih dari sekali dalam setahun kalender kecuali:

  • Telah terjadi pelanggaran atau insiden keamanan.
  • Diwajibkan oleh undang-undang atau peraturan.
  • Entitas yang Terkait memiliki alasan yang wajar untuk percaya bahwa Mitra Bisnis tidak mematuhi ketentuan.

5.4 Biaya Audit

Setiap pihak bertanggung jawab atas biaya audit yang ditanggungnya sendiri, kecuali jika audit mengungkapkan pelanggaran material oleh Mitra Bisnis, dalam hal ini Mitra Bisnis wajib mengganti biaya audit yang wajar kepada Entitas Terkait.

5.5 Kerahasiaan

Setiap informasi yang diungkapkan selama audit harus dianggap sebagai informasi bisnis rahasia dan hanya digunakan untuk tujuan memverifikasi kepatuhan terhadap Perjanjian ini.

6. Tanggung Jawab dan Ganti Rugi

6.1 Tanggung Jawab Bersama

Setiap pihak bertanggung jawab atas tindakan atau kelalaiannya sendiri, serta tindakan atau kelalaian karyawan, agen, atau subkontraktornya, sehubungan dengan Perjanjian ini sejauh diizinkan oleh hukum.

6.2 Batasan Tanggung Jawab

6.2.1 Kecuali sebagaimana diatur dalam Pasal 6.2.2, total tanggung jawab Mitra Bisnis terhadap Entitas Terkait berdasarkan Perjanjian ini untuk segala klaim yang timbul dari atau berkaitan dengan Perjanjian ini tidak melebihi jumlah yang setara dengan dua belas (12) bulan biaya yang telah dibayarkan atau akan dibayarkan oleh Entitas Terkait kepada Mitra Bisnis.

6.2.2 Batasan yang tercantum dalam Pasal 6.2.1 tidak berlaku untuk:

  • Perilaku sengaja yang melanggar aturan atau perbuatan salah yang disengaja
  • Kelalaian berat
  • Pelanggaran sengaja terhadap kewajiban kerahasiaan
  • Perilaku kriminal
  • Pelanggaran HIPAA yang disebabkan oleh kegagalan Mitra Bisnis dalam menerapkan langkah-langkah pengamanan yang diwajibkan.
  • Kewajiban berdasarkan Pasal 6.3 (Ganti Rugi)

6.2.3 Tidak ada pihak yang bertanggung jawab atas kerugian tidak langsung, insidental, konsekuensial, khusus, atau hukuman, termasuk namun tidak terbatas pada kerugian keuntungan, Kehilangan Data, Atau Kehilangan Kesempatan Bisnis, Bahkan Jika Telah Diberitahu Tentang Kemungkinan Kerugian Tersebut, Kecuali Jika Kerugian Tersebut Disebabkan Oleh Kelalaian Berat Atau Perilaku Sengaja Yang Melanggar Hukum.

6.3 Ganti Rugi oleh Mitra Bisnis

Pihak Terkait Bisnis wajib mengganti rugi, membela, dan membebaskan Entitas Terkait, direksi, pejabat, karyawan, dan agennya dari dan terhadap segala klaim, tanggung jawab, ganti rugi, kerugian, biaya, dan pengeluaran (termasuk biaya pengacara yang wajar) yang timbul dari atau berkaitan dengan:

  • Pelanggaran Perjanjian ini oleh Mitra Bisnis
  • Pelanggaran Aturan HIPAA oleh Mitra Bisnis
  • Penggunaan atau pengungkapan PHI secara tidak sah oleh Mitra Bisnis
  • Tuntutan dari pihak ketiga yang timbul akibat tindakan atau kelalaian Mitra Bisnis.
  • Pelanggaran atau Insiden Keamanan yang disebabkan oleh Mitra Bisnis atau Subkontraktornya

Kewajiban ganti rugi ini tidak berlaku sejauh klaim, kewajiban, kerugian, biaya, atau pengeluaran tersebut disebabkan oleh pelanggaran Perjanjian ini atau pelanggaran Aturan HIPAA oleh Entitas yang Dilindungi.

6.4 Ganti Rugi oleh Entitas yang Dilindungi

Entitas yang Ditanggung akan mengganti rugi, membela, dan membebaskan Mitra Bisnis, direksi, pejabat, karyawan, dan agennya dari dan terhadap segala klaim, tanggung jawab, ganti rugi, kerugian, biaya, dan pengeluaran (termasuk biaya pengacara yang wajar) yang timbul dari atau berkaitan dengan:

  • Pelanggaran Perjanjian ini oleh Entitas yang Terikat
  • Pelanggaran Entitas Terkait terhadap Aturan HIPAA
  • Penyediaan PHI yang tidak akurat atau tidak lengkap oleh Entitas Terkait kepada Mitra Bisnis
  • Petunjuk dari Entitas yang Dilindungi kepada Mitra Bisnis yang melanggar Peraturan HIPAA

6.5 Asuransi

Setiap pihak wajib mempertahankan asuransi yang memadai, termasuk asuransi tanggung jawab siber, dengan jumlah yang cukup untuk menanggung potensi tanggung jawab berdasarkan Perjanjian ini. Atas permintaan, setiap pihak wajib memberikan sertifikat asuransi kepada pihak lainnya.

7. Perubahan dan Perbaikan Peraturan

7.1 Perubahan Peraturan

Para pihak mengakui bahwa Peraturan HIPAA dapat diubah dari waktu ke waktu oleh Menteri Kesehatan dan Layanan Kemanusiaan. Mitra Bisnis setuju untuk menerapkan perubahan pada praktik, kebijakan, dan prosedurnya sebagaimana diperlukan untuk tetap mematuhi Peraturan HIPAA yang telah diubah.

7.2 Perubahan Perjanjian

7.2.1 Mitra Bisnis wajib memberitahukan Entitas Terkait mengenai perubahan material apa pun pada Aturan HIPAA yang mempengaruhi Perjanjian ini dalam waktu tiga puluh (30) hari sejak tanggal berlaku perubahan tersebut.

7.2.2 Jika salah satu pihak menentukan bahwa perubahan terhadap Perjanjian ini diperlukan untuk mematuhi perubahan dalam Peraturan HIPAA, para pihak akan bernegosiasi dengan itikad baik untuk mengubah Perjanjian ini sesuai dengan perubahan tersebut.

7.2.3 Perjanjian ini tidak dapat diubah kecuali dengan perjanjian tertulis yang ditandatangani oleh perwakilan yang berwenang dari kedua belah pihak.

7.2.4 Mitra Bisnis berhak untuk memperbarui versi Perjanjian ini dari waktu ke waktu. Versi yang diperbarui akan diunggah di situs web Mitra Bisnis, dan Entitas Terkait akan diberitahu melalui email setidaknya tiga puluh (30) hari sebelum tanggal berlaku perubahan yang material.

8. Ketentuan-ketentuan Lainnya

8.1 Hukum yang Berlaku

Perjanjian ini akan diatur dan ditafsirkan sesuai dengan hukum negara tempat Entitas yang Terkait berkedudukan, tanpa memperhatikan ketentuan pertentangan hukumnya, kecuali sejauh hukum federal mengesampingkan hukum negara.

8.2 Yurisdiksi dan Tempat Sidang

Setiap tindakan hukum yang timbul dari atau berkaitan dengan Perjanjian ini harus diajukan secara eksklusif di pengadilan negara bagian atau federal yang berlokasi di yurisdiksi tempat Entitas Terkait memiliki kantor pusatnya.

8.3 Penafsiran

Setiap ketidakjelasan dalam Perjanjian ini akan diselesaikan dengan mengutamakan makna yang memungkinkan Entitas Terkait untuk mematuhi Aturan HIPAA. Dalam hal terdapat pertentangan antara ketentuan dalam Perjanjian ini dan Aturan HIPAA, Aturan HIPAA yang akan berlaku.

8.4 Tidak Ada Pihak Ketiga yang Diuntungkan

Tidak ada ketentuan dalam Perjanjian ini yang memberikan hak, ganti rugi, kewajiban, atau tanggung jawab apa pun kepada pihak mana pun selain para pihak dan penerus atau penerima hak masing-masing.

8.5 Pembebasan Tanggung Jawab

Kegagalan salah satu pihak untuk menegakkan ketentuan apa pun dalam Perjanjian ini tidak akan dianggap sebagai pengabaian terhadap ketentuan tersebut atau ketentuan lain, dan kegagalan tersebut tidak akan menghalangi pihak tersebut untuk menegakkan ketentuan tersebut pada waktu yang akan datang.

8.6 Ketentuan yang Dapat Dipisahkan

Jika salah satu ketentuan dalam Perjanjian ini dinyatakan tidak sah atau tidak dapat ditegakkan, ketentuan-ketentuan lainnya tetap berlaku secara penuh dan efektif, dan ketentuan yang tidak sah atau tidak dapat ditegakkan tersebut akan dimodifikasi dengan perubahan minimal yang diperlukan agar menjadi sah dan dapat ditegakkan.

8.7 Penugasan

Tidak ada pihak yang boleh mengalihkan Perjanjian ini tanpa persetujuan tertulis terlebih dahulu dari pihak lainnya, kecuali bahwa Mitra Bisnis dapat mengalihkan Perjanjian ini kepada entitas penerus sehubungan dengan merger, akuisisi, atau penjualan seluruh atau sebagian besar asetnya, dengan syarat bahwa pihak yang menerima pengalihan setuju untuk mengambil alih semua kewajiban berdasarkan Perjanjian ini.

8.8 Perjanjian Lengkap

Perjanjian ini, bersama dengan Perjanjian Layanan apa pun antara para pihak, merupakan perjanjian lengkap antara para pihak sehubungan dengan objek perjanjian ini dan menggantikan semua perjanjian lisan atau tertulis sebelumnya atau yang bersamaan mengenai objek perjanjian tersebut.

8.9 Pemberitahuan

Semua pemberitahuan yang diwajibkan atau diizinkan berdasarkan Perjanjian ini harus dibuat secara tertulis dan dianggap telah diberikan pada saat:

  • Dikirim secara langsung
  • Dikirim melalui transmisi email yang telah dikonfirmasi
  • Dikirim melalui pos tercatat atau pos terdaftar, dengan permintaan tanda terima pengembalian.
  • Dikirim oleh layanan kurir overnight yang diakui secara nasional.

Pemberitahuan kepada Mitra Bisnis harus dikirimkan ke: Dental Education, Inc. d/b/a Intake.Dental 1041 N. Dupont Hwy Dover, DE 19901 Email: support@intake.dental

Pemberitahuan kepada Entitas yang Terkait akan dikirimkan ke alamat email dan alamat fisik yang telah disediakan saat pendaftaran.

8.10 Keadaan Kahar

Tidak ada pihak yang bertanggung jawab atas keterlambatan atau kegagalan dalam pelaksanaan yang disebabkan oleh faktor di luar kendali wajarnya, termasuk namun tidak terbatas pada bencana alam, perang, terorisme, kerusuhan, perselisihan buruh, atau tindakan pemerintah, dengan syarat bahwa pihak yang terkena dampak memberikan pemberitahuan segera kepada pihak lain dan menggunakan upaya yang wajar untuk melanjutkan pelaksanaan.

8.11 Salinan dan Tanda Tangan Elektronik

Perjanjian ini dapat ditandatangani dalam beberapa salinan, masing-masing salinan tersebut dianggap sebagai salinan asli, dan seluruh salinan tersebut secara bersama-sama membentuk satu dokumen yang sama. Tanda tangan elektronik dan tanda tangan yang dikirimkan secara elektronik memiliki kekuatan dan efek yang sama dengan tanda tangan asli.

9. Penerimaan dan Pelaksanaan

9.1 Metode Penerimaan

Perjanjian Mitra Bisnis ini dianggap telah ditandatangani secara lengkap dan mengikat ketika:

  • Penerimaan Elektronik: Diterima secara digital melalui tanda tangan elektronik selama proses pendaftaran akun online atau proses checkout; ATAU
  • Tanda Tangan Tertulis: Ditandatangani oleh perwakilan yang berwenang dari kedua belah pihak melalui tanda tangan elektronik atau fisik.

9.2 Kewenangan untuk Menandatangani

Dengan menandatangani Perjanjian ini, Pihak yang Menandatangani menyatakan dan menjamin bahwa mereka memiliki wewenang penuh untuk mengikat Entitas yang Terikat pada syarat dan ketentuan Perjanjian ini.

9.3 Penyimpanan Dokumen

Kedua belah pihak wajib menyimpan salinan Perjanjian ini yang telah ditandatangani selama minimal enam (6) tahun sejak tanggal berakhirnya atau kedaluwarsanya Perjanjian ini, atau selama periode yang lebih lama sebagaimana diwajibkan oleh undang-undang.

10. Definisi Istilah Layanan Utama

Untuk tujuan Perjanjian ini, ketentuan-ketentuan khusus layanan berikut berlaku:

10.1 Dental Forms Pro Platform: Platform perangkat lunak berbasis cloud sebagai layanan (SaaS) yang disediakan oleh Mitra Bisnis untuk membuat, mengumpulkan, menyimpan, dan mengirimkan formulir pendaftaran pasien, riwayat kesehatan, dan dokumen terkait lainnya.

10.2 Tautan yang Kadaluwarsa: Tautan URL yang aman dan berbatas waktu yang dihasilkan oleh platform, yang memungkinkan Entitas Terkait untuk mengakses PHI selama periode tertentu (biasanya 48-72 jam), setelah itu tautan tersebut secara otomatis kadaluwarsa dan tidak dapat diakses lagi.

10.3 Penyimpanan Awan: Layanan penyimpanan terenkripsi yang disediakan melalui infrastruktur AWS S3 dan Supabase, digunakan untuk menyimpan PHI secara aman atas nama Entitas Terkait.

10.4 Pengajuan Data Pasien: Formulir elektronik yang diisi oleh pasien yang mengandung Informasi Kesehatan Pribadi (PHI), termasuk namun tidak terbatas pada riwayat medis, obat-obatan yang sedang digunakan, alergi, informasi asuransi, dan formulir persetujuan.

Informasi Kontak

Untuk pertanyaan mengenai Perjanjian Mitra Bisnis ini atau masalah kepatuhan HIPAA:

Dental Education, Inc. d/b/a Intake.Dental
Email: support@intake.dental
Website: https://intake.dental
Pejabat Kepatuhan: Jordan Thomas
Telepon: (916) 752-2280

Informasi Dokumen

Versi Perjanjian: baa_v2025-10-17
Diperbarui Terakhir: 17 Oktober 2025
Tanggal Revisi Berikutnya: 17 Oktober 2026

Perjanjian Mitra Bisnis ini sesuai dengan:

  • Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) Tahun 1996
  • Undang-Undang Teknologi Informasi Kesehatan untuk Kesehatan Ekonomi dan Klinis (HITECH) Tahun 2009
  • 45 CFR Bagian 160 dan 164 (Aturan Privasi, Keamanan, dan Pemberitahuan Pelanggaran HIPAA)
  • ESIGN Act (Undang-Undang Tanda Tangan Elektronik dalam Perdagangan Global dan Nasional)

PEMBERITAHUAN PENTING UNTUK ENTITAS YANG TERLIBAT:

Dengan melanjutkan proses checkout atau mengklik "Saya Setuju," Anda menyetujui bahwa:

  1. Anda telah membaca dan memahami seluruh Perjanjian Mitra Bisnis ini.
  2. Anda adalah wakil yang berwenang dari praktik/entitas Anda yang memiliki wewenang untuk menandatangani Perjanjian ini.
  3. Anda setuju untuk terikat oleh semua syarat dan ketentuan yang tercantum di sini.
  4. Tanda tangan elektronik Anda akan memiliki kekuatan hukum yang mengikat dan setara dengan tanda tangan tertulis.
  5. Perjanjian ini akan tetap berlaku selama masa hubungan layanan kami dan setelahnya sesuai dengan ketentuan pengakhiran yang tercantum dalam perjanjian ini.

Ini adalah perjanjian yang mengikat secara hukum. Silakan simpan salinannya untuk arsip Anda.

Untuk dukungan teknis atau pertanyaan: support@intake.dental
Untuk pertanyaan terkait kepatuhan HIPAA: support@intake.dental

Document ID: BAA-{Generated upon acceptance}
Generated: {Date of acceptance}