업무 협력 계약서

보호된 건강 정보에 대한 HIPAA 준수 계약서

발효일: 수락 즉시
버전: baa_v2025-10-17

본 계약의 당사자들

대상 기관: 서비스를 구매하는 치과 진료소 또는 의료 기관("대상 기관")

사업 협력사: Dental Education, Inc. (상호명: Intake.Dental, 이하 "사업 협력사")

제품/서비스: Dental Forms Pro - 클라우드 기반 환자 접수, 건강 기록 관리 및 보호 건강 정보(PHI) 문서 저장 서비스

리사이틀

한편, 해당 기관은 1996년 건강보험 이동성 및 책임법("HIPAA"), 경제 및 임상 건강을 위한 건강정보기술법("HITECH 법") 및 관련 규정(총칭하여 "HIPAA 규정")의 적용을 받는 의료 서비스 제공자임;

비즈니스 협력사는 피보험 기관을 대신하여 보호 대상 건강 정보의 생성, 수신, 유지 관리, 전송 또는 접근을 포함하는 클라우드 기반 소프트웨어 서비스를 제공합니다;

한편, HIPAA 규칙은 피보호 건강 정보에 대한 적절한 보호 조치를 보장하기 위해 피보호 기관이 사업 협력자와 사업 협력 계약을 체결할 것을 요구합니다;

이에 따라, 아래의 상호 약속 및 기타 타당하고 가치 있는 대가를 고려하여, 당사자들은 다음과 같이 합의한다:

1. 정의

본 계약에서 사용되나 별도로 정의되지 않은 용어는 HIPAA 규정(45 CFR 제160편 및 제164편)에 정의된 해당 용어와 동일한 의미를 가집니다.

1.1 보호 대상 건강 정보(PHI): 45 CFR § 160.103에 정의된 바와 같이, 전자 매체를 통해 전송되거나 전자 매체에 보관되거나 기타 형태 또는 매체로 전송 또는 보관되는 개인 식별이 가능한 건강 정보를 의미합니다. PHI에는 환자 이름, 주소, 생년월일, 사회보장번호, 의료기록번호, 건강보험 수혜자 번호, 계좌번호, 사진, 생체 인식 식별자 및 기타 고유 식별 번호, 특성 또는 코드와 함께 개인의 과거, 현재 또는 미래의 신체적·정신적 건강 상태, 개인에 대한 의료 서비스 제공, 또는 개인에 대한 의료 서비스 제공에 대한 과거, 현재 또는 미래의 지불과 관련된 건강 정보를 포함한다.

1.2 보안 사고: 정보 시스템에서 정보에 대한 시도되거나 성공한 무단 접근, 사용, 공개, 변경 또는 파괴, 또는 시스템 운영에 대한 방해 행위.

1.3 위반: 45 CFR § 164.402에 정의된 바와 같이, 개인정보 보호 규칙에서 허용되지 않는 방식으로 PHI를 취득, 접근, 사용 또는 공개하여 PHI의 보안 또는 프라이버시를 침해하는 행위. 단, PHI가 침해되었을 가능성이 낮은 공개는 제외한다.

1.4 전자적 보호 건강 정보(ePHI): 전자 매체를 통해 전송되거나 전자 매체에 보관되는 PHI.

1.5 법률상 요구사항: 법에 명시된 의무로서, 특정 기관이 PHI를 이용하거나 공개하도록 강제하며 법정에서 집행 가능한 것을 의미한다.

1.6 하도급업체: 비즈니스 어소시에이트가 자사 인력 구성원 자격이 아닌 다른 기능, 활동 또는 서비스를 위임하는 개인 또는 단체.

2. 업무 협력자의 의무 및 활동

2.1 데이터 저장 및 보안 기준

비즈니스 협력사는 모든 PHI를 다음의 보호 조치를 갖춘 안전하고 암호화된 환경에 독점적으로 저장해야 합니다:

2.1.1 암호화 요구사항:

  • 저장 시 AES-256 또는 동등한 업계 표준 암호화 기술 적용
  • 모든 데이터 전송에 TLS 1.2 이상을 사용한 전송 중 암호화
  • 생산 데이터와 동일한 수준의 보호를 제공하는 암호화된 백업

2.1.2 접근 제어:

  • 역할 기반 접근 제어(RBAC)를 통해 개인 건강 정보(PHI) 접근을 승인된 인원만 허용
  • 모든 관리 액세스에 다중 인증(MFA)이 필요합니다.
  • 전자건강정보(ePHI)에 접근 권한이 있는 모든 개인에 대한 고유 사용자 식별자
  • 일정 시간 동안 활동이 없을 경우 자동 로그오프
  • 감사 추적이 가능한 비상 접근 절차

2.1.3 보안 모니터링:

  • 정기적인 보안 감사 및 취약점 평가(최소 연 1회)
  • 무단 접근 시도에 대한 지속적인 모니터링
  • 침입 탐지 및 방어 시스템
  • 모든 시스템에 대한 정기적인 보안 패치 및 업데이트

2.2 개인건강정보(PHI)의 허용된 이용 및 공개

2.2.1 업무 협력자는 본 계약에서 허용하거나 요구하는 경우 또는 법률상 요구되는 경우에만 PHI를 사용 및 공개할 수 있습니다.

2.2.2 업무 협력자는 업무 협력자의 서비스 관리 및 운영을 적절히 수행하기 위해 PHI를 사용할 수 있으며, 여기에는 다음이 포함됩니다:

  • 환자 접수 양식 및 건강 기록의 호스팅, 저장 및 백업
  • 보안 처리된, 시간 제한이 적용되는 만료 링크를 통해 보호 대상 기관으로 PHI 전달
  • 해당 기관이 명시적으로 요청한 경우의 기술 지원 및 문제 해결
  • 시스템 유지보수 및 성능 최적화

2.2.3 업무 협력자는 다음의 경우에만 업무 협력자의 적절한 관리 및 운영을 위해 PHI를 공개할 수 있습니다:

  • 법률에 의해 공개가 요구되는 경우; 또는
  • 사업 협력자는 정보가 공개된 대상자로부터 해당 정보가 기밀로 유지되고 법률에 의해 요구되는 경우 또는 해당 대상자에게 공개된 목적에 한해 사용되거나 추가 공개될 것이라는 합리적인 확약을 확보하며, 해당 대상자는 정보의 기밀성이 침해된 사실을 인지한 모든 사례를 사업 협력자에게 통지합니다.

2.2.4 업무 협력자는 45 CFR § 164.514(a)-(c)에 따라 PHI를 비식별화할 수 있으며, 해당 비식별화된 데이터를 시스템 개선, 분석 및 품질 보증 목적으로 사용할 수 있습니다. 업무 협력자는 비식별화된 정보를 재식별화하려고 시도해서는 안 됩니다.

2.2.5 금지된 사용: 업무 협력사는 다음을 해서는 안 됩니다:

  • 피보험 기관의 명시적인 서면 승인 없이 마케팅 목적으로 PHI를 사용하지 마십시오.
  • 개인건강정보(PHI)를 판매하거나 서비스 제공과 직접적으로 관련되지 않은 상업적 목적으로 PHI를 사용하지 마십시오.
  • 명시적인 서면 승인 없이 제3자 분석 서비스, AI 훈련 모델 또는 머신러닝 시스템과 PHI를 공유하는 행위
  • 하위 사업 협력 계약의 적용을 받지 않는 당사자에게 PHI를 공개하는 행위

2.3 최소한의 필요 기준

사업 협력자는 45 CFR § 164.502(b) 및 § 164.514(d)에 따라 의도된 목적을 달성하는 데 필요한 최소한으로만 개인건강정보(PHI)의 이용, 공개 또는 요청을 제한하여야 한다.

2.4 적절한 안전장치

사업 협력자는 45 CFR Part 164, Subpart C(보안 규정)을 준수하여, 피보험 기관을 대신하여 생성, 수신, 유지 또는 전송하는 전자 건강 정보(ePHI)의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하기 위한 적절한 행정적, 물리적 및 기술적 보호 조치를 사용해야 합니다.

2.5 보고 요건

2.5.1 침해 통지: 업무 협력자는 보안이 적용되지 않은 PHI의 침해를 인지한 경우, 발견 후 5영업일 이내 또는 관련 법률에서 요구하는 경우 그보다 빠른 시일 내에 해당 침해를 피보험 기관에 보고해야 합니다. 통지에는 가능한 범위 내에서 다음 사항이 포함되어야 합니다:

  • 위반 사항에 대한 설명(위반 발생일 및 발견일 포함)
  • 해당 정보 유출 사건 동안 개인 건강 정보(PHI)에 접근, 취득, 사용 또는 공개된 것으로 확인되거나 합리적으로 추정되는 개인의 식별
  • 관련된 PHI 유형에 대한 설명(예: 성명, 사회보장번호, 생년월일, 의료기록번호)
  • 비즈니스 파트너가 보안 침해 사고를 조사하고, 개인에게 가해진 피해를 완화하며, 추가적인 보안 침해 사고를 방지하기 위해 수행 중인 조치에 대한 간략한 설명
  • 질문이나 추가 정보를 문의하기 위한 개인 연락처 정보

2.5.2 보안 사고 보고: 업무 협력사는 요청 시 또는 별도로 합의된 바에 따라 보안 사고를 피보험 기관에 보고해야 합니다. 사업 협력자와 피보호기관은 본 조항이 사업 협력자가 피보호기관에 시도되었으나 실패한 보안 사고(예: 실패한 로그인 시도, 핑, 포트 스캔, 서비스 거부 공격, ePHI 접근으로 이어지지 않은 악성코드 등)의 지속적 존재 및 발생에 대한 통지를 구성함을 인정합니다. 사업 협력자는 성공한 보안 사고를 침해 사고와 동일한 시간 내에 보고해야 합니다.

2.5.3 부적절한 사용 또는 공개: 업무 협력자는 본 계약에 규정되지 않은 PHI의 사용 또는 공개 사실을 인지한 날로부터 5영업일 이내에 해당 사용 또는 공개 사실을 피보험 기관에 보고해야 합니다.

2.6 하도급 계약

2.6.1 업무 협력자는 업무 협력자를 대신하여 PHI를 생성, 수신, 유지 또는 전송하는 모든 하도급업체가 해당 PHI와 관련하여 업무 협력자에게 적용되는 것과 동일한 제한 사항, 조건 및 요구 사항에 서면으로 동의하도록 보장해야 합니다.

2.6.2 현재 하도급업체는 다음과 같습니다:

  • Amazon Web Services (AWS) - 클라우드 호스팅 및 스토리지 인프라
  • Supabase - 데이터베이스 서비스
  • 개인 건강 정보(PHI)의 안전한 전달을 위한 이메일 서비스 제공업체

2.6.3 업무 협력사는 PHI를 취급하는 모든 하도급업체와 유효한 업무 협력 계약을 체결하고 유지해야 하며, 합리적인 요청이 있을 경우 해당 계약서의 사본을 피보험 기관에 제공해야 합니다.

2.6.4 업무 협력사는 하도급업체 변경 발생 시 30일 이내에 해당 변경 사항을 피보험 기관에 통지하여야 한다.

2.7 개인건강정보(PHI) 접근

2.7.1. 피보험 기관의 요청 후 10영업일 이내에, 업무 협력 기관은 피보험 기관이 45 CFR § 164.524에 따른 의무를 이행할 수 있도록 피보험 기관이 지정한 시간 및 방식으로, 업무 협력 기관이 보유하거나 업무 협력 기관을 위해 유지 관리하는 지정 기록 세트 내의 PHI를 피보험 기관 또는 피보험 기관의 지시에 따라 개인에게 제공해야 한다.

2.7.2 사업 협력자가 전자적 지정 기록 세트를 유지하는 경우, 사업 협력자는 피보험 기관이 45 CFR § 164.524(c)(2)(ii)에 따른 의무를 이행할 수 있도록 PHI를 전자 형식으로 제공하여야 한다.

2.8 개인건강정보(PHI)의 수정

피보험 기관으로부터 요청을 접수한 후 10영업일 이내에, 업무 협력 기관은 지정 기록 세트에 보관된 개인 건강 정보를 수정할 수 있도록 제공하고, 피보험 기관의 지시에 따라 45 CFR § 164.526에 따라 지정 기록 세트 내 개인 건강 정보에 대한 모든 수정을 반영하여야 한다.

2.9 공시 사항의 회계 처리

2.9.1 사업 협력자는 45 CFR § 164.528에 따라 개인이 공개 내역에 대한 회계를 요청할 경우 해당 기관이 이에 응답하는 데 필요한 모든 PHI 공개 및 해당 공개와 관련된 정보를 문서화해야 한다.

2.9.2 사업 협력자는 피보험 기관으로부터 PHI 공개 내역에 대한 회계 요청을 접수했다는 통지를 받은 후 10영업일 이내에, 피보험 기관이 45 CFR § 164.528에 따라 요구되는 회계를 수행하는 데 필요한 정보로서 사업 협력자가 보유한 정보를 피보험 기관에 제공하여야 한다.

2.9.3 업무 협력사는 공개일로부터 최소 6년간 회계 기록을 유지해야 합니다.

2.10 장부 및 기록 열람

사업 협력자는 건강보험 및 의료보조법(HIPAA) 규정 준수 여부 확인을 목적으로 보건복지부 장관의 지정 시기와 방식에 따라, 해당 기관으로부터 수령하거나 해당 기관을 대신하여 생성·수령한 개인건강정보(PHI)의 이용 및 공개와 관련된 내부 관행, 장부 및 기록을 보건복지부 장관에게 제공하여야 한다.

2.11 HITECH 법 준수

사업 협력사는 HITECH 법 및 이에 따라 제정된 규정의 적용 가능한 요건을 준수하여야 하며, 이는 다음을 포함하되 이에 국한되지 않습니다:

  • 개인건강정보(PHI) 판매 제한 (42 U.S.C. § 17935(d))
  • 마케팅 제한 (미국 연방법전 제42편 제17936조 (a))
  • 공개에 관한 회계 처리 (42 U.S.C. § 17935(c))
  • 정보 유출 발생 시 통지 의무 (42 U.S.C. § 17932)

3. 적용 대상 기관의 의무

3.1 개인정보 처리방침 안내

해당 기관은 개인정보 처리방침 및 그 변경 사항의 사본을 업무 협력자에게 제공하여야 하며, 해당 방침 또는 변경 사항이 업무 협력자의 허용되거나 요구되는 이용 및 공개에 영향을 미치는 범위 내에서 이를 제공하여야 한다.

3.2 이용 또는 공개 허가

피보험기관은 45 CFR §§ 164.504(e)(2) 및 164.504(e)(3)에 따라 허용되는 경우를 제외하고, 피보험기관이 수행할 경우 개인정보보호규칙에 따라 허용되지 않는 방식으로 업무협력자에게 PHI를 사용하거나 공개하도록 요청해서는 안 된다.

3.3 이용 및 공개 제한

해당 기관은 45 CFR § 164.522에 따라 해당 기관이 동의한 PHI의 사용 또는 공개에 대한 제한 사항이 업무 협력자의 PHI 사용 또는 공개에 영향을 미치는 범위 내에서 업무 협력자에게 이를 통지하여야 한다.

3.4 허용되는 요청

해당 기관은 사업 협력자에게 제공된 모든 PHI 또는 사업 협력자가 해당 기관을 대신하여 생성하거나 수신한 PHI가 HIPAA 규정에 따라 처리되었음을 진술하고 보증합니다.

4. 기간 및 해지

4.1 기간

본 계약은 피보험 기관이 본 약관을 수락한 날(전자적 또는 서면으로)부터 효력을 발생하며, 피보험 기관이 업무 협력자에게 제공한 모든 PHI 또는 업무 협력자가 피보험 기관을 대신하여 생성, 수신 또는 유지 관리한 모든 PHI가 파기되거나 피보험 기관에 반환될 때까지, 또는 PHI의 반환이나 파기가 불가능한 경우 본 조항의 종료 규정에 따라 해당 PHI에 대한 보호 조치가 연장될 때까지 유효합니다. 본 조항의 해지 규정에 따라 해당 PHI에 대한 보호 조치가 연장되는 시점까지 유효합니다.

4.2 정당한 사유에 의한 해고

4.2.1 피보호기관은 업무협력자가 본 계약의 중대한 조항을 위반하였으며, 피보호기관으로부터 위반 사항에 대한 서면 통지를 받은 후 30일 이내에 해당 위반 사항을 시정하지 않았다고 판단하는 경우, 업무협력자에게 서면으로 통지함으로써 본 계약을 즉시 해지할 수 있습니다.

4.2.2 사업 협력자는 대상 기관이 중대한 조항을 위반하고 서면 통지를 받은 후 삼십(30)일 이내에 위반 사항을 시정하지 않은 경우, 서면 통지를 통해 본 계약을 즉시 해지할 수 있습니다.

4.2.3 상대방이 파산 신청의 대상이 되거나, 지급 불능 상태에 빠지거나, 채권자 이익을 위한 재산 양도를 하는 경우, 어느 당사자라도 서면 통지를 통해 본 계약을 즉시 해지할 수 있습니다.

4.3 해지의 효과

4.3.1 PHI의 반환 또는 파기:

본 계약이 어떠한 사유로든 종료될 경우, 비즈니스 파트너는 다음을 이행하여야 한다:

a) 회수 기간: 사업 협력자의 시스템에서 모든 PHI를 회수하거나 내보내기 위해 피보험 기관에 30일의 기간을 부여합니다. 이 기간 동안 사업 협력자는 다음을 수행해야 합니다:

  • 해당 기관이 모든 PHI에 대한 완전한 접근 권한을 유지하도록 하십시오
  • 데이터 내보내기를 위한 기술 지원 제공
  • 일반적으로 사용되는 기계 판독 가능 형식으로 데이터를 제공하십시오.
  • 표준 데이터 내보내기에 대해 추가 요금을 부과하지 않습니다.

b) 파기: 30일간의 회수 기간이 만료된 후, 업무 협력사는 다음을 수행하여야 한다:

  • 모든 형태(전자적 및 물리적)의 모든 PHI를 영구적으로 삭제하거나 파기하십시오.
  • NIST 특별 간행물 800-88 '미디어 소독 지침'에 따라 PHI가 포함된 모든 저장 매체를 안전하게 덮어쓰기하십시오.
  • 백업 시스템에서 모든 PHI를 90일 이내 또는 다음 백업 주기 시점에 삭제하십시오.
  • 완료 후 10일 이내에 해당 기관에 파기 증명서를 서면으로 제출하십시오.

4.3.2 반환 또는 파기의 불가능성:

사업 협력자가 PHI를 반환하거나 파기하는 것이 불가능하다고 판단하는 경우, 사업 협력자는 다음을 수행해야 합니다:

  • 해당 기관에 반환 또는 파기가 불가능한 구체적인 사유를 설명하는 서면 통지를 제공하십시오.
  • 본 계약의 보호 범위를 해당 PHI(개인 건강 정보)로 확대한다
  • 해당 PHI의 추가 이용 및 공개를 반환 또는 파기가 불가능한 목적으로만 제한한다
  • 해당 PHI를 다른 목적으로 사용하거나 공개하지 않습니다.

불가능성의 예로는 다음이 포함되나 이에 국한되지 않습니다: 기록 보존에 관한 법적 또는 규제상 요구사항, 백업 시스템의 기술적 한계, 또는 진행 중인 소송 또는 정부 조사.

4.4 생존

제4조 제3항(해지의 효력) 및 제7조(책임 및 배상)에 따른 업무 협력자의 의무는 본 계약의 종료 후에도 존속한다.

5. 감사 권한

5.1 문서 요청

합리적인 서면 통지(15영업일 이상)를 통해, 적용 대상 기관은 본 계약의 준수 여부를 확인하기 위한 목적으로 업무 협력업체에게 보안 정책, 암호화 통제, 감사 로그, 직원 교육 기록 및 하도급 업무 협력업체 계약에 관한 문서 제출을 요청할 수 있습니다.

5.2 감사 방법

비즈니스 협력사는 다음 방법 중 하나로 감사 요건을 충족할 수 있습니다:

  • 보안 통제, 정책 및 절차에 대한 서면 요약
  • 제3자 준수 보고서(예: SOC 2 Type II, HITRUST 인증, ISO 27001)
  • 특정 기간에 대한 감사 로그 발췌본 (가능한 경우 익명화 처리됨)
  • 시설 및 시스템에 대한 가상 또는 대면 점검(일정 및 범위 상호 합의 시)

5.3 감사 빈도

해당 기관은 다음의 경우를 제외하고는 1년 동안 한 번 이상 감사를 요청할 수 없습니다:

  • 보안 침해 또는 보안 사고가 발생했습니다.
  • 법률 또는 규정에 의해 요구되는
  • 해당 기관은 업무 협력사가 규정 준수 상태가 아니라고 합리적인 근거를 가지고 믿을 만한 사유가 있습니다.

5.4 감사 비용

각 당사자는 감사와 관련된 비용을 각자 부담한다. 단, 감사 결과 비즈니스 파트너의 중대한 규정 미준수가 발견된 경우에는 비즈니스 파트너가 해당 커버드 엔티티에게 합리적인 감사 비용을 상환하여야 한다.

5.5 기밀 유지

감사 과정에서 공개된 모든 정보는 기밀 사업 정보로 취급되며, 본 계약의 준수 여부를 확인하는 목적으로만 사용됩니다.

6. 책임 및 배상

6.1 상호 책임

각 당사자는 본 계약과 관련하여 법이 허용하는 범위 내에서 자신의 과실 행위 또는 태만, 그리고 그 직원, 대리인 또는 하도급업자의 과실 행위 또는 태만에 대해 책임을 진다.

6.2 책임의 제한

6.2.1 제6.2.2조에 규정된 경우를 제외하고, 본 계약에서 발생하거나 이와 관련된 모든 청구에 대해 본 계약에 따른 사업 협력자의 피보호 기관에 대한 총 책임은 피보호 기관이 사업 협력자에게 지급했거나 지급해야 할 12개월치 수수료에 상응하는 금액을 초과하지 않습니다.

6.2.2 제6.2.1항의 제한은 다음에 적용되지 아니한다:

  • 고의적 위법 행위 또는 고의적 불법 행위
  • 중과실
  • 고의적인 기밀 유지 의무 위반
  • 범죄 행위
  • 사업 협력자의 필수 안전장치 미구축으로 인한 HIPAA 위반
  • 제6.3조(손해배상)에 따른 의무

6.2.3 어느 당사자도 간접적, 부수적, 결과적, 특별 또는 징벌적 손해(이익 손실, 데이터 손실, 사업 기회 손실을 포함하되 이에 국한되지 않음)에 대해 책임을 지지 않으며, 데이터 손실 또는 사업 기회 손실을 포함하되 이에 국한되지 않으며, 그러한 손해가 중대한 과실 또는 고의적 위법행위로 인한 경우를 제외하고는 그러한 손해의 가능성에 대해 통지받은 경우에도 마찬가지입니다.

6.3 사업 협력자의 배상

사업 협력사는 다음 사항으로 인해 발생하거나 이와 관련된 모든 청구, 책임, 손해, 손실, 비용 및 경비(합당한 변호사 수임료 포함)로부터 피보험 기관, 그 이사, 임원, 직원 및 대리인을 면책하고 방어하며 손해배상할 의무가 있습니다:

  • 비즈니스 파트너의 본 계약 위반
  • 비즈니스 파트너의 HIPAA 규정 위반
  • 비즈니스 협력자의 PHI 무단 사용 또는 공개
  • 비즈니스 협력사의 행위 또는 태만으로 인해 발생하는 제3자의 청구
  • 사업 협력사 또는 그 하도급업체에 의해 발생한 보안 침해 또는 보안 사고

본 배상 의무는 해당 청구, 책임, 손해, 손실, 비용 또는 경비가 피보험 기관의 본 계약 위반 또는 HIPAA 규정 위반으로 인해 발생한 범위 내에서는 적용되지 않습니다.

6.4 피보험 기관의 배상

해당 기관은 다음 사항으로 인해 발생하거나 이와 관련된 모든 청구, 책임, 손해, 손실, 비용 및 경비(합당한 변호사 수임료 포함)에 대해 비즈니스 파트너, 그 이사, 임원, 직원 및 대리인을 면책하고 방어하며 손해배상할 의무가 있습니다:

  • 해당 기관의 본 계약 위반
  • 해당 기관의 HIPAA 규정 위반
  • 피보험 기관이 사업 협력자에게 부정확하거나 불완전한 PHI를 제공하는 행위
  • HIPAA 규정을 위반하는 피보험 기관의 사업 협력자에 대한 지시

6.5 보험

각 당사자는 본 계약상 발생할 수 있는 잠재적 책임을 합리적으로 충당할 수 있는 금액으로 사이버 책임 보험을 포함한 적절한 보험 적용 범위를 유지하여야 한다. 요청 시 각 당사자는 상대방에게 보험 증서를 제공하여야 한다.

7. 규제 변경 및 개정

7.1 규제 변경

당사자들은 보건복지부 장관이 HIPAA 규정을 수시로 개정할 수 있음을 인정합니다. 업무 협력업체는 개정된 HIPAA 규정 준수를 유지하기 위해 필요한 경우 자체 관행, 정책 및 절차에 대한 변경 사항을 이행하기로 동의합니다.

7.2 계약 수정

7.2.1 업무 협력사는 본 계약에 영향을 미치는 HIPAA 규정상의 중대한 변경 사항이 발생한 경우, 해당 변경 사항의 발효일로부터 30일 이내에 해당 변경 사항을 피보험 기관에 통지하여야 한다.

7.2.2 당사자 중 일방이 HIPAA 규정 변경 사항을 준수하기 위해 본 계약의 개정이 필요하다고 판단하는 경우, 당사자들은 이에 따라 본 계약을 개정하기 위해 성실히 협의하여야 한다.

7.2.3 본 계약은 양 당사자의 권한 있는 대표자가 서명한 서면 합의에 의하지 않고는 수정될 수 없다.

7.2.4 비즈니스 협력사는 본 계약의 버전을 수시로 업데이트할 권리를 보유합니다. 업데이트된 버전은 비즈니스 협력사의 웹사이트에 게시되며, 중대한 변경 사항의 효력 발생일 최소 삼십(30)일 전에 이메일로 피보호기관에 통지됩니다.

8. 기타 규정

8.1 준거법

본 계약은 연방법이 주법을 우선하는 경우를 제외하고, 법적 충돌 규정을 고려하지 않은 채 해당 대상 기관이 소재한 주의 법률에 따라 규율되고 해석됩니다.

8.2 관할권 및 재판지

본 계약에서 비롯되거나 이와 관련된 모든 법적 소송은 해당 대상 기관이 주된 사업장을 유지하는 관할 구역에 소재한 주 법원 또는 연방 법원에서만 제기되어야 합니다.

8.3 해석

본 계약서의 모호한 부분은 대상 기관이 HIPAA 규칙을 준수할 수 있도록 해석되어야 합니다. 본 계약서의 규정과 HIPAA 규칙 간에 상충이 발생할 경우, HIPAA 규칙이 우선 적용됩니다.

8.4 제3자 수혜자 없음

본 계약의 어떠한 내용도 당사자 및 그 각각의 승계인 또는 양수인 이외의 제3자에게 어떠한 권리, 구제 수단, 의무 또는 책임을 부여하지 아니한다.

8.5 면책

본 계약의 어느 당사자라도 본 계약의 조항을 집행하지 못한 경우, 해당 조항 또는 기타 조항에 대한 권리 포기로 간주되지 아니하며, 또한 그러한 미집행이 해당 당사자가 추후에 해당 조항을 집행하는 것을 방해하지 아니한다.

8.6 분리 가능성

본 계약의 어느 조항이 무효 또는 집행 불가능하다고 판단되는 경우에도, 나머지 조항들은 완전한 효력을 유지하며, 무효 또는 집행 불가능한 조항은 이를 유효하고 집행 가능하게 만들기 위해 필요한 최소한의 범위 내에서 수정됩니다.

8.7 과제

어느 당사자도 상대방의 사전 서면 동의 없이 본 계약을 양도할 수 없습니다. 다만, 비즈니스 어소시에이트는 합병, 인수 또는 자산 전부 또는 실질적으로 전부의 매각과 관련하여 후속 법인에게 본 계약을 양도할 수 있으며, 이 경우 양수인이 본 계약상 모든 의무를 인수하기로 동의해야 합니다.

8.8 전체 계약

본 계약은 당사자 간 체결된 모든 서비스 계약과 함께 본 계약의 대상에 관한 당사자 간의 완전한 합의를 구성하며, 해당 대상에 관한 모든 이전 또는 동시적 구두 또는 서면 계약을 대체합니다.

8.9 통지

본 계약에 따라 요구되거나 허용되는 모든 통지는 서면으로 이루어져야 하며, 다음의 경우에 전달된 것으로 간주됩니다:

  • 직접 전달됨
  • 확인된 이메일 전송으로 발송됨
  • 등기 또는 반송 확인을 요청한 등기우편으로 발송
  • 전국적으로 인정받는 익일 택배 서비스로 배송됨

사업 협력사에 대한 통지는 다음 주소로 발송해야 합니다: Dental Education, Inc. (상호명: Intake.Dental ) 1041 N. Dupont Hwy Dover, DE 19901 이메일: support@intake.dental

해당 기관에 대한 통지는 등록 시 제공된 이메일 주소 및 실제 주소로 발송됩니다.

8.10 불가항력

어느 당사자도 천재지변, 자연재해, 전쟁, 테러, 폭동, 노동 분쟁 또는 정부 조치 등을 포함하되 이에 국한되지 않는 합리적인 통제 범위를 벗어난 사유로 인한 이행 지연 또는 불이행에 대해 책임을 지지 아니한다. 다만, 영향을 받은 당사자는 상대방에게 즉시 통지하고 이행 재개를 위해 합리적인 노력을 기울여야 한다.

8.11 서명본 및 전자 서명

본 계약서는 복수로 작성될 수 있으며, 각 사본은 원본으로 간주되고 모두 합쳐 하나의 동일한 계약서를 구성한다. 전자 서명 및 전자적으로 전달된 서명은 원본 서명과 동일한 효력을 가진다.

9. 수락 및 이행

9.1 수락 방법

본 업무 협력 계약서는 다음의 경우 완전히 체결되고 구속력을 갖는 것으로 간주됩니다:

  • 전자적 수락: 온라인 계정 등록 또는 결제 과정에서 전자 서명을 통해 디지털 방식으로 수락됨; 또는
  • 서명: 양 당사자의 권한 있는 대표자가 전자 서명 또는 물리적 서명을 통해 서명함

9.2 서명 권한

본 계약서에 서명함으로써, 해당 개인은 본 계약의 조건 및 규정에 따라 피보증 기관을 구속할 완전한 권한을 보유하고 있음을 진술하고 보증합니다.

9.3 기록 보존

양 당사자는 본 계약의 체결일로부터 종료 또는 만료일까지 최소 6년 동안, 또는 법률에서 요구하는 더 긴 기간 동안 본 계약의 사본을 보관하여야 한다.

10. 주요 서비스 용어 정의

본 계약의 목적상, 다음과 같은 서비스별 약관이 적용됩니다:

10.1 Dental Forms Pro 플랫폼: 비즈니스 어소시에이트가 제공하는 클라우드 기반 소프트웨어 서비스 플랫폼으로, 환자 접수 양식, 건강 이력 및 관련 문서를 생성, 수집, 저장 및 전달하기 위한 것입니다.

10.2 만료되는 링크: 플랫폼에서 생성된 보안 처리된 시간 제한 URL로, 해당 링크를 통해 피보험 기관이 지정된 기간(일반적으로 48~72시간) 동안 PHI에 접근할 수 있으며, 이후 링크는 자동으로 만료되어 접근이 불가능해집니다.

10.3 클라우드 스토리지: AWS S3 및 Supabase 인프라를 통해 제공되는 암호화된 스토리지 서비스로, 피보험 기관을 대신하여 PHI를 안전하게 저장하는 데 사용됩니다.

10.4 환자 접수 제출물: 환자가 작성한 전자 양식으로, 의료 기록, 현재 복용 중인 약물, 알레르기, 보험 정보 및 동의서를 포함하되 이에 국한되지 않는 PHI(개인 건강 정보)를 포함합니다.

연락처 정보

본 업무 협력 계약서 또는 HIPAA 준수 관련 문의 사항:

덴탈 에듀케이션 주식회사 (상호명: 인테이크.덴탈)
이메일: support@intake.dental
웹사이트: https://intake.dental
준법 담당자: 조던 토마스
전화: (916) 752-2280

문서 정보

계약 버전: baa_v2025-10-17
최종 업데이트: 2025년 10월 17일
다음 검토일: 2026년 10월 17일

본 업무 협력 계약서는 다음을 준수합니다:

  • 1996년 건강보험 이동성 및 책임법(HIPAA)
  • 2009년 경제 및 임상 건강을 위한 건강정보기술법(HITECH)
  • 45 CFR 제160편 및 제164편 (HIPAA 개인정보 보호, 보안 및 침해 통지 규정)
  • ESIGN 법(전자서명 글로벌 및 국내 상거래법)

대상 기관에 대한 중요 공지:

결제를 진행하거나 "동의합니다"를 클릭함으로써 귀하는 다음 사항을 인정합니다:

  1. 귀하는 본 사업 협력 계약서 전체를 읽고 이해하였습니다.
  2. 귀하는 본 계약을 체결할 권한을 가진 귀하의 진료소/단체의 권한을 부여받은 대표자입니다.
  3. 귀하는 본 문서에 명시된 모든 약관에 구속되는 데 동의합니다.
  4. 귀하의 전자 서명은 법적 구속력을 가지며 자필 서명과 동등한 효력을 가집니다.
  5. 본 계약은 당사 서비스 관계 기간 동안 및 해지 조항에 명시된 바에 따라 그 이후에도 효력을 유지합니다.

본 계약서는 법적 효력을 갖는 계약서입니다. 기록 보관을 위해 사본을 보관하시기 바랍니다.

기술 지원 또는 문의 사항: support@intake.dental
HIPAA 준수 관련 문의: support@intake.dental

Document ID: BAA-{Generated upon acceptance}
Generated: {Date of acceptance}