Acordo de Parceria Comercial

Acordo de Conformidade com a HIPAA para Informações de Saúde Protegidas

Data de vigência: Após aceitação
Versão: baa_v2025-10-17

Partes deste Acordo

Entidade abrangida: O consultório odontológico ou entidade de saúde que adquire serviços (“Entidade abrangida”)

Parceiro comercial: Dental Education, Inc., operando sob o nome Intake.Dental (“Parceiro comercial”)

Produto/serviço: Dental Forms Pro - Serviços baseados em nuvem para admissão de pacientes, gerenciamento de histórico médico e armazenamento de documentos com informações médicas protegidas (PHI).

Considerações

CONSIDERANDO QUE a Entidade Abrangida é um prestador de cuidados de saúde sujeito à Lei de Portabilidade e Responsabilidade dos Seguros de Saúde de 1996 (“HIPAA”), à Lei de Tecnologia da Informação para a Saúde Econômica e Clínica (“Lei HITECH”) e aos regulamentos relacionados (coletivamente, as “Regras HIPAA”);

CONSIDERANDO QUE o Parceiro Comercial fornece serviços de software baseados em nuvem que envolvem a criação, o recebimento, a manutenção, a transmissão ou o acesso a Informações de Saúde Protegidas em nome da Entidade Coberta;

CONSIDERANDO QUE as Regras da HIPAA exigem que a Entidade Abrangida celebre um Acordo de Parceria Comercial com o Parceiro Comercial para garantir as salvaguardas adequadas para as Informações de Saúde Protegidas;

PORTANTO, em consideração às promessas mútuas abaixo e por outras considerações válidas e valiosas, as partes concordam com o seguinte:

1. Definições

Os termos utilizados, mas não definidos de outra forma, neste Acordo terão o mesmo significado que os termos nas Regras HIPAA (45 CFR Partes 160 e 164).

1.1 Informações de Saúde Protegidas (PHI): Conforme definido pela norma 45 CFR § 160.103, significa informações de saúde individualmente identificáveis que são transmitidas por meios eletrônicos, mantidas em meios eletrônicos ou transmitidas ou mantidas em qualquer outra forma ou meio. As PHI incluem, entre outras, nomes de pacientes, endereços, datas de nascimento, números de Seguro Social, números de registros médicos, números de beneficiários de planos de saúde, números de contas, fotografias, identificadores biométricos e qualquer outro número, característica ou código de identificação exclusivo, juntamente com informações de saúde relacionadas à saúde ou condição física ou mental passada, presente ou futura de um indivíduo, à prestação de cuidados de saúde a um indivíduo ou ao pagamento passado, presente ou futuro pela prestação de cuidados de saúde a um indivíduo.

1.2 Incidente de segurança: A tentativa ou o sucesso de acesso, uso, divulgação, modificação ou destruição não autorizados de informações ou interferência nas operações do sistema em um sistema de informação.

1.3 Violação: A aquisição, acesso, uso ou divulgação de PHI de uma forma não permitida pela Regra de Privacidade que comprometa a segurança ou privacidade da PHI, conforme definido em 45 CFR § 164.402, e excluindo divulgações em que haja uma baixa probabilidade de que a PHI tenha sido comprometida.

1.4 Informações de Saúde Protegidas Eletrônicas (ePHI): PHI que são transmitidas ou mantidas em mídia eletrônica.

1.5 Exigido por lei: uma determinação contida na lei que obriga uma entidade a utilizar ou divulgar PHI e que é aplicável em tribunal.

1.6 Subcontratado: Uma pessoa ou entidade a quem o Parceiro de Negócios delega uma função, atividade ou serviço, que não seja na qualidade de membro da força de trabalho do Parceiro de Negócios.

2. Obrigações e atividades do parceiro comercial

2.1 Padrões de armazenamento e segurança de dados

O Parceiro Comercial deverá armazenar todas as PHI exclusivamente em ambientes seguros e criptografados com as seguintes salvaguardas:

2.1.1 Requisitos de criptografia:

  • Criptografia em repouso usando AES-256 ou criptografia equivalente padrão do setor
  • Criptografia em trânsito usando TLS 1.2 ou superior para todas as transmissões de dados
  • Backups criptografados com o mesmo nível de proteção dos dados de produção

2.1.2 Controles de acesso:

  • Controle de acesso baseado em funções (RBAC) que limita o acesso às PHI apenas ao pessoal autorizado
  • Autenticação multifator (MFA) exigida para todo o acesso administrativo
  • Identificações únicas de usuário para todas as pessoas com acesso a ePHI
  • Desligamento automático após um período de inatividade
  • Procedimentos de acesso de emergência com trilha de auditoria

2.1.3 Monitoramento de segurança:

  • Auditorias de segurança e avaliações de vulnerabilidade regulares (pelo menos uma vez por ano)
  • Monitoramento contínuo de tentativas de acesso não autorizado
  • Sistemas de detecção e prevenção de intrusões
  • Patches de segurança regulares e atualizações para todos os sistemas

2.2 Usos e divulgações permitidos de PHI

2.2.1 O Parceiro Comercial poderá usar e divulgar as PHI apenas conforme permitido ou exigido pelo presente Contrato ou conforme exigido por lei.

2.2.2 O Parceiro Comercial pode usar as PHI para a gestão e administração adequadas dos serviços do Parceiro Comercial, incluindo:

  • Hospedagem, armazenamento e backup de formulários de admissão de pacientes e históricos de saúde
  • Encaminhamento de PHI para entidades abrangidas através de links seguros com prazo de validade limitado
  • Suporte técnico e resolução de problemas quando explicitamente solicitado pela Entidade Coberta
  • Manutenção do sistema e otimização do desempenho

2.2.3 O Parceiro Comercial poderá divulgar as PHI para a gestão e administração adequadas do Parceiro Comercial apenas se:

  • A divulgação é exigida por lei; ou
  • O Parceiro Comercial obtém garantias razoáveis da pessoa a quem as informações são divulgadas de que elas serão mantidas em sigilo e utilizadas ou divulgadas posteriormente apenas conforme exigido por lei ou para os fins para os quais foram divulgadas à pessoa, e a pessoa notifica o Parceiro Comercial sobre quaisquer casos de que tenha conhecimento em que a confidencialidade das informações tenha sido violada.

2.2.4 O Parceiro Comercial pode desidentificar as PHI de acordo com 45 CFR § 164.514(a)-(c) e utilizar esses dados desidentificados para fins de melhoria do sistema, análise e garantia de qualidade. O Parceiro Comercial não deve tentar reidentificar informações desidentificadas.

2.2.5 Usos proibidos: O Parceiro Comercial NÃO deve:

  • Usar PHI para fins de marketing sem autorização explícita por escrito da Entidade Coberta
  • Vender PHI ou usar PHI para qualquer finalidade comercial não diretamente relacionada à prestação de serviços
  • Compartilhar PHI com serviços de análise de terceiros, modelos de treinamento de IA ou sistemas de aprendizado de máquina sem autorização explícita por escrito.
  • Divulgar PHI a qualquer parte não abrangida por um Acordo de Parceria Comercial a jusante

2.3 Padrão mínimo necessário

O Parceiro Comercial deverá limitar o uso, a divulgação ou a solicitação de PHI ao mínimo necessário para atingir o objetivo pretendido, de acordo com 45 CFR § 164.502(b) e § 164.514(d).

2.4 Salvaguardas adequadas

O Parceiro Comercial deverá utilizar medidas de segurança administrativas, físicas e técnicas adequadas que protejam de forma razoável e apropriada a confidencialidade, integridade e disponibilidade das ePHI que cria, recebe, mantém ou transmite em nome da Entidade Abrangida, em conformidade com 45 CFR Parte 164, Subparte C (a Regra de Segurança).

2.5 Requisitos de relatório

2.5.1 Notificação de violação: O Parceiro Comercial deverá comunicar à Entidade Abrangida qualquer violação de PHI não protegida de que tenha conhecimento no prazo de cinco (5) dias úteis após a sua descoberta, ou mais cedo, se exigido pela legislação aplicável. A notificação deverá incluir, na medida do possível:

  • Uma descrição da Violação, incluindo a data da Violação e a data da descoberta
  • Identificação das pessoas cujas PHI foram, ou se acredita razoavelmente que tenham sido, acessadas, adquiridas, utilizadas ou divulgadas durante a Violação.
  • Uma descrição dos tipos de PHI envolvidos (por exemplo, nome completo, número da Previdência Social, data de nascimento, número do prontuário médico)
  • Uma breve descrição do que o Parceiro de Negócios está fazendo para investigar a Violação, mitigar os danos às pessoas e proteger contra novas Violações.
  • Informações de contato para que as pessoas possam fazer perguntas ou obter informações adicionais

2.5.2 Relatório de incidentes de segurança: O Parceiro Comercial deverá relatar Incidentes de Segurança à Entidade Abrangida mediante solicitação ou conforme acordado de outra forma. O Parceiro Comercial e a Entidade Abrangida reconhecem que esta seção constitui um aviso do Parceiro Comercial à Entidade Abrangida sobre a existência e ocorrência contínuas de Incidentes de Segurança tentados, mas sem sucesso (tais como tentativas de login sem sucesso, pings, varreduras de portas, ataques de negação de serviço e malware que não resultam em acesso a ePHI). O Parceiro Comercial deverá relatar Incidentes de Segurança bem-sucedidos dentro do mesmo prazo que as Violações.

2.5.3 Uso ou divulgação indevidos: O Parceiro Comercial deverá comunicar à Entidade Abrangida qualquer uso ou divulgação de PHI não previsto no presente Acordo no prazo de cinco (5) dias úteis após ter tomado conhecimento de tal uso ou divulgação.

2.6 Contratos com subcontratados

2.6.1 O Parceiro Comercial deverá garantir que quaisquer Subcontratados que criem, recebam, mantenham ou transmitam PHI em nome do Parceiro Comercial concordem por escrito com as mesmas restrições, condições e requisitos que se aplicam ao Parceiro Comercial no que diz respeito a tais PHI.

2.6.2 Os subcontratados atuais incluem:

  • Amazon Web Services (AWS) - Infraestrutura de hospedagem e armazenamento em nuvem
  • Supabase - Serviços de banco de dados
  • Provedores de serviços de e-mail para entrega segura de PHI

2.6.3 O Parceiro Comercial deverá obter e manter Contratos de Parceria Comercial válidos com todos os Subcontratados que lidam com PHI e deverá disponibilizar cópias desses contratos à Entidade Coberta, mediante solicitação razoável.

2.6.4 O Parceiro Comercial deverá notificar a Entidade Abrangida sobre quaisquer alterações relativas aos Subcontratados no prazo de trinta (30) dias após tal alteração.

2.7 Acesso às PHI

2.7.1 No prazo de dez (10) dias úteis após uma solicitação da Entidade Coberta, o Parceiro Comercial deverá disponibilizar à Entidade Coberta ou, conforme indicado pela Entidade Coberta, a um indivíduo, as PHI em um Conjunto de Registros Designado mantido por ou para o Parceiro Comercial, no prazo e da maneira designados pela Entidade Coberta, para permitir que a Entidade Coberta cumpra suas obrigações nos termos da norma 45 CFR § 164.524.

2.7.2 Se o Parceiro Comercial mantiver um Conjunto de Registros Designados eletrônico, o Parceiro Comercial deverá fornecer as PHI em formato eletrônico para permitir que a Entidade Coberta cumpra suas obrigações nos termos da norma 45 CFR § 164.524(c)(2)(ii).

2.8 Alteração das PHI

No prazo de dez (10) dias úteis após o recebimento de uma solicitação da Entidade Coberta, o Parceiro Comercial deverá disponibilizar as PHI mantidas em um Conjunto de Registros Designado para alteração e incorporar quaisquer alterações às PHI em um Conjunto de Registros Designado, de acordo com 45 CFR § 164.526, conforme orientação da Entidade Coberta.

2.9 Contabilização das divulgações

2.9.1 O Parceiro Comercial deverá documentar todas as divulgações de PHI e informações relacionadas a tais divulgações, conforme exigido pela Entidade Coberta para responder a uma solicitação de um indivíduo para um relatório das divulgações, de acordo com 45 CFR § 164.528.

2.9.2 No prazo de dez (10) dias úteis após a notificação pela Entidade Abrangida de que recebeu um pedido de prestação de contas sobre a divulgação de PHI, o Parceiro Comercial deverá disponibilizar à Entidade Abrangida as informações que estiverem em sua posse e que sejam necessárias para que a Entidade Abrangida preste as contas exigidas pela norma 45 CFR § 164.528.

2.9.3 O Parceiro de Negócios deverá manter registros contábeis por pelo menos seis (6) anos a partir da data da divulgação.

2.10 Acesso a livros e registros

O Parceiro Comercial deverá disponibilizar suas práticas internas, livros e registros relacionados ao uso e divulgação de PHI recebidos, criados ou recebidos pelo Parceiro Comercial em nome da Entidade Coberta ao Secretário de Saúde e Serviços Humanos para fins de determinação da conformidade da Entidade Coberta com as Regras HIPAA, no prazo e da maneira designados pelo Secretário.

2.11 Conformidade com a Lei HITECH

O Parceiro Comercial deverá cumprir os requisitos aplicáveis da Lei HITECH e os regulamentos promulgados nos termos da mesma, incluindo, entre outros:

  • Restrições à venda de PHI (42 U.S.C. § 17935(d))
  • Restrições de marketing (42 U.S.C. § 17936(a))
  • Contabilização das divulgações (42 U.S.C. § 17935(c))
  • Requisitos de notificação em caso de violação (42 U.S.C. § 17932)

3. Obrigações da Entidade Abrangida

3.1 Aviso sobre práticas de privacidade

A Entidade Coberta deverá fornecer ao Parceiro Comercial uma cópia de sua Notificação de Práticas de Privacidade e quaisquer alterações a ela, na medida em que tal Notificação ou alterações afetem os usos e divulgações permitidos ou exigidos do Parceiro Comercial.

3.2 Permissão para usar ou divulgar

A Entidade Abrangida não deve solicitar ao Parceiro Comercial que utilize ou divulgue PHI de qualquer forma que não seja permitida pela Regra de Privacidade se for feita pela Entidade Abrangida, exceto conforme permitido nos termos do 45 CFR §§ 164.504(e)(2) e 164.504(e)(3).

3.3 Restrições ao uso e divulgação

A Entidade Abrangida deverá notificar o Parceiro Comercial sobre qualquer restrição ao uso ou divulgação de PHI que a Entidade Abrangida tenha concordado, de acordo com 45 CFR § 164.522, na medida em que tal restrição afete o uso ou divulgação de PHI pelo Parceiro Comercial.

3.4 Solicitações permitidas

A Entidade Coberta declara e garante que quaisquer PHI fornecidas ao Parceiro Comercial, ou PHI que o Parceiro Comercial crie ou receba em nome da Entidade Coberta, são feitas em conformidade com as Regras HIPAA.

4. Prazo e rescisão

4.1 Prazo

Este Acordo entrará em vigor na data em que a Entidade Abrangida aceitar estes termos (eletronicamente ou por escrito) e permanecerá em vigor até que todas as PHI fornecidas pela Entidade Abrangida ao Parceiro Comercial, ou criadas, recebidas ou mantidas pelo Parceiro Comercial em nome da Entidade Abrangida, sejam destruídas ou devolvidas à Entidade Abrangida ou, se não for viável devolver ou destruir as PHI, as proteções serão estendidas a tais PHI de acordo com as disposições de rescisão desta Seção.

4.2 Rescisão por justa causa

4.2.1 A Entidade Coberta poderá rescindir este Contrato imediatamente mediante notificação por escrito ao Parceiro Comercial, caso determine que o Parceiro Comercial violou um termo material deste Contrato e não sanou a violação no prazo de trinta (30) dias após receber a notificação por escrito da violação da Entidade Coberta.

4.2.2 O Parceiro Comercial poderá rescindir este Contrato imediatamente mediante notificação por escrito se a Entidade Abrangida tiver violado um termo material e não tiver sanado a violação no prazo de trinta (30) dias após receber a notificação por escrito.

4.2.3 Qualquer uma das partes poderá rescindir este Contrato imediatamente mediante notificação por escrito se a outra parte se tornar objeto de um pedido de falência, se tornar insolvente ou fizer uma cessão em benefício dos credores.

4.3 Efeito da rescisão

4.3.1 Devolução ou destruição de PHI:

Após a rescisão deste Contrato por qualquer motivo, o Parceiro Comercial deverá:

a) Período de recuperação: conceder à Entidade Coberta um prazo de trinta (30) dias para recuperar ou exportar todas as PHI dos sistemas do Parceiro Comercial. Durante esse período, o Parceiro Comercial deverá:

  • Manter acesso total para a Entidade Coberta a todas as PHI
  • Prestar assistência técnica para exportação de dados
  • Ofereça dados em formatos comumente usados e legíveis por máquina
  • Não cobrar taxas adicionais pela exportação padrão de dados

b) Destruição: Após o término do prazo de trinta (30) dias para recuperação, o Parceiro Comercial deverá:

  • Excluir ou destruir permanentemente todas as PHI em todas as formas (eletrônicas e físicas)
  • Sobrescreva com segurança todas as mídias de armazenamento que contenham PHI, de acordo com a Publicação Especial 800-88 do NIST, Diretrizes para Higienização de Mídias.
  • Exclua todas as PHI dos sistemas de backup dentro de noventa (90) dias ou no próximo ciclo de backup.
  • Fornecer certificação por escrito da destruição à Entidade Coberta no prazo de dez (10) dias após a conclusão.

4.3.2 Impossibilidade de devolução ou destruição:

Se o Parceiro Comercial determinar que a devolução ou destruição das PHI é inviável, o Parceiro Comercial deverá:

  • Fornecer notificação por escrito à Entidade Coberta explicando as razões específicas pelas quais a devolução ou destruição é inviável.
  • Estender as proteções deste Acordo a tais PHI
  • Limitar o uso e a divulgação adicionais dessas PHI aos fins que tornam inviável a devolução ou destruição.
  • Não utilizar ou divulgar essas PHI para qualquer outra finalidade.

Exemplos de inviabilidade incluem, entre outros: requisitos legais ou regulamentares para manter registros, limitações técnicas dos sistemas de backup ou litígios em andamento ou investigações governamentais.

4.4 Sobrevivência

As obrigações do Parceiro Comercial nos termos da Seção 4.3 (Efeito da Rescisão) e da Seção 7 (Responsabilidade e Indenização) permanecerão em vigor após a rescisão deste Contrato.

5. Direitos de auditoria

5.1 Solicitações de documentação

Mediante notificação prévia por escrito (com antecedência mínima de quinze (15) dias úteis), a Entidade Coberta poderá solicitar que o Parceiro Comercial forneça documentação sobre suas políticas de segurança, controles de criptografia, registros de auditoria, registros de treinamento de pessoal e Contratos de Parceiro Comercial Subcontratado, com o objetivo de determinar a conformidade do Parceiro Comercial com o presente Contrato.

5.2 Métodos de auditoria

O Parceiro de Negócios pode cumprir os requisitos de auditoria por meio de qualquer um dos seguintes métodos:

  • Resumos escritos dos controles, políticas e procedimentos de segurança
  • Relatórios de conformidade de terceiros (por exemplo, SOC 2 Tipo II, certificação HITRUST, ISO 27001)
  • Extratos do registro de auditoria para períodos específicos (anonimizados sempre que possível)
  • Inspeção virtual ou presencial das instalações e sistemas, mediante acordo mútuo sobre a data e o escopo

5.3 Frequência da auditoria

A Entidade Abrangida pode solicitar auditorias no máximo uma vez por ano civil, a menos que:

  • Ocorreu uma violação ou incidente de segurança
  • Exigido por lei ou regulamento
  • A Entidade Coberta tem motivos razoáveis para acreditar que o Parceiro de Negócios não está em conformidade.

5.4 Custos de auditoria

Cada parte arcará com seus próprios custos associados às auditorias, a menos que a auditoria revele uma não conformidade material por parte do Parceiro Comercial, caso em que o Parceiro Comercial reembolsará a Entidade Coberta pelos custos razoáveis da auditoria.

5.5 Confidencialidade

Quaisquer informações divulgadas durante uma auditoria serão tratadas como informações comerciais confidenciais e utilizadas exclusivamente para fins de verificação do cumprimento do presente Acordo.

6. Responsabilidade e Indenização

6.1 Responsabilidade mútua

Cada parte será responsável por seus próprios atos ou omissões negligentes, bem como pelos de seus funcionários, agentes ou subcontratados, em relação ao presente Contrato, na medida do permitido por lei.

6.2 Limitação de responsabilidade

6.2.1 Exceto conforme previsto na Seção 6.2.2, a responsabilidade total do Parceiro Comercial perante a Entidade Coberta nos termos deste Contrato por todas e quaisquer reivindicações decorrentes ou relacionadas a este Contrato não excederá um valor equivalente a doze (12) meses de taxas pagas ou a pagar pela Entidade Coberta ao Parceiro Comercial.

6.2.2 A limitação na Seção 6.2.1 não se aplica a:

  • Conduta dolosa ou ato ilícito intencional
  • Negligência grave
  • Violação intencional das obrigações de confidencialidade
  • Conduta criminosa
  • Violações da HIPAA resultantes da falha do Parceiro Comercial em implementar as medidas de segurança exigidas
  • Obrigações nos termos da Seção 6.3 (Indenização)

6.2.3 NENHUMA DAS PARTES SERÁ RESPONSÁVEL POR QUAISQUER DANOS INDIRETOS, INCIDENTAIS, CONSEQUENCIAIS, ESPECIAIS OU PUNITIVOS, INCLUINDO, ENTRE OUTROS, LUCROS CESSANTES, PERDA DE DADOS OU PERDA DE OPORTUNIDADES DE NEGÓCIOS, MESMO QUE AVISADA DA POSSIBILIDADE DE TAIS DANOS, EXCETO NA MEDIDA EM QUE TAIS DANOS RESULTEM DE NEGLIGÊNCIA GRAVE OU CONDUTA DOLOSA.

6.3 Indenização pelo Parceiro de Negócios

O Parceiro Comercial deverá indenizar, defender e isentar a Entidade Coberta, seus diretores, executivos, funcionários e agentes de todas e quaisquer reivindicações, responsabilidades, danos, perdas, custos e despesas (incluindo honorários advocatícios razoáveis) decorrentes ou relacionados a:

  • Violação deste Acordo por parte do Parceiro Comercial
  • Violação das regras HIPAA por parte do Parceiro de Negócios
  • Uso ou divulgação não autorizada de PHI por parte de um parceiro comercial
  • Reclamações de terceiros decorrentes de atos ou omissões do Parceiro de Negócios
  • Violação ou incidente de segurança causado por um parceiro comercial ou seus subcontratados

Esta obrigação de indenização não se aplicará na medida em que tais reclamações, responsabilidades, danos, perdas, custos ou despesas sejam causados pela violação deste Contrato ou das Regras HIPAA pela Entidade Coberta.

6.4 Indenização pela Entidade Coberta

A Entidade Coberta deverá indenizar, defender e isentar o Parceiro Comercial, seus diretores, executivos, funcionários e agentes de todas e quaisquer reivindicações, responsabilidades, danos, perdas, custos e despesas (incluindo honorários advocatícios razoáveis) decorrentes ou relacionados a:

  • Violação deste Acordo pela Entidade Abrangida
  • Violação das regras HIPAA por parte da entidade abrangida
  • Fornecimento de PHI imprecisas ou incompletas pela Entidade Coberta ao Parceiro Comercial
  • Instruções da Entidade Coberta ao Parceiro Comercial que violam as Regras da HIPAA

6.5 Seguro

Cada parte deverá manter uma cobertura de seguro adequada, incluindo seguro de responsabilidade cibernética, em valores razoavelmente suficientes para cobrir possíveis responsabilidades nos termos deste Contrato. Mediante solicitação, cada parte deverá fornecer à outra os certificados de seguro.

7. Alterações e emendas regulatórias

7.1 Alterações regulamentares

As partes reconhecem que as Regras HIPAA podem ser alteradas periodicamente pelo Secretário de Saúde e Serviços Humanos. O Parceiro Comercial concorda em implementar as alterações necessárias em suas práticas, políticas e procedimentos para manter a conformidade com as Regras HIPAA, conforme alteradas.

7.2 Alterações ao contrato

7.2.1 O Parceiro Comercial deverá notificar a Entidade Abrangida sobre quaisquer alterações materiais às Regras HIPAA que afetem este Contrato no prazo de trinta (30) dias a partir da data de entrada em vigor de tais alterações.

7.2.2 Se qualquer uma das partes determinar que é necessária uma alteração ao presente Acordo para cumprir as alterações às Regras HIPAA, as partes deverão negociar de boa-fé para alterar o presente Acordo em conformidade.

7.2.3 Este Contrato não poderá ser alterado, exceto por acordo escrito assinado por representantes autorizados de ambas as partes.

7.2.4 O Parceiro Comercial reserva-se o direito de atualizar a versão deste Contrato periodicamente. As versões atualizadas serão publicadas no site do Parceiro Comercial, e a Entidade Abrangida será notificada por e-mail pelo menos trinta (30) dias antes da data de entrada em vigor das alterações materiais.

8. Disposições diversas

8.1 Lei aplicável

Este Acordo será regido e interpretado de acordo com as leis do Estado em que a Entidade Coberta está localizada, sem levar em consideração suas disposições sobre conflitos de leis, exceto na medida em que a lei federal prevaleça sobre a lei estadual.

8.2 Jurisdição e foro

Qualquer ação judicial decorrente ou relacionada a este Contrato deverá ser movida exclusivamente nos tribunais estaduais ou federais localizados na jurisdição onde a Entidade Coberta mantém sua sede principal.

8.3 Interpretação

Qualquer ambiguidade neste Acordo será resolvida em favor de um significado que permita à Entidade Abrangida cumprir as Regras HIPAA. Em caso de conflito entre as disposições deste Acordo e as Regras HIPAA, prevalecerão as Regras HIPAA.

8.4 Ausência de terceiros beneficiários

Nada neste Contrato conferirá a qualquer pessoa que não seja uma das partes e seus respectivos sucessores ou cessionários quaisquer direitos, recursos, obrigações ou responsabilidades.

8.5 Renúncia

A falha de qualquer das partes em fazer cumprir qualquer disposição deste Acordo não constituirá uma renúncia a essa disposição ou a qualquer outra disposição, nem impedirá essa parte de fazer cumprir tal disposição posteriormente.

8.6 Divisibilidade

Se qualquer disposição deste Contrato for considerada inválida ou inexequível, as demais disposições continuarão em pleno vigor e efeito, e a disposição inválida ou inexequível será modificada na medida mínima necessária para torná-la válida e exequível.

8.7 Atribuição

Nenhuma das partes poderá ceder o presente Acordo sem o consentimento prévio por escrito da outra parte, exceto se o Parceiro Comercial puder ceder o presente Acordo a uma entidade sucessora em conexão com uma fusão, aquisição ou venda de todos ou substancialmente todos os seus ativos, desde que o cessionário concorde em assumir todas as obrigações previstas no presente Acordo.

8.8 Acordo Integral

Este Contrato, juntamente com qualquer Contrato de Serviço entre as partes, constitui o acordo integral entre as partes com relação ao assunto aqui tratado e substitui todos os acordos anteriores ou contemporâneos, verbais ou escritos, relativos a tal assunto.

8.9 Avisos

Todas as notificações exigidas ou permitidas nos termos deste Contrato deverão ser feitas por escrito e serão consideradas entregues quando:

  • Entregue pessoalmente
  • Enviado por transmissão de e-mail confirmada
  • Enviado por correio certificado ou registrado, com aviso de recebimento
  • Entregue por um serviço de correio expresso reconhecido nacionalmente

As notificações ao Parceiro Comercial devem ser enviadas para: Dental Education, Inc. d/b/a Intake.Dental 1041 N. Dupont Hwy Dover, DE 19901 E-mail: support@intake.dental

As notificações à Entidade Abrangida devem ser enviadas para o endereço de e-mail e endereço físico fornecidos durante o registo.

8.10 Força maior

Nenhuma das partes será responsável por qualquer atraso ou falha no desempenho devido a causas além de seu controle razoável, incluindo, mas não se limitando a, casos fortuitos, desastres naturais, guerra, terrorismo, motins, disputas trabalhistas ou ações governamentais, desde que a parte afetada notifique imediatamente a outra parte e envide esforços razoáveis para retomar o desempenho.

8.11 Contrapartes e assinaturas eletrônicas

Este Contrato pode ser assinado em várias vias, cada uma das quais será considerada um original e todas juntas constituirão um único e mesmo instrumento. As assinaturas eletrônicas e as assinaturas entregues eletronicamente terão a mesma validade e efeito que as assinaturas originais.

9. Aceitação e Execução

9.1 Métodos de aceitação

Este Acordo de Parceria Comercial é considerado totalmente executado e vinculativo quando:

  • Aceitação eletrônica: Aceitação digital por meio de assinatura eletrônica durante o registro da conta online ou processo de checkout; OU
  • Assinatura escrita: Assinado por representantes autorizados de ambas as partes por meio de assinatura eletrônica ou física.

9.2 Autoridade para assinar

Ao assinar este Contrato, o indivíduo declara e garante que tem plena autoridade para vincular a Entidade Coberta aos termos e condições deste Contrato.

9.3 Retenção de registros

Ambas as partes deverão manter uma cópia deste Contrato assinado por um período mínimo de seis (6) anos a partir da data de sua rescisão ou expiração, ou por um período mais longo, conforme exigido por lei.

10. Definições dos principais termos do serviço

Para os fins deste Contrato, aplicam-se os seguintes termos específicos do serviço:

10.1 Plataforma Dental Forms Pro: A plataforma de software como serviço baseada em nuvem fornecida pelo Parceiro Comercial para criar, coletar, armazenar e entregar formulários de admissão de pacientes, históricos de saúde e documentação relacionada.

10.2 Links com prazo de validade: URLs seguros e com prazo de validade gerados pela plataforma que permitem à Entidade Coberta acessar as PHI por um período específico (normalmente 48-72 horas), após o qual os links expiram automaticamente e ficam inacessíveis.

10.3 Armazenamento em nuvem: serviços de armazenamento criptografados fornecidos por meio da infraestrutura AWS S3 e Supabase, usados para armazenar com segurança as PHI em nome da Entidade Coberta.

10.4 Envios de admissão de pacientes: Formulários eletrônicos preenchidos pelos pacientes contendo PHI, incluindo, entre outros, histórico médico, medicamentos atuais, alergias, informações sobre seguro e formulários de consentimento.

Informações de contato

Para perguntas sobre este Acordo de Parceria Comercial ou questões relacionadas à conformidade com a HIPAA:

Dental Education, Inc. d/b/a Intake.Dental
E-mail: support@intake.dental
Website: https://intake.dental
Diretor de Conformidade: Jordan Thomas
Telefone: (916) 752-2280

Informações do documento

Versão do contrato: baa_v2025-10-17
Última atualização: 17 de outubro de 2025
Próxima data de revisão: 17 de outubro de 2026

Este Acordo de Parceria Comercial está em conformidade com:

  • Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) de 1996
  • Lei de Tecnologia da Informação em Saúde para a Saúde Econômica e Clínica (HITECH) de 2009
  • 45 CFR Partes 160 e 164 (Regras de Privacidade, Segurança e Notificação de Violação da HIPAA)
  • Lei ESIGN (Lei sobre Assinaturas Eletrônicas no Comércio Global e Nacional)

AVISO IMPORTANTE PARA AS ENTIDADES ABRANGIDAS:

Ao prosseguir com o checkout ou clicar em “Concordo”, você reconhece que:

  1. Você leu e compreendeu este Acordo de Parceria Comercial na íntegra.
  2. Você é um representante autorizado do seu consultório/entidade com autoridade para celebrar este Contrato.
  3. Você concorda em se comprometer com todos os termos e condições aqui estabelecidos.
  4. Sua assinatura eletrônica será juridicamente válida e equivalente a uma assinatura manuscrita.
  5. Este Acordo permanecerá em vigor durante toda a vigência de nossa relação de prestação de serviços e além dela, conforme especificado nas disposições de rescisão.

Este é um contrato legalmente vinculativo. Guarde uma cópia para seus registros.

Para suporte técnico ou perguntas: support@intake.dental
Para perguntas sobre conformidade com a HIPAA: support@intake.dental

Document ID: BAA-{Generated upon acceptance}
Generated: {Date of acceptance}