Thỏa thuận đối tác kinh doanh

Thỏa thuận tuân thủ HIPAA về thông tin sức khỏe được bảo vệ

Ngày có hiệu lực: Sau khi được chấp thuận
Phiên bản: baa_v2025-10-17

Các bên tham gia Thỏa thuận này

Đối tượng được bảo hiểm: Phòng khám nha khoa hoặc cơ sở chăm sóc sức khỏe mua dịch vụ ("Đối tượng được bảo hiểm")

Đối tác kinh doanh: Dental Education, Inc., hoạt động dưới tên thương mại Intake.Dental ("Đối tác kinh doanh")

Sản phẩm/Dịch vụ: Dental Forms Pro - Dịch vụ lưu trữ hồ sơ bệnh nhân, lịch sử sức khỏe và thông tin sức khỏe được bảo mật (PHI) trên nền tảng đám mây.

Buổi biểu diễn

XÉT THẤY, Bên được bảo hiểm là một nhà cung cấp dịch vụ chăm sóc sức khỏe thuộc phạm vi điều chỉnh của Đạo luật về tính khả chuyển và trách nhiệm giải trình bảo hiểm y tế năm 1996 ("HIPAA"), Đạo luật về công nghệ thông tin y tế vì sức khỏe kinh tế và lâm sàng ("Đạo luật HITECH") và các quy định liên quan (gọi chung là "Quy tắc HIPAA");

XÉT THẤY, Đối tác kinh doanh cung cấp các dịch vụ phần mềm dựa trên điện toán đám mây liên quan đến việc tạo, tiếp nhận, duy trì, truyền tải hoặc truy cập Thông tin sức khỏe được bảo vệ thay mặt cho Bên được bảo hiểm;

XÉT THẤY, Quy định HIPAA yêu cầu Bên được bảo hiểm phải ký kết Thỏa thuận Đối tác Kinh doanh với Đối tác Kinh doanh để đảm bảo các biện pháp bảo vệ thích hợp cho Thông tin Sức khỏe Được Bảo vệ;

VÌ VẬY, để đổi lấy những lời hứa tương hỗ dưới đây và những lợi ích có giá trị khác, các bên đồng ý như sau:

1. Định nghĩa

Các thuật ngữ được sử dụng nhưng không được định nghĩa cụ thể trong Thỏa thuận này sẽ có cùng ý nghĩa với các thuật ngữ đó trong Quy tắc HIPAA (45 CFR Phần 160 và 164).

1.1 Thông tin sức khỏe được bảo vệ (PHI): Theo định nghĩa tại 45 CFR § 160.103, PHI là thông tin sức khỏe có thể nhận dạng cá nhân được truyền tải qua phương tiện điện tử, được lưu trữ trên phương tiện điện tử, hoặc được truyền tải hoặc lưu trữ dưới bất kỳ hình thức hoặc phương tiện nào khác. PHI bao gồm, nhưng không giới hạn ở, tên bệnh nhân, địa chỉ, ngày sinh, số An sinh xã hội, số hồ sơ y tế, số người thụ hưởng bảo hiểm y tế, số tài khoản, ảnh, mã số sinh trắc học và bất kỳ số, đặc điểm hoặc mã nhận dạng duy nhất nào khác, cùng với thông tin sức khỏe liên quan đến sức khỏe thể chất hoặc tinh thần trong quá khứ, hiện tại hoặc tương lai của một cá nhân, việc cung cấp dịch vụ chăm sóc sức khỏe cho một cá nhân, hoặc việc thanh toán trong quá khứ, hiện tại hoặc tương lai cho việc cung cấp dịch vụ chăm sóc sức khỏe cho một cá nhân.

1.2 Sự cố an ninh: Hành vi cố gắng hoặc thành công trong việc truy cập, sử dụng, tiết lộ, sửa đổi hoặc phá hủy thông tin trái phép hoặc can thiệp vào hoạt động hệ thống trong một hệ thống thông tin.

1.3 Vi phạm: Việc thu thập, truy cập, sử dụng hoặc tiết lộ Thông tin sức khỏe cá nhân (PHI) theo cách không được phép theo Quy tắc về Quyền riêng tư, làm ảnh hưởng đến tính bảo mật hoặc quyền riêng tư của PHI, như được định nghĩa trong 45 CFR § 164.402, và không bao gồm các trường hợp tiết lộ mà khả năng PHI bị xâm phạm là thấp.

1.4 Thông tin sức khỏe được bảo vệ điện tử (ePHI): Thông tin sức khỏe được truyền tải hoặc lưu trữ trên các phương tiện điện tử.

1.5 Bắt buộc theo luật: Một quy định trong luật buộc một tổ chức phải sử dụng hoặc tiết lộ thông tin sức khỏe cá nhân (PHI) và có thể được thi hành tại tòa án.

1.6 Nhà thầu phụ: Là cá nhân hoặc tổ chức mà Đối tác kinh doanh ủy thác một chức năng, hoạt động hoặc dịch vụ, ngoài vai trò là thành viên trong lực lượng lao động của Đối tác kinh doanh.

2. Nghĩa vụ và hoạt động của cộng sự kinh doanh

2.1 Tiêu chuẩn về lưu trữ và bảo mật dữ liệu

Đối tác kinh doanh phải lưu trữ tất cả thông tin PHI một cách an toàn và mã hóa với các biện pháp bảo vệ sau:

2.1.1 Yêu cầu mã hóa:

  • Mã hóa dữ liệu khi lưu trữ bằng AES-256 hoặc thuật toán mã hóa tiêu chuẩn ngành tương đương.
  • Mã hóa dữ liệu trong quá trình truyền tải bằng TLS 1.2 trở lên cho tất cả các lần truyền dữ liệu.
  • Các bản sao lưu được mã hóa với mức độ bảo vệ tương đương với dữ liệu sản xuất.

2.1.2 Kiểm soát truy cập:

  • Kiểm soát truy cập dựa trên vai trò (RBAC) giới hạn quyền truy cập thông tin sức khỏe cá nhân (PHI) chỉ cho nhân viên được ủy quyền.
  • Yêu cầu xác thực đa yếu tố (MFA) đối với tất cả các quyền truy cập quản trị.
  • Mã định danh người dùng duy nhất cho tất cả những người có quyền truy cập vào thông tin sức khỏe điện tử (ePHI).
  • Tự động đăng xuất sau một khoảng thời gian không hoạt động.
  • Quy trình truy cập khẩn cấp kèm nhật ký kiểm toán

2.1.3 Giám sát an ninh:

  • Kiểm tra an ninh định kỳ và đánh giá lỗ hổng bảo mật (ít nhất mỗi năm một lần)
  • Giám sát liên tục các nỗ lực truy cập trái phép
  • Hệ thống phát hiện và ngăn chặn xâm nhập
  • Các bản vá bảo mật và cập nhật thường xuyên cho tất cả các hệ thống.

2.2 Các trường hợp được phép sử dụng và tiết lộ thông tin sức khỏe cá nhân (PHI)

2.2.1 Đối tác kinh doanh chỉ được phép sử dụng và tiết lộ Thông tin sức khỏe cá nhân (PHI) theo quy định hoặc yêu cầu của Thỏa thuận này hoặc theo yêu cầu của pháp luật.

2.2.2 Đối tác kinh doanh có thể sử dụng Thông tin sức khỏe cá nhân (PHI) để quản lý và điều hành các dịch vụ của Đối tác kinh doanh một cách hợp lý, bao gồm:

  • Lưu trữ, sao lưu và quản lý các biểu mẫu tiếp nhận bệnh nhân và hồ sơ sức khỏe.
  • Chuyển tiếp thông tin sức khỏe cá nhân (PHI) đến đơn vị được bảo hiểm thông qua các liên kết an toàn, có thời hạn tự hủy.
  • Hỗ trợ kỹ thuật và khắc phục sự cố khi được Bên được bảo hiểm yêu cầu rõ ràng.
  • Bảo trì hệ thống và tối ưu hóa hiệu suất

2.2.3 Đối tác kinh doanh chỉ được phép tiết lộ Thông tin Y tế Cá nhân (PHI) để quản lý và điều hành hoạt động kinh doanh của Đối tác kinh doanh nếu:

  • Việc tiết lộ thông tin là bắt buộc theo luật; hoặc
  • Đối tác kinh doanh nhận được sự đảm bảo hợp lý từ người được tiết lộ thông tin rằng thông tin sẽ được giữ bí mật và chỉ được sử dụng hoặc tiết lộ thêm khi được yêu cầu bởi pháp luật hoặc cho mục đích mà thông tin đã được tiết lộ cho người đó, và người đó thông báo cho Đối tác kinh doanh về bất kỳ trường hợp nào mà họ biết là tính bảo mật của thông tin đã bị vi phạm.

2.2.4 Đối tác kinh doanh có thể ẩn danh PHI theo quy định tại 45 CFR § 164.514(a)-(c) và sử dụng dữ liệu đã ẩn danh đó cho mục đích cải tiến hệ thống, phân tích và đảm bảo chất lượng. Đối tác kinh doanh không được cố gắng khôi phục lại danh tính của thông tin đã ẩn danh.

2.2.5 Các hành vi bị cấm: Đối tác kinh doanh KHÔNG được phép:

  • Sử dụng thông tin sức khỏe cá nhân (PHI) cho mục đích tiếp thị mà không có sự cho phép bằng văn bản rõ ràng từ bên được bảo hiểm.
  • Bán thông tin sức khỏe cá nhân (PHI) hoặc sử dụng PHI cho bất kỳ mục đích thương mại nào không liên quan trực tiếp đến việc cung cấp dịch vụ.
  • Chia sẻ thông tin sức khỏe cá nhân (PHI) với các dịch vụ phân tích của bên thứ ba, mô hình huấn luyện trí tuệ nhân tạo hoặc hệ thống học máy mà không có sự cho phép bằng văn bản rõ ràng.
  • Tiết lộ thông tin sức khỏe cá nhân (PHI) cho bất kỳ bên nào không thuộc phạm vi thỏa thuận đối tác kinh doanh (Business Associate Agreement) tiếp theo.

2.3 Tiêu chuẩn tối thiểu cần thiết

Đối tác kinh doanh phải hạn chế việc sử dụng, tiết lộ hoặc yêu cầu PHI ở mức tối thiểu cần thiết để hoàn thành mục đích đã định, theo quy định tại 45 CFR § 164.502(b) và § 164.514(d).

2.4 Các biện pháp bảo vệ thích hợp

Đối tác kinh doanh phải sử dụng các biện pháp bảo vệ hành chính, vật lý và kỹ thuật thích hợp để bảo vệ một cách hợp lý và phù hợp tính bảo mật, tính toàn vẹn và tính khả dụng của thông tin sức khỏe điện tử (ePHI) mà họ tạo ra, nhận, duy trì hoặc truyền tải thay mặt cho Bên được bảo hiểm, tuân thủ theo 45 CFR Phần 164, Tiểu phần C (Quy tắc Bảo mật).

2.5 Yêu cầu báo cáo

2.5.1 Thông báo vi phạm: Đối tác kinh doanh phải báo cáo cho Bên được bảo hiểm bất kỳ vi phạm nào đối với thông tin PHI không được bảo mật mà họ biết được trong vòng năm (5) ngày làm việc kể từ khi phát hiện, hoặc sớm hơn nếu luật hiện hành yêu cầu. Thông báo phải bao gồm, trong phạm vi có thể:

  • Mô tả về hành vi vi phạm, bao gồm ngày xảy ra vi phạm và ngày phát hiện.
  • Xác định danh tính các cá nhân có thông tin sức khỏe cá nhân (PHI) đã bị truy cập, thu thập, sử dụng hoặc tiết lộ trong suốt vụ vi phạm.
  • Mô tả các loại thông tin sức khỏe cá nhân (PHI) liên quan (ví dụ: họ tên đầy đủ, số an sinh xã hội, ngày sinh, số hồ sơ y tế)
  • Mô tả ngắn gọn về những việc mà Đối tác Kinh doanh đang làm để điều tra vụ vi phạm, giảm thiểu thiệt hại cho cá nhân và ngăn ngừa các vụ vi phạm tiếp theo.
  • Thông tin liên hệ để mọi người có thể đặt câu hỏi hoặc tìm hiểu thêm thông tin.

2.5.2 Báo cáo Sự cố Bảo mật: Đối tác Kinh doanh phải báo cáo các Sự cố Bảo mật cho Bên được Bảo hiểm theo yêu cầu hoặc theo thỏa thuận khác. Đối tác Kinh doanh và Bên được Bảo hiểm thừa nhận rằng phần này cấu thành thông báo của Đối tác Kinh doanh cho Bên được Bảo hiểm về sự tồn tại và xảy ra liên tục của các Sự cố Bảo mật đã được thực hiện nhưng không thành công (chẳng hạn như các lần đăng nhập không thành công, ping, quét cổng, tấn công từ chối dịch vụ và phần mềm độc hại không dẫn đến việc truy cập vào ePHI). Đối tác Kinh doanh phải báo cáo các Sự cố Bảo mật thành công trong cùng khung thời gian với các Vi phạm.

2.5.3 Sử dụng hoặc tiết lộ không đúng cách: Đối tác kinh doanh phải báo cáo cho Bên được bảo hiểm bất kỳ việc sử dụng hoặc tiết lộ PHI nào không được quy định trong Thỏa thuận này trong vòng năm (5) ngày làm việc kể từ khi biết được việc sử dụng hoặc tiết lộ đó.

2.6 Thỏa thuận với nhà thầu phụ

2.6.1 Đối tác kinh doanh phải đảm bảo rằng bất kỳ nhà thầu phụ nào tạo ra, nhận, duy trì hoặc truyền tải thông tin sức khỏe cá nhân (PHI) thay mặt cho Đối tác kinh doanh đều đồng ý bằng văn bản với các hạn chế, điều kiện và yêu cầu tương tự áp dụng cho Đối tác kinh doanh đối với thông tin sức khỏe cá nhân đó.

2.6.2 Các nhà thầu phụ hiện tại bao gồm:

  • Amazon Web Services (AWS) - Cơ sở hạ tầng lưu trữ và lưu trữ đám mây
  • Supabase - Dịch vụ cơ sở dữ liệu
  • Các nhà cung cấp dịch vụ email để gửi thông tin sức khỏe cá nhân một cách an toàn.

2.6.3 Đối tác kinh doanh phải có được và duy trì các Thỏa thuận Đối tác Kinh doanh hợp lệ với tất cả các Nhà thầu phụ xử lý Thông tin Sức khỏe Cá nhân (PHI) và phải cung cấp bản sao các thỏa thuận đó cho Bên được bảo hiểm khi có yêu cầu hợp lý.

2.6.4 Đối tác kinh doanh phải thông báo cho Bên được bảo hiểm về bất kỳ thay đổi nào đối với Nhà thầu phụ trong vòng ba mươi (30) ngày kể từ khi có sự thay đổi đó.

2.7 Quyền truy cập thông tin sức khỏe cá nhân

2.7.1 Trong vòng mười (10) ngày làm việc kể từ khi Tổ chức được bảo hiểm yêu cầu, Đối tác kinh doanh sẽ cung cấp cho Tổ chức được bảo hiểm hoặc, theo chỉ dẫn của Tổ chức được bảo hiểm, cho một cá nhân, PHI trong Bộ hồ sơ được chỉ định do Đối tác kinh doanh duy trì hoặc thay mặt cho Đối tác kinh doanh, vào thời điểm và theo cách thức do Tổ chức được bảo hiểm chỉ định, để cho phép Tổ chức được bảo hiểm đáp ứng các nghĩa vụ của mình theo 45 CFR § 164.524.

2.7.2 Nếu Đối tác kinh doanh duy trì Bộ hồ sơ được chỉ định điện tử, Đối tác kinh doanh phải cung cấp PHI ở định dạng điện tử để cho phép Tổ chức được bảo hiểm thực hiện các nghĩa vụ của mình theo 45 CFR § 164.524(c)(2)(ii).

2.8 Sửa đổi PHI

Trong vòng mười (10) ngày làm việc kể từ khi nhận được yêu cầu từ Tổ chức được bảo hiểm, Đối tác kinh doanh phải cung cấp PHI được lưu giữ trong Bộ hồ sơ được chỉ định để sửa đổi và kết hợp bất kỳ sửa đổi nào đối với PHI trong Bộ hồ sơ được chỉ định theo 45 CFR § 164.526, theo chỉ dẫn của Tổ chức được bảo hiểm.

2.9 Kế toán về việc công bố thông tin

2.9.1 Đối tác kinh doanh phải lập hồ sơ tất cả các tiết lộ thông tin sức khỏe cá nhân (PHI) và thông tin liên quan đến các tiết lộ đó theo yêu cầu của Tổ chức được bảo hiểm để đáp ứng yêu cầu của cá nhân về việc cung cấp bản kê khai các tiết lộ theo quy định tại 45 CFR § 164.528.

2.9.2 Trong vòng mười (10) ngày làm việc kể từ khi Tổ chức được bảo hiểm nhận được thông báo rằng họ đã nhận được yêu cầu cung cấp báo cáo về việc tiết lộ PHI, Đối tác kinh doanh phải cung cấp cho Tổ chức được bảo hiểm những thông tin mà Đối tác kinh doanh đang nắm giữ và cần thiết để Tổ chức được bảo hiểm thực hiện báo cáo theo yêu cầu của 45 CFR § 164.528.

2.9.3 Đối tác kinh doanh phải duy trì hồ sơ kế toán trong ít nhất sáu (6) năm kể từ ngày tiết lộ.

2.10 Quyền truy cập vào sách và hồ sơ

Đối tác kinh doanh phải cung cấp các quy trình nội bộ, sổ sách và hồ sơ liên quan đến việc sử dụng và tiết lộ Thông tin sức khỏe cá nhân (PHI) nhận được từ, hoặc được tạo ra hoặc nhận được bởi Đối tác kinh doanh thay mặt cho, cho Bộ trưởng Bộ Y tế và Dịch vụ Nhân sinh nhằm mục đích xác định sự tuân thủ của Tổ chức được bảo hiểm với các Quy tắc HIPAA, trong thời gian và cách thức do Bộ trưởng chỉ định.

2.11 Tuân thủ Đạo luật HITECH

Đối tác kinh doanh phải tuân thủ các yêu cầu hiện hành của Luật HITECH và các quy định được ban hành theo đó, bao gồm nhưng không giới hạn ở:

  • Hạn chế việc bán PHI (42 USC § 17935(d))
  • Hạn chế tiếp thị (42 USC § 17936(a))
  • Kế toán về việc công bố thông tin (42 USC § 17935(c))
  • Các yêu cầu về thông báo trong trường hợp xảy ra vi phạm (42 USC § 17932)

3. Nghĩa vụ của thực thể được bảo hiểm

3.1 Thông báo về Chính sách Bảo mật

Bên được bảo hiểm sẽ cung cấp cho Đối tác kinh doanh một bản sao Thông báo về các quy định bảo mật của mình và bất kỳ thay đổi nào đối với thông báo đó, trong phạm vi thông báo hoặc các thay đổi đó ảnh hưởng đến các mục đích sử dụng và tiết lộ được phép hoặc bắt buộc của Đối tác kinh doanh.

3.2 Quyền sử dụng hoặc tiết lộ

Thực thể được bảo hiểm không được yêu cầu Đối tác kinh doanh sử dụng hoặc tiết lộ PHI theo bất kỳ cách nào mà sẽ không được phép theo Quy tắc Bảo mật nếu được thực hiện bởi Thực thể được bảo hiểm, trừ trường hợp được cho phép theo 45 CFR §§ 164.504(e)(2) và 164.504(e)(3).

3.3 Hạn chế về việc sử dụng và tiết lộ

Bên được bảo hiểm phải thông báo cho Đối tác kinh doanh về bất kỳ hạn chế nào đối với việc sử dụng hoặc tiết lộ Thông tin sức khỏe cá nhân (PHI) mà Bên được bảo hiểm đã đồng ý theo quy định tại 45 CFR § 164.522, trong phạm vi mà hạn chế đó ảnh hưởng đến việc sử dụng hoặc tiết lộ PHI của Đối tác kinh doanh.

3.4 Các yêu cầu được phép

Bên được bảo hiểm cam kết và bảo đảm rằng bất kỳ thông tin sức khỏe cá nhân (PHI) nào được cung cấp cho Đối tác kinh doanh, hoặc PHI mà Đối tác kinh doanh tạo ra hoặc nhận được thay mặt cho Bên được bảo hiểm, đều tuân thủ các Quy tắc HIPAA.

4. Thời hạn và chấm dứt hợp đồng

4.1 Thuật ngữ

Thỏa thuận này sẽ có hiệu lực kể từ ngày Bên được bảo hiểm chấp nhận các điều khoản này (bằng điện tử hoặc bằng văn bản) và sẽ tiếp tục có hiệu lực cho đến khi tất cả Thông tin sức khỏe cá nhân (PHI) do Bên được bảo hiểm cung cấp cho Đối tác kinh doanh, hoặc do Đối tác kinh doanh tạo ra, nhận được hoặc duy trì thay mặt Bên được bảo hiểm, bị tiêu hủy hoặc trả lại cho Bên được bảo hiểm, hoặc, nếu không thể trả lại hoặc tiêu hủy PHI, thì các biện pháp bảo vệ được mở rộng cho PHI đó theo các điều khoản chấm dứt trong Phần này.

4.2 Chấm dứt hợp đồng vì lý do chính đáng

4.2.1 Bên được bảo hiểm có thể chấm dứt Thỏa thuận này ngay lập tức bằng thông báo bằng văn bản cho Đối tác kinh doanh nếu Bên được bảo hiểm xác định rằng Đối tác kinh doanh đã vi phạm một điều khoản quan trọng của Thỏa thuận này và không khắc phục được vi phạm trong vòng ba mươi (30) ngày kể từ khi nhận được thông báo bằng văn bản về vi phạm từ Bên được bảo hiểm.

4.2.2 Đối tác kinh doanh có thể chấm dứt Thỏa thuận này ngay lập tức bằng thông báo bằng văn bản nếu Bên được bảo hiểm vi phạm một điều khoản quan trọng và không khắc phục vi phạm trong vòng ba mươi (30) ngày kể từ khi nhận được thông báo bằng văn bản.

4.2.3 Bất kỳ bên nào cũng có thể chấm dứt Thỏa thuận này ngay lập tức bằng thông báo bằng văn bản nếu bên kia trở thành đối tượng của đơn xin phá sản, hoặc mất khả năng thanh toán, hoặc thực hiện việc chuyển nhượng tài sản vì lợi ích của các chủ nợ.

4.3 Ảnh hưởng của việc chấm dứt

4.3.1 Trả lại hoặc Hủy bỏ Thông tin Y tế Cá nhân (PHI):

Khi Thỏa thuận này chấm dứt vì bất kỳ lý do nào, Đối tác kinh doanh sẽ:

a) Thời gian truy xuất: Cung cấp cho Bên được bảo hiểm ba mươi (30) ngày để truy xuất hoặc xuất tất cả PHI từ hệ thống của Đối tác kinh doanh. Trong thời gian này, Đối tác kinh doanh phải:

  • Đảm bảo quyền truy cập đầy đủ cho Bên được bảo hiểm vào tất cả thông tin sức khỏe cá nhân (PHI).
  • Cung cấp hỗ trợ kỹ thuật cho việc xuất dữ liệu.
  • Cung cấp dữ liệu ở các định dạng thông dụng, có thể đọc được bằng máy tính.
  • Không tính thêm phí cho việc xuất dữ liệu tiêu chuẩn.

b) Hủy bỏ: Sau khi hết thời hạn thu hồi ba mươi (30) ngày, Đối tác kinh doanh sẽ:

  • Xóa hoặc tiêu hủy vĩnh viễn tất cả thông tin sức khỏe cá nhân (PHI) dưới mọi hình thức (điện tử và vật lý).
  • Ghi đè an toàn lên tất cả các phương tiện lưu trữ chứa thông tin PHI theo Hướng dẫn về Xóa dữ liệu trên phương tiện lưu trữ của NIST Special Publication 800-88.
  • Xóa tất cả PHI khỏi hệ thống sao lưu trong vòng chín mươi (90) ngày hoặc vào chu kỳ sao lưu tiếp theo
  • Cung cấp giấy chứng nhận tiêu hủy bằng văn bản cho Bên được bảo hiểm trong vòng mười (10) ngày kể từ khi hoàn thành

4.3.2 Việc không thể hoàn trả hoặc tiêu hủy:

Nếu Đối tác kinh doanh xác định rằng việc trả lại hoặc tiêu hủy Thông tin sức khỏe cá nhân là không khả thi, Đối tác kinh doanh sẽ:

  • Cung cấp thông báo bằng văn bản cho Bên được bảo hiểm, nêu rõ lý do cụ thể tại sao việc trả lại hoặc tiêu hủy là không khả thi.
  • Mở rộng phạm vi bảo vệ của Thỏa thuận này đối với thông tin sức khỏe cá nhân (PHI) đó.
  • Hạn chế việc sử dụng và tiết lộ thêm thông tin PHI đó chỉ cho những mục đích khiến việc trả lại hoặc tiêu hủy trở nên không khả thi.
  • Không được sử dụng hoặc tiết lộ thông tin sức khỏe cá nhân đó cho bất kỳ mục đích nào khác.

Các ví dụ về sự bất khả thi bao gồm, nhưng không giới hạn ở: các yêu cầu pháp lý hoặc quy định về việc lưu giữ hồ sơ, những hạn chế kỹ thuật của hệ thống sao lưu, hoặc các vụ kiện tụng đang diễn ra hoặc các cuộc điều tra của chính phủ.

4.4 Khả năng sinh tồn

Các nghĩa vụ của Đối tác kinh doanh theo Mục 4.3 (Hiệu lực của việc chấm dứt) và Mục 7 (Trách nhiệm và bồi thường) sẽ vẫn còn hiệu lực sau khi Thỏa thuận này chấm dứt.

5. Quyền kiểm toán

5.1 Yêu cầu tài liệu

Sau khi thông báo bằng văn bản hợp lý (không ít hơn mười lăm (15) ngày làm việc), Bên được bảo hiểm có thể yêu cầu Đối tác kinh doanh cung cấp tài liệu về các chính sách bảo mật, kiểm soát mã hóa, nhật ký kiểm toán, hồ sơ đào tạo nhân viên và Thỏa thuận Đối tác kinh doanh Nhà thầu phụ nhằm mục đích xác định sự tuân thủ của Đối tác kinh doanh đối với Thỏa thuận này.

5.2 Phương pháp kiểm toán

Đối tác kinh doanh có thể đáp ứng các yêu cầu kiểm toán thông qua bất kỳ phương pháp nào sau đây:

  • Tóm tắt bằng văn bản về các biện pháp kiểm soát an ninh, chính sách và quy trình.
  • Báo cáo tuân thủ của bên thứ ba (ví dụ: SOC 2 Loại II, chứng nhận HITRUST, ISO 27001)
  • Trích xuất nhật ký kiểm toán cho các khoảng thời gian cụ thể (đã ẩn danh nếu có thể)
  • Kiểm tra trực tuyến hoặc trực tiếp các cơ sở và hệ thống, theo thỏa thuận về ngày và phạm vi.

5.3 Tần suất kiểm toán

Đơn vị chịu trách nhiệm có thể yêu cầu kiểm toán tối đa một lần mỗi năm dương lịch, trừ trường hợp:

  • Đã xảy ra sự cố xâm nhập hoặc vi phạm an ninh.
  • Theo yêu cầu của luật hoặc quy định
  • Bên được bảo hiểm có lý do chính đáng để tin rằng Đối tác kinh doanh không tuân thủ quy định.

5.4 Chi phí kiểm toán

Mỗi bên sẽ tự chịu chi phí liên quan đến việc kiểm toán, trừ trường hợp cuộc kiểm toán phát hiện sự không tuân thủ nghiêm trọng của Đối tác kinh doanh, trong trường hợp đó Đối tác kinh doanh sẽ hoàn trả cho Bên được kiểm toán các chi phí kiểm toán hợp lý.

5.5 Bảo mật

Mọi thông tin được tiết lộ trong quá trình kiểm toán sẽ được coi là thông tin kinh doanh mật và chỉ được sử dụng cho mục đích xác minh việc tuân thủ Thỏa thuận này.

6. Trách nhiệm pháp lý và bồi thường

6.1 Trách nhiệm chung

Mỗi bên chịu trách nhiệm về các hành vi hoặc thiếu sót bất cẩn của chính mình, cũng như của nhân viên, đại lý hoặc nhà thầu phụ của mình, liên quan đến Thỏa thuận này trong phạm vi pháp luật cho phép.

6.2 Giới hạn trách nhiệm

6.2.1 Trừ trường hợp được quy định tại Mục 6.2.2, tổng trách nhiệm của Đối tác Kinh doanh đối với Bên được Bảo hiểm theo Thỏa thuận này cho bất kỳ và tất cả các khiếu nại phát sinh từ hoặc liên quan đến Thỏa thuận này sẽ không vượt quá số tiền bằng mười hai (12) tháng phí mà Bên được Bảo hiểm đã thanh toán hoặc phải thanh toán cho Đối tác Kinh doanh.

6.2.2 Giới hạn quy định tại Mục 6.2.1 không áp dụng cho:

  • Hành vi sai trái cố ý hoặc hành vi phạm pháp có chủ đích
  • Sự cẩu thả nghiêm trọng
  • Cố ý vi phạm nghĩa vụ bảo mật
  • Hành vi phạm tội
  • Vi phạm HIPAA do đối tác kinh doanh không thực hiện các biện pháp bảo vệ cần thiết.
  • Nghĩa vụ theo Mục 6.3 (Bồi thường)

6.2.3 KHÔNG BÊN NÀO CHỊU TRÁCH NHIỆM ĐỐI VỚI BẤT KỲ THIỆT HẠI GIÁN TIẾP, NGẪN NHIÊN, HẬU QUẢ, ĐẶC BIỆT HOẶC TRỪNG PHẠT NÀO, BAO GỒM NHƯNG KHÔNG GIỚI HẠN Ở LỢI NHUẬN BỊ MẤT, MẤT DỮ LIỆU HOẶC MẤT CƠ HỘI KINH DOANH, NGAY CẢ KHI ĐÃ ĐƯỢC THÔNG BÁO VỀ KHẢ NĂNG XẢY RA NHỮNG THIỆT HẠI ĐÓ, NGOẠI TRỪ TRƯỜNG HỢP NHỮNG THIỆT HẠI ĐÓ LÀ DO SỰ BẤT CẨN NGHIÊM TRỌNG HOẶC HÀNH VI CỐ Ý SAI PHẠM.

6.3 Bồi thường từ phía đối tác kinh doanh

Đối tác kinh doanh sẽ bồi thường, bảo vệ và giữ cho Bên được bảo hiểm, các giám đốc, viên chức, nhân viên và đại lý của Bên đó không bị tổn hại trước bất kỳ và tất cả các khiếu nại, trách nhiệm pháp lý, thiệt hại, tổn thất, chi phí và phí tổn (bao gồm cả phí luật sư hợp lý) phát sinh từ hoặc liên quan đến:

  • Việc đối tác kinh doanh vi phạm Thỏa thuận này.
  • Vi phạm quy tắc HIPAA của đối tác kinh doanh
  • Việc sử dụng hoặc tiết lộ thông tin sức khỏe cá nhân trái phép của đối tác kinh doanh.
  • Các khiếu nại từ bên thứ ba phát sinh từ hành vi hoặc thiếu sót của Đối tác kinh doanh.
  • Vi phạm hoặc sự cố an ninh do Đối tác kinh doanh hoặc nhà thầu phụ của Đối tác gây ra.

Nghĩa vụ bồi thường này sẽ không áp dụng trong trường hợp bất kỳ khiếu nại, trách nhiệm pháp lý, thiệt hại, tổn thất, chi phí hoặc khoản phí nào phát sinh do Bên được bảo hiểm vi phạm Thỏa thuận này hoặc vi phạm Quy tắc HIPAA.

6.4 Bồi thường từ phía bên được bảo hiểm

Bên được bảo hiểm sẽ bồi thường, bảo vệ và giữ cho Đối tác kinh doanh, các giám đốc, viên chức, nhân viên và đại lý của Đối tác kinh doanh không bị tổn hại trước bất kỳ và tất cả các khiếu nại, trách nhiệm pháp lý, thiệt hại, tổn thất, chi phí và phí tổn (bao gồm cả phí luật sư hợp lý) phát sinh từ hoặc liên quan đến:

  • Việc Bên được bảo hiểm vi phạm Thỏa thuận này
  • Vi phạm Quy tắc HIPAA của Bên được bảo hiểm
  • Việc đơn vị được bảo hiểm cung cấp thông tin sức khỏe cá nhân không chính xác hoặc không đầy đủ cho đối tác kinh doanh.
  • Hướng dẫn từ đơn vị được bảo hiểm cho đối tác kinh doanh vi phạm các quy tắc HIPAA.

6.5 Bảo hiểm

Mỗi bên phải duy trì bảo hiểm phù hợp, bao gồm bảo hiểm trách nhiệm mạng, với số tiền đủ để trang trải các trách nhiệm pháp lý tiềm tàng theo Thỏa thuận này. Theo yêu cầu, mỗi bên phải cung cấp cho bên kia giấy chứng nhận bảo hiểm.

7. Những thay đổi và sửa đổi về quy định

7.1 Thay đổi về quy định

Các bên thừa nhận rằng Quy tắc HIPAA có thể được Bộ trưởng Bộ Y tế và Dịch vụ Nhân sinh sửa đổi theo thời gian. Đối tác kinh doanh đồng ý thực hiện các thay đổi đối với các hoạt động, chính sách và thủ tục của mình khi cần thiết để duy trì sự tuân thủ Quy tắc HIPAA đã được sửa đổi.

7.2 Sửa đổi Thỏa thuận

7.2.1 Đối tác kinh doanh phải thông báo cho Bên được bảo hiểm về bất kỳ thay đổi quan trọng nào đối với Quy tắc HIPAA ảnh hưởng đến Thỏa thuận này trong vòng ba mươi (30) ngày kể từ ngày có hiệu lực của những thay đổi đó.

7.2.2 Nếu một trong hai bên xác định rằng cần phải sửa đổi Thỏa thuận này để tuân thủ các thay đổi trong Quy tắc HIPAA, các bên sẽ đàm phán thiện chí để sửa đổi Thỏa thuận này cho phù hợp.

7.2.3 Thỏa thuận này không được sửa đổi trừ khi có thỏa thuận bằng văn bản được ký bởi các đại diện được ủy quyền của cả hai bên.

7.2.4 Đối tác kinh doanh có quyền cập nhật phiên bản của Thỏa thuận này theo thời gian. Các phiên bản cập nhật sẽ được đăng tải trên trang web của Đối tác kinh doanh và Bên được bảo hiểm sẽ được thông báo qua email ít nhất ba mươi (30) ngày trước ngày có hiệu lực của các thay đổi quan trọng.

8. Các điều khoản khác

8.1 Luật điều chỉnh

Thỏa thuận này sẽ được điều chỉnh và giải thích theo luật của tiểu bang nơi đặt trụ sở của Bên được bảo hiểm, không xét đến các điều khoản xung đột pháp luật, trừ trường hợp luật liên bang có hiệu lực ưu tiên hơn luật tiểu bang.

8.2 Thẩm quyền và địa điểm xét xử

Mọi hành động pháp lý phát sinh từ hoặc liên quan đến Thỏa thuận này sẽ chỉ được tiến hành tại các tòa án tiểu bang hoặc liên bang thuộc thẩm quyền nơi Bên được bảo hiểm đặt trụ sở chính.

8.3 Giải thích

Mọi sự mơ hồ trong Thỏa thuận này sẽ được giải quyết theo hướng cho phép Bên được bảo hiểm tuân thủ các Quy tắc HIPAA. Trong trường hợp có bất kỳ xung đột nào giữa các điều khoản của Thỏa thuận này và các Quy tắc HIPAA, các Quy tắc HIPAA sẽ được ưu tiên áp dụng.

8.4 Không có bên thứ ba hưởng lợi

Không có điều khoản nào trong Thỏa thuận này trao cho bất kỳ người nào khác ngoài các bên và người kế nhiệm hoặc người được chuyển nhượng quyền của họ bất kỳ quyền, biện pháp khắc phục, nghĩa vụ hoặc trách nhiệm pháp lý nào.

8.5 Miễn trừ

Việc một trong hai bên không thực thi bất kỳ điều khoản nào của Thỏa thuận này sẽ không cấu thành sự từ bỏ điều khoản đó hoặc bất kỳ điều khoản nào khác, cũng như việc không thực thi đó sẽ không ngăn cản bên đó thực thi điều khoản đó vào thời điểm sau này.

8.6 Tính khả phân

Nếu bất kỳ điều khoản nào của Thỏa thuận này bị coi là không hợp lệ hoặc không thể thi hành, các điều khoản còn lại vẫn sẽ tiếp tục có hiệu lực đầy đủ, và điều khoản không hợp lệ hoặc không thể thi hành đó sẽ được sửa đổi ở mức tối thiểu cần thiết để làm cho nó hợp lệ và có thể thi hành.

8.7 Bài tập

Không bên nào được phép chuyển nhượng Thỏa thuận này mà không có sự đồng ý bằng văn bản trước của bên kia, ngoại trừ trường hợp Đối tác kinh doanh có thể chuyển nhượng Thỏa thuận này cho một thực thể kế nhiệm trong trường hợp sáp nhập, mua lại hoặc bán toàn bộ hoặc phần lớn tài sản của mình, với điều kiện bên nhận chuyển nhượng đồng ý đảm nhận tất cả các nghĩa vụ theo Thỏa thuận này.

8.8 Thỏa thuận toàn diện

Thỏa thuận này, cùng với bất kỳ Thỏa thuận Dịch vụ nào giữa các bên, tạo thành toàn bộ thỏa thuận giữa các bên liên quan đến nội dung được đề cập ở đây và thay thế tất cả các thỏa thuận bằng miệng hoặc bằng văn bản trước đó hoặc đồng thời liên quan đến nội dung đó.

8.9 Thông báo

Tất cả các thông báo được yêu cầu hoặc cho phép theo Thỏa thuận này phải được lập bằng văn bản và được coi là đã được gửi khi:

  • Giao tận tay
  • Được gửi qua đường truyền email đã được xác nhận.
  • Gửi bằng thư bảo đảm hoặc thư đăng ký, yêu cầu biên nhận trả lại.
  • Được giao bởi dịch vụ chuyển phát nhanh qua đêm được công nhận trên toàn quốc.

Thông báo cho Đối tác Kinh doanh cần được gửi đến: Dental Education, Inc. d/b/a Intake.Dental 1041 N. Dupont Hwy Dover, DE 19901 Email: support@intake.dental

Thông báo cho Bên được bảo hiểm sẽ được gửi đến địa chỉ email và địa chỉ thực tế được cung cấp trong quá trình đăng ký.

8.10 Sự kiện bất khả kháng

Không bên nào phải chịu trách nhiệm về bất kỳ sự chậm trễ hoặc thất bại nào trong việc thực hiện nghĩa vụ do các nguyên nhân nằm ngoài khả năng kiểm soát hợp lý của mình, bao gồm nhưng không giới hạn ở các sự kiện bất khả kháng, thiên tai, chiến tranh, khủng bố, bạo loạn, tranh chấp lao động hoặc hành động của chính phủ, với điều kiện bên bị ảnh hưởng phải thông báo kịp thời cho bên kia và nỗ lực hợp lý để tiếp tục thực hiện nghĩa vụ.

8.11 Bản sao và chữ ký điện tử

Thỏa thuận này có thể được lập thành nhiều bản sao, mỗi bản sao được coi là bản gốc và tất cả các bản sao cùng nhau tạo thành một văn bản duy nhất. Chữ ký điện tử và chữ ký được gửi qua hệ thống điện tử có giá trị pháp lý tương đương với chữ ký gốc.

9. Chấp nhận và thực hiện

9.1 Phương pháp chấp nhận

Thỏa thuận đối tác kinh doanh này được coi là đã được ký kết đầy đủ và có hiệu lực ràng buộc khi:

  • Chấp nhận điện tử: Được chấp nhận điện tử thông qua chữ ký điện tử trong quá trình đăng ký tài khoản trực tuyến hoặc thanh toán; HOẶC
  • Chữ ký bằng văn bản: Được ký bởi đại diện được ủy quyền của cả hai bên thông qua chữ ký điện tử hoặc chữ ký vật lý.

9.2 Thẩm quyền ký kết

Bằng việc ký kết Thỏa thuận này, cá nhân đó tuyên bố và đảm bảo rằng họ có đầy đủ thẩm quyền để ràng buộc Bên được bảo hiểm vào các điều khoản và điều kiện của Thỏa thuận này.

9.3 Lưu trữ hồ sơ

Cả hai bên phải lưu giữ một bản sao của Thỏa thuận đã ký kết này trong thời hạn tối thiểu sáu (6) năm kể từ ngày chấm dứt hoặc hết hạn của Thỏa thuận, hoặc thời gian dài hơn theo quy định của pháp luật.

10. Định nghĩa các thuật ngữ dịch vụ chính

Để phục vụ cho mục đích của Thỏa thuận này, các điều khoản cụ thể về dịch vụ sau đây sẽ được áp dụng:

10.1 Nền tảng Dental Forms Pro: Nền tảng phần mềm dịch vụ dựa trên điện toán đám mây do Business Associate cung cấp để tạo, thu thập, lưu trữ và cung cấp các biểu mẫu tiếp nhận bệnh nhân, bệnh sử và các tài liệu liên quan.

10.2 Liên kết hết hạn: Các URL bảo mật, có thời hạn do nền tảng tạo ra, cho phép Tổ chức được bảo hiểm truy cập Thông tin sức khỏe cá nhân (PHI) trong một khoảng thời gian nhất định (thường là 48-72 giờ), sau đó các liên kết sẽ tự động hết hạn và không thể truy cập được nữa.

10.3 Lưu trữ đám mây: Các dịch vụ lưu trữ được mã hóa được cung cấp thông qua cơ sở hạ tầng AWS S3 và Supabase, được sử dụng để lưu trữ thông tin PHI một cách an toàn thay mặt cho Tổ chức được bảo hiểm.

10.4 Hồ sơ tiếp nhận bệnh nhân: Các biểu mẫu điện tử do bệnh nhân điền có chứa thông tin sức khỏe cá nhân (PHI), bao gồm nhưng không giới hạn ở tiền sử bệnh, thuốc đang dùng, dị ứng, thông tin bảo hiểm và các mẫu đơn đồng ý.

Thông tin liên hệ

Mọi thắc mắc về Thỏa thuận Đối tác Kinh doanh này hoặc các vấn đề tuân thủ HIPAA, vui lòng liên hệ:

Công ty TNHH Giáo dục Nha khoa, hoạt động dưới tên thương hiệu Intake.Dental
Email: support@intake.dental
Trang web: https://intake.dental
Cán bộ phụ trách tuân thủ: Jordan Thomas
Điện thoại: (916) 752-2280

Thông tin tài liệu

Phiên bản thỏa thuận: baa_v2025-10-17
Cập nhật lần cuối: ngày 17 tháng 10 năm 2025
Ngày xem xét tiếp theo: 17 tháng 10 năm 2026

Thỏa thuận đối tác kinh doanh này tuân thủ các quy định sau:

  • Đạo luật về tính khả chuyển và trách nhiệm giải trình bảo hiểm y tế (HIPAA) năm 1996
  • Đạo luật Công nghệ Thông tin Y tế vì Sức khỏe Kinh tế và Lâm sàng (HITECH) năm 2009
  • 45 CFR Phần 160 và 164 (Các quy tắc về quyền riêng tư, bảo mật và thông báo vi phạm của HIPAA)
  • Đạo luật ESIGN (Đạo luật về chữ ký điện tử trong thương mại toàn cầu và quốc gia)

THÔNG BÁO QUAN TRỌNG DÀNH CHO CÁC TỔ CHỨC THUỘC PHẠM VI

Bằng cách tiếp tục thanh toán hoặc nhấp vào "Tôi đồng ý", bạn xác nhận rằng:

  1. Bạn đã đọc và hiểu toàn bộ Thỏa thuận Đối tác Kinh doanh này.
  2. Bạn là người đại diện được ủy quyền của cơ sở/tổ chức của mình và có thẩm quyền ký kết Thỏa thuận này.
  3. Bạn đồng ý chịu ràng buộc bởi tất cả các điều khoản và điều kiện được nêu trong đây.
  4. Chữ ký điện tử của bạn sẽ có giá trị pháp lý và tương đương với chữ ký viết tay.
  5. Thỏa thuận này sẽ có hiệu lực trong suốt thời gian hợp đồng dịch vụ giữa hai bên và cả sau khi chấm dứt hợp đồng theo quy định trong các điều khoản chấm dứt.

Đây là một hợp đồng có giá trị pháp lý ràng buộc. Vui lòng giữ lại một bản sao để lưu trữ.

Để được hỗ trợ kỹ thuật hoặc giải đáp thắc mắc, vui lòng liên hệ: support@intake.dental
Đối với các câu hỏi về tuân thủ HIPAA, vui lòng liên hệ: support@intake.dental

Document ID: BAA-{Generated upon acceptance}
Generated: {Date of acceptance}