业务合作协议

《受保护健康信息HIPAA合规协议》

生效日期:接受之时
版本号:baa_v2025-10-17

本协议的缔约方

承保实体:购买服务的牙科诊所或医疗机构("承保实体")

业务合作伙伴:牙科教育公司(Dental Education, Inc.),以Intake.Dental名义开展业务("业务合作伙伴")

产品/服务:Dental Forms Pro——基于云平台的患者信息采集、健康史管理及受保护健康信息(PHI)文档存储服务

独奏会

鉴于,被覆盖实体作为医疗保健提供者,须遵守《1996年健康保险携带与责任法案》("HIPAA")、《经济与临床健康信息技术法案》("HITECH法案")及相关法规(统称"HIPAA规则");

鉴于,业务合作伙伴为承保实体提供基于云的软件服务,该服务涉及代表承保实体创建、接收、维护、传输或访问受保护健康信息;

鉴于《健康保险流通与责任法案》规则要求受保护实体与业务合作伙伴签订业务合作协议,以确保对受保护健康信息采取适当的保护措施;

鉴于双方作出如下相互承诺,并基于其他有效且有价值的考虑因素,双方同意如下条款:

1. 定义

本协议中使用但未另行定义的术语,其含义与《健康保险流通与责任法案规则》(《联邦法规汇编》第45编第160和164部分)中所述术语具有相同含义。

1.1 受保护健康信息(PHI):根据《联邦法规》第45卷第160.103条定义,指通过电子媒介传输、以电子媒介保存,或以任何其他形式或媒介传输或保存的可识别个人身份的健康信息。PHI包括但不限于患者姓名、地址、出生日期、 社会保障号码、病历编号、健康计划受益人编号、账户号码、照片、生物特征标识符,以及任何其他唯一识别号码、特征或代码,同时涵盖与个人过去、现在或未来身心健康状况、医疗服务提供情况,或过去、现在及未来医疗服务支付相关的健康信息。

1.2 安全事件:指在信息系统中,对信息进行未授权访问、使用、披露、修改或破坏的企图或成功行为,或对系统运行造成的干扰。

1.3 违规行为:指以《隐私规则》未允许的方式获取、访问、使用或披露个人健康信息(PHI),从而危及该信息的安全性或隐私性(定义参见《联邦法规汇编》第45卷第164.402条),但不包括那些导致个人健康信息泄露可能性较低的披露情形。

1.4 电子受保护健康信息(ePHI):通过电子媒介传输或以电子媒介形式保存的个人健康信息(PHI)。

1.5 法律强制要求:指法律中包含的强制性规定,要求实体必须使用或披露个人健康信息,且该规定在法庭上具有可执行性。

1.6 分包商:指业务合作伙伴将其职能、活动或服务委托给的个人或实体,但不包括作为业务合作伙伴员工身份参与的情况。

2. 业务合作伙伴的义务与活动

2.1 数据存储与安全标准

业务合作伙伴应将所有个人健康信息(PHI)专用于安全加密环境中存储,并采取以下安全措施:

2.1.1 加密要求:

  • 静态数据采用AES-256或同等行业标准加密技术进行加密
  • 所有数据传输均采用TLS 1.2或更高版本进行传输过程中的加密
  • 加密备份提供与生产数据同等级别的保护

2.1.2 访问控制:

  • 基于角色的访问控制(RBAC)将PHI访问权限限制为仅限授权人员
  • 所有管理访问均需多因素身份验证(MFA)
  • 所有可访问电子健康信息(ePHI)人员的唯一用户标识
  • 在一段时间内无操作后自动注销
  • 紧急访问程序及审计追踪

2.1.3 安全监控:

  • 定期安全审计和漏洞评估(至少每年一次)
  • 持续监控未经授权的访问尝试
  • 入侵检测与防御系统
  • 定期为所有系统安装安全补丁和更新

2.2 个人健康信息的许可使用与披露

2.2.1业务合作伙伴仅可在本协议允许或要求范围内,或根据法律要求使用和披露个人健康信息。

2.2.2业务合作伙伴可为妥善管理和运营其服务之目的使用个人健康信息,包括:

  • 托管、存储和备份患者登记表及健康史
  • 通过安全、限时失效的链接将受保护健康信息(PHI)路由至覆盖实体
  • 当被保险实体明确要求时提供技术支持和故障排除
  • 系统维护与性能优化

2.2.3业务合作伙伴仅可在下列情况下为妥善管理和运营其业务而披露个人健康信息:

  • 该披露系法律要求;或
  • 业务合作伙伴应从信息接收方处获得合理保证,确保该信息将被保密处理,且仅在法律要求或为向该接收方披露信息之目的下使用或进一步披露。同时,该接收方须向业务合作伙伴通报其知悉的任何信息保密性遭破坏的事件。

2.2.4业务合作伙伴可依据《联邦法规》第45编第164.514(a)-(c)条对个人健康信息进行去标识化处理,并将此类去标识化数据用于系统改进、数据分析及质量保证目的。业务合作伙伴不得尝试对去标识化信息进行重新标识。

2.2.5 禁止用途:业务合作伙伴不得:

  • 未经承保实体明确书面授权,不得将PHI用于营销目的
  • 出售PHI或将PHI用于任何与提供服务无直接关联的商业目的
  • 未经明确书面授权,不得与第三方分析服务、人工智能训练模型或机器学习系统共享受保护的健康信息(PHI)。
  • 向任何未被下游业务合作协议涵盖的方披露受保护健康信息

2.3 最低必要标准

业务合作伙伴应根据《联邦法规》第45编第164.502(b)条和第164.514(d)条的规定,将其对个人健康信息的使用、披露或请求限制在实现预期目的所必需的最低限度。

2.4 适当的保障措施

业务合作伙伴应采取适当的管理、物理和技术保护措施,合理且恰当地保护其代表受保护实体创建、接收、维护或传输的电子健康信息(ePHI)的机密性、完整性和可用性,并符合《联邦法规》第45卷第164部分C分部(安全规则)的要求。

2.5 报告要求

2.5.1 违规通知:业务合作伙伴应在发现未加密的受保护健康信息(PHI)违规事件后五(5)个工作日内向覆盖实体报告,若适用法律要求则应更早报告。通知应尽可能包含以下内容:

  • 违规行为的描述,包括违规行为发生日期及发现日期
  • 在数据泄露事件中,已知或合理认为其个人健康信息(PHI)被访问、获取、使用或披露的个人身份信息
  • 涉及的个人健康信息(PHI)类型说明(例如:全名、社会保障号码、出生日期、医疗记录编号)
  • 业务合作伙伴为调查数据泄露事件、减轻对个人的伤害以及防范进一步泄露所采取的措施简述
  • 个人咨询或获取更多信息的联系方式

2.5.2 安全事件报告:业务合作伙伴应根据要求或另行约定向覆盖实体报告安全事件。 业务合作伙伴与覆盖实体确认,本条款构成业务合作伙伴向覆盖实体发出的通知,告知持续存在且已发生但未遂的安全事件(如未成功的登录尝试、ping 攻击、端口扫描、拒绝服务攻击以及未导致电子健康信息(ePHI)访问权限的恶意软件)。业务合作伙伴应在与数据泄露事件相同的时间范围内报告成功的安全事件。

2.5.3 不当使用或披露:业务合作伙伴在知悉任何未按本协议规定使用或披露受保护健康信息的行为后,应于五个(5)工作日内向覆盖实体报告。

2.6 分包商协议

2.6.1业务合作伙伴应确保任何代表其创建、接收、维护或传输个人健康信息的分包商,均以书面形式同意遵守与该业务合作伙伴相同的限制、条件及要求。

2.6.2当前分包商包括:

  • 亚马逊网络服务(AWS)——云托管与存储基础设施
  • Supabase - 数据库服务
  • 电子邮件服务提供商用于安全传输个人健康信息

2.6.3业务合作伙伴应与所有处理个人健康信息(PHI)的分包商签订并保持有效的业务合作伙伴协议,并在合理要求下向覆盖实体提供此类协议的副本。

2.6.4业务合作伙伴应在分包商发生变更后三十(30)日内通知覆盖实体。

2.7 获取个人健康信息

2.7.1在承保实体提出请求后十(10)个工作日内,业务合作伙伴应按承保实体指定的时间和方式,向承保实体或承保实体指定的个人提供由业务合作伙伴维护或代为维护的指定记录集中的个人健康信息(PHI),以使承保实体能够履行其根据《联邦法规》第45编第164.524条所承担的义务。

2.7.2若业务合作伙伴持有电子指定记录集,则应以电子格式提供个人健康信息,以便覆盖实体履行其根据《联邦法规》第45卷第164.524(c)(2)(ii)条所承担的义务。

2.8 个人健康信息的修订

在收到承保实体的请求后十(10)个工作日内,业务合作伙伴应根据承保实体的指示,提供指定记录集中保存的个人健康信息(PHI)以供修改,并将对个人健康信息的任何修改纳入指定记录集,具体操作须遵循《联邦法规汇编》第45卷第164.526节的规定。

2.9 披露事项的会计处理

2.9.1业务合作伙伴应记录所有受保护健康信息(PHI)的披露情况,并记录与该等披露相关的信息,以便覆盖实体能够根据《联邦法规》第45编第164.528条的要求,响应个人提出的披露记录查询请求。

2.9.2在承保实体通知其收到个人健康信息披露记录请求后十(10)个工作日内,业务合作伙伴应向承保实体提供其持有的、且承保实体为履行《联邦法规》第45编第164.528条规定的记录要求所必需的信息。

2.9.3业务合作伙伴应自信息披露之日起至少保存会计记录六(6)年。

2.10 查阅账簿及记录

业务合作伙伴应向卫生与公众服务部长提供其内部操作、账簿及记录,这些文件涉及使用和披露从承保实体处接收的、或由业务合作伙伴代表承保实体创建或接收的个人健康信息(PHI),以便部长在指定的时间和方式内,据此判定承保实体是否遵守《健康保险流通与责任法案》(HIPAA)规则。

2.11 《HITECH法案》合规性

业务合作伙伴应遵守《HITECH法案》及其下颁布的法规的适用要求,包括但不限于:

  • 个人健康信息销售限制(《美国法典》第42编第17935(d)条)
  • 营销限制(《美国法典》第42编第17936(a)条)
  • 披露事项的核算(《美国法典》第42编第17935(c)条)
  • 发生违规事件时的通知要求(《美国法典》第42编第17932条)

3. 受保护实体的义务

3.1 隐私保护政策通知

覆盖实体应向业务合作伙伴提供其《隐私实践通知》及其任何修订版本的副本,但仅限于该通知或修订内容影响业务合作伙伴被允许或要求的使用及披露情形。

3.2 使用或披露许可

受保护实体不得要求业务伙伴以任何方式使用或披露个人健康信息,若该行为由受保护实体实施则不符合隐私规则要求,但根据《联邦法规汇编》第45卷第164.504(e)(2)条和第164.504(e)(3)条允许的情况除外。

3.3 使用与披露限制

受保护实体应根据《联邦法规》第45编第164.522条,就其同意的任何限制个人健康信息使用或披露的条款通知业务伙伴,但仅限于该等限制影响业务伙伴使用或披露个人健康信息的情形。

3.4 允许请求

承保实体声明并保证,向业务合作伙伴提供的任何个人健康信息(PHI),或业务合作伙伴代表承保实体创建或接收的任何个人健康信息(PHI),均符合《健康保险流通与责任法案》(HIPAA)规则的要求。

4. 期限与终止

4.1 期限

本协议自承保实体接受这些条款之日(电子或书面形式)起生效,并持续有效直至承保实体向业务合作伙伴提供的所有个人健康信息(PHI),或业务合作伙伴代表承保实体创建、接收或保存的个人健康信息被销毁或返还给承保实体为止;若无法返还或销毁个人健康信息, 则须依照本节终止条款对该等PHI实施保护措施。

4.2 因故终止

4.2.1 若受保护实体认定业务合作伙伴违反本协议的实质性条款,且在收到受保护实体发出的书面违约通知后三十(30)日内未纠正违约行为,则受保护实体可立即向业务合作伙伴发出书面通知终止本协议。

4.2.2若受保护实体违反重大条款且在收到书面通知后三十(30)日内未纠正违约行为,业务合作伙伴可立即发出书面通知终止本协议。

4.2.3若一方当事人成为破产申请的对象,或陷入无力偿债状态,或作出债权人利益转让,另一方可通过书面通知立即终止本协议。

4.3 终止的影响

4.3.1 个人健康信息的返还或销毁:

无论因何种原因终止本协议,业务合作伙伴应:

a) 检索期:为承保实体提供三十(30)天期限,以便从业务合作伙伴系统中检索或导出所有受保护健康信息(PHI)。在此期间,业务合作伙伴应:

  • 确保覆盖实体对所有个人健康信息(PHI)的完全访问权限
  • 提供数据导出的技术支持
  • 以常用且机器可读的格式提供数据
  • 不收取标准数据导出的额外费用

b) 销毁:三十(30)天检索期届满后,业务合作伙伴应:

  • 永久删除或销毁所有形式(电子和物理)的个人健康信息(PHI)。
  • 根据美国国家标准与技术研究院(NIST)特别出版物800-88《介质清理指南》,安全覆盖所有包含个人健康信息(PHI)的存储介质。
  • 在九十(90)天内或下一次备份周期时,从备份系统中删除所有受保护的健康信息(PHI)。
  • 在销毁完成后十(10)日内向相关实体提供书面销毁证明

4.3.2 返还或销毁不可行性:

若业务合作伙伴认定返还或销毁受保护健康信息不可行,则应:

  • 向受保护实体提供书面通知,说明退货或销毁不可行的具体原因。
  • 将本协议的保护范围扩展至此类个人健康信息
  • 将此类个人健康信息的进一步使用和披露限制在使归还或销毁不可行的目的范围内。
  • 不得将此类受保护健康信息用于任何其他目的或予以披露

不可行的情况包括但不限于:法律或监管要求必须保留记录、备份系统的技术限制,或正在进行的诉讼或政府调查。

4.4 生存

业务合作伙伴在第4.3条(终止效力)和第7条(责任与赔偿)项下的义务,在本协议终止后仍然有效。

5. 审计权

5.1 文档请求

经合理书面通知(不少于十五(15)个工作日),被覆盖实体可要求业务合作伙伴提供其安全政策、加密控制措施、审计日志、员工培训记录及分包商业务合作伙伴协议的文件,以确定业务合作伙伴是否遵守本协议。

5.2 审计方法

业务合作伙伴可通过以下任一方式满足审计要求:

  • 安全控制措施、政策及程序的书面摘要
  • 第三方合规报告(例如:SOC 2 类型 II、HITRUST 认证、ISO 27001)
  • 特定时间段的审计日志摘录(在可能的情况下已去标识化)
  • 经双方协商确定日期和范围后,对设施和系统进行虚拟或现场检查

5.3 审计频率

受监管实体每年最多可要求进行一次审计,除非:

  • 已发生安全漏洞或安全事件
  • 法律或法规要求
  • 被覆盖实体有合理理由相信业务合作伙伴未遵守规定

5.4 审计费用

各方应各自承担与审计相关的费用,除非审计发现业务合作伙伴存在重大违规行为,在此情况下,业务合作伙伴应向覆盖实体偿还合理的审计费用。

5.5 保密性

在审计过程中披露的任何信息均应视为商业机密,且仅用于核实本协议的遵守情况。

6. 责任与赔偿

6.1 相互责任

各方应就其自身及雇员、代理人或分包商在本协议项下的过失行为或疏忽承担责任,但以法律允许的范围为限。

6.2 责任限制

6.2.1除第6.2.2条另有规定外,业务合作伙伴根据本协议对覆盖实体承担的全部责任,对于因本协议引起或与本协议相关的任何及所有索赔,不得超过覆盖实体已支付或应支付给业务合作伙伴的十二(12)个月服务费金额。

6.2.2第6.2.1节的限制不适用于:

  • 故意不当行为或蓄意不当行为
  • 重大过失
  • 故意违反保密义务
  • 犯罪行为
  • 因业务合作伙伴未能实施必要保护措施而导致的HIPAA违规行为
  • 第6.3条(赔偿)项下的义务

6.2.3任何一方均不对任何间接、附带、后果性、特殊或惩罚性损害承担责任,包括但不限于利润损失、 数据丢失或商业机会损失,即使已被告知可能发生此类损害,但因重大过失或故意不当行为导致的损害除外。

6.3 业务伙伴的赔偿责任

业务合作伙伴应就因下列事项引起或与之相关的任何及所有索赔、责任、损害、损失、成本及费用(包括合理的律师费)向受保护实体及其董事、高级管理人员、雇员和代理人提供赔偿、进行抗辩并使其免受损害:

  • 业务合作伙伴违反本协议
  • 业务伙伴违反《健康保险流通与责任法案》规定
  • 业务合作伙伴未经授权使用或披露个人健康信息
  • 因业务合作伙伴的行为或疏忽而产生的第三方索赔
  • 由业务合作伙伴或其分包商引发的违规或安全事件

本赔偿义务不适用于因被保险实体违反本协议或违反《健康保险流通与责任法案》(HIPAA)规则而导致的任何索赔、责任、损害、损失、费用或开支。

6.4 被保障实体的赔偿

被保险实体应就因下列事项引起或与之相关的任何及所有索赔、责任、损害、损失、费用及开支(包括合理的律师费)向业务合作伙伴及其董事、高级管理人员、雇员及代理人提供赔偿、抗辩并使其免受损害:

  • 被覆盖实体违反本协议
  • 受保护实体违反《健康保险流通与责任法案》规定
  • 受保护实体向业务伙伴提供不准确或不完整的个人健康信息
  • 受保护实体向业务伙伴下达的违反《健康保险流通与责任法案》规则的指令

6.5 保险

各方应维持适当的保险覆盖范围,包括网络责任保险,其保额应合理足以覆盖本协议项下的潜在责任。应要求,各方应向对方提供保险证明文件。

7. 监管变更与修订

7.1 监管变化

各方确认,卫生与公众服务部部长可不时修订《健康保险流通与责任法案》规则。业务合作伙伴同意根据需要调整其业务实践、政策和程序,以确保持续符合修订后的《健康保险流通与责任法案》规则。

7.2 协议修订

7.2.1业务合作伙伴应在HIPAA规则发生任何影响本协议的重大变更后三十(30)日内,将该变更通知覆盖实体。

7.2.2若任一方认定为符合HIPAA规则变更而需修订本协议,双方应本着诚意协商,据此对本协议进行相应修订。

7.2.3本协议的修订须经双方授权代表签署书面协议方为有效。

7.2.4业务合作伙伴保留不时更新本协议版本的权利。更新版本将发布于业务合作伙伴的网站,且在重大变更生效日前至少三十(30)天,将通过电子邮件通知相关实体。

八、其他规定

8.1 适用法律

本协议应受被覆盖实体所在州法律管辖并据此解释,不考虑其法律冲突条款,但联邦法律优先于州法律的情况除外。

8.2 管辖权与诉讼地点

因本协议引起或与之相关的任何法律诉讼,均应专属提交至被覆盖实体主要营业场所所在司法管辖区的州法院或联邦法院审理。

8.3 解释

本协议中的任何歧义均应作有利于被覆盖实体遵守《健康保险流通与责任法案》规则的解释。若本协议条款与《健康保险流通与责任法案》规则存在冲突,则以《健康保险流通与责任法案》规则为准。

8.4 无第三方受益人

本协议中的任何内容均不得向协议双方及其各自的继受人或受让人以外的任何人授予任何权利、救济、义务或责任。

8.5 豁免

任何一方未执行本协议的任何条款,均不构成对该条款或任何其他条款的放弃,亦不影响该方日后执行该条款的权利。

8.6 可分割性

若本协议的任何条款被认定为无效或不可执行,其余条款仍应继续完全有效;该无效或不可执行条款应在必要最小范围内进行修改,使其成为有效且可执行的条款。

8.7 任务

未经另一方事先书面同意,任何一方均不得转让本协议。但业务合作伙伴可在合并、收购或出售其全部或实质上全部资产时,将本协议转让给继受实体,前提是受让人同意承担本协议项下的所有义务。

8.8 完整协议

本协议连同双方之间签订的任何服务协议,共同构成双方就本协议所涉事项达成的完整协议,并取代所有先前或同时就该事项达成的口头或书面协议。

8.9 通知

本协议要求或允许的所有通知均应以书面形式发出,并应在下列时间视为已送达:

  • 亲自送达
  • 通过确认的电子邮件传输发送
  • 通过挂号信或认证邮件寄出,并要求回执
  • 由全国知名的隔夜快递服务送达

致业务合作伙伴的通知应寄送至:牙科教育公司(以Intake.Dental名义经营)地址:特拉华州多佛市杜邦公路北段1041号,邮编19901电子邮箱:support@intake.dental

向受规管实体发出的通知应寄送至注册时提供的电子邮箱地址及实体地址。

8.10 不可抗力

任何一方均不对因其合理控制范围之外的原因导致的履行延迟或未能履行承担责任,包括但不限于天灾、自然灾害、战争、恐怖主义、暴乱、劳资纠纷或政府行为,前提是受影响方须及时通知另一方并尽合理努力恢复履行。

8.11 签字副本与电子签名

本协议可分多份签署,每份均视为正本,所有副本共同构成同一份法律文件。电子签名及电子传输的签名与亲笔签名具有同等法律效力。

9. 接受与执行

9.1 验收方法

本业务合作协议在下列情况下视为完全执行且具有约束力:

  • 电子接受:通过在线账户注册或结账流程中的电子签名进行数字化接受;或
  • 书面签名:由双方授权代表通过电子签名或实体签名签署

9.2 签署权限

签署本协议即表明该个人声明并保证其拥有充分权限,可使被涵盖实体受本协议条款和条件的约束。

9.3 记录保留

双方应自本协议终止或到期之日起至少保存一份已签署协议副本六(6)年,或法律要求的更长期限。

10. 关键服务术语定义

为本协议之目的,下列服务特定条款适用:

10.1 牙科表格专业平台:由业务合作伙伴提供的基于云的软件即服务平台,用于创建、收集、存储和分发患者登记表、健康史及相关文件。

10.2 过期链接:由平台生成的安全、限时URL,允许覆盖实体在指定时间段内(通常为48-72小时)访问个人健康信息(PHI),此后链接将自动失效且无法访问。

10.3 云存储:通过AWS S3和Supabase基础设施提供的加密存储服务,用于代表受保护实体安全存储个人健康信息(PHI)。

10.4 患者信息提交:由患者填写的电子表格,其中包含个人健康信息(PHI),包括但不限于病史、当前用药情况、过敏史、保险信息及同意书。

联系方式

有关本业务合作协议或HIPAA合规事宜的咨询:

牙科教育公司(商业名称:Intake.Dental)
电子邮箱:support@intake.dental
网站:https://intake.dental
合规官:乔丹·托马斯
电话:(916) 752-2280

文件信息

协议版本:baa_v2025-10-17
最后更新日期:2025年10月17日
下次审查日期:2026年10月17日

本业务合作协议符合:

  • 1996年《健康保险可携性与责任法案》(HIPAA)
  • 2009年《经济与临床健康信息技术法案》(HITECH法案)
  • 《联邦法规汇编》第45卷第160和164部分(《健康保险流通与责任法案》隐私、安全及违规通知规则)
  • 《全球与国内商业电子签名法》(ESIGN Act)

致受规管实体的重要通知:

通过继续结账或点击"我同意",您确认:

  1. 您已阅读并理解本业务合作协议的全部内容。
  2. 您是贵机构/实体的授权代表,有权签署本协议。
  3. 您同意受本文件中所述的所有条款和条件的约束。
  4. 您的电子签名具有法律约束力,与手写签名具有同等效力。
  5. 本协议将在我们的服务关系存续期间及终止条款规定的后续期间内持续有效。

本协议具有法律约束力。请保存一份副本以备查。

技术支持或疑问请联系:support@intake.dental
HIPAA合规问题请联系:support@intake.dental

Document ID: BAA-{Generated upon acceptance}
Generated: {Date of acceptance}