Politique sur l'entente d'associé commercial (EAC)

Last updated: Mars 2025
Conformité vérifiée

Cette politique décrit les conditions standards de HiBoop pour le traitement des renseignements de santé protégés (PHI) et des renseignements personnels sur la santé (PHI/PI) au nom des entités visées aux États-Unis et des dépositaires de renseignements sur la santé au Canada.

HiBoop Inc. (« associé commercial » ou « sous-traitant ») reconnaît ses obligations de protéger la confidentialité et la sécurité des données de santé qui lui sont confiées par les fournisseurs de soins de santé (« entité visée » ou « dépositaire »). Cette politique s'applique à tous les services fournis par HiBoop impliquant des RPS.

01 Définitions

  • Renseignements personnels de santé (RPS) : Renseignements sur la santé permettant d'identifier une personne, tels que définis par la HIPAA (États-Unis) et la LPRPS/LPRPDE (Canada), y compris les données démographiques, les antécédents médicaux, les résultats de tests et les informations d'assurance.
  • Entité visée / Dépositaire : Le fournisseur de soins de santé, la clinique ou l'organisation utilisant HiBoop pour fournir des soins.
  • Incident de sécurité : La tentative ou la réussite d'un accès, d'une utilisation, d'une divulgation, d'une modification ou d'une destruction non autorisés de renseignements ou une interférence avec les opérations du système.
  • Violation : L'acquisition, l'accès, l'utilisation ou la divulgation non autorisés de RPS qui compromet la sécurité ou la confidentialité de ces renseignements.

02 Utilisations et divulgations autorisées des RPS

HiBoop ne peut utiliser ou divulguer les RPS que si cela est nécessaire pour fournir les services décrits dans l'entente de service maîtresse, et uniquement aux fins suivantes :

  • Traitement, paiement et opérations (TPO) : Traiter, stocker et transmettre des données d'évaluation pour soutenir le traitement clinique, la coordination des soins et les opérations du cabinet au nom de l'entité visée.
  • Gestion et administration : Utiliser les RPS pour la propre gestion et administration de HiBoop, ou pour s'acquitter de ses responsabilités légales, à condition que toute divulgation à un tiers soit requise par la loi ou que le tiers donne des assurances écrites raisonnables de confidentialité.
  • Agrégation des données : Fournir des services d'agrégation de données à l'entité visée, comme le permet le 45 CFR § 164.504(e)(2)(i)(B). Les ensembles de données agrégées sont dépersonnalisés conformément à la 45 CFR § 164.514 et ne sont jamais reliés à des patients individuels.
  • Requis par la loi : Divulguer des RPS tel que requis par la loi fédérale ou étatique/provinciale applicable, y compris aux É.-U. Department of Health and Human Services (HHS) pour des enquêtes de conformité.

03 Obligations de l'associé commercial

HiBoop doit mettre en œuvre des mesures de protection administratives, physiques et techniques appropriées pour empêcher l'utilisation ou la divulgation de RPS autrement que comme prévu par la présente entente. Cela inclut le chiffrement au repos et en transit, les contrôles d'accès et les journaux d'audit.

Sous-traitants

HiBoop doit s'assurer que tous les sous-traitants qui créent, reçoivent, conservent ou transmettent des RPS au nom de HiBoop acceptent les mêmes restrictions et conditions qui s'appliquent à HiBoop en ce qui concerne ces renseignements.

04 Obligations de l'entité visée

  • Fournir un avis sur les pratiques de confidentialité : L'entité visée doit aviser HiBoop de toute limitation dans son avis sur les pratiques de confidentialité dans la mesure où une telle limitation pourrait affecter l'utilisation ou la divulgation de RPS par HiBoop.
  • Aviser des changements d'autorisation : L'entité visée doit aviser HiBoop de tout changement ou de toute révocation de l'autorisation par une personne d'utiliser ou de divulguer des RPS.
  • Notification d'incident de sécurité : L'entité visée doit aviser rapidement HiBoop de tout incident de sécurité impliquant des RPS provenant des systèmes ou du personnel de l'entité visée.

05 Rapports et notification de violation

HiBoop s'engage à signaler tout incident de sécurité ou toute violation à l'entité visée dans les 24 heures suivant leur découverte, dépassant les exigences réglementaires standards de 60 jours (HIPAA) ou « dès que possible » (LPRPDE).

06 Sous-traitants autorisés

HiBoop utilise les sous-traitants suivants qui peuvent traiter des RPS dans le cadre de la prestation de services.

Sous-traitantObjectifEmplacement des donnéesConformité
Google Firebase / CloudHébergement, base de données, fonctionsUS-Central1 / MontréalEAC HIPAA ✓

07 Spécificités juridictionnelles

États-Unis (HIPAA)

Cette entente constitue une entente d'associé commercial HIPAA formelle. HiBoop adhère à la règle sur la sécurité, la règle sur la confidentialité et la règle sur la notification des violations de la HIPAA. Résidence des données : US-Central1 (Iowa)

Canada (LPRPDE / LPRPS)

HiBoop agit en tant que « gestionnaire de l'information » en vertu de la LPRPS (Ontario) et des lois provinciales équivalentes sur les renseignements sur la santé. Résidence des données : Northamerica-Northeast1 (Montréal)

08 Durée et résiliation

  • Durée : La présente entente entrera en vigueur à la date de l'entente de service maîtresse et prendra fin lorsque tous les RPS fournis par l'entité visée à HiBoop seront détruits ou retournés.
  • Effet de la résiliation : À la résiliation, HiBoop doit retourner ou détruire tous les RPS reçus de l'entité visée.