Politique de l'entente d'associé commercial (BAA)
Cette politique décrit les conditions standard de HiBoop pour le traitement des renseignements personnels de santé (RPS) et des renseignements personnels sur la santé (RPS/RP) pour le compte d'entités couvertes aux États-Unis et de dépositaires de renseignements sur la santé au Canada.
HiBoop Inc. (« Partenaire d'affaires » ou « Sous-traitant ») reconnaît ses obligations de protéger la confidentialité et la sécurité des données de santé que lui confient les fournisseurs de soins de santé (« Entité visée » ou « Dépositaire »). Cette politique s'applique à tous les services que fournit HiBoop impliquant des RPS.
01 Définitions
- Renseignements personnels de santé (RPS) : Renseignements sur la santé permettant d'identifier une personne, tels que définis par la HIPAA (États-Unis) et la LPRPS/LPRPDE (Canada), y compris les données démographiques, les antécédents médicaux, les résultats de tests et les renseignements d'assurance.
- Entité visée / Dépositaire : Le fournisseur de soins de santé, la clinique ou l'organisation utilisant HiBoop pour fournir des soins.
- Incident de sécurité : Toute tentative ou réussite d'accès, d'utilisation, de divulgation, de modification ou de destruction non autorisés de renseignements, ou d'interférence avec les opérations du système.
- Violation : L'acquisition, l'accès, l'utilisation ou la divulgation non autorisés de RPS qui compromettent la sécurité ou la confidentialité de ces renseignements.
02 Utilisations et divulgations autorisées des RPS
HiBoop peut utiliser ou communiquer les RPS uniquement dans la mesure nécessaire pour fournir les services décrits dans l'entente-cadre de services, et seulement aux fins suivantes :
- Traitement, paiement et opérations (TPO) : Traitement, stockage et transmission de données d'évaluation pour soutenir le traitement clinique, la coordination des soins et les opérations de la clinique au nom de l'entité couverte.
- Gestion et administration : Utilisation des RPS pour la propre gestion et administration de HiBoop, ou pour s'acquitter de responsabilités légales, à condition que toute communication à un tiers soit requise par la loi ou que le tiers fournisse des assurances écrites raisonnables de confidentialité.
- Agrégation de données : Fournir des services d'agrégation de données à l'Entité visée tel qu'autorisé par le 45 CFR § 164.504(e)(2)(i)(B). Les ensembles de données agrégés sont dépersonnalisés conformément au 45 CFR § 164.514 et ne sont jamais reliés à des patients individuels.
- Exigé par la loi : Divulguer des RPS tel qu'exigé par la loi fédérale ou provinciale/étatique applicable, y compris au U.S. Department of Health and Human Services (HHS) pour des enquêtes de conformité.
03 Obligations du partenaire commercial
HiBoop doit mettre en œuvre des mesures de protection administratives, physiques et techniques appropriées pour empêcher l'utilisation ou la divulgation de RPS autrement que ce qui est prévu par la présente entente. Cela comprend le chiffrement au repos et en transit, les contrôles d'accès et les journaux d'audit.
Sous-traitants
HiBoop doit s'assurer que tous les sous-traitants qui créent, reçoivent, conservent ou transmettent des RPS au nom de HiBoop acceptent les mêmes restrictions et conditions qui s'appliquent à HiBoop concernant ces renseignements.
04 Obligations de l'Entité couverte
- Fournir l'Avis de pratiques de confidentialité : L'Entité couverte doit aviser HiBoop de toute limitation dans son Avis de pratiques de confidentialité, dans la mesure où cette limitation peut affecter l'utilisation ou la divulgation des RPS par HiBoop.
- Aviser des modifications d'autorisation : L'Entité couverte doit aviser HiBoop de toute modification ou révocation de l'autorisation d'un individu à utiliser ou à divulguer des RPS.
- Notification d'incident de sécurité : L'Entité couverte doit aviser rapidement HiBoop de tout incident de sécurité impliquant des RPS qui provient des systèmes ou du personnel de l'Entité couverte.
05 Déclaration et notification de violation
HiBoop s'engage à signaler tout Incident de sécurité ou toute Violation à l'Entité visée dans les 24 heures suivant la découverte, dépassant les exigences réglementaires standards de 60 jours (HIPAA) ou « dès que possible » (LPRPDE).
06 Sous-traitants autorisés
HiBoop utilise les sous-traitants suivants susceptibles de traiter des RPS dans le cadre de la prestation de services.
| Sous-traitant | Objectif | Emplacement des données | Conformité |
|---|---|---|---|
| Google Firebase / Infonuagique | Hébergement, base de données, fonctions | US-Central1 / Montréal | BAA HIPAA ✓ |
07 Spécificités juridictionnelles
États-Unis (HIPAA)
Cet accord sert d'accord officiel d'associé commercial HIPAA. HiBoop respecte la règle de sécurité, la règle de confidentialité et la règle de notification des violations de la HIPAA. Résidence des données : US-Central1 (Iowa)
Canada (LPRPDE / LPRPS)
HiBoop agit à titre de « Gestionnaire de l'information » en vertu de la LPRPS (Ontario) et des lois provinciales équivalentes sur les renseignements sur la santé. Résidence des données : Northamerica-Northeast1 (Montréal)
08 Durée et résiliation
- Durée : La présente entente prend effet à la date du Contrat-cadre de services et prend fin lorsque HiBoop détruit ou retourne tous les RPS que l'Entité couverte lui a fournis.
- Effet de la résiliation : À la résiliation, HiBoop restituera ou détruira tous les RPS reçus de l'Entité visée.