Databehandleraftale
Senest opdateret: 15. juni 2026
Denne databehandleraftale ("DPA") udgør en del af den gældende aftale mellem CoVetAI Inc. ("CoVet") og kunden, brugeren, klinikken, praksissen, organisationen eller en anden enhed, der har accepteret eller indgået den Gældende aftale ("Kunde"). CoVet og Kunden er hver en "Part" og samlet "Parterne".
Denne DPA gælder, når CoVet behandler Personoplysninger på vegne af Kunden i forbindelse med Tjenesterne. For selvbetjeningskonti indarbejdes denne DPA i den Gældende aftale ved henvisning og træder i kraft, når Kunden accepterer den Gældende aftale, tilgår Tjenesterne eller fortsætter med at bruge Tjenesterne efter, at denne DPA er offentliggjort eller opdateret. Der kræves ingen særskilt underskrift, medmindre CoVet og Kunden skriftligt aftaler andet.
Hvis Kunden har indgået en særskilt underskrevet databehandleraftale eller business associate-aftale med CoVet, har den særskilt underskrevne aftale forrang i det omfang, den udtrykkeligt er i konflikt med denne DPA. Denne DPA reducerer ikke nogen Parts forpligtelser i henhold til gældende Databeskyttelseslove.
Denne DPA omfatter Bilag 1 (Standardkontraktbestemmelser), Bilag A-C (behandlingsdetaljer, tekniske og organisatoriske foranstaltninger og underdatabehandlere) samt Bilag 2 (HIPAA-tillæg). Bilag 2 gælder kun, hvor Kunden er en Covered Entity eller Business Associate i henhold til HIPAA, og CoVet opretter, modtager, opbevarer eller overfører PHI på Kundens vegne.
1. Definitioner
"Gældende aftale" betyder servicevilkår, abonnementsvilkår, ordreformular, arbejdsbeskrivelse, rammeaftale om tjenesteydelser eller anden aftale, der regulerer Kundens adgang til eller brug af Tjenesterne.
"Autoriseret bruger" betyder enhver person, der er autoriseret af Kunden til at tilgå eller bruge Tjenesterne under Kundens konto.
"Kundedata" betyder data, indhold, lyd, transskriptioner, filer, prompts, beskeder, optegnelser, output eller andre oplysninger, der indsendes til, genereres gennem eller på anden måde behandles af Tjenesterne på vegne af Kunden, herunder Personoplysninger hvor relevant.
"Dataansvarlig", "Databehandler", "Registreret", "Personoplysninger", "Brud på persondatasikkerheden" og "Behandling" har de betydninger, der gives til tilsvarende termer i gældende Databeskyttelseslove.
"Databeskyttelseslove" betyder alle love om privatliv, databeskyttelse, datasikkerhed og anmeldelse af brud, der gælder for en Parts Behandling i henhold til den Gældende aftale, herunder, i det omfang det er relevant, GDPR, UK GDPR, PIPEDA og sammenlignelige amerikanske delstatslove om privatliv.
"GDPR" betyder forordning (EU) 2016/679 og enhver lov, der implementerer, supplerer eller erstatter den. "UK GDPR" betyder GDPR som indarbejdet i britisk ret.
"PHI" betyder Protected Health Information som defineret i HIPAA. Hvor Bilag 2 gælder, omfatter henvisninger til Personoplysninger PHI.
"Tjenester" betyder CoVets AI-drevne veterinærassistent, kliniske dokumentation, transskription, sagsgenerering, arbejdsgange, klientkommunikation, administrative tjenester, support, integrationer og relaterede tjenester beskrevet i den Gældende aftale eller tilhørende dokumentation.
"Underdatabehandler" betyder enhver tredjepart, der er engageret af CoVet eller en anden Underdatabehandler til at Behandle Personoplysninger på vegne af Kunden i forbindelse med Tjenesterne.
2. Omfang og roller
2.1 Roller. Mellem Parterne er Kunden Dataansvarlig for Personoplysninger, og CoVet er Databehandler. Hvor Kunden handler som Databehandler på vegne af en tredjeparts Dataansvarlig, udpeger Kunden CoVet som Kundens Underdatabehandler. Hvor amerikanske delstatslove om privatliv gælder, handler CoVet som tjenesteudbyder eller databehandler, alt efter hvad der er relevant, med hensyn til Personoplysninger Behandlet på vegne af Kunden.
2.2 Kundens kontrol. Kunden fastlægger formålene med og midlerne til Behandling af Personoplysninger, herunder indhold indsendt til Tjenesterne, retsgrundlaget for Behandling og instrukserne givet til CoVet. Kunden bevarer alle rettigheder til Kundedata, med forbehold for de licenser og tilladelser, der er nødvendige for, at CoVet kan levere Tjenesterne.
2.3 Instrukser. Kunden instruerer CoVet i at Behandle Personoplysninger efter behov for at levere, sikre, vedligeholde, understøtte, fejlfinde, forbedre og administrere Tjenesterne; overholde den Gældende aftale; overholde Kundens konfigurationsvalg og Autoriserede brugeres handlinger; og overholde gældende lov. CoVet vil ikke Behandle Personoplysninger til andre formål end dem, der er beskrevet i denne DPA, den Gældende aftale eller Kundens dokumenterede instrukser, medmindre det kræves ved lov.
2.4 AI-tjenesteudbydere og modeltræning. CoVet vil ikke bruge Kundens kliniske data, optagelser, transskriptioner, genererede noter eller andre Personoplysninger fra Kunden til at træne eller finjustere AI-modeller og vil ikke tillade sine AI-tjenesteudbydere at gøre det, undtagen hvor Kunden udtrykkeligt har godkendt anden Behandling i en særskilt skriftlig aftale. CoVet kan bruge aggregerede eller afidentificerede oplysninger til at drive, sikre og forbedre Tjenesterne, hvor sådanne oplysninger ikke identificerer Kunden, Autoriserede brugere eller Registrerede og ikke er Personoplysninger i henhold til gældende Databeskyttelseslove.
3. Kundens forpligtelser
Kunden er ansvarlig for at overholde Databeskyttelseslove, der gælder for Kundens indsamling, brug, videregivelse og overførsel af Personoplysninger til CoVet, herunder at give meddelelser, indhente samtykker og opretholde et lovligt grundlag for Behandling, hvor det kræves.
Kunden er ansvarlig for Kundedatas nøjagtighed, kvalitet og lovlighed og for at sikre, at Autoriserede brugere kun indsender Kundedata i overensstemmelse med den Gældende aftale og denne DPA.
Kunden vil ikke indsende særlige kategorier af Personoplysninger, PHI eller andre regulerede oplysninger til Tjenesterne, medmindre sådan indsendelse er tilladt i henhold til den Gældende aftale, er nødvendig for Kundens brug af Tjenesterne, og Kunden har opfyldt alle juridiske krav hertil.
Kunden vil straks underrette CoVet om enhver anmodning fra en Registreret, juridisk begrænsning eller instruktion, der påvirker CoVets Behandling af Personoplysninger.
4. CoVets forpligtelser
CoVet vil kun Behandle Personoplysninger i overensstemmelse med denne DPA, den Gældende aftale, Kundens dokumenterede instrukser og gældende lov.
CoVet vil sikre, at personale, der er autoriseret til at Behandle Personoplysninger, er underlagt fortrolighedsforpligtelser og modtager passende træning i privatliv og sikkerhed.
CoVet vil implementere og opretholde passende tekniske og organisatoriske foranstaltninger, der er designet til at beskytte Personoplysninger mod utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse, adgang eller brug, som yderligere beskrevet i Bilag B.
Under hensyntagen til Behandlingens karakter og de oplysninger, der er tilgængelige for CoVet, vil CoVet yde Kunden rimelig bistand med anmodninger fra Registrerede, konsekvensanalyser vedrørende databeskyttelse, konsultationer med tilsynsmyndigheder og overholdelsesdokumentation krævet i henhold til Databeskyttelseslove.
CoVet vil underrette Kunden, hvis CoVet mener, at en instruktion overtræder gældende Databeskyttelseslove, medmindre gældende lov forbyder sådan meddelelse.
5. Datasikkerhed
CoVet vil opretholde et skriftligt informationssikkerhedsprogram, der er passende i forhold til Tjenesternes karakter og de risici, Behandlingen indebærer. CoVets program omfatter administrative, tekniske, fysiske, organisatoriske og operationelle sikkerhedsforanstaltninger designet til at beskytte Personoplysninger, herunder adgangskontroller, kryptering under overførsel og i hvile, logning og overvågning, sikker udviklingspraksis, sårbarhedsstyring, procedurer for hændelsesrespons, leverandørrisikostyring og medarbejderuddannelse.
Yderligere oplysninger om CoVets sikkerhedsniveau er tilgængelige via CoVets sikkerhedsside og Trust Center:
6. Underdatabehandlere
6.1 Generel godkendelse. Kunden giver CoVet generel godkendelse til at engagere Underdatabehandlere til at Behandle Personoplysninger i forbindelse med Tjenesterne. CoVet vil indgå skriftlige aftaler med Underdatabehandlere, der pålægger databeskyttelsesforpligtelser, som i alle væsentlige henseender ikke er mindre beskyttende end dem, der er fastsat i denne DPA.
6.2 Aktuel liste og opdateringer. CoVets aktuelle Underdatabehandlere er anført i Bilag C og kan også gøres tilgængelige via CoVets Trust Center eller en anden offentliggjort side om underdatabehandlere. CoVet kan tilføje, erstatte eller opdatere Underdatabehandlere ved at give meddelelse via Trust Center, Tjenesterne, e-mail eller en anden kommercielt rimelig metode.
6.3 Indsigelsesret. Kunden kan gøre indsigelse mod en ny Underdatabehandler af rimelige databeskyttelsesmæssige grunde inden fjorten (14) dage efter meddelelse. Hvis Parterne ikke kan løse indsigelsen på en kommercielt rimelig måde, kan CoVet stille et alternativ til rådighed, suspendere den berørte funktion eller tillade Kunden at opsige de berørte Tjenester som beskrevet i den Gældende aftale.
7. Anmodninger fra Registrerede
Hvis CoVet modtager en anmodning fra en Registreret vedrørende Kundens Personoplysninger, vil CoVet, hvor det er lovligt tilladt, henvise den Registrerede til Kunden eller underrette Kunden. CoVet vil ikke selvstændigt besvare anmodningen, undtagen som instrueret af Kunden, krævet ved lov eller nødvendigt for at bekræfte, at anmodningen vedrører Kunden.
8. Brud på persondatasikkerheden
CoVet vil underrette Kunden uden unødig forsinkelse efter at være blevet bekendt med et Brud på persondatasikkerheden, der påvirker Kundens Personoplysninger. Meddelelsen vil indeholde oplysninger, der med rimelighed er tilgængelige for CoVet, hvilket kan omfatte bruddets karakter, berørte kategorier af Personoplysninger og Registrerede, sandsynlige konsekvenser samt foranstaltninger, der er truffet eller foreslået for at håndtere og afbøde bruddet.
CoVet vil samarbejde rimeligt med Kundens undersøgelse, afbødning og lovpligtige meddelelser. Kunden er ansvarlig for at afgøre, om Registrerede, tilsynsmyndigheder, regulatorer eller andre tredjeparter skal underrettes, undtagen hvor Databeskyttelseslove kræver, at CoVet giver direkte meddelelse.
9. Revisioner og dokumentation
CoVet vil stille oplysninger til rådighed, der med rimelighed er nødvendige for at dokumentere overholdelse af denne DPA, hvilket kan omfatte sikkerhedsdokumentation, politikker, certificeringer, uafhængige revisionsrapporter eller skriftlige svar. CoVet kan opfylde denne forpligtelse ved at gøre materialer tilgængelige via sit Trust Center underlagt passende fortroligheds- og adgangskontroller.
Hvis Kunden med rimelighed kræver yderligere revisionsaktivitet, kan Kunden anmode om en revision højst én gang pr. kalenderår, medmindre det kræves af en tilsynsmyndighed eller efter et Brud på persondatasikkerheden. Enhver revision skal udføres i normal arbejdstid, for Kundens regning, med rimeligt forudgående varsel og på en måde, der ikke urimeligt forstyrrer CoVets drift eller kompromitterer sikkerheden eller fortroligheden af andre kunders data.
10. Tilbagelevering og sletning
Ved ophør eller udløb af den Gældende aftale vil CoVet, i overensstemmelse med den Gældende aftale og Tjenesternes funktionalitet, slette eller gøre Kundens Personoplysninger i CoVets besiddelse eller kontrol tilgængelige for hentning. CoVet kan opbevare Personoplysninger i det omfang, det kræves ved lov, er nødvendigt for legitime sikkerheds-, backup-, tvist-, revisions- eller overholdelsesformål eller på anden måde er tilladt i henhold til den Gældende aftale, forudsat at CoVet fortsat beskytter opbevarede Personoplysninger i henhold til denne DPA og begrænser yderligere Behandling til disse opbevaringsformål.
11. Internationale overførsler
Kunden anerkender, at CoVet og dets Underdatabehandlere kan Behandle Personoplysninger i Canada, USA, Det Europæiske Økonomiske Samarbejdsområde, Storbritannien og andre steder, hvor CoVet eller dets Underdatabehandlere driver virksomhed, underlagt de garantier, der kræves af Databeskyttelseslove.
For overførsler af Personoplysninger fra EØS, Storbritannien eller Schweiz til et land, der ikke giver et tilstrækkeligt beskyttelsesniveau i henhold til gældende Databeskyttelseslove, gælder Standardkontraktbestemmelserne og relaterede overførselsvilkår i Bilag 1 i det krævede omfang.
12. Ansvar og rangorden
Hver Parts ansvar i henhold til denne DPA er underlagt ansvarsbegrænsningerne og -udelukkelserne i den Gældende aftale, undtagen i det omfang sådanne begrænsninger eller udelukkelser er forbudt af Databeskyttelseslove eller Standardkontraktbestemmelserne. Hvis der er konflikt mellem denne DPA og den Gældende aftale, har denne DPA kun forrang med hensyn til Behandling af Personoplysninger. Hvis der er konflikt mellem denne DPA og Standardkontraktbestemmelserne, har Standardkontraktbestemmelserne forrang i konfliktens omfang.
13. Opdateringer af denne DPA
CoVet kan fra tid til anden opdatere denne DPA ved at offentliggøre en opdateret version eller på anden måde give meddelelse. Opdateringer vil ikke væsentligt reducere beskyttelsesniveauet for Personoplysninger i løbet af den Gældende aftales løbetid. Kundens fortsatte brug af Tjenesterne efter, at en opdateret DPA træder i kraft, udgør accept af den opdaterede DPA, medmindre Kunden har en særskilt underskrevet aftale, der bestemmer andet.
Bilag A: Oplysninger om Behandling
A.1 Genstand
Genstanden for Behandlingen er CoVets levering af Tjenesterne til Kunden i henhold til den Gældende aftale, herunder Behandling af Kundedata, der indsendes til, genereres gennem eller på anden måde Behandles af Tjenesterne.
A.2 Varighed
Behandlingen fortsætter i den Gældende aftales løbetid og derefter i det omfang, det er nødvendigt for sletning, tilbagelevering, juridiske, sikkerheds-, backup-, revisions- eller overholdelsesformål.
A.3 Karakter og formål
Kontooprettelse, autentificering, fakturering, abonnementsadministration, support og kommunikation.
Optagelse, upload, transskription, strukturering, opsummering, udarbejdelse, generering, lagring, hentning og visning af klinisk indhold, arbejdsgangsindhold og kommunikationsindhold, der anmodes om af Kunden eller Autoriserede brugere.
Drift, vedligeholdelse, fejlfinding, sikkerhedsovervågning, forebyggelse af misbrug, pålidelighed, analyse og forbedring af Tjenesterne.
Behandling gennem AI-tjenesteudbydere udelukkende for at levere de funktioner, som Kunden og Autoriserede brugere anmoder om, underlagt denne DPA's begrænsninger vedrørende modeltræning og finjustering.
Integrationer, eksport, import og dataoverførsler konfigureret eller anmodet om af Kunden eller Autoriserede brugere.
Overholdelse af juridiske forpligtelser, håndhævelse af den Gældende aftale og beskyttelse af Tjenesterne, CoVet, Kunden, Autoriserede brugere og Registrerede.
A.4 Kategorier af Personoplysninger
Konto-, profil-, rolle-, autentificerings-, kontakt-, fakturerings-, abonnements- og organisationsoplysninger.
Professionelle og praksisrelaterede oplysninger om veterinærfaglige personer, klinikpersonale, administratorer, kontrahenter og andre Autoriserede brugere.
Klinisk arbejdsgangsindhold indsendt til eller genereret gennem Tjenesterne, herunder lydoptagelser, transskriptioner, prompts, beskeder, filer, genererede noter, sagsoplysninger, klientkommunikation og relaterede metadata.
Oplysninger om dyreejere, klienter, patienter, aftaler og sager i det omfang sådanne oplysninger identificerer eller med rimelighed kan knyttes til en person.
Tekniske oplysninger, enheds-, brugs-, log-, sikkerheds-, diagnosticerings- og supportoplysninger, herunder IP-adresse, enhedsidentifikatorer, browser- eller appoplysninger, tidsstempler og funktionsbrug.
Alle andre Personoplysninger indsendt af Kunden eller Autoriserede brugere gennem Tjenesterne, underlagt den Gældende aftale og denne DPA.
A.5 Følsomme oplysninger
Kunden må kun indsende følsomme eller regulerede Personoplysninger, hvor det er tilladt i henhold til den Gældende aftale og nødvendigt for Kundens brug af Tjenesterne. Hvor Kunden indsender PHI, og Bilag 2 gælder, vil CoVet Behandle PHI i overensstemmelse med Bilag 2. CoVet kræver ikke, at Kunden indsender særlige kategorier af Personoplysninger i henhold til GDPR, medmindre sådan indsendelse er nødvendig for Kundens valgte brug af Tjenesterne, og Kunden har opfyldt gældende juridiske krav.
A.6 Kategorier af Registrerede
Kundens Autoriserede brugere, administratorer, medarbejdere, kontrahenter og repræsentanter.
Veterinærklienter, dyreejere, potentielle klienter og kontaktpersoner.
Personer, hvis oplysninger fremgår af kliniske noter, kommunikation, filer, optagelser, transskriptioner, supportanmodninger, integrationer eller andre Kundedata.
Fakturerings-, indkøbs-, juridiske, support- og forretningskontakter.
A.7 Overførselsfrekvens
Kontinuerligt i hele perioden, hvor Kunden bruger Tjenesterne.
A.8 Parter for Standardkontraktbestemmelser
Rolle | Navn og detaljer | Aktiviteter | SCC-rolle |
|---|---|---|---|
Dataeksportør | Kunden, som identificeret i den Gældende aftale eller kontoregistreringer. | Indsendelse, adgang til og brug af Personoplysninger i forbindelse med Tjenesterne. | Dataansvarlig eller Databehandler, alt efter hvad der er relevant. |
Dataimportør | CoVetAI Inc. (CoVet). Kontakt: info@co.vet eller support@co.vet. | Behandling af Personoplysninger for at levere, sikre, vedligeholde, understøtte og forbedre Tjenesterne. | Databehandler eller Underdatabehandler, alt efter hvad der er relevant. |
Bilag B: Tekniske og organisatoriske foranstaltninger
CoVet opretholder tekniske og organisatoriske foranstaltninger, der er designet til at give et sikkerhedsniveau, der er passende i forhold til den risiko, Behandlingen indebærer. Disse foranstaltninger omfatter kontrollerne opsummeret nedenfor og kan udvikle sig over tid, efterhånden som CoVets sikkerhedsprogram modnes.
Kontrolområde | Sammenfatning |
|---|---|
Governance og politikker | Politikker for informationssikkerhed, datastyring, hændelsesrespons, leverandørrisiko, forretningskontinuitet, sikker udvikling og adgangskontrol. |
Adgangskontroller | Rollebaseret adgang, mindst mulige privilegier, unikke legitimationsoplysninger, adgangsgennemgange, onboarding- og offboardingkontroller samt autentificeringssikkerhedsforanstaltninger. |
Kryptering og infrastruktur | Kryptering under overførsel og i hvile, sikker cloudinfrastruktur, netværkssegmentering hvor relevant, hærdning og logisk adskillelse af kundedata. |
Overvågning og hændelsesrespons | Logning, tilgængelighedsovervågning, gennemgang af sikkerhedshændelser, procedurer for hændelsesrespons, eskalering, afhjælpning og støtte til brudrespons. |
Sårbarhed og sikker udvikling | Sårbarhedsstyring, penetrationstest eller sårbarhedsvurderinger, patchstyring, sikker softwareudviklingspraksis og kontroller for kode-/ændringsgennemgang. |
Personale og træning | Fortrolighedsforpligtelser, træning i sikkerhedsbevidsthed, rollespecifikke ansvarsområder og procedurer for personalesikkerhed. |
Leverandørstyring | Gennemgang af leverandørrisiko, kontraktmæssige databeskyttelsesforpligtelser og tilsyn med Underdatabehandlere, der kan Behandle Kundens Personoplysninger. |
Kontinuitet og gendannelse | Backup-, kontinuitets-, katastrofegendannelses- og tilgængelighedspraksis designet til at understøtte pålidelig levering af Tjenesterne. |
Bilag C: Underdatabehandlere
Følgende Underdatabehandlere er opført pr. den ovenfor angivne Senest opdateret-dato. CoVet kan opdatere denne liste i overensstemmelse med Afsnit 6.
Underdatabehandler | Placering | Funktion |
|---|---|---|
OpenAI | USA | AI-behandling og relaterede modeltjenester, der bruges til at levere anmodede Tjenestefunktioner. |
Claude | USA | AI-behandling og relaterede modeltjenester, der bruges til at levere anmodede Tjenestefunktioner. |
GCP | Canada / USA | Cloudhosting, lagring, infrastruktur, netværk, sikkerhed og relaterede platformstjenester. |
GitHub | Canada / USA | Softwareudvikling, kodehosting, sikkerhed, udrulning og værktøjer til operationel support. |
Det aktuelle Trust Center er tilgængeligt på:
Bilag 1: Standardkontraktbestemmelser
1. Indarbejdelse
Hvor det kræves for en international overførsel af Personoplysninger, indarbejder Parterne ved henvisning de standardkontraktbestemmelser, der er vedtaget af Europa-Kommissionen i gennemførelsesafgørelse (EU) 2021/914 af 4. juni 2021 ("SCC'er"). SCC'erne gælder kun for overførsler, der er underlagt GDPR eller andre Databeskyttelseslove, som kræver sådanne garantier.
2. Modul og valg
Modul To (dataansvarlig til databehandler) gælder, hvor Kunden er Dataansvarlig, og CoVet er Databehandler.
Modul Tre (databehandler til databehandler) gælder, hvor Kunden er Databehandler, og CoVet er Underdatabehandler.
Klausul 7 (tiltrædelsesklausul) gælder.
For Klausul 9 (Brug af underdatabehandlere) gælder Mulighed 2 (generel skriftlig godkendelse), med de varslings- og indsigelsesperioder, der er angivet i Afsnit 6 i denne DPA.
For Klausul 11 (Klageadgang) gælder den valgfrie formulering ikke.
For Klausul 13 (Tilsyn) fastlægges den kompetente tilsynsmyndighed i overensstemmelse med GDPR. Hvor ingen anden tilsynsmyndighed klart finder anvendelse, fungerer den irske databeskyttelseskommission som kompetent tilsynsmyndighed for SCC-formål.
For Klausul 17 og 18 er SCC'erne underlagt irsk ret, og tvister afgøres af domstolene i Irland, udelukkende med henblik på SCC'erne.
3. Bilag
SCC Bilag I udfyldes af Bilag A til denne DPA.
SCC Bilag II udfyldes af Bilag B til denne DPA.
SCC Bilag III udfyldes af Bilag C til denne DPA.
4. Overførsler til Storbritannien og Schweiz
For overførsler underlagt UK GDPR gælder SCC'erne som ændret ved Det Forenede Kongeriges International Data Transfer Addendum eller anden gældende britisk overførselsmekanisme. For overførsler underlagt schweizisk databeskyttelsesret fortolkes henvisninger til GDPR, EU-medlemsstater og tilsynsmyndigheder efter behov for at give virkning til schweizisk ret og den schweiziske føderale databeskyttelses- og informationskommissær.
5. Konflikt
Hvis der er konflikt mellem denne DPA og SCC'erne, har SCC'erne forrang i det omfang, det kræves af gældende Databeskyttelseslove.
Bilag 2: HIPAA-tillæg
Dette HIPAA-tillæg gælder kun, hvor Kunden er en Covered Entity eller Business Associate i henhold til HIPAA, og CoVet opretter, modtager, opbevarer eller overfører PHI på vegne af Kunden i forbindelse med Tjenesterne. Hvis dette HIPAA-tillæg gælder, handler CoVet som Kundens Business Associate eller Subcontractor, alt efter hvad der er relevant.
1. HIPAA-definitioner
Termer med stort begyndelsesbogstav, der bruges i dette HIPAA-tillæg, men ikke er defineret i denne DPA, har de betydninger, der gives dem i HIPAA, herunder Business Associate, Covered Entity, Data Aggregation, Designated Record Set, Disclosure, Electronic Protected Health Information, HITECH Act, Individual, Minimum Necessary, PHI, Required by Law, Secretary, Security Incident, Subcontractor, Unsecured Protected Health Information og Use.
2. Tilladte anvendelser og videregivelser
CoVet må kun Use eller Disclose PHI som tilladt i dette HIPAA-tillæg, den Gældende aftale, Kundens dokumenterede instrukser eller som Required by Law. Kunden autoriserer CoVet til at Use og Disclose PHI til følgende tilladte formål:
At levere, drive, vedligeholde, sikre, understøtte, fejlfinde og forbedre de Tjenester, som Kunden eller Autoriserede brugere anmoder om.
At optage, modtage, transskribere, opsummere, strukturere, udarbejde, generere, lagre, hente, vise, overføre og administrere klinisk dokumentation, kommunikation, arbejdsgangsindhold, filer og relaterede output indsendt til eller genereret gennem Tjenesterne.
At udføre administrative, ledelsesmæssige, faktureringsmæssige, juridiske, compliance-, sikkerheds- og revisionsaktiviteter for CoVet, forudsat at enhver Disclosure til en tredjepart til disse formål kun sker, hvor det er Required by Law eller under rimelige garantier om fortrolighed og begrænset yderligere Use eller Disclosure.
At levere Data Aggregation-tjenester relateret til Kundens sundhedsdrift, hvor det er tilladt i henhold til HIPAA og den Gældende aftale.
At afidentificere PHI i overensstemmelse med HIPAA, hvor det er tilladt i henhold til den Gældende aftale, og bruge afidentificerede oplysninger på en måde, der ikke er forbudt af HIPAA.
At rapportere lovovertrædelser til relevante myndigheder i overensstemmelse med 45 C.F.R. 164.502(j)(1).
CoVet vil foretage Uses, Disclosures og anmodninger om PHI i overensstemmelse med HIPAA's Minimum Necessary-standard, hvor relevant. CoVet vil ikke sælge PHI, Use eller Disclose PHI til underwritingformål eller Use PHI til at træne eller finjustere AI-modeller, undtagen som udtrykkeligt skriftligt godkendt af Kunden og tilladt af HIPAA.
3. CoVets HIPAA-forpligtelser
Anvende passende sikkerhedsforanstaltninger og overholde HIPAA Security Rule med hensyn til Elektronisk PHI for at forhindre Use eller Disclosure af PHI ud over det, der er tilladt i dette HIPAA-tillæg.
Rapportere til Kunden enhver uautoriseret Use eller Disclosure af PHI, Breach of Unsecured PHI eller Security Incident, der involverer Elektronisk PHI, som CoVet bliver bekendt med, i overensstemmelse med HIPAA og denne DPA.
Sikre, at enhver Subcontractor, der opretter, modtager, opbevarer eller overfører PHI på vegne af CoVet, skriftligt accepterer i det væsentlige de samme begrænsninger, betingelser og krav, der gælder for CoVet med hensyn til PHI.
Gøre PHI i et Designated Record Set tilgængelig for Kunden efter behov for, at Kunden kan opfylde forpligtelser i henhold til 45 C.F.R. 164.524.
Gøre PHI tilgængelig for ændring og indarbejde ændringer som instrueret af Kunden i overensstemmelse med 45 C.F.R. 164.526.
Gøre oplysninger tilgængelige, som kræves for, at Kunden kan levere en opgørelse over Disclosures i overensstemmelse med 45 C.F.R. 164.528.
Gøre CoVets interne praksisser, bøger og optegnelser vedrørende Use og Disclosure af PHI tilgængelige for Secretary med henblik på at fastslå overholdelse af HIPAA.
Ved ophør returnere eller destruere PHI som angivet i denne DPA og den Gældende aftale, hvis det er muligt, og fortsat beskytte enhver opbevaret PHI.
4. Kundens HIPAA-forpligtelser
Kunden vil ikke anmode CoVet om at Use eller Disclose PHI på en måde, der ikke ville være tilladt under HIPAA, hvis den blev udført af Kunden.
Kunden vil underrette CoVet om enhver begrænsning i Kundens meddelelse om privatlivspraksis, enhver begrænsning af Use eller Disclosure af PHI eller enhver ændring i en Individuals tilladelse, der kan påvirke CoVets Use eller Disclosure af PHI.
Kunden er ansvarlig for at besvare Individuals anmodninger, afgøre om et Breach kræver meddelelse, og opfylde Kundens forpligtelser i henhold til HIPAA, undtagen i det omfang disse forpligtelser udtrykkeligt er delegeret til CoVet i den Gældende aftale.
5. Ophør af HIPAA-årsag
Hvis en af Parterne kender til et mønster af aktivitet eller praksis hos den anden Part, der udgør et væsentligt brud på dette HIPAA-tillæg, vil den ikke-misligholdende Part give mulighed for afhjælpning, hvis afhjælpning er mulig. Hvis afhjælpning ikke er mulig, eller bruddet ikke afhjælpes, kan den ikke-misligholdende Part opsige de berørte Tjenester eller træffe anden handling, der kræves af HIPAA.
6. HITECH Act
Parterne vil overholde gældende bestemmelser i HITECH Act og relaterede HHS-regler. Parterne vil samarbejde i god tro om at ændre dette HIPAA-tillæg, som det med rimelighed er nødvendigt for at overholde fremtidige ændringer af HIPAA, der gælder for Tjenesterne.