Datenverarbeitungsvereinbarung
Zuletzt aktualisiert: 15. Juni 2026
Diese Datenverarbeitungsvereinbarung ("DPA") ist Bestandteil der anwendbaren Vereinbarung zwischen CoVetAI Inc. ("CoVet") und dem Kunden, Nutzer, der Klinik, Praxis, Organisation oder sonstigen Einheit, die die Anwendbare Vereinbarung akzeptiert oder abgeschlossen hat ("Kunde"). CoVet und der Kunde sind jeweils eine "Partei" und zusammen die "Parteien".
Diese DPA gilt, wenn CoVet Personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit den Diensten verarbeitet. Bei Self-Service-Konten wird diese DPA durch Verweis in die Anwendbare Vereinbarung aufgenommen und wird wirksam, wenn der Kunde die Anwendbare Vereinbarung akzeptiert, auf die Dienste zugreift oder die Dienste weiter nutzt, nachdem diese DPA veröffentlicht oder aktualisiert wurde. Eine gesonderte Unterschrift ist nicht erforderlich, es sei denn, CoVet und der Kunde vereinbaren schriftlich etwas anderes.
Wenn der Kunde mit CoVet eine gesondert unterzeichnete Datenverarbeitungsvereinbarung oder Business-Associate-Vereinbarung abgeschlossen hat, hat diese gesondert unterzeichnete Vereinbarung Vorrang, soweit sie ausdrücklich mit dieser DPA in Konflikt steht. Diese DPA reduziert keine Verpflichtungen einer Partei nach anwendbaren Datenschutzgesetzen.
Diese DPA umfasst Anhang 1 (Standardvertragsklauseln), Anhänge A-C (Verarbeitungsdetails, technische und organisatorische Maßnahmen und Unterauftragsverarbeiter) sowie Anhang 2 (HIPAA-Zusatz). Anhang 2 gilt nur, wenn der Kunde eine Covered Entity oder ein Business Associate nach HIPAA ist und CoVet PHI im Auftrag des Kunden erstellt, empfängt, aufbewahrt oder übermittelt.
1. Definitionen
"Anwendbare Vereinbarung" bezeichnet die Nutzungsbedingungen, Abonnementbedingungen, das Bestellformular, die Leistungsbeschreibung, den Rahmenvertrag über Dienstleistungen oder eine andere Vereinbarung, die den Zugang des Kunden zu den Diensten oder deren Nutzung regelt.
"Autorisierter Nutzer" bezeichnet jede Person, die vom Kunden autorisiert wurde, über das Konto des Kunden auf die Dienste zuzugreifen oder diese zu nutzen.
"Kundendaten" bezeichnet Daten, Inhalte, Audio, Transkripte, Dateien, Prompts, Nachrichten, Aufzeichnungen, Ausgaben oder andere Informationen, die an die Dienste übermittelt, über die Dienste generiert oder anderweitig von den Diensten im Auftrag des Kunden verarbeitet werden, einschließlich Personenbezogener Daten, soweit anwendbar.
"Verantwortlicher", "Auftragsverarbeiter", "Betroffene Person", "Personenbezogene Daten", "Verletzung des Schutzes Personenbezogener Daten" und "Verarbeitung" haben die Bedeutungen, die entsprechenden Begriffen nach anwendbaren Datenschutzgesetzen zukommen.
"Datenschutzgesetze" bezeichnet alle Gesetze zu Privatsphäre, Datenschutz, Datensicherheit und Meldung von Verletzungen, die auf die Verarbeitung einer Partei im Rahmen der Anwendbaren Vereinbarung anwendbar sind, einschließlich, soweit anwendbar, DSGVO, UK GDPR, PIPEDA und vergleichbarer US-Bundesstaatengesetze zum Datenschutz.
"DSGVO" bezeichnet die Verordnung (EU) 2016/679 und jedes Gesetz, das sie umsetzt, ergänzt oder ersetzt. "UK GDPR" bezeichnet die DSGVO in der in das Recht des Vereinigten Königreichs übernommenen Fassung.
"PHI" bezeichnet Protected Health Information im Sinne von HIPAA. Soweit Anhang 2 gilt, schließen Verweise auf Personenbezogene Daten PHI ein.
"Dienste" bezeichnet CoVets KI-gestützten Veterinärassistenten, klinische Dokumentation, Transkription, Fallgenerierung, Workflows, Kundenkommunikation, administrative Dienste, Support-, Integrations- und damit verbundene Dienste, die in der Anwendbaren Vereinbarung oder zugehörigen Dokumentation beschrieben sind.
"Unterauftragsverarbeiter" bezeichnet jeden Dritten, der von CoVet oder einem anderen Unterauftragsverarbeiter beauftragt wird, Personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit den Diensten zu verarbeiten.
2. Umfang und Rollen
2.1 Rollen. Zwischen den Parteien ist der Kunde Verantwortlicher für Personenbezogene Daten und CoVet ist Auftragsverarbeiter. Wenn der Kunde als Auftragsverarbeiter im Auftrag eines Verantwortlichen eines Dritten handelt, bestellt der Kunde CoVet zum Unterauftragsverarbeiter des Kunden. Soweit US-Bundesstaatengesetze zum Datenschutz gelten, handelt CoVet als Dienstleister oder Auftragsverarbeiter, je nach Anwendbarkeit, in Bezug auf Personenbezogene Daten, die im Auftrag des Kunden verarbeitet werden.
2.2 Kontrolle durch den Kunden. Der Kunde bestimmt die Zwecke und Mittel der Verarbeitung Personenbezogener Daten, einschließlich der an die Dienste übermittelten Inhalte, der Rechtsgrundlage für die Verarbeitung und der CoVet erteilten Weisungen. Der Kunde behält alle Rechte an Kundendaten, vorbehaltlich der Lizenzen und Berechtigungen, die erforderlich sind, damit CoVet die Dienste erbringen kann.
2.3 Weisungen. Der Kunde weist CoVet an, Personenbezogene Daten zu verarbeiten, soweit dies erforderlich ist, um die Dienste bereitzustellen, zu sichern, zu warten, zu unterstützen, Fehler zu beheben, zu verbessern und zu administrieren; die Anwendbare Vereinbarung einzuhalten; die Konfigurationsentscheidungen des Kunden und Handlungen Autorisierter Nutzer einzuhalten; und geltendes Recht einzuhalten. CoVet wird Personenbezogene Daten für keinen anderen Zweck verarbeiten als für die in dieser DPA, der Anwendbaren Vereinbarung oder den dokumentierten Weisungen des Kunden beschriebenen Zwecke, es sei denn, dies ist gesetzlich erforderlich.
2.4 KI-Dienstleister und Modelltraining. CoVet wird klinische Daten des Kunden, Aufzeichnungen, Transkripte, generierte Notizen oder andere Personenbezogene Daten des Kunden nicht zum Trainieren oder Feintuning von KI-Modellen verwenden und seinen KI-Dienstleistern dies nicht gestatten, es sei denn, der Kunde hat eine abweichende Verarbeitung in einer gesonderten schriftlichen Vereinbarung ausdrücklich genehmigt. CoVet kann aggregierte oder de-identifizierte Informationen verwenden, um die Dienste zu betreiben, zu sichern und zu verbessern, sofern diese Informationen den Kunden, Autorisierte Nutzer oder Betroffene Personen nicht identifizieren und keine Personenbezogenen Daten nach anwendbaren Datenschutzgesetzen sind.
3. Pflichten des Kunden
Der Kunde ist für die Einhaltung der Datenschutzgesetze verantwortlich, die für die Erhebung, Nutzung, Offenlegung und Übermittlung Personenbezogener Daten an CoVet durch den Kunden gelten, einschließlich der Bereitstellung von Hinweisen, Einholung von Einwilligungen und Aufrechterhaltung einer Rechtsgrundlage für die Verarbeitung, soweit erforderlich.
Der Kunde ist für die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten verantwortlich und stellt sicher, dass Autorisierte Nutzer Kundendaten nur in Übereinstimmung mit der Anwendbaren Vereinbarung und dieser DPA übermitteln.
Der Kunde wird keine besonderen Kategorien Personenbezogener Daten, PHI oder sonstigen regulierten Informationen an die Dienste übermitteln, es sei denn, eine solche Übermittlung ist nach der Anwendbaren Vereinbarung zulässig, für die Nutzung der Dienste durch den Kunden erforderlich und der Kunde hat alle rechtlichen Anforderungen hierfür erfüllt.
Der Kunde wird CoVet unverzüglich über jede Anfrage einer Betroffenen Person, rechtliche Beschränkung oder Weisung informieren, die CoVets Verarbeitung Personenbezogener Daten betrifft.
4. Pflichten von CoVet
CoVet wird Personenbezogene Daten nur in Übereinstimmung mit dieser DPA, der Anwendbaren Vereinbarung, den dokumentierten Weisungen des Kunden und geltendem Recht verarbeiten.
CoVet stellt sicher, dass Personal, das zur Verarbeitung Personenbezogener Daten autorisiert ist, Vertraulichkeitsverpflichtungen unterliegt und angemessene Schulungen zu Datenschutz und Sicherheit erhält.
CoVet wird geeignete technische und organisatorische Maßnahmen implementieren und aufrechterhalten, die dazu bestimmt sind, Personenbezogene Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung, Zugriff oder Nutzung zu schützen, wie in Anhang B näher beschrieben.
Unter Berücksichtigung der Art der Verarbeitung und der CoVet verfügbaren Informationen wird CoVet den Kunden in angemessenem Umfang bei Anfragen Betroffener Personen, Datenschutz-Folgenabschätzungen, Konsultationen mit Aufsichtsbehörden und nach Datenschutzgesetzen erforderlicher Compliance-Dokumentation unterstützen.
CoVet wird den Kunden benachrichtigen, wenn CoVet der Ansicht ist, dass eine Weisung gegen anwendbare Datenschutzgesetze verstößt, sofern anwendbares Recht eine solche Benachrichtigung nicht verbietet.
5. Datensicherheit
CoVet wird ein schriftliches Informationssicherheitsprogramm unterhalten, das der Art der Dienste und den durch die Verarbeitung entstehenden Risiken angemessen ist. CoVets Programm umfasst administrative, technische, physische, organisatorische und operative Schutzmaßnahmen zum Schutz Personenbezogener Daten, einschließlich Zugriffskontrollen, Verschlüsselung bei der Übertragung und im Ruhezustand, Protokollierung und Überwachung, sichere Entwicklungspraktiken, Schwachstellenmanagement, Verfahren zur Reaktion auf Vorfälle, Lieferantenrisikomanagement und Mitarbeiterschulungen.
Weitere Informationen zur Sicherheitslage von CoVet sind über CoVets Sicherheitsseite und Trust Center verfügbar:
6. Unterauftragsverarbeiter
6.1 Allgemeine Genehmigung. Der Kunde erteilt CoVet eine allgemeine Genehmigung, Unterauftragsverarbeiter zur Verarbeitung Personenbezogener Daten im Zusammenhang mit den Diensten einzusetzen. CoVet wird schriftliche Vereinbarungen mit Unterauftragsverarbeitern abschließen, die Datenschutzpflichten auferlegen, die in allen wesentlichen Aspekten nicht weniger schützend sind als die in dieser DPA festgelegten.
6.2 Aktuelle Liste und Aktualisierungen. CoVets aktuelle Unterauftragsverarbeiter sind in Anhang C aufgeführt und können auch über CoVets Trust Center oder eine andere veröffentlichte Unterauftragsverarbeiter-Seite verfügbar gemacht werden. CoVet kann Unterauftragsverarbeiter hinzufügen, ersetzen oder aktualisieren, indem CoVet eine Mitteilung über das Trust Center, die Dienste, E-Mail oder eine andere wirtschaftlich angemessene Methode bereitstellt.
6.3 Widerspruchsrecht. Der Kunde kann einem neuen Unterauftragsverarbeiter aus angemessenen Datenschutzgründen innerhalb von vierzehn (14) Tagen nach Mitteilung widersprechen. Wenn die Parteien den Widerspruch nicht auf wirtschaftlich angemessene Weise lösen können, kann CoVet eine Alternative bereitstellen, die betroffene Funktion aussetzen oder dem Kunden gestatten, die betroffenen Dienste wie in der Anwendbaren Vereinbarung beschrieben zu kündigen.
7. Anfragen Betroffener Personen
Wenn CoVet eine Anfrage einer Betroffenen Person in Bezug auf Personenbezogene Daten des Kunden erhält, wird CoVet, soweit rechtlich zulässig, die Betroffene Person an den Kunden verweisen oder den Kunden benachrichtigen. CoVet wird die Anfrage nicht eigenständig beantworten, außer gemäß den Weisungen des Kunden, gesetzlich vorgeschrieben oder soweit erforderlich, um zu bestätigen, dass sich die Anfrage auf den Kunden bezieht.
8. Verletzung des Schutzes Personenbezogener Daten
CoVet wird den Kunden unverzüglich benachrichtigen, nachdem CoVet von einer Verletzung des Schutzes Personenbezogener Daten Kenntnis erlangt hat, die Personenbezogene Daten des Kunden betrifft. Die Benachrichtigung enthält Informationen, die CoVet vernünftigerweise zur Verfügung stehen, darunter gegebenenfalls die Art der Verletzung, betroffene Kategorien Personenbezogener Daten und Betroffener Personen, wahrscheinliche Folgen sowie ergriffene oder vorgeschlagene Maßnahmen zur Behebung und Minderung der Verletzung.
CoVet wird in angemessenem Umfang mit der Untersuchung, Minderung und den gesetzlich erforderlichen Mitteilungen des Kunden zusammenarbeiten. Der Kunde ist dafür verantwortlich zu bestimmen, ob Betroffene Personen, Aufsichtsbehörden, Regulierungsbehörden oder andere Dritte zu benachrichtigen sind, außer wenn Datenschutzgesetze CoVet verpflichten, eine direkte Benachrichtigung bereitzustellen.
9. Audits und Dokumentation
CoVet wird Informationen bereitstellen, die vernünftigerweise erforderlich sind, um die Einhaltung dieser DPA nachzuweisen, einschließlich Sicherheitsdokumentation, Richtlinien, Zertifizierungen, unabhängiger Prüfberichte oder schriftlicher Antworten. CoVet kann diese Verpflichtung erfüllen, indem Materialien über sein Trust Center vorbehaltlich angemessener Vertraulichkeits- und Zugriffskontrollen verfügbar gemacht werden.
Wenn der Kunde angemessenerweise zusätzliche Auditaktivitäten benötigt, kann der Kunde höchstens einmal pro Kalenderjahr ein Audit verlangen, es sei denn, dies wird von einer Aufsichtsbehörde verlangt oder folgt auf eine Verletzung des Schutzes Personenbezogener Daten. Jedes Audit muss während der normalen Geschäftszeiten, auf Kosten des Kunden, mit angemessener Vorankündigung und in einer Weise durchgeführt werden, die CoVets Betrieb nicht unangemessen beeinträchtigt oder die Sicherheit oder Vertraulichkeit der Daten anderer Kunden gefährdet.
10. Rückgabe und Löschung
Bei Beendigung oder Ablauf der Anwendbaren Vereinbarung wird CoVet in Übereinstimmung mit der Anwendbaren Vereinbarung und der Funktionalität der Dienste Personenbezogene Daten des Kunden, die sich im Besitz oder unter der Kontrolle von CoVet befinden, löschen oder zur Abrufung bereitstellen. CoVet kann Personenbezogene Daten in dem Umfang aufbewahren, der gesetzlich vorgeschrieben, für legitime Sicherheits-, Backup-, Streit-, Audit- oder Compliance-Zwecke erforderlich oder anderweitig nach der Anwendbaren Vereinbarung zulässig ist, vorausgesetzt, CoVet schützt die aufbewahrten Personenbezogenen Daten weiterhin gemäß dieser DPA und beschränkt die weitere Verarbeitung auf diese Aufbewahrungszwecke.
11. Internationale Übermittlungen
Der Kunde erkennt an, dass CoVet und seine Unterauftragsverarbeiter Personenbezogene Daten in Kanada, den Vereinigten Staaten, dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und anderen Orten verarbeiten können, an denen CoVet oder seine Unterauftragsverarbeiter tätig sind, vorbehaltlich der nach Datenschutzgesetzen erforderlichen Schutzmaßnahmen.
Für Übermittlungen Personenbezogener Daten aus dem EWR, dem Vereinigten Königreich oder der Schweiz in ein Land, das nach anwendbaren Datenschutzgesetzen kein angemessenes Schutzniveau bietet, gelten die Standardvertragsklauseln und die zugehörigen Übermittlungsbedingungen in Anhang 1 im erforderlichen Umfang.
12. Haftung und Rangfolge
Die Haftung jeder Partei nach dieser DPA unterliegt den Haftungsbeschränkungen und -ausschlüssen in der Anwendbaren Vereinbarung, außer soweit solche Beschränkungen oder Ausschlüsse nach Datenschutzgesetzen oder den Standardvertragsklauseln verboten sind. Bei einem Konflikt zwischen dieser DPA und der Anwendbaren Vereinbarung hat diese DPA ausschließlich in Bezug auf die Verarbeitung Personenbezogener Daten Vorrang. Bei einem Konflikt zwischen dieser DPA und den Standardvertragsklauseln haben die Standardvertragsklauseln im Umfang des Konflikts Vorrang.
13. Aktualisierungen dieser DPA
CoVet kann diese DPA von Zeit zu Zeit aktualisieren, indem eine aktualisierte Version veröffentlicht oder anderweitig eine Mitteilung bereitgestellt wird. Aktualisierungen werden das Schutzniveau für Personenbezogene Daten während der Laufzeit der Anwendbaren Vereinbarung nicht wesentlich reduzieren. Die fortgesetzte Nutzung der Dienste durch den Kunden nach Wirksamwerden einer aktualisierten DPA gilt als Annahme der aktualisierten DPA, es sei denn, der Kunde hat eine gesondert unterzeichnete Vereinbarung, die etwas anderes vorsieht.
Anhang A: Details der Verarbeitung
A.1 Gegenstand
Gegenstand der Verarbeitung ist die Bereitstellung der Dienste durch CoVet an den Kunden im Rahmen der Anwendbaren Vereinbarung, einschließlich der Verarbeitung von Kundendaten, die an die Dienste übermittelt, durch die Dienste generiert oder anderweitig von den Diensten verarbeitet werden.
A.2 Dauer
Die Verarbeitung dauert während der Laufzeit der Anwendbaren Vereinbarung und danach fort, soweit dies für Löschung, Rückgabe, rechtliche, Sicherheits-, Backup-, Audit- oder Compliance-Zwecke erforderlich ist.
A.3 Art und Zweck
Kontoerstellung, Authentifizierung, Abrechnung, Abonnementverwaltung, Support und Kommunikation.
Aufzeichnung, Upload, Transkription, Strukturierung, Zusammenfassung, Entwurf, Generierung, Speicherung, Abruf und Anzeige klinischer, Workflow- und Kommunikationsinhalte, die vom Kunden oder Autorisierten Nutzern angefordert werden.
Betrieb, Wartung, Fehlerbehebung, Sicherheitsüberwachung, Missbrauchsprävention, Zuverlässigkeit, Analysen und Verbesserung der Dienste.
Verarbeitung durch KI-Dienstleister ausschließlich zur Bereitstellung der vom Kunden und Autorisierten Nutzern angeforderten Funktionen, vorbehaltlich der Beschränkungen dieser DPA hinsichtlich Modelltraining und Feintuning.
Integrationen, Exporte, Importe und Datenübermittlungen, die vom Kunden oder Autorisierten Nutzern konfiguriert oder angefordert werden.
Einhaltung rechtlicher Verpflichtungen, Durchsetzung der Anwendbaren Vereinbarung und Schutz der Dienste, von CoVet, des Kunden, Autorisierter Nutzer und Betroffener Personen.
A.4 Kategorien Personenbezogener Daten
Konto-, Profil-, Rollen-, Authentifizierungs-, Kontakt-, Abrechnungs-, Abonnement- und Organisationsinformationen.
Berufs- und praxisbezogene Informationen über Veterinärfachkräfte, Klinikpersonal, Administratoren, Auftragnehmer und andere Autorisierte Nutzer.
Klinische Workflow-Inhalte, die an die Dienste übermittelt oder durch die Dienste generiert werden, einschließlich Audioaufzeichnungen, Transkripte, Prompts, Nachrichten, Dateien, generierte Notizen, Fallinformationen, Kundenkommunikation und zugehörige Metadaten.
Informationen über Tierhalter, Kunden, Patienten, Termine und Fälle, soweit diese Informationen eine Person identifizieren oder vernünftigerweise mit einer Person verknüpft werden können.
Technische, Geräte-, Nutzungs-, Protokoll-, Sicherheits-, Diagnose- und Supportinformationen, einschließlich IP-Adresse, Gerätekennungen, Browser- oder App-Informationen, Zeitstempel und Funktionsnutzung.
Alle anderen Personenbezogenen Daten, die vom Kunden oder Autorisierten Nutzern über die Dienste übermittelt werden, vorbehaltlich der Anwendbaren Vereinbarung und dieser DPA.
A.5 Sensible Daten
Der Kunde darf sensible oder regulierte Personenbezogene Daten nur übermitteln, wenn dies nach der Anwendbaren Vereinbarung zulässig und für die Nutzung der Dienste durch den Kunden erforderlich ist. Wenn der Kunde PHI übermittelt und Anhang 2 gilt, verarbeitet CoVet PHI gemäß Anhang 2. CoVet verlangt vom Kunden nicht, besondere Kategorien Personenbezogener Daten nach der DSGVO zu übermitteln, es sei denn, eine solche Übermittlung ist für die vom Kunden gewählte Nutzung der Dienste erforderlich und der Kunde hat die anwendbaren rechtlichen Anforderungen erfüllt.
A.6 Kategorien Betroffener Personen
Autorisierte Nutzer, Administratoren, Mitarbeiter, Auftragnehmer und Vertreter des Kunden.
Veterinärkunden, Tierhalter, potenzielle Kunden und Kontaktpersonen.
Personen, deren Informationen in klinischen Notizen, Kommunikation, Dateien, Aufzeichnungen, Transkripten, Supportanfragen, Integrationen oder anderen Kundendaten erscheinen.
Abrechnungs-, Beschaffungs-, Rechts-, Support- und Geschäftskontakte.
A.7 Häufigkeit der Übermittlung
Kontinuierlich für die Dauer der Nutzung der Dienste durch den Kunden.
A.8 Parteien für Standardvertragsklauseln
Rolle | Name und Details | Aktivitäten | SCC-Rolle |
|---|---|---|---|
Datenexporteur | Kunde, wie in der Anwendbaren Vereinbarung oder den Kontounterlagen identifiziert. | Übermittlung, Zugriff und Nutzung Personenbezogener Daten im Zusammenhang mit den Diensten. | Verantwortlicher oder Auftragsverarbeiter, je nach Anwendbarkeit. |
Datenimporteur | CoVetAI Inc. (CoVet). Kontakt: info@co.vet oder support@co.vet. | Verarbeitung Personenbezogener Daten zur Bereitstellung, Sicherung, Wartung, Unterstützung und Verbesserung der Dienste. | Auftragsverarbeiter oder Unterauftragsverarbeiter, je nach Anwendbarkeit. |
Anhang B: Technische und organisatorische Maßnahmen
CoVet unterhält technische und organisatorische Maßnahmen, die darauf ausgelegt sind, ein dem durch die Verarbeitung entstehenden Risiko angemessenes Sicherheitsniveau zu gewährleisten. Diese Maßnahmen umfassen die unten zusammengefassten Kontrollen und können sich im Laufe der Zeit weiterentwickeln, wenn CoVets Sicherheitsprogramm reift.
Kontrollbereich | Zusammenfassung |
|---|---|
Governance und Richtlinien | Richtlinien zu Informationssicherheit, Datenmanagement, Vorfallreaktion, Lieferantenrisiko, Geschäftskontinuität, sicherer Entwicklung und Zugriffskontrolle. |
Zugriffskontrollen | Rollenbasierter Zugriff, Least Privilege, eindeutige Anmeldedaten, Zugriffsüberprüfungen, Onboarding- und Offboarding-Kontrollen sowie Authentifizierungsschutzmaßnahmen. |
Verschlüsselung und Infrastruktur | Verschlüsselung bei der Übertragung und im Ruhezustand, sichere Cloud-Infrastruktur, Netzwerksegmentierung, soweit angemessen, Härtung und logische Trennung von Kundendaten. |
Überwachung und Vorfallreaktion | Protokollierung, Verfügbarkeitsüberwachung, Überprüfung von Sicherheitsereignissen, Verfahren zur Vorfallreaktion, Eskalation, Abhilfe und Unterstützung bei Reaktion auf Verletzungen. |
Schwachstellen und sichere Entwicklung | Schwachstellenmanagement, Penetrationstests oder Schwachstellenbewertungen, Patch-Management, sichere Softwareentwicklungspraktiken und Kontrollen für Code-/Änderungsprüfungen. |
Personal und Schulung | Vertraulichkeitsverpflichtungen, Schulungen zum Sicherheitsbewusstsein, rollenspezifische Verantwortlichkeiten und Verfahren zur Personalsicherheit. |
Lieferantenmanagement | Überprüfung von Lieferantenrisiken, vertragliche Datenschutzpflichten und Aufsicht über Unterauftragsverarbeiter, die Personenbezogene Daten des Kunden verarbeiten können. |
Kontinuität und Wiederherstellung | Backup-, Kontinuitäts-, Notfallwiederherstellungs- und Verfügbarkeitspraktiken, die eine zuverlässige Bereitstellung der Dienste unterstützen sollen. |
Anhang C: Unterauftragsverarbeiter
Die folgenden Unterauftragsverarbeiter sind zum oben angegebenen Datum "Zuletzt aktualisiert" aufgeführt. CoVet kann diese Liste gemäß Abschnitt 6 aktualisieren.
Unterauftragsverarbeiter | Standort | Funktion |
|---|---|---|
OpenAI | Vereinigte Staaten | KI-Verarbeitung und damit verbundene Modelldienste, die zur Bereitstellung angeforderter Dienstfunktionen verwendet werden. |
Claude | Vereinigte Staaten | KI-Verarbeitung und damit verbundene Modelldienste, die zur Bereitstellung angeforderter Dienstfunktionen verwendet werden. |
GCP | Kanada / Vereinigte Staaten | Cloud-Hosting, Speicherung, Infrastruktur, Networking, Sicherheit und damit verbundene Plattformdienste. |
GitHub | Kanada / Vereinigte Staaten | Softwareentwicklung, Code-Hosting, Sicherheit, Bereitstellung und Tools für operative Unterstützung. |
Das aktuelle Trust Center ist verfügbar unter:
Anhang 1: Standardvertragsklauseln
1. Einbeziehung
Soweit für eine internationale Übermittlung Personenbezogener Daten erforderlich, beziehen die Parteien die von der Europäischen Kommission im Durchführungsbeschluss (EU) 2021/914 vom 4. Juni 2021 angenommenen Standardvertragsklauseln ("SCCs") durch Verweis ein. Die SCCs gelten nur für Übermittlungen, die der DSGVO oder anderen Datenschutzgesetzen unterliegen, die solche Schutzmaßnahmen verlangen.
2. Modul und Auswahlen
Modul Zwei (Verantwortlicher an Auftragsverarbeiter) gilt, wenn der Kunde Verantwortlicher und CoVet Auftragsverarbeiter ist.
Modul Drei (Auftragsverarbeiter an Auftragsverarbeiter) gilt, wenn der Kunde Auftragsverarbeiter und CoVet Unterauftragsverarbeiter ist.
Klausel 7 (Beitrittsklausel) gilt.
Für Klausel 9 (Einsatz von Unterauftragsverarbeitern) gilt Option 2 (allgemeine schriftliche Genehmigung) mit den in Abschnitt 6 dieser DPA genannten Mitteilungs- und Widerspruchsfristen.
Für Klausel 11 (Rechtsbehelf) gilt der optionale Wortlaut nicht.
Für Klausel 13 (Aufsicht) wird die zuständige Aufsichtsbehörde gemäß der DSGVO bestimmt. Wenn keine andere Aufsichtsbehörde eindeutig anwendbar ist, fungiert die irische Datenschutzkommission als zuständige Aufsichtsbehörde für SCC-Zwecke.
Für Klauseln 17 und 18 unterliegen die SCCs irischem Recht und Streitigkeiten werden ausschließlich für Zwecke der SCCs von den Gerichten Irlands entschieden.
3. Anhänge
SCC Anhang I wird durch Anhang A dieser DPA vervollständigt.
SCC Anhang II wird durch Anhang B dieser DPA vervollständigt.
SCC Anhang III wird durch Anhang C dieser DPA vervollständigt.
4. Übermittlungen in das Vereinigte Königreich und die Schweiz
Für Übermittlungen, die der UK GDPR unterliegen, gelten die SCCs in der durch das United Kingdom International Data Transfer Addendum oder einen anderen anwendbaren britischen Übermittlungsmechanismus geänderten Fassung. Für Übermittlungen, die schweizerischem Datenschutzrecht unterliegen, werden Verweise auf die DSGVO, EU-Mitgliedstaaten und Aufsichtsbehörden so ausgelegt, wie es erforderlich ist, um schweizerischem Recht und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten Wirkung zu verleihen.
5. Konflikt
Bei einem Konflikt zwischen dieser DPA und den SCCs haben die SCCs im nach anwendbaren Datenschutzgesetzen erforderlichen Umfang Vorrang.
Anhang 2: HIPAA-Zusatz
Dieser HIPAA-Zusatz gilt nur, wenn der Kunde eine Covered Entity oder ein Business Associate nach HIPAA ist und CoVet PHI im Auftrag des Kunden im Zusammenhang mit den Diensten erstellt, empfängt, aufbewahrt oder übermittelt. Wenn dieser HIPAA-Zusatz gilt, handelt CoVet als Business Associate oder Subcontractor des Kunden, je nach Anwendbarkeit.
1. HIPAA-Definitionen
Großgeschriebene Begriffe, die in diesem HIPAA-Zusatz verwendet, aber in dieser DPA nicht definiert sind, haben die ihnen in HIPAA gegebenen Bedeutungen, einschließlich Business Associate, Covered Entity, Data Aggregation, Designated Record Set, Disclosure, Electronic Protected Health Information, HITECH Act, Individual, Minimum Necessary, PHI, Required by Law, Secretary, Security Incident, Subcontractor, Unsecured Protected Health Information und Use.
2. Zulässige Nutzungen und Offenlegungen
CoVet darf PHI nur Use oder Disclose, wie in diesem HIPAA-Zusatz, der Anwendbaren Vereinbarung, den dokumentierten Weisungen des Kunden oder als Required by Law erlaubt. Der Kunde autorisiert CoVet, PHI für die folgenden zulässigen Zwecke zu Use und Disclose:
Bereitstellung, Betrieb, Wartung, Sicherung, Unterstützung, Fehlerbehebung und Verbesserung der vom Kunden oder Autorisierten Nutzern angeforderten Dienste.
Aufzeichnen, Empfangen, Transkribieren, Zusammenfassen, Strukturieren, Entwerfen, Generieren, Speichern, Abrufen, Anzeigen, Übermitteln und Verwalten klinischer Dokumentation, Kommunikation, Workflow-Inhalte, Dateien und zugehöriger Ausgaben, die an die Dienste übermittelt oder durch die Dienste generiert werden.
Durchführung administrativer, Management-, Abrechnungs-, Rechts-, Compliance-, Sicherheits- und Auditaktivitäten für CoVet, vorausgesetzt, jede Disclosure an einen Dritten für diese Zwecke erfolgt nur, wenn sie Required by Law ist oder unter angemessenen Zusicherungen der Vertraulichkeit und begrenzter weiterer Use oder Disclosure.
Bereitstellung von Data Aggregation-Diensten in Bezug auf die Gesundheitsversorgungsoperationen des Kunden, soweit nach HIPAA und der Anwendbaren Vereinbarung zulässig.
De-Identifizierung von PHI gemäß HIPAA, soweit nach der Anwendbaren Vereinbarung zulässig, und Nutzung de-identifizierter Informationen in einer Weise, die nach HIPAA nicht verboten ist.
Meldung von Gesetzesverstößen an zuständige Behörden gemäß 45 C.F.R. 164.502(j)(1).
CoVet wird Uses, Disclosures und Anfragen nach PHI in Übereinstimmung mit HIPAA's Minimum Necessary-Standard vornehmen, soweit anwendbar. CoVet wird PHI nicht verkaufen, PHI nicht für Underwriting-Zwecke Use oder Disclose und PHI nicht zum Trainieren oder Feintuning von KI-Modellen Use, außer wie vom Kunden ausdrücklich schriftlich genehmigt und nach HIPAA zulässig.
3. HIPAA-Pflichten von CoVet
Geeignete Schutzmaßnahmen anwenden und die HIPAA Security Rule in Bezug auf Elektronische PHI einhalten, um Use oder Disclosure von PHI außer wie in diesem HIPAA-Zusatz zulässig zu verhindern.
Dem Kunden jede unbefugte Use oder Disclosure von PHI, jeden Breach of Unsecured PHI oder Security Incident mit Elektronischer PHI melden, von dem CoVet Kenntnis erlangt, in Übereinstimmung mit HIPAA und dieser DPA.
Sicherstellen, dass jeder Subcontractor, der PHI im Auftrag von CoVet erstellt, empfängt, aufbewahrt oder übermittelt, schriftlich im Wesentlichen denselben Beschränkungen, Bedingungen und Anforderungen zustimmt, die für CoVet in Bezug auf PHI gelten.
PHI in einem Designated Record Set dem Kunden zur Verfügung stellen, soweit dies erforderlich ist, damit der Kunde Verpflichtungen nach 45 C.F.R. 164.524 erfüllen kann.
PHI zur Änderung verfügbar machen und Änderungen gemäß den Weisungen des Kunden gemäß 45 C.F.R. 164.526 einarbeiten.
Informationen verfügbar machen, die erforderlich sind, damit der Kunde eine Aufstellung von Disclosures gemäß 45 C.F.R. 164.528 bereitstellen kann.
CoVets interne Praktiken, Bücher und Aufzeichnungen in Bezug auf Use und Disclosure von PHI dem Secretary zur Verfügung stellen, um die Einhaltung von HIPAA festzustellen.
Bei Beendigung PHI gemäß dieser DPA und der Anwendbaren Vereinbarung zurückgeben oder vernichten, soweit durchführbar, und weiterhin jede aufbewahrte PHI schützen.
4. HIPAA-Pflichten des Kunden
Der Kunde wird CoVet nicht auffordern, PHI in einer Weise zu Use oder Disclose, die nach HIPAA nicht zulässig wäre, wenn sie vom Kunden vorgenommen würde.
Der Kunde wird CoVet über jede Beschränkung in der Mitteilung des Kunden über Datenschutzpraktiken, jede Beschränkung der Use oder Disclosure von PHI oder jede Änderung der Erlaubnis eines Individual informieren, die CoVets Use oder Disclosure von PHI beeinflussen kann.
Der Kunde ist verantwortlich für die Beantwortung von Anfragen von Individuals, die Bestimmung, ob ein Breach eine Benachrichtigung erfordert, und die Erfüllung der Pflichten des Kunden nach HIPAA, außer soweit diese Pflichten in der Anwendbaren Vereinbarung ausdrücklich an CoVet delegiert werden.
5. Kündigung aus HIPAA-Grund
Wenn eine Partei von einem Muster von Aktivitäten oder Praktiken der anderen Partei weiß, das einen wesentlichen Verstoß gegen diesen HIPAA-Zusatz darstellt, wird die nicht verletzende Partei Gelegenheit zur Abhilfe geben, wenn Abhilfe möglich ist. Wenn Abhilfe nicht möglich ist oder der Verstoß nicht behoben wird, kann die nicht verletzende Partei die betroffenen Dienste kündigen oder andere nach HIPAA erforderliche Maßnahmen ergreifen.
6. HITECH Act
Die Parteien werden die anwendbaren Bestimmungen des HITECH Act und der zugehörigen HHS-Vorschriften einhalten. Die Parteien werden nach Treu und Glauben zusammenarbeiten, um diesen HIPAA-Zusatz in dem vernünftigerweise erforderlichen Umfang zu ändern, um künftigen Änderungen von HIPAA nachzukommen, die für die Dienste gelten.