Accord de traitement des données
Dernière mise à jour : 15 juin 2026
Le présent Accord de traitement des données ("DPA") fait partie de l'accord applicable entre CoVetAI Inc. ("CoVet") et le client, utilisateur, cabinet, clinique, organisation ou autre entité qui a accepté ou conclu l'Accord applicable ("Client"). CoVet et le Client sont chacun une "Partie" et collectivement les "Parties".
Le présent DPA s'applique lorsque CoVet Traite des Données personnelles pour le compte du Client dans le cadre des Services. Pour les comptes en libre-service, le présent DPA est incorporé par référence dans l'Accord applicable et prend effet lorsque le Client accepte l'Accord applicable, accède aux Services ou continue d'utiliser les Services après la publication ou la mise à jour du présent DPA. Aucune signature séparée n'est requise sauf accord écrit contraire entre CoVet et le Client.
Si le Client a conclu avec CoVet un accord de traitement des données ou un accord de business associate signé séparément, cet accord signé séparément prévaut dans la mesure où il est expressément en conflit avec le présent DPA. Le présent DPA ne réduit pas les obligations de l'une ou l'autre Partie en vertu des Lois applicables sur la protection des données.
Le présent DPA comprend l'Annexe 1 (Clauses contractuelles types), les Annexes A-C (détails du traitement, mesures techniques et organisationnelles et sous-traitants ultérieurs) et l'Annexe 2 (Addendum HIPAA). L'Annexe 2 s'applique uniquement lorsque le Client est une Covered Entity ou un Business Associate au sens de HIPAA et que CoVet crée, reçoit, conserve ou transmet des PHI pour le compte du Client.
1. Définitions
"Accord applicable" désigne les conditions de service, conditions d'abonnement, bon de commande, énoncé des travaux, contrat-cadre de services ou autre accord régissant l'accès du Client aux Services ou leur utilisation.
"Utilisateur autorisé" désigne toute personne autorisée par le Client à accéder aux Services ou à les utiliser au titre du compte du Client.
"Données du Client" désigne les données, contenus, fichiers audio, transcriptions, fichiers, prompts, messages, dossiers, résultats ou autres informations soumis aux Services, générés par les Services ou autrement Traités par les Services pour le compte du Client, y compris les Données personnelles le cas échéant.
“Responsable du traitement”, “Sous-traitant”, “Personne concernée”, “Données personnelles”, “Renseignements personnels”, “Violation de Données personnelles”, “incident de confidentialité“, “atteinte aux mesures de sécurité” et “Traitement” ont les significations attribuées aux termes équivalents par les Lois applicables sur la protection des données. Dans le présent DPA, les références aux “Données personnelles” incluent les “renseignements personnels” lorsque les lois canadiennes ou québécoises sur la protection de la vie privée s’appliquent, et les références à une “Violation de Données personnelles” incluent, selon le contexte, une “atteinte aux mesures de sécurité” ou un “incident de confidentialité“.
“Lois sur la protection des données” désigne toutes les lois relatives à la vie privée, à la protection des données, à la sécurité des données et à la notification des violations applicables au Traitement d’une Partie au titre de l’Accord applicable, y compris, dans la mesure applicable, le RGPD, le UK GDPR, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE/PIPEDA), la Loi sur la protection des renseignements personnels dans le secteur privé (Québec) et les lois comparables des États américains sur la protection de la vie privée.
"RGPD" désigne le Règlement (UE) 2016/679 et toute loi le mettant en œuvre, le complétant ou le remplaçant. "UK GDPR" désigne le RGPD tel qu'incorporé dans le droit du Royaume-Uni.
"PHI" désigne les Protected Health Information telles que définies par HIPAA. Lorsque l'Annexe 2 s'applique, les références aux Données personnelles incluent les PHI.
"Services" désigne l'assistant vétérinaire alimenté par l'IA de CoVet, la documentation clinique, la transcription, la génération de cas, les flux de travail, la communication avec les clients, les services administratifs, de support, d'intégration et les services connexes décrits dans l'Accord applicable ou la documentation connexe.
"Sous-traitant ultérieur" désigne tout tiers engagé par CoVet ou par un autre Sous-traitant ultérieur pour Traiter des Données personnelles pour le compte du Client dans le cadre des Services.
2. Portée et rôles
2.1 Rôles. Entre les Parties, le Client est le Responsable du traitement des Données personnelles et CoVet est le Sous-traitant. Lorsque le Client agit en qualité de Sous-traitant pour le compte d'un Responsable du traitement tiers, le Client nomme CoVet comme Sous-traitant ultérieur du Client. Lorsque les lois américaines d'État sur la protection de la vie privée s'appliquent, CoVet agit comme prestataire de services ou sous-traitant, selon le cas, à l'égard des Données personnelles Traitées pour le compte du Client.
2.2 Contrôle du Client. Le Client détermine les finalités et les moyens du Traitement des Données personnelles, y compris le contenu soumis aux Services, la base légale du Traitement et les instructions données à CoVet. Le Client conserve tous les droits sur les Données du Client, sous réserve des licences et autorisations nécessaires pour que CoVet fournisse les Services.
2.3 Instructions. Le Client donne instruction à CoVet de Traiter les Données personnelles selon ce qui est nécessaire pour fournir, sécuriser, maintenir, soutenir, dépanner, améliorer et administrer les Services ; respecter l'Accord applicable ; respecter les choix de configuration du Client et les actions des Utilisateurs autorisés ; et respecter la loi applicable. CoVet ne Traitera pas les Données personnelles à des fins autres que celles décrites dans le présent DPA, l'Accord applicable ou les instructions documentées du Client, sauf si la loi l'exige.
2.4 Fournisseurs de services d'IA et entraînement des modèles. CoVet n'utilisera pas les données cliniques du Client, les enregistrements, transcriptions, notes générées ou autres Données personnelles du Client pour entraîner ou affiner des modèles d'IA, et n'autorisera pas ses fournisseurs de services d'IA à le faire, sauf lorsque le Client a expressément autorisé un Traitement différent dans un accord écrit séparé. CoVet peut utiliser des informations agrégées ou dé-identifiées pour exploiter, sécuriser et améliorer les Services lorsque ces informations n'identifient pas le Client, les Utilisateurs autorisés ou les Personnes concernées et ne constituent pas des Données personnelles au sens des Lois applicables sur la protection des données.
3. Obligations du Client
Le Client est responsable du respect des Lois sur la protection des données applicables à la collecte, l'utilisation, la divulgation et le transfert de Données personnelles à CoVet par le Client, y compris la fourniture d'avis, l'obtention de consentements et le maintien d'une base légale pour le Traitement lorsque requis.
Le Client est responsable de l'exactitude, de la qualité et de la légalité des Données du Client et doit veiller à ce que les Utilisateurs autorisés ne soumettent des Données du Client qu'en conformité avec l'Accord applicable et le présent DPA.
Le Client ne soumettra pas aux Services de catégories particulières de Données personnelles, de PHI ou d'autres informations réglementées sauf si cette soumission est autorisée par l'Accord applicable, nécessaire à l'utilisation des Services par le Client et si le Client a satisfait à toutes les exigences légales applicables.
Le Client informera rapidement CoVet de toute demande d'une Personne concernée, restriction légale ou instruction qui affecte le Traitement des Données personnelles par CoVet.
4. Obligations de CoVet
CoVet Traitera les Données personnelles uniquement conformément au présent DPA, à l'Accord applicable, aux instructions documentées du Client et à la loi applicable.
CoVet veillera à ce que le personnel autorisé à Traiter des Données personnelles soit soumis à des obligations de confidentialité et reçoive une formation appropriée en matière de confidentialité et de sécurité.
CoVet mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées conçues pour protéger les Données personnelles contre la destruction, la perte, l'altération, la divulgation, l'accès ou l'utilisation accidentels ou illicites, comme décrit plus en détail à l'Annexe B.
Compte tenu de la nature du Traitement et des informations dont dispose CoVet, CoVet aidera raisonnablement le Client à répondre aux demandes des Personnes concernées, aux analyses d'impact relatives à la protection des données, aux consultations avec les autorités de contrôle et à la documentation de conformité exigée par les Lois sur la protection des données.
CoVet informera le Client si CoVet estime qu'une instruction enfreint les Lois applicables sur la protection des données, sauf si la loi applicable interdit une telle notification.
5. Sécurité des données
CoVet maintiendra un programme écrit de sécurité de l'information adapté à la nature des Services et aux risques présentés par le Traitement. Le programme de CoVet comprend des garanties administratives, techniques, physiques, organisationnelles et opérationnelles conçues pour protéger les Données personnelles, y compris les contrôles d'accès, le chiffrement en transit et au repos, la journalisation et la surveillance, les pratiques de développement sécurisé, la gestion des vulnérabilités, les procédures de réponse aux incidents, la gestion des risques fournisseurs et la formation des employés.
Des informations supplémentaires sur la posture de sécurité de CoVet sont disponibles sur la page Sécurité et le Trust Center de CoVet : https://trust.mycroft.io/covet
6. Sous-traitants ultérieurs
6.1 Autorisation générale. Le Client donne à CoVet une autorisation générale d'engager des Sous-traitants ultérieurs pour Traiter des Données personnelles dans le cadre des Services. CoVet conclura des accords écrits avec les Sous-traitants ultérieurs imposant des obligations de protection des données qui ne sont pas moins protectrices, dans tous les aspects matériels, que celles énoncées dans le présent DPA.
6.2 Liste actuelle et mises à jour. Les Sous-traitants ultérieurs actuels de CoVet sont énumérés à l'Annexe C et peuvent également être mis à disposition via le Trust Center de CoVet ou une autre page publiée relative aux sous-traitants ultérieurs. CoVet peut ajouter, remplacer ou mettre à jour des Sous-traitants ultérieurs en fournissant un avis via le Trust Center, les Services, par e-mail ou par une autre méthode commercialement raisonnable.
6.3 Droit d'opposition. Le Client peut s'opposer à un nouveau Sous-traitant ultérieur pour des motifs raisonnables de protection des données dans les quatorze (14) jours suivant l'avis. Si les Parties ne peuvent pas résoudre l'opposition de manière commercialement raisonnable, CoVet peut mettre à disposition une alternative, suspendre la fonctionnalité concernée ou permettre au Client de résilier les Services concernés comme décrit dans l'Accord applicable.
7. Demandes des Personnes concernées
Si CoVet reçoit une demande d'une Personne concernée relative aux Données personnelles du Client, CoVet, lorsque la loi le permet, dirigera la Personne concernée vers le Client ou informera le Client. CoVet ne répondra pas de manière indépendante à la demande sauf selon les instructions du Client, si la loi l'exige ou si cela est nécessaire pour confirmer que la demande concerne le Client.
8. Violation de Données personnelles / incident de confidentialité
CoVet informera le Client sans retard indu après avoir pris connaissance d’une Violation de Données personnelles, d’une atteinte aux mesures de sécurité ou d’un incident de confidentialité affectant les Données personnelles du Client. L'avis inclura les informations raisonnablement disponibles pour CoVet, qui peuvent comprendre la nature de la violation, les catégories concernées de Données personnelles et de Personnes concernées, les conséquences probables et les mesures prises ou proposées pour traiter et atténuer la violation.
CoVet coopérera raisonnablement à l'enquête, à l'atténuation et aux notifications légalement requises du Client. Le Client est responsable de déterminer s'il doit notifier les Personnes concernées, les autorités de contrôle, les régulateurs ou d'autres tiers, sauf lorsque les Lois sur la protection des données exigent que CoVet fournisse une notification directe.
9. Audits et documentation
CoVet mettra à disposition les informations raisonnablement nécessaires pour démontrer la conformité au présent DPA, qui peuvent inclure de la documentation de sécurité, des politiques, des certifications, des rapports d'audit indépendants ou des réponses écrites. CoVet peut satisfaire à cette obligation en mettant des documents à disposition via son Trust Center, sous réserve de contrôles appropriés de confidentialité et d'accès.
Si le Client exige raisonnablement une activité d'audit supplémentaire, le Client peut demander un audit au maximum une fois par année civile, sauf si une autorité de contrôle l'exige ou à la suite d’une Violation de Données personnelles, d’une atteinte aux mesures de sécurité ou d’un incident de confidentialité. Tout audit doit être réalisé pendant les heures normales de bureau, aux frais du Client, avec un préavis raisonnable et d'une manière qui n'interfère pas déraisonnablement avec les opérations de CoVet ni ne compromet la sécurité ou la confidentialité des données d'autres clients.
10. Restitution et suppression
À la résiliation ou à l'expiration de l'Accord applicable, CoVet supprimera ou mettra à disposition pour récupération, conformément à l'Accord applicable et à la fonctionnalité des Services, les Données personnelles du Client en possession ou sous le contrôle de CoVet. CoVet peut conserver des Données personnelles dans la mesure requise par la loi, nécessaire à des fins légitimes de sécurité, sauvegarde, litige, audit ou conformité, ou autrement autorisée par l'Accord applicable, à condition que CoVet continue de protéger les Données personnelles conservées en vertu du présent DPA et limite tout Traitement ultérieur à ces finalités de conservation.
11. Transferts internationaux
Le Client reconnaît que CoVet et ses Sous-traitants ultérieurs peuvent Traiter des Données personnelles au Canada, aux États-Unis, dans l'Espace économique européen, au Royaume-Uni et dans d'autres lieux où CoVet ou ses Sous-traitants ultérieurs exercent des activités, sous réserve des garanties requises par les Lois sur la protection des données.
Pour les transferts de Données personnelles depuis l'EEE, le Royaume-Uni ou la Suisse vers un pays qui n'offre pas un niveau de protection adéquat en vertu des Lois applicables sur la protection des données, les Clauses contractuelles types et les modalités de transfert connexes de l'Annexe 1 s'appliquent dans la mesure requise.
12. Responsabilité et ordre de priorité
La responsabilité de chaque Partie au titre du présent DPA est soumise aux limitations et exclusions de responsabilité prévues dans l'Accord applicable, sauf dans la mesure où ces limitations ou exclusions sont interdites par les Lois sur la protection des données ou les Clauses contractuelles types. En cas de conflit entre le présent DPA et l'Accord applicable, le présent DPA prévaut uniquement en ce qui concerne le Traitement des Données personnelles. En cas de conflit entre le présent DPA et les Clauses contractuelles types, les Clauses contractuelles types prévalent dans la mesure du conflit.
13. Mises à jour du présent DPA
CoVet peut mettre à jour le présent DPA de temps à autre en publiant une version mise à jour ou en fournissant autrement un avis. Les mises à jour ne réduiront pas matériellement le niveau de protection des Données personnelles pendant la durée de l'Accord applicable. L'utilisation continue des Services par le Client après l'entrée en vigueur d'un DPA mis à jour constitue l'acceptation du DPA mis à jour, sauf si le Client dispose d'un accord séparé signé prévoyant le contraire.
Annexe A : Détails du Traitement
A.1 Objet
L'objet du Traitement est la fourniture des Services par CoVet au Client en vertu de l'Accord applicable, y compris le Traitement des Données du Client soumises aux Services, générées par les Services ou autrement Traitées par les Services.
A.2 Durée
Le Traitement se poursuivra pendant la durée de l'Accord applicable et par la suite dans la mesure nécessaire à des fins de suppression, restitution, légales, de sécurité, sauvegarde, audit ou conformité.
A.3 Nature et finalité
Création de compte, authentification, facturation, administration des abonnements, support et communications.
Enregistrement, téléversement, transcription, structuration, résumé, rédaction, génération, stockage, récupération et affichage de contenus cliniques, de flux de travail et de communication demandés par le Client ou les Utilisateurs autorisés.
Exploitation, maintenance, dépannage, surveillance de la sécurité, prévention des abus, fiabilité, analyses et amélioration des Services.
Traitement par l'intermédiaire de fournisseurs de services d'IA uniquement pour fournir les fonctionnalités demandées par le Client et les Utilisateurs autorisés, sous réserve des restrictions du présent DPA relatives à l'entraînement et à l'affinage des modèles.
Intégrations, exportations, importations et transferts de données configurés ou demandés par le Client ou les Utilisateurs autorisés.
Respect des obligations légales, exécution de l'Accord applicable et protection des Services, de CoVet, du Client, des Utilisateurs autorisés et des Personnes concernées.
A.4 Catégories de Données personnelles
Informations de compte, profil, rôle, authentification, contact, facturation, abonnement et organisation.
Informations professionnelles et de pratique relatives aux professionnels vétérinaires, au personnel de clinique, aux administrateurs, aux contractants et aux autres Utilisateurs autorisés.
Contenu de flux de travail clinique soumis aux Services ou généré par les Services, y compris les enregistrements audio, transcriptions, prompts, messages, fichiers, notes générées, informations de cas, communications client et métadonnées associées.
Informations sur les propriétaires d'animaux, clients, patients, rendez-vous et cas dans la mesure où ces informations identifient ou peuvent raisonnablement être liées à une personne.
Informations techniques, d'appareil, d'utilisation, de journal, de sécurité, de diagnostic et de support, y compris adresse IP, identifiants d'appareil, informations de navigateur ou d'application, horodatages et utilisation des fonctionnalités.
Toute autre Donnée personnelle soumise par le Client ou les Utilisateurs autorisés via les Services, sous réserve de l'Accord applicable et du présent DPA.
A.5 Données sensibles
Le Client peut soumettre des Données personnelles sensibles ou réglementées uniquement lorsque cela est autorisé par l'Accord applicable et nécessaire à l'utilisation des Services par le Client. Lorsque le Client soumet des PHI et que l'Annexe 2 s'applique, CoVet Traitera les PHI conformément à l'Annexe 2. CoVet n'exige pas que le Client soumette des catégories particulières de Données personnelles au titre du RGPD sauf si cette soumission est nécessaire à l'utilisation choisie des Services par le Client et que le Client a satisfait aux exigences légales applicables.
A.6 Catégories de Personnes concernées
Utilisateurs autorisés, administrateurs, employés, contractants et représentants du Client.
Clients vétérinaires, propriétaires d'animaux, clients potentiels et personnes de contact.
Personnes dont les informations apparaissent dans des notes cliniques, communications, fichiers, enregistrements, transcriptions, demandes de support, intégrations ou autres Données du Client.
Contacts de facturation, achats, juridiques, support et affaires.
A.7 Fréquence du transfert
Continue pendant la durée d'utilisation des Services par le Client.
A.8 Parties aux Clauses contractuelles types
Rôle | Nom et détails | Activités | Rôle SCC |
|---|---|---|---|
Exportateur de données | Client, tel qu'identifié dans l'Accord applicable ou les dossiers du compte. | Soumission, accès et utilisation de Données personnelles dans le cadre des Services. | Responsable du traitement ou Sous-traitant, selon le cas. |
Importateur de données | CoVetAI Inc. (CoVet). Contact : info@co.vet ou support@co.vet. | Traitement de Données personnelles pour fournir, sécuriser, maintenir, soutenir et améliorer les Services. | Sous-traitant ou Sous-traitant ultérieur, selon le cas. |
Annexe B : Mesures techniques et organisationnelles
CoVet maintient des mesures techniques et organisationnelles conçues pour fournir un niveau de sécurité adapté au risque présenté par le Traitement. Ces mesures comprennent les contrôles résumés ci-dessous et peuvent évoluer au fil du temps à mesure que le programme de sécurité de CoVet mûrit.
Domaine de contrôle | Résumé |
|---|---|
Gouvernance et politiques | Politiques de sécurité de l'information, gestion des données, réponse aux incidents, risque fournisseur, continuité d'activité, développement sécurisé et contrôle d'accès. |
Contrôles d'accès | Accès fondé sur les rôles, moindre privilège, identifiants uniques, examens des accès, contrôles d'intégration et de départ, et garanties d'authentification. |
Chiffrement et infrastructure | Chiffrement en transit et au repos, infrastructure infonuagique sécurisée, segmentation du réseau le cas échéant, durcissement et séparation logique des données des clients. |
Surveillance et réponse aux incidents | Journalisation, surveillance de la disponibilité, examen des événements de sécurité, procédures de réponse aux incidents, escalade, remédiation et soutien à la réponse aux violations. |
Vulnérabilités et développement sécurisé | Gestion des vulnérabilités, tests d'intrusion ou évaluations des vulnérabilités, gestion des correctifs, pratiques de développement logiciel sécurisé et contrôles de revue du code/des changements. |
Personnel et formation | Obligations de confidentialité, formation à la sensibilisation à la sécurité, responsabilités propres au rôle et procédures de sécurité du personnel. |
Gestion des fournisseurs | Examen des risques fournisseurs, obligations contractuelles de protection des données et supervision des Sous-traitants ultérieurs susceptibles de Traiter des Données personnelles du Client. |
Continuité et reprise | Pratiques de sauvegarde, continuité, reprise après sinistre et disponibilité conçues pour soutenir une prestation fiable des Services. |
Annexe C : Sous-traitants ultérieurs
Les Sous-traitants ultérieurs suivants sont répertoriés à la date de Dernière mise à jour indiquée ci-dessus. CoVet peut mettre cette liste à jour conformément à la Section 6.
Sous-traitant ultérieur | Lieu | Fonction |
|---|---|---|
OpenAI | États-Unis | Traitement par IA et services de modèles connexes utilisés pour fournir les fonctionnalités demandées du Service. |
Claude | États-Unis | Traitement par IA et services de modèles connexes utilisés pour fournir les fonctionnalités demandées du Service. |
GCP | Canada / États-Unis | Hébergement infonuagique, stockage, infrastructure, réseau, sécurité et services de plateforme connexes. |
GitHub | Canada / États-Unis | Développement logiciel, hébergement de code, sécurité, déploiement et outils de support opérationnel. |
Le Trust Center actuel est disponible à l'adresse : https://trust.mycroft.io/covet
Annexe 1 : Clauses contractuelles types
1. Incorporation
Lorsque cela est requis pour un transfert international de Données personnelles, les Parties incorporent par référence les clauses contractuelles types adoptées par la Commission européenne dans la Décision d'exécution (UE) 2021/914 du 4 juin 2021 ("SCC"). Les SCC s'appliquent uniquement aux transferts soumis au RGPD ou à d'autres Lois sur la protection des données exigeant de telles garanties.
2. Module et choix
Le Module Deux (Responsable du traitement vers Sous-traitant) s'applique lorsque le Client est Responsable du traitement et CoVet est Sous-traitant.
Le Module Trois (Sous-traitant vers Sous-traitant) s'applique lorsque le Client est Sous-traitant et CoVet est Sous-traitant ultérieur.
La Clause 7 (clause d'adhésion) s'applique.
Pour la Clause 9 (Recours à des sous-traitants ultérieurs), l'Option 2 (Autorisation écrite générale) s'applique, avec les délais de notification et d'opposition indiqués à la Section 6 du présent DPA.
Pour la Clause 11 (Recours), le libellé optionnel ne s'applique pas.
Pour la Clause 13 (Contrôle), l'autorité de contrôle compétente sera déterminée conformément au RGPD. Lorsqu'aucune autre autorité de contrôle n'est clairement applicable, la Commission irlandaise de protection des données agira comme autorité de contrôle compétente aux fins des SCC.
Pour les Clauses 17 et 18, les SCC seront régies par les lois de l'Irlande et les litiges seront résolus par les tribunaux irlandais, uniquement aux fins des SCC.
3. Annexes
L'Annexe I des SCC est complétée par l'Annexe A du présent DPA.
L'Annexe II des SCC est complétée par l'Annexe B du présent DPA.
L'Annexe III des SCC est complétée par l'Annexe C du présent DPA.
4. Transferts au Royaume-Uni et en Suisse
Pour les transferts soumis au UK GDPR, les SCC s'appliquent telles que modifiées par l'International Data Transfer Addendum du Royaume-Uni ou tout autre mécanisme de transfert britannique applicable. Pour les transferts soumis au droit suisse de la protection des données, les références au RGPD, aux États membres de l'UE et aux autorités de contrôle seront interprétées selon ce qui est nécessaire pour donner effet au droit suisse et au Préposé fédéral suisse à la protection des données et à la transparence.
5. Conflit
En cas de conflit entre le présent DPA et les SCC, les SCC prévalent dans la mesure requise par les Lois applicables sur la protection des données.
Annexe 2 : Addendum HIPAA
Le présent Addendum HIPAA s'applique uniquement lorsque le Client est une Covered Entity ou un Business Associate au sens de HIPAA et que CoVet crée, reçoit, conserve ou transmet des PHI pour le compte du Client dans le cadre des Services. Si le présent Addendum HIPAA s'applique, CoVet agit comme Business Associate ou Subcontractor du Client, selon le cas.
1. Définitions HIPAA
Les termes commençant par une majuscule utilisés dans le présent Addendum HIPAA mais non définis dans le présent DPA ont les significations qui leur sont attribuées dans HIPAA, notamment Business Associate, Covered Entity, Data Aggregation, Designated Record Set, Disclosure, Electronic Protected Health Information, HITECH Act, Individual, Minimum Necessary, PHI, Required by Law, Secretary, Security Incident, Subcontractor, Unsecured Protected Health Information et Use.
2. Utilisations et divulgations autorisées
CoVet peut Use ou Disclose des PHI uniquement comme autorisé par le présent Addendum HIPAA, l'Accord applicable, les instructions documentées du Client ou comme Required by Law. Le Client autorise CoVet à Use et Disclose des PHI aux fins autorisées suivantes :
Fournir, exploiter, maintenir, sécuriser, soutenir, dépanner et améliorer les Services demandés par le Client ou les Utilisateurs autorisés.
Enregistrer, recevoir, transcrire, résumer, structurer, rédiger, générer, stocker, récupérer, afficher, transmettre et gérer la documentation clinique, les communications, le contenu de flux de travail, les fichiers et les résultats connexes soumis aux Services ou générés par les Services.
Effectuer des activités administratives, de gestion, de facturation, juridiques, de conformité, de sécurité et d'audit pour CoVet, à condition que toute Disclosure à un tiers à ces fins ne soit effectuée que lorsque Required by Law ou moyennant des garanties raisonnables de confidentialité et d'Use ou Disclosure ultérieure limitée.
Fournir des services de Data Aggregation relatifs aux opérations de soins de santé du Client lorsque cela est autorisé par HIPAA et l'Accord applicable.
Dé-identifier les PHI conformément à HIPAA, lorsque l'Accord applicable le permet, et utiliser les informations dé-identifiées d'une manière non interdite par HIPAA.
Signaler les violations de la loi aux autorités compétentes conformément à 45 C.F.R. 164.502(j)(1).
CoVet effectuera les Uses, Disclosures et demandes de PHI conformément à la norme Minimum Necessary de HIPAA lorsque applicable. CoVet ne vendra pas de PHI, n'Use ni ne Disclose de PHI à des fins de souscription, et n'Use pas de PHI pour entraîner ou affiner des modèles d'IA sauf autorisation écrite expresse du Client et dans la mesure permise par HIPAA.
3. Obligations HIPAA de CoVet
Utiliser des garanties appropriées et respecter la HIPAA Security Rule concernant les PHI électroniques afin d'empêcher toute Use ou Disclosure de PHI autre que celles autorisées par le présent Addendum HIPAA.
Signaler au Client toute Use ou Disclosure non autorisée de PHI, tout Breach of Unsecured PHI ou tout Security Incident impliquant des PHI électroniques dont CoVet prend connaissance, conformément à HIPAA et au présent DPA.
S'assurer que tout Subcontractor qui crée, reçoit, conserve ou transmet des PHI pour le compte de CoVet accepte par écrit des restrictions, conditions et exigences substantiellement identiques à celles qui s'appliquent à CoVet concernant les PHI.
Mettre les PHI figurant dans un Designated Record Set à disposition du Client dans la mesure nécessaire pour que le Client satisfasse à ses obligations en vertu de 45 C.F.R. 164.524.
Mettre les PHI à disposition pour modification et incorporer les modifications selon les instructions du Client conformément à 45 C.F.R. 164.526.
Mettre à disposition les informations requises pour que le Client fournisse une comptabilité des Disclosures conformément à 45 C.F.R. 164.528.
Mettre les pratiques internes, livres et dossiers de CoVet relatifs à l'Use et à la Disclosure de PHI à disposition du Secretary afin de déterminer la conformité à HIPAA.
À la résiliation, restituer ou détruire les PHI comme prévu dans le présent DPA et l'Accord applicable, si cela est faisable, et continuer à protéger toute PHI conservée.
4. Obligations HIPAA du Client
Le Client ne demandera pas à CoVet d'Use ou de Disclose des PHI d'une manière qui ne serait pas autorisée par HIPAA si elle était effectuée par le Client.
Le Client informera CoVet de toute limitation figurant dans l'avis du Client relatif aux pratiques de confidentialité, de toute restriction sur l'Use ou la Disclosure de PHI ou de tout changement dans l'autorisation d'un Individual susceptible d'affecter l'Use ou la Disclosure de PHI par CoVet.
Le Client est responsable de répondre aux demandes des Individuals, de déterminer si un Breach nécessite une notification et de satisfaire aux obligations du Client en vertu de HIPAA, sauf dans la mesure où ces obligations sont expressément déléguées à CoVet dans l'Accord applicable.
5. Résiliation pour cause HIPAA
Si l'une des Parties a connaissance d'un schéma d'activité ou de pratique de l'autre Partie constituant une violation substantielle du présent Addendum HIPAA, la Partie non défaillante donnera la possibilité de remédier à la violation si cela est faisable. Si la remédiation n'est pas faisable ou si la violation n'est pas corrigée, la Partie non défaillante peut résilier les Services concernés ou prendre toute autre mesure requise par HIPAA.
6. HITECH Act
Les Parties respecteront les dispositions applicables du HITECH Act et les réglementations HHS connexes. Les Parties coopéreront de bonne foi pour modifier le présent Addendum HIPAA dans la mesure raisonnablement nécessaire pour se conformer aux changements futurs de HIPAA applicables aux Services.