Databehandleravtale
Sist oppdatert: 15. juni 2026
Denne databehandleravtalen ("DPA") utgjør en del av den gjeldende avtalen mellom CoVetAI Inc. ("CoVet") og kunden, brukeren, klinikken, praksisen, organisasjonen eller en annen enhet som har akseptert eller inngått den Gjeldende avtalen ("Kunde"). CoVet og Kunden er hver for seg en "Part" og sammen "Partene".
Denne DPA-en gjelder når CoVet behandler Personopplysninger på vegne av Kunden i forbindelse med Tjenestene. For selvbetjeningskontoer innlemmes denne DPA-en i den Gjeldende avtalen ved henvisning og trer i kraft når Kunden aksepterer den Gjeldende avtalen, får tilgang til Tjenestene eller fortsetter å bruke Tjenestene etter at denne DPA-en er publisert eller oppdatert. Ingen separat signatur kreves med mindre CoVet og Kunden skriftlig avtaler noe annet.
Hvis Kunden har inngått en separat signert databehandleravtale eller business associate-avtale med CoVet, gjelder den separat signerte avtalen i den grad den uttrykkelig er i konflikt med denne DPA-en. Denne DPA-en reduserer ikke noen Parts forpliktelser etter gjeldende Personvernlovgivning.
Denne DPA-en omfatter Vedlegg 1 (Standard Contractual Clauses), Vedlegg A-C (behandlingsdetaljer, tekniske og organisatoriske tiltak og underdatabehandlere) og Vedlegg 2 (HIPAA-tillegg). Vedlegg 2 gjelder bare der Kunden er en Covered Entity eller Business Associate under HIPAA, og CoVet oppretter, mottar, oppbevarer eller overfører PHI på vegne av Kunden.
1. Definisjoner
"Gjeldende avtale" betyr tjenestevilkår, abonnementsvilkår, ordreskjema, arbeidsbeskrivelse, hovedavtale om tjenester eller annen avtale som regulerer Kundens tilgang til eller bruk av Tjenestene.
"Autorisert bruker" betyr enhver person som er autorisert av Kunden til å få tilgang til eller bruke Tjenestene under Kundens konto.
"Kundedata" betyr data, innhold, lyd, transkripsjoner, filer, ledetekster, meldinger, registre, utdata eller annen informasjon som sendes til, genereres gjennom eller på annen måte behandles av Tjenestene på vegne av Kunden, inkludert Personopplysninger der det er relevant.
"Behandlingsansvarlig", "Databehandler", "Registrert", "Personopplysninger", "Brudd på personopplysningssikkerheten" og "Behandling" har betydningen som gis tilsvarende begreper i gjeldende Personvernlovgivning.
"Personvernlovgivning" betyr alle lover om personvern, databeskyttelse, datasikkerhet og varsling om brudd som gjelder for en Parts Behandling under den Gjeldende avtalen, inkludert, i den grad det er relevant, GDPR, UK GDPR, PIPEDA og sammenlignbare amerikanske delstatslover om personvern.
"GDPR" betyr forordning (EU) 2016/679 og enhver lov som implementerer, supplerer eller erstatter den. "UK GDPR" betyr GDPR slik den er innlemmet i britisk rett.
"PHI" betyr Protected Health Information som definert under HIPAA. Der Vedlegg 2 gjelder, omfatter henvisninger til Personopplysninger PHI.
"Tjenester" betyr CoVets AI-drevne veterinærassistent, klinisk dokumentasjon, transkripsjon, saksgenerering, arbeidsflyt, klientkommunikasjon, administrative tjenester, støtte, integrasjon og relaterte tjenester beskrevet i den Gjeldende avtalen eller tilhørende dokumentasjon.
"Underdatabehandler" betyr enhver tredjepart engasjert av CoVet eller en annen Underdatabehandler for å Behandle Personopplysninger på vegne av Kunden i forbindelse med Tjenestene.
2. Omfang og roller
2.1 Roller. Mellom Partene er Kunden Behandlingsansvarlig for Personopplysninger, og CoVet er Databehandler. Der Kunden opptrer som Databehandler på vegne av en tredjeparts Behandlingsansvarlig, utpeker Kunden CoVet som Kundens Underdatabehandler. Der amerikanske delstatslover om personvern gjelder, opptrer CoVet som tjenesteleverandør eller databehandler, etter hva som er relevant, med hensyn til Personopplysninger Behandlet på vegne av Kunden.
2.2 Kundens kontroll. Kunden fastsetter formålene med og midlene for Behandling av Personopplysninger, inkludert innhold som sendes til Tjenestene, behandlingsgrunnlaget og instruksene gitt til CoVet. Kunden beholder alle rettigheter til Kundedata, med forbehold om lisensene og tillatelsene som er nødvendige for at CoVet skal kunne levere Tjenestene.
2.3 Instrukser. Kunden instruerer CoVet til å Behandle Personopplysninger etter behov for å levere, sikre, vedlikeholde, støtte, feilsøke, forbedre og administrere Tjenestene; overholde den Gjeldende avtalen; overholde Kundens konfigurasjonsvalg og Autoriserte brukeres handlinger; og overholde gjeldende lov. CoVet vil ikke Behandle Personopplysninger for andre formål enn de som er beskrevet i denne DPA-en, den Gjeldende avtalen eller Kundens dokumenterte instrukser, med mindre loven krever det.
2.4 AI-tjenesteleverandører og modelltrening. CoVet vil ikke bruke Kundens kliniske data, opptak, transkripsjoner, genererte notater eller andre Personopplysninger fra Kunden til å trene eller finjustere AI-modeller, og vil ikke tillate sine AI-tjenesteleverandører å gjøre det, unntatt der Kunden uttrykkelig har autorisert annen Behandling i en separat skriftlig avtale. CoVet kan bruke aggregerte eller avidentifiserte opplysninger til å drifte, sikre og forbedre Tjenestene når slike opplysninger ikke identifiserer Kunden, Autoriserte brukere eller Registrerte og ikke er Personopplysninger etter gjeldende Personvernlovgivning.
3. Kundens forpliktelser
Kunden er ansvarlig for å overholde Personvernlovgivning som gjelder for Kundens innsamling, bruk, utlevering og overføring av Personopplysninger til CoVet, inkludert å gi varsler, innhente samtykker og opprettholde et lovlig grunnlag for Behandling der det kreves.
Kunden er ansvarlig for nøyaktigheten, kvaliteten og lovligheten av Kundedata og for å sikre at Autoriserte brukere sender inn Kundedata bare i samsvar med den Gjeldende avtalen og denne DPA-en.
Kunden vil ikke sende inn særlige kategorier av Personopplysninger, PHI eller annen regulert informasjon til Tjenestene med mindre slik innsending er tillatt etter den Gjeldende avtalen, er nødvendig for Kundens bruk av Tjenestene, og Kunden har oppfylt alle juridiske krav for å gjøre det.
Kunden vil straks varsle CoVet om enhver anmodning fra en Registrert, juridisk begrensning eller instruks som påvirker CoVets Behandling av Personopplysninger.
4. CoVets forpliktelser
CoVet vil Behandle Personopplysninger bare i samsvar med denne DPA-en, den Gjeldende avtalen, Kundens dokumenterte instrukser og gjeldende lov.
CoVet vil sikre at personell som er autorisert til å Behandle Personopplysninger, er underlagt taushetsplikter og får passende opplæring i personvern og sikkerhet.
CoVet vil implementere og opprettholde passende tekniske og organisatoriske tiltak utformet for å beskytte Personopplysninger mot utilsiktet eller ulovlig ødeleggelse, tap, endring, uautorisert utlevering, tilgang eller bruk, som nærmere beskrevet i Vedlegg B.
Med hensyn til Behandlingens art og informasjonen som er tilgjengelig for CoVet, vil CoVet med rimelighet bistå Kunden med anmodninger fra Registrerte, vurderinger av personvernkonsekvenser, konsultasjoner med tilsynsmyndigheter og dokumentasjon på etterlevelse som kreves etter Personvernlovgivning.
CoVet vil varsle Kunden hvis CoVet mener at en instruks er i strid med gjeldende Personvernlovgivning, med mindre gjeldende lov forbyr slik varsling.
5. Datasikkerhet
CoVet vil opprettholde et skriftlig informasjonssikkerhetsprogram som er passende for Tjenestenes art og risikoene Behandlingen medfører. CoVets program omfatter administrative, tekniske, fysiske, organisatoriske og operasjonelle sikkerhetstiltak utformet for å beskytte Personopplysninger, inkludert tilgangskontroller, kryptering under overføring og i ro, logging og overvåking, sikker utviklingspraksis, sårbarhetsstyring, prosedyrer for hendelseshåndtering, leverandørrisikostyring og opplæring av ansatte.
Ytterligere informasjon om CoVets sikkerhetsstilling er tilgjengelig via CoVets sikkerhetsside og Trust Center:
6. Underdatabehandlere
6.1 Generell autorisasjon. Kunden gir CoVet generell autorisasjon til å engasjere Underdatabehandlere til å Behandle Personopplysninger i forbindelse med Tjenestene. CoVet vil inngå skriftlige avtaler med Underdatabehandlere som pålegger personvernforpliktelser som i alle vesentlige henseender ikke er mindre beskyttende enn dem som er angitt i denne DPA-en.
6.2 Gjeldende liste og oppdateringer. CoVets gjeldende Underdatabehandlere er oppført i Vedlegg C og kan også gjøres tilgjengelige via CoVets Trust Center eller en annen publisert side for underdatabehandlere. CoVet kan legge til, erstatte eller oppdatere Underdatabehandlere ved å gi varsel via Trust Center, Tjenestene, e-post eller en annen kommersielt rimelig metode.
6.3 Innsigelsesrett. Kunden kan gjøre innsigelse mot en ny Underdatabehandler på rimelig personvernmessig grunnlag innen fjorten (14) dager etter varsel. Hvis Partene ikke kan løse innsigelsen på en kommersielt rimelig måte, kan CoVet gjøre et alternativ tilgjengelig, suspendere den berørte funksjonen eller tillate Kunden å si opp de berørte Tjenestene som beskrevet i den Gjeldende avtalen.
7. Anmodninger fra Registrerte
Hvis CoVet mottar en anmodning fra en Registrert knyttet til Kundens Personopplysninger, vil CoVet, der det er lovlig tillatt, henvise den Registrerte til Kunden eller varsle Kunden. CoVet vil ikke svare selvstendig på anmodningen, unntatt som instruert av Kunden, påkrevd ved lov eller nødvendig for å bekrefte at anmodningen gjelder Kunden.
8. Brudd på personopplysningssikkerheten
CoVet vil varsle Kunden uten ugrunnet opphold etter å ha blitt kjent med et Brudd på personopplysningssikkerheten som påvirker Kundens Personopplysninger. Varslet vil inkludere informasjon som med rimelighet er tilgjengelig for CoVet, som kan omfatte bruddets art, berørte kategorier av Personopplysninger og Registrerte, sannsynlige konsekvenser og tiltak som er iverksatt eller foreslått for å håndtere og begrense bruddet.
CoVet vil med rimelighet samarbeide med Kundens undersøkelse, begrensning og lovpålagte varsler. Kunden er ansvarlig for å avgjøre om Registrerte, tilsynsmyndigheter, regulatorer eller andre tredjeparter skal varsles, unntatt der Personvernlovgivning krever at CoVet gir direkte varsel.
9. Revisjoner og dokumentasjon
CoVet vil gjøre tilgjengelig informasjon som med rimelighet er nødvendig for å dokumentere etterlevelse av denne DPA-en, som kan omfatte sikkerhetsdokumentasjon, retningslinjer, sertifiseringer, uavhengige revisjonsrapporter eller skriftlige svar. CoVet kan oppfylle denne forpliktelsen ved å gjøre materiale tilgjengelig via sitt Trust Center, underlagt passende taushets- og tilgangskontroller.
Hvis Kunden med rimelighet krever ytterligere revisjonsaktivitet, kan Kunden be om en revisjon ikke mer enn én gang per kalenderår, med mindre det kreves av en tilsynsmyndighet eller etter et Brudd på personopplysningssikkerheten. Enhver revisjon må gjennomføres i normal arbeidstid, på Kundens bekostning, med rimelig forhåndsvarsel og på en måte som ikke urimelig forstyrrer CoVets drift eller kompromitterer sikkerheten eller konfidensialiteten til andre kunders data.
10. Retur og sletting
Ved opphør eller utløp av den Gjeldende avtalen vil CoVet, i samsvar med den Gjeldende avtalen og Tjenestenes funksjonalitet, slette eller gjøre Kundens Personopplysninger i CoVets besittelse eller kontroll tilgjengelige for henting. CoVet kan beholde Personopplysninger i den grad det kreves ved lov, er nødvendig for legitime sikkerhets-, sikkerhetskopierings-, tvist-, revisjons- eller etterlevelsesformål, eller ellers er tillatt etter den Gjeldende avtalen, forutsatt at CoVet fortsetter å beskytte beholdte Personopplysninger etter denne DPA-en og begrenser videre Behandling til disse bevaringsformålene.
11. Internasjonale overføringer
Kunden erkjenner at CoVet og dets Underdatabehandlere kan Behandle Personopplysninger i Canada, USA, Det europeiske økonomiske samarbeidsområdet, Storbritannia og andre steder der CoVet eller dets Underdatabehandlere har virksomhet, underlagt garantiene som kreves av Personvernlovgivning.
For overføringer av Personopplysninger fra EØS, Storbritannia eller Sveits til et land som ikke gir et tilstrekkelig beskyttelsesnivå etter gjeldende Personvernlovgivning, gjelder Standard Contractual Clauses og tilhørende overføringsvilkår i Vedlegg 1 i den grad det kreves.
12. Ansvar og prioritetsrekkefølge
Hver Parts ansvar under denne DPA-en er underlagt ansvarsbegrensningene og -unntakene i den Gjeldende avtalen, unntatt i den grad slike begrensninger eller unntak er forbudt av Personvernlovgivning eller Standard Contractual Clauses. Hvis det er konflikt mellom denne DPA-en og den Gjeldende avtalen, gjelder denne DPA-en bare med hensyn til Behandling av Personopplysninger. Hvis det er konflikt mellom denne DPA-en og Standard Contractual Clauses, gjelder Standard Contractual Clauses i konfliktens utstrekning.
13. Oppdateringer av denne DPA-en
CoVet kan fra tid til annen oppdatere denne DPA-en ved å publisere en oppdatert versjon eller på annen måte gi varsel. Oppdateringer vil ikke vesentlig redusere beskyttelsesnivået for Personopplysninger i løpet av den Gjeldende avtalens løpetid. Kundens fortsatte bruk av Tjenestene etter at en oppdatert DPA trer i kraft, utgjør aksept av den oppdaterte DPA-en, med mindre Kunden har en separat signert avtale som bestemmer noe annet.
Vedlegg A: Detaljer om Behandling
A.1 Formål
Formålet med Behandlingen er CoVets levering av Tjenestene til Kunden under den Gjeldende avtalen, inkludert Behandling av Kundedata som sendes til, genereres gjennom eller på annen måte Behandles av Tjenestene.
A.2 Varighet
Behandlingen vil fortsette i den Gjeldende avtalens løpetid og deretter i den grad det er nødvendig for sletting, retur, juridiske, sikkerhets-, sikkerhetskopierings-, revisjons- eller etterlevelsesformål.
A.3 Art og formål
Kontoopprettelse, autentisering, fakturering, abonnementsadministrasjon, støtte og kommunikasjon.
Opptak, opplasting, transkripsjon, strukturering, oppsummering, utarbeidelse, generering, lagring, henting og visning av klinisk innhold, arbeidsflytinnhold og kommunikasjonsinnhold som Kunden eller Autoriserte brukere ber om.
Drift, vedlikehold, feilsøking, sikkerhetsovervåking, forebygging av misbruk, pålitelighet, analyse og forbedring av Tjenestene.
Behandling gjennom AI-tjenesteleverandører utelukkende for å levere funksjonene som Kunden og Autoriserte brukere ber om, underlagt denne DPA-ens begrensninger på modelltrening og finjustering.
Integrasjoner, eksport, import og dataoverføringer konfigurert eller forespurt av Kunden eller Autoriserte brukere.
Overholdelse av juridiske forpliktelser, håndheving av den Gjeldende avtalen og beskyttelse av Tjenestene, CoVet, Kunden, Autoriserte brukere og Registrerte.
A.4 Kategorier av Personopplysninger
Konto-, profil-, rolle-, autentiserings-, kontakt-, fakturerings-, abonnements- og organisasjonsinformasjon.
Profesjonell og praksisrelatert informasjon om veterinærfaglige personer, klinikkpersonell, administratorer, kontraktører og andre Autoriserte brukere.
Klinisk arbeidsflytinnhold sendt til eller generert gjennom Tjenestene, inkludert lydopptak, transkripsjoner, ledetekster, meldinger, filer, genererte notater, saksinformasjon, klientkommunikasjon og tilhørende metadata.
Informasjon om dyreeiere, klienter, pasienter, avtaler og saker i den grad slik informasjon identifiserer eller med rimelighet kan knyttes til en person.
Teknisk informasjon, enhets-, bruks-, logg-, sikkerhets-, diagnostikk- og støtteinformasjon, inkludert IP-adresse, enhetsidentifikatorer, nettleser- eller appinformasjon, tidsstempler og funksjonsbruk.
Eventuelle andre Personopplysninger sendt inn av Kunden eller Autoriserte brukere gjennom Tjenestene, underlagt den Gjeldende avtalen og denne DPA-en.
A.5 Sensitive data
Kunden kan bare sende inn sensitive eller regulerte Personopplysninger der det er tillatt etter den Gjeldende avtalen og nødvendig for Kundens bruk av Tjenestene. Der Kunden sender inn PHI og Vedlegg 2 gjelder, vil CoVet Behandle PHI i samsvar med Vedlegg 2. CoVet krever ikke at Kunden sender inn særlige kategorier av Personopplysninger under GDPR med mindre slik innsending er nødvendig for Kundens valgte bruk av Tjenestene og Kunden har oppfylt gjeldende juridiske krav.
A.6 Kategorier av Registrerte
Kundens Autoriserte brukere, administratorer, ansatte, kontraktører og representanter.
Veterinærklienter, dyreeiere, potensielle klienter og kontaktpersoner.
Personer hvis informasjon fremgår av kliniske notater, kommunikasjon, filer, opptak, transkripsjoner, støtteforespørsler, integrasjoner eller andre Kundedata.
Fakturerings-, innkjøps-, juridiske, støtte- og forretningskontakter.
A.7 Overføringsfrekvens
Kontinuerlig i hele perioden Kunden bruker Tjenestene.
A.8 Parter for Standard Contractual Clauses
Rolle | Navn og detaljer | Aktiviteter | SCC-rolle |
|---|---|---|---|
Dataeksportør | Kunden, som identifisert i den Gjeldende avtalen eller kontoregistrene. | Innsending, tilgang og bruk av Personopplysninger i forbindelse med Tjenestene. | Behandlingsansvarlig eller Databehandler, etter hva som er relevant. |
Dataimportør | CoVetAI Inc. (CoVet). Kontakt: info@co.vet eller support@co.vet. | Behandling av Personopplysninger for å levere, sikre, vedlikeholde, støtte og forbedre Tjenestene. | Databehandler eller Underdatabehandler, etter hva som er relevant. |
Vedlegg B: Tekniske og organisatoriske tiltak
CoVet opprettholder tekniske og organisatoriske tiltak utformet for å gi et sikkerhetsnivå som passer til risikoen Behandlingen medfører. Disse tiltakene omfatter kontrollene oppsummert nedenfor og kan utvikle seg over tid etter hvert som CoVets sikkerhetsprogram modnes.
Kontrollområde | Sammendrag |
|---|---|
Styring og retningslinjer | Retningslinjer for informasjonssikkerhet, datastyring, hendelseshåndtering, leverandørrisiko, forretningskontinuitet, sikker utvikling og tilgangskontroll. |
Tilgangskontroller | Rollebasert tilgang, minste privilegium, unike legitimasjoner, tilgangsgjennomganger, onboarding- og offboardingkontroller og autentiseringstiltak. |
Kryptering og infrastruktur | Kryptering under overføring og i ro, sikker skyinfrastruktur, nettverkssegmentering der det er relevant, herding og logisk separasjon av kundedata. |
Overvåking og hendelseshåndtering | Logging, tilgjengelighetsovervåking, gjennomgang av sikkerhetshendelser, prosedyrer for hendelseshåndtering, eskalering, utbedring og støtte til håndtering av brudd. |
Sårbarhet og sikker utvikling | Sårbarhetsstyring, penetrasjonstesting eller sårbarhetsvurderinger, patchstyring, sikker programvareutviklingspraksis og kontroller for kode-/endringsgjennomgang. |
Personell og opplæring | Taushetsplikter, opplæring i sikkerhetsbevissthet, rollespesifikke ansvarsområder og prosedyrer for personellsikkerhet. |
Leverandørstyring | Gjennomgang av leverandørrisiko, kontraktsmessige databeskyttelsesforpliktelser og tilsyn med Underdatabehandlere som kan Behandle Kundens Personopplysninger. |
Kontinuitet og gjenoppretting | Praksis for sikkerhetskopiering, kontinuitet, katastrofegjenoppretting og tilgjengelighet utformet for å støtte pålitelig levering av Tjenestene. |
Vedlegg C: Underdatabehandlere
Følgende Underdatabehandlere er oppført per datoen for Sist oppdatert ovenfor. CoVet kan oppdatere denne listen i samsvar med Avsnitt 6.
Underdatabehandler | Plassering | Funksjon |
|---|---|---|
OpenAI | USA | AI-behandling og relaterte modelltjenester som brukes til å levere forespurte Tjenestefunksjoner. |
Claude | USA | AI-behandling og relaterte modelltjenester som brukes til å levere forespurte Tjenestefunksjoner. |
GCP | Canada / USA | Skyhosting, lagring, infrastruktur, nettverk, sikkerhet og relaterte plattformtjenester. |
GitHub | Canada / USA | Programvareutvikling, kodehosting, sikkerhet, utrulling og verktøy for operasjonell støtte. |
Gjeldende Trust Center er tilgjengelig på:
Vedlegg 1: Standard Contractual Clauses
1. Inkorporering
Der det kreves for en internasjonal overføring av Personopplysninger, innlemmer Partene ved henvisning standard contractual clauses vedtatt av Europakommisjonen i gjennomføringsbeslutning (EU) 2021/914 av 4. juni 2021 ("SCC-ene"). SCC-ene gjelder bare overføringer som er underlagt GDPR eller annen Personvernlovgivning som krever slike garantier.
2. Modul og valg
Modul To (behandlingsansvarlig til databehandler) gjelder der Kunden er Behandlingsansvarlig og CoVet er Databehandler.
Modul Tre (databehandler til databehandler) gjelder der Kunden er Databehandler og CoVet er Underdatabehandler.
Klausul 7 (tiltredelsesklausul) gjelder.
For Klausul 9 (Bruk av underdatabehandlere) gjelder Alternativ 2 (generell skriftlig autorisasjon), med varslings- og innsigelsesperiodene angitt i Avsnitt 6 i denne DPA-en.
For Klausul 11 (Oppreisning) gjelder ikke den valgfrie teksten.
For Klausul 13 (Tilsyn) fastsettes kompetent tilsynsmyndighet i samsvar med GDPR. Der ingen annen tilsynsmyndighet klart kommer til anvendelse, vil den irske databeskyttelseskommisjonen opptre som kompetent tilsynsmyndighet for SCC-formål.
For Klausul 17 og 18 skal SCC-ene være underlagt irsk rett, og tvister skal løses av domstolene i Irland, utelukkende for SCC-formål.
3. Vedlegg
SCC Vedlegg I utfylles av Vedlegg A til denne DPA-en.
SCC Vedlegg II utfylles av Vedlegg B til denne DPA-en.
SCC Vedlegg III utfylles av Vedlegg C til denne DPA-en.
4. Overføringer til Storbritannia og Sveits
For overføringer underlagt UK GDPR gjelder SCC-ene slik de er endret av United Kingdom International Data Transfer Addendum eller annen gjeldende britisk overføringsmekanisme. For overføringer underlagt sveitsisk databeskyttelsesrett skal henvisninger til GDPR, EU-medlemsstater og tilsynsmyndigheter tolkes som nødvendig for å gi virkning til sveitsisk rett og den sveitsiske føderale databeskyttelses- og informasjonskommissæren.
5. Konflikt
Hvis det er konflikt mellom denne DPA-en og SCC-ene, gjelder SCC-ene i den grad det kreves av gjeldende Personvernlovgivning.
Vedlegg 2: HIPAA-tillegg
Dette HIPAA-tillegget gjelder bare der Kunden er en Covered Entity eller Business Associate under HIPAA, og CoVet oppretter, mottar, oppbevarer eller overfører PHI på vegne av Kunden i forbindelse med Tjenestene. Hvis dette HIPAA-tillegget gjelder, opptrer CoVet som Kundens Business Associate eller Subcontractor, etter hva som er relevant.
1. HIPAA-definisjoner
Termer med stor forbokstav som brukes i dette HIPAA-tillegget, men ikke er definert i denne DPA-en, har betydningen som gis dem i HIPAA, inkludert Business Associate, Covered Entity, Data Aggregation, Designated Record Set, Disclosure, Electronic Protected Health Information, HITECH Act, Individual, Minimum Necessary, PHI, Required by Law, Secretary, Security Incident, Subcontractor, Unsecured Protected Health Information og Use.
2. Tillatt bruk og utlevering
CoVet kan Use eller Disclose PHI bare som tillatt i dette HIPAA-tillegget, den Gjeldende avtalen, Kundens dokumenterte instrukser eller som Required by Law. Kunden autoriserer CoVet til å Use og Disclose PHI for følgende tillatte formål:
Å levere, drifte, vedlikeholde, sikre, støtte, feilsøke og forbedre Tjenestene som Kunden eller Autoriserte brukere ber om.
Å registrere, motta, transkribere, oppsummere, strukturere, utarbeide, generere, lagre, hente, vise, overføre og administrere klinisk dokumentasjon, kommunikasjon, arbeidsflytinnhold, filer og relaterte utdata sendt til eller generert gjennom Tjenestene.
Å utføre administrative, ledelses-, fakturerings-, juridiske, etterlevelses-, sikkerhets- og revisjonsaktiviteter for CoVet, forutsatt at enhver Disclosure til en tredjepart for disse formålene bare skjer der det er Required by Law eller under rimelige garantier om konfidensialitet og begrenset videre Use eller Disclosure.
Å levere Data Aggregation-tjenester relatert til Kundens helsevirksomhet der det er tillatt av HIPAA og den Gjeldende avtalen.
Å avidentifisere PHI i samsvar med HIPAA, der det er tillatt etter den Gjeldende avtalen, og bruke avidentifisert informasjon på en måte som ikke er forbudt av HIPAA.
Å rapportere lovbrudd til relevante myndigheter i samsvar med 45 C.F.R. 164.502(j)(1).
CoVet vil gjøre Uses, Disclosures og anmodninger om PHI i samsvar med HIPAA's Minimum Necessary-standard der det er relevant. CoVet vil ikke selge PHI, Use eller Disclose PHI for underwriting-formål, eller Use PHI til å trene eller finjustere AI-modeller, unntatt som uttrykkelig skriftlig autorisert av Kunden og tillatt av HIPAA.
3. CoVets HIPAA-forpliktelser
Bruke passende sikkerhetstiltak og overholde HIPAA Security Rule med hensyn til Elektronisk PHI for å forhindre Use eller Disclosure av PHI annet enn som tillatt i dette HIPAA-tillegget.
Rapportere til Kunden enhver uautorisert Use eller Disclosure av PHI, Breach of Unsecured PHI eller Security Incident som involverer Elektronisk PHI som CoVet blir kjent med, i samsvar med HIPAA og denne DPA-en.
Sikre at enhver Subcontractor som oppretter, mottar, oppbevarer eller overfører PHI på vegne av CoVet, skriftlig godtar vesentlig de samme begrensningene, vilkårene og kravene som gjelder for CoVet med hensyn til PHI.
Gjøre PHI i et Designated Record Set tilgjengelig for Kunden i den grad det er nødvendig for at Kunden skal oppfylle forpliktelser under 45 C.F.R. 164.524.
Gjøre PHI tilgjengelig for endring og innarbeide endringer som instruert av Kunden i samsvar med 45 C.F.R. 164.526.
Gjøre tilgjengelig informasjon som kreves for at Kunden skal kunne gi en oversikt over Disclosures i samsvar med 45 C.F.R. 164.528.
Gjøre CoVets interne praksis, bøker og registre knyttet til Use og Disclosure av PHI tilgjengelige for Secretary for å fastslå overholdelse av HIPAA.
Ved opphør returnere eller destruere PHI som angitt i denne DPA-en og den Gjeldende avtalen, hvis det er mulig, og fortsette å beskytte eventuell beholdt PHI.
4. Kundens HIPAA-forpliktelser
Kunden vil ikke be CoVet om å Use eller Disclose PHI på en måte som ikke ville vært tillatt under HIPAA hvis det ble gjort av Kunden.
Kunden vil varsle CoVet om enhver begrensning i Kundens varsel om personvernpraksis, enhver begrensning på Use eller Disclosure av PHI, eller enhver endring i en Individuals tillatelse som kan påvirke CoVets Use eller Disclosure av PHI.
Kunden er ansvarlig for å svare på Individuals anmodninger, avgjøre om et Breach krever varsel, og oppfylle Kundens forpliktelser under HIPAA, unntatt i den grad disse forpliktelsene uttrykkelig er delegert til CoVet i den Gjeldende avtalen.
5. Oppsigelse av HIPAA-årsak
Hvis en av Partene kjenner til et mønster av aktivitet eller praksis hos den andre Parten som utgjør et vesentlig brudd på dette HIPAA-tillegget, vil den ikke-misligholdende Parten gi en mulighet til retting hvis retting er mulig. Hvis retting ikke er mulig eller bruddet ikke rettes, kan den ikke-misligholdende Parten si opp de berørte Tjenestene eller treffe annen handling som kreves av HIPAA.
6. HITECH Act
Partene vil overholde gjeldende bestemmelser i HITECH Act og tilhørende HHS-forskrifter. Partene vil samarbeide i god tro om å endre dette HIPAA-tillegget i den grad det med rimelighet er nødvendig for å overholde fremtidige endringer i HIPAA som gjelder for Tjenestene.