Personuppgiftsbiträdesavtal
Senast uppdaterad: 15 juni 2026
Detta personuppgiftsbiträdesavtal ("DPA") utgör en del av det tillämpliga avtalet mellan CoVetAI Inc. ("CoVet") och den kund, användare, klinik, praktik, organisation eller annan enhet som har accepterat eller ingått det Tillämpliga avtalet ("Kund"). CoVet och Kunden är var för sig en "Part" och tillsammans "Parterna".
Detta DPA gäller när CoVet Behandlar Personuppgifter för Kundens räkning i samband med Tjänsterna. För självbetjäningskonton införlivas detta DPA i det Tillämpliga avtalet genom hänvisning och träder i kraft när Kunden accepterar det Tillämpliga avtalet, får åtkomst till Tjänsterna eller fortsätter att använda Tjänsterna efter att detta DPA har publicerats eller uppdaterats. Ingen separat underskrift krävs om inte CoVet och Kunden skriftligen kommer överens om annat.
Om Kunden har ingått ett separat undertecknat personuppgiftsbiträdesavtal eller business associate-avtal med CoVet, ska det separat undertecknade avtalet gälla i den utsträckning det uttryckligen står i konflikt med detta DPA. Detta DPA minskar inte någon Parts skyldigheter enligt tillämpliga Dataskyddslagar.
Detta DPA omfattar Bilaga 1 (Standardavtalsklausuler), Bilagorna A-C (behandlingsdetaljer, tekniska och organisatoriska åtgärder och underbiträden) samt Bilaga 2 (HIPAA-tillägg). Bilaga 2 gäller endast när Kunden är en Covered Entity eller Business Associate enligt HIPAA och CoVet skapar, tar emot, underhåller eller överför PHI för Kundens räkning.
1. Definitioner
"Tillämpligt avtal" betyder användarvillkor, prenumerationsvillkor, orderformulär, arbetsbeskrivning, huvudavtal om tjänster eller annat avtal som reglerar Kundens åtkomst till eller användning av Tjänsterna.
"Behörig användare" betyder varje person som Kunden har behöriggjort att få åtkomst till eller använda Tjänsterna under Kundens konto.
"Kunddata" betyder data, innehåll, ljud, transkriptioner, filer, prompter, meddelanden, register, utdata eller annan information som lämnas till, genereras genom eller på annat sätt Behandlas av Tjänsterna för Kundens räkning, inklusive Personuppgifter där det är tillämpligt.
"Personuppgiftsansvarig", "Personuppgiftsbiträde", "Registrerad", "Personuppgifter", "Personuppgiftsincident" och "Behandling" har de betydelser som motsvarande termer ges enligt tillämpliga Dataskyddslagar.
"Dataskyddslagar" betyder alla lagar om integritet, dataskydd, datasäkerhet och anmälan av incidenter som gäller för en Parts Behandling enligt det Tillämpliga avtalet, inklusive, i den mån det är tillämpligt, GDPR, UK GDPR, PIPEDA och jämförbara amerikanska delstatslagar om integritet.
"GDPR" betyder förordning (EU) 2016/679 och varje lag som genomför, kompletterar eller ersätter den. "UK GDPR" betyder GDPR såsom den införlivats i Förenade kungarikets lagstiftning.
"PHI" betyder Protected Health Information enligt definitionen i HIPAA. När Bilaga 2 gäller omfattar hänvisningar till Personuppgifter PHI.
"Tjänster" betyder CoVets AI-drivna veterinärassistent, kliniska dokumentation, transkription, ärendegenerering, arbetsflöden, klientkommunikation, administrativa tjänster, support, integrationer och relaterade tjänster som beskrivs i det Tillämpliga avtalet eller tillhörande dokumentation.
"Underbiträde" betyder varje tredje part som anlitas av CoVet eller ett annat Underbiträde för att Behandla Personuppgifter för Kundens räkning i samband med Tjänsterna.
2. Omfattning och roller
2.1 Roller. Mellan Parterna är Kunden Personuppgiftsansvarig för Personuppgifter och CoVet är Personuppgiftsbiträde. När Kunden agerar som Personuppgiftsbiträde för en tredje parts Personuppgiftsansvarig utser Kunden CoVet till Kundens Underbiträde. När amerikanska delstatliga integritetslagar gäller agerar CoVet som tjänsteleverantör eller personuppgiftsbiträde, beroende på vad som är tillämpligt, avseende Personuppgifter som Behandlas för Kundens räkning.
2.2 Kundens kontroll. Kunden fastställer ändamål och medel för Behandling av Personuppgifter, inklusive innehåll som lämnas till Tjänsterna, den rättsliga grunden för Behandling och instruktionerna till CoVet. Kunden behåller alla rättigheter till Kunddata, med förbehåll för de licenser och tillstånd som krävs för att CoVet ska kunna tillhandahålla Tjänsterna.
2.3 Instruktioner. Kunden instruerar CoVet att Behandla Personuppgifter i den utsträckning som behövs för att tillhandahålla, säkra, underhålla, stödja, felsöka, förbättra och administrera Tjänsterna; följa det Tillämpliga avtalet; följa Kundens konfigurationsval och Behöriga användares åtgärder; samt följa tillämplig lag. CoVet kommer inte att Behandla Personuppgifter för något annat ändamål än de ändamål som beskrivs i detta DPA, det Tillämpliga avtalet eller Kundens dokumenterade instruktioner, om det inte krävs enligt lag.
2.4 AI-tjänsteleverantörer och modellträning. CoVet kommer inte att använda Kundens kliniska data, inspelningar, transkriptioner, genererade anteckningar eller andra Personuppgifter från Kunden för att träna eller finjustera AI-modeller och kommer inte att tillåta sina AI-tjänsteleverantörer att göra det, utom när Kunden uttryckligen har godkänt annan Behandling i ett separat skriftligt avtal. CoVet kan använda aggregerad eller avidentifierad information för att driva, säkra och förbättra Tjänsterna när sådan information inte identifierar Kunden, Behöriga användare eller Registrerade och inte är Personuppgifter enligt tillämpliga Dataskyddslagar.
3. Kundens skyldigheter
Kunden ansvarar för att följa Dataskyddslagar som gäller för Kundens insamling, användning, utlämnande och överföring av Personuppgifter till CoVet, inklusive att lämna meddelanden, inhämta samtycken och upprätthålla en rättslig grund för Behandling där det krävs.
Kunden ansvarar för Kunddatas riktighet, kvalitet och laglighet samt för att säkerställa att Behöriga användare endast lämnar Kunddata i enlighet med det Tillämpliga avtalet och detta DPA.
Kunden kommer inte att lämna särskilda kategorier av Personuppgifter, PHI eller annan reglerad information till Tjänsterna om inte sådan inlämning är tillåten enligt det Tillämpliga avtalet, är nödvändig för Kundens användning av Tjänsterna och Kunden har uppfyllt alla rättsliga krav för detta.
Kunden kommer utan dröjsmål att underrätta CoVet om varje begäran från en Registrerad, rättslig begränsning eller instruktion som påverkar CoVets Behandling av Personuppgifter.
4. CoVets skyldigheter
CoVet kommer endast att Behandla Personuppgifter i enlighet med detta DPA, det Tillämpliga avtalet, Kundens dokumenterade instruktioner och tillämplig lag.
CoVet kommer att säkerställa att personal som är behörig att Behandla Personuppgifter omfattas av sekretesskyldigheter och får lämplig utbildning i integritet och säkerhet.
CoVet kommer att implementera och upprätthålla lämpliga tekniska och organisatoriska åtgärder utformade för att skydda Personuppgifter mot oavsiktlig eller olaglig förstöring, förlust, ändring, obehörigt utlämnande, åtkomst eller användning, enligt vad som närmare beskrivs i Bilaga B.
Med hänsyn till Behandlingens art och den information som är tillgänglig för CoVet kommer CoVet att på rimligt sätt bistå Kunden med begäranden från Registrerade, konsekvensbedömningar avseende dataskydd, samråd med tillsynsmyndigheter och efterlevnadsdokumentation som krävs enligt Dataskyddslagar.
CoVet kommer att underrätta Kunden om CoVet anser att en instruktion strider mot tillämpliga Dataskyddslagar, om inte tillämplig lag förbjuder sådan underrättelse.
5. Datasäkerhet
CoVet kommer att upprätthålla ett skriftligt informationssäkerhetsprogram som är lämpligt för Tjänsternas art och de risker som Behandlingen innebär. CoVets program omfattar administrativa, tekniska, fysiska, organisatoriska och operativa skyddsåtgärder utformade för att skydda Personuppgifter, inklusive åtkomstkontroller, kryptering under överföring och i vila, loggning och övervakning, säker utvecklingspraxis, sårbarhetshantering, rutiner för incidenthantering, leverantörsriskhantering och utbildning av anställda.
Ytterligare information om CoVets säkerhetsnivå finns via CoVets säkerhetssida och Trust Center:
6. Underbiträden
6.1 Allmänt godkännande. Kunden ger CoVet ett allmänt godkännande att anlita Underbiträden för att Behandla Personuppgifter i samband med Tjänsterna. CoVet kommer att ingå skriftliga avtal med Underbiträden som ålägger dataskyddsskyldigheter som i alla väsentliga avseenden inte är mindre skyddande än de som anges i detta DPA.
6.2 Aktuell lista och uppdateringar. CoVets aktuella Underbiträden anges i Bilaga C och kan även göras tillgängliga via CoVets Trust Center eller annan publicerad underbiträdessida. CoVet kan lägga till, ersätta eller uppdatera Underbiträden genom att lämna meddelande via Trust Center, Tjänsterna, e-post eller annan kommersiellt rimlig metod.
6.3 Invändningsrätt. Kunden kan invända mot ett nytt Underbiträde på rimliga dataskyddsgrunder inom fjorton (14) dagar efter meddelande. Om Parterna inte kan lösa invändningen på ett kommersiellt rimligt sätt kan CoVet tillhandahålla ett alternativ, stänga av den berörda funktionen eller tillåta Kunden att säga upp de berörda Tjänsterna enligt det Tillämpliga avtalet.
7. Begäranden från Registrerade
Om CoVet tar emot en begäran från en Registrerad som rör Kundens Personuppgifter kommer CoVet, där det är lagligen tillåtet, att hänvisa den Registrerade till Kunden eller underrätta Kunden. CoVet kommer inte självständigt att besvara begäran annat än enligt Kundens instruktioner, enligt lagkrav eller i den mån det är nödvändigt för att bekräfta att begäran rör Kunden.
8. Personuppgiftsincident
CoVet kommer utan onödigt dröjsmål att underrätta Kunden efter att ha blivit medvetet om en Personuppgiftsincident som påverkar Kundens Personuppgifter. Meddelandet kommer att innehålla information som rimligen är tillgänglig för CoVet, vilket kan omfatta incidentens art, berörda kategorier av Personuppgifter och Registrerade, sannolika konsekvenser samt åtgärder som vidtagits eller föreslagits för att hantera och mildra incidenten.
CoVet kommer att samarbeta på rimligt sätt med Kundens utredning, skadebegränsning och lagstadgade meddelanden. Kunden ansvarar för att avgöra om Registrerade, tillsynsmyndigheter, regulatorer eller andra tredje parter ska underrättas, utom när Dataskyddslagar kräver att CoVet lämnar direkt underrättelse.
9. Revisioner och dokumentation
CoVet kommer att tillhandahålla information som rimligen är nödvändig för att visa efterlevnad av detta DPA, vilket kan omfatta säkerhetsdokumentation, policyer, certifieringar, oberoende revisionsrapporter eller skriftliga svar. CoVet kan uppfylla denna skyldighet genom att göra material tillgängligt via sitt Trust Center med lämpliga sekretess- och åtkomstkontroller.
Om Kunden rimligen kräver ytterligare revisionsaktivitet kan Kunden begära en revision högst en gång per kalenderår, om det inte krävs av en tillsynsmyndighet eller efter en Personuppgiftsincident. Varje revision ska genomföras under normal arbetstid, på Kundens bekostnad, med rimligt förhandsmeddelande och på ett sätt som inte oskäligt stör CoVets verksamhet eller äventyrar säkerheten eller konfidentialiteten för andra kunders data.
10. Återlämnande och radering
Vid uppsägning eller upphörande av det Tillämpliga avtalet kommer CoVet, i enlighet med det Tillämpliga avtalet och Tjänsternas funktionalitet, att radera eller göra Kundens Personuppgifter i CoVets besittning eller kontroll tillgängliga för hämtning. CoVet kan behålla Personuppgifter i den utsträckning som krävs enligt lag, är nödvändig för legitima säkerhets-, backup-, tvist-, revisions- eller efterlevnadsändamål eller annars är tillåten enligt det Tillämpliga avtalet, förutsatt att CoVet fortsätter att skydda behållna Personuppgifter enligt detta DPA och begränsar vidare Behandling till dessa bevaringsändamål.
11. Internationella överföringar
Kunden bekräftar att CoVet och dess Underbiträden kan Behandla Personuppgifter i Kanada, USA, Europeiska ekonomiska samarbetsområdet, Förenade kungariket och andra platser där CoVet eller dess Underbiträden bedriver verksamhet, med förbehåll för de skyddsåtgärder som krävs enligt Dataskyddslagar.
För överföringar av Personuppgifter från EES, Förenade kungariket eller Schweiz till ett land som inte ger en adekvat skyddsnivå enligt tillämpliga Dataskyddslagar gäller Standardavtalsklausulerna och tillhörande överföringsvillkor i Bilaga 1 i den utsträckning som krävs.
12. Ansvar och företrädesordning
Varje Parts ansvar enligt detta DPA omfattas av ansvarsbegränsningarna och ansvarsundantagen i det Tillämpliga avtalet, utom i den utsträckning sådana begränsningar eller undantag är förbjudna enligt Dataskyddslagar eller Standardavtalsklausulerna. Om det finns en konflikt mellan detta DPA och det Tillämpliga avtalet gäller detta DPA endast avseende Behandling av Personuppgifter. Om det finns en konflikt mellan detta DPA och Standardavtalsklausulerna gäller Standardavtalsklausulerna i konfliktens utsträckning.
13. Uppdateringar av detta DPA
CoVet kan från tid till annan uppdatera detta DPA genom att publicera en uppdaterad version eller på annat sätt lämna meddelande. Uppdateringar kommer inte väsentligt att minska skyddsnivån för Personuppgifter under det Tillämpliga avtalets löptid. Kundens fortsatta användning av Tjänsterna efter att ett uppdaterat DPA träder i kraft utgör accept av det uppdaterade DPA:t, om inte Kunden har ett separat undertecknat avtal som anger annat.
Bilaga A: Detaljer om Behandling
A.1 Föremål
Föremålet för Behandlingen är CoVets tillhandahållande av Tjänsterna till Kunden enligt det Tillämpliga avtalet, inklusive Behandling av Kunddata som lämnas till, genereras genom eller på annat sätt Behandlas av Tjänsterna.
A.2 Varaktighet
Behandlingen fortsätter under det Tillämpliga avtalets löptid och därefter i den utsträckning som är nödvändig för radering, återlämnande, rättsliga, säkerhets-, backup-, revisions- eller efterlevnadsändamål.
A.3 Art och ändamål
Kontoskapande, autentisering, fakturering, prenumerationsadministration, support och kommunikation.
Inspelning, uppladdning, transkription, strukturering, sammanfattning, utkast, generering, lagring, hämtning och visning av kliniskt innehåll, arbetsflödesinnehåll och kommunikationsinnehåll som Kunden eller Behöriga användare begär.
Drift, underhåll, felsökning, säkerhetsövervakning, missbruksförebyggande, tillförlitlighet, analys och förbättring av Tjänsterna.
Behandling genom AI-tjänsteleverantörer enbart för att tillhandahålla de funktioner som Kunden och Behöriga användare begär, med förbehåll för detta DPA:s begränsningar av modellträning och finjustering.
Integrationer, export, import och dataöverföringar som konfigureras eller begärs av Kunden eller Behöriga användare.
Efterlevnad av rättsliga skyldigheter, verkställighet av det Tillämpliga avtalet och skydd av Tjänsterna, CoVet, Kunden, Behöriga användare och Registrerade.
A.4 Kategorier av Personuppgifter
Konto-, profil-, roll-, autentiserings-, kontakt-, fakturerings-, prenumerations- och organisationsinformation.
Yrkes- och praktikrelaterad information om veterinärer, klinikpersonal, administratörer, entreprenörer och andra Behöriga användare.
Kliniskt arbetsflödesinnehåll som lämnas till eller genereras genom Tjänsterna, inklusive ljudinspelningar, transkriptioner, prompter, meddelanden, filer, genererade anteckningar, ärendeinformation, klientkommunikation och relaterade metadata.
Information om djurägare, klienter, patienter, bokningar och ärenden i den utsträckning sådan information identifierar eller rimligen kan kopplas till en person.
Teknisk information, enhets-, användnings-, logg-, säkerhets-, diagnostik- och supportinformation, inklusive IP-adress, enhetsidentifierare, webbläsar- eller appinformation, tidsstämplar och funktionsanvändning.
Alla andra Personuppgifter som lämnas av Kunden eller Behöriga användare genom Tjänsterna, med förbehåll för det Tillämpliga avtalet och detta DPA.
A.5 Känsliga uppgifter
Kunden får lämna känsliga eller reglerade Personuppgifter endast där det är tillåtet enligt det Tillämpliga avtalet och nödvändigt för Kundens användning av Tjänsterna. När Kunden lämnar PHI och Bilaga 2 gäller kommer CoVet att Behandla PHI i enlighet med Bilaga 2. CoVet kräver inte att Kunden lämnar särskilda kategorier av Personuppgifter enligt GDPR om inte sådan inlämning är nödvändig för Kundens valda användning av Tjänsterna och Kunden har uppfyllt tillämpliga rättsliga krav.
A.6 Kategorier av Registrerade
Kundens Behöriga användare, administratörer, anställda, entreprenörer och representanter.
Veterinärklienter, djurägare, potentiella klienter och kontaktpersoner.
Personer vars information förekommer i kliniska anteckningar, kommunikation, filer, inspelningar, transkriptioner, supportärenden, integrationer eller andra Kunddata.
Fakturerings-, inköps-, juridiska, support- och affärskontakter.
A.7 Överföringsfrekvens
Kontinuerligt under Kundens användning av Tjänsterna.
A.8 Parter för Standardavtalsklausuler
Roll | Namn och detaljer | Aktiviteter | SCC-roll |
|---|---|---|---|
Dataexportör | Kunden, enligt vad som identifieras i det Tillämpliga avtalet eller kontoregister. | Inlämning, åtkomst och användning av Personuppgifter i samband med Tjänsterna. | Personuppgiftsansvarig eller Personuppgiftsbiträde, beroende på vad som är tillämpligt. |
Dataimportör | CoVetAI Inc. (CoVet). Kontakt: info@co.vet eller support@co.vet. | Behandling av Personuppgifter för att tillhandahålla, säkra, underhålla, stödja och förbättra Tjänsterna. | Personuppgiftsbiträde eller Underbiträde, beroende på vad som är tillämpligt. |
Bilaga B: Tekniska och organisatoriska åtgärder
CoVet upprätthåller tekniska och organisatoriska åtgärder utformade för att ge en säkerhetsnivå som är lämplig i förhållande till den risk Behandlingen innebär. Dessa åtgärder omfattar de kontroller som sammanfattas nedan och kan utvecklas över tid i takt med att CoVets säkerhetsprogram mognar.
Kontrollområde | Sammanfattning |
|---|---|
Styrning och policyer | Policyer för informationssäkerhet, datahantering, incidenthantering, leverantörsrisk, verksamhetskontinuitet, säker utveckling och åtkomstkontroll. |
Åtkomstkontroller | Rollbaserad åtkomst, minsta privilegium, unika autentiseringsuppgifter, åtkomstgranskningar, onboarding- och offboardingkontroller samt autentiseringsskydd. |
Kryptering och infrastruktur | Kryptering under överföring och i vila, säker molninfrastruktur, nätverkssegmentering där det är lämpligt, härdning och logisk separation av kunddata. |
Övervakning och incidenthantering | Loggning, tillgänglighetsövervakning, granskning av säkerhetshändelser, rutiner för incidenthantering, eskalering, åtgärdande och stöd vid incidentrespons. |
Sårbarhet och säker utveckling | Sårbarhetshantering, penetrationstestning eller sårbarhetsbedömningar, patchhantering, säker programvaruutveckling och kontroller för kod-/ändringsgranskning. |
Personal och utbildning | Sekretesskyldigheter, utbildning i säkerhetsmedvetenhet, rollspecifika ansvarsområden och rutiner för personalsäkerhet. |
Leverantörshantering | Granskning av leverantörsrisk, avtalsenliga dataskyddsskyldigheter och tillsyn över Underbiträden som kan Behandla Kundens Personuppgifter. |
Kontinuitet och återställning | Backup-, kontinuitets-, katastrofåterställnings- och tillgänglighetspraxis utformade för att stödja tillförlitlig leverans av Tjänsterna. |
Bilaga C: Underbiträden
Följande Underbiträden är listade per datumet för Senast uppdaterad ovan. CoVet kan uppdatera denna lista i enlighet med Avsnitt 6.
Underbiträde | Plats | Funktion |
|---|---|---|
OpenAI | USA | AI-behandling och relaterade modelltjänster som används för att tillhandahålla begärda Tjänstefunktioner. |
Claude | USA | AI-behandling och relaterade modelltjänster som används för att tillhandahålla begärda Tjänstefunktioner. |
GCP | Kanada / USA | Molnhosting, lagring, infrastruktur, nätverk, säkerhet och relaterade plattformstjänster. |
GitHub | Kanada / USA | Programvaruutveckling, kodhosting, säkerhet, distribution och verktyg för operativ support. |
Nuvarande Trust Center finns på:
Bilaga 1: Standardavtalsklausuler
1. Införlivande
När det krävs för en internationell överföring av Personuppgifter införlivar Parterna genom hänvisning de standardavtalsklausuler som antagits av Europeiska kommissionen i genomförandebeslut (EU) 2021/914 av den 4 juni 2021 ("SCC"). SCC gäller endast överföringar som omfattas av GDPR eller andra Dataskyddslagar som kräver sådana skyddsåtgärder.
2. Modul och val
Modul två (personuppgiftsansvarig till personuppgiftsbiträde) gäller när Kunden är Personuppgiftsansvarig och CoVet är Personuppgiftsbiträde.
Modul tre (personuppgiftsbiträde till personuppgiftsbiträde) gäller när Kunden är Personuppgiftsbiträde och CoVet är Underbiträde.
Klausul 7 (anslutningsklausul) gäller.
För Klausul 9 (Användning av underbiträden) gäller Alternativ 2 (allmänt skriftligt godkännande), med de meddelande- och invändningsperioder som anges i Avsnitt 6 i detta DPA.
För Klausul 11 (Gottgörelse) gäller inte den frivilliga formuleringen.
För Klausul 13 (Tillsyn) ska behörig tillsynsmyndighet fastställas i enlighet med GDPR. Om ingen annan tillsynsmyndighet tydligt är tillämplig ska den irländska dataskyddskommissionen agera som behörig tillsynsmyndighet för SCC-ändamål.
För Klausulerna 17 och 18 ska SCC regleras av irländsk lag och tvister lösas av domstolarna i Irland, endast för SCC-ändamål.
3. Bilagor
SCC Bilaga I kompletteras av Bilaga A till detta DPA.
SCC Bilaga II kompletteras av Bilaga B till detta DPA.
SCC Bilaga III kompletteras av Bilaga C till detta DPA.
4. Överföringar till Förenade kungariket och Schweiz
För överföringar som omfattas av UK GDPR gäller SCC såsom ändrade genom Förenade kungarikets International Data Transfer Addendum eller annan tillämplig brittisk överföringsmekanism. För överföringar som omfattas av schweizisk dataskyddslag ska hänvisningar till GDPR, EU-medlemsstater och tillsynsmyndigheter tolkas efter behov för att ge verkan åt schweizisk lag och den schweiziska federala dataskydds- och informationskommissionären.
5. Konflikt
Om det finns en konflikt mellan detta DPA och SCC gäller SCC i den utsträckning som krävs enligt tillämpliga Dataskyddslagar.
Bilaga 2: HIPAA-tillägg
Detta HIPAA-tillägg gäller endast när Kunden är en Covered Entity eller Business Associate enligt HIPAA och CoVet skapar, tar emot, underhåller eller överför PHI för Kundens räkning i samband med Tjänsterna. Om detta HIPAA-tillägg gäller agerar CoVet som Kundens Business Associate eller Subcontractor, beroende på vad som är tillämpligt.
1. HIPAA-definitioner
Termer med stor begynnelsebokstav som används i detta HIPAA-tillägg men inte definieras i detta DPA har de betydelser som de ges i HIPAA, inklusive Business Associate, Covered Entity, Data Aggregation, Designated Record Set, Disclosure, Electronic Protected Health Information, HITECH Act, Individual, Minimum Necessary, PHI, Required by Law, Secretary, Security Incident, Subcontractor, Unsecured Protected Health Information och Use.
2. Tillåtna användningar och utlämnanden
CoVet får Use eller Disclose PHI endast enligt vad som är tillåtet i detta HIPAA-tillägg, det Tillämpliga avtalet, Kundens dokumenterade instruktioner eller som Required by Law. Kunden godkänner att CoVet Use och Disclose PHI för följande tillåtna ändamål:
Att tillhandahålla, driva, underhålla, säkra, stödja, felsöka och förbättra de Tjänster som Kunden eller Behöriga användare begär.
Att spela in, ta emot, transkribera, sammanfatta, strukturera, utarbeta, generera, lagra, hämta, visa, överföra och hantera klinisk dokumentation, kommunikation, arbetsflödesinnehåll, filer och relaterade utdata som lämnas till eller genereras genom Tjänsterna.
Att utföra administrativa, lednings-, fakturerings-, juridiska, efterlevnads-, säkerhets- och revisionsaktiviteter för CoVet, förutsatt att varje Disclosure till en tredje part för dessa ändamål endast görs när det är Required by Law eller under rimliga försäkringar om sekretess och begränsad vidare Use eller Disclosure.
Att tillhandahålla Data Aggregation-tjänster som rör Kundens hälso- och sjukvårdsverksamhet där det är tillåtet enligt HIPAA och det Tillämpliga avtalet.
Att avidentifiera PHI i enlighet med HIPAA, där det är tillåtet enligt det Tillämpliga avtalet, och använda avidentifierad information på ett sätt som inte är förbjudet enligt HIPAA.
Att rapportera lagöverträdelser till behöriga myndigheter i enlighet med 45 C.F.R. 164.502(j)(1).
CoVet kommer att göra Uses, Disclosures och begäranden om PHI i enlighet med HIPAA:s Minimum Necessary-standard där den är tillämplig. CoVet kommer inte att sälja PHI, Use eller Disclose PHI för underwritingändamål eller Use PHI för att träna eller finjustera AI-modeller annat än såsom uttryckligen skriftligen godkänts av Kunden och tillåts enligt HIPAA.
3. CoVets HIPAA-skyldigheter
Använda lämpliga skyddsåtgärder och följa HIPAA Security Rule avseende Elektronisk PHI för att förhindra Use eller Disclosure av PHI annat än vad som är tillåtet i detta HIPAA-tillägg.
Rapportera till Kunden varje obehörig Use eller Disclosure av PHI, Breach of Unsecured PHI eller Security Incident som involverar Elektronisk PHI och som CoVet blir medvetet om, i enlighet med HIPAA och detta DPA.
Säkerställa att varje Subcontractor som skapar, tar emot, underhåller eller överför PHI för CoVets räkning skriftligen godkänner väsentligen samma begränsningar, villkor och krav som gäller för CoVet avseende PHI.
Göra PHI i ett Designated Record Set tillgänglig för Kunden i den utsträckning som behövs för att Kunden ska kunna uppfylla skyldigheter enligt 45 C.F.R. 164.524.
Göra PHI tillgänglig för ändring och införliva ändringar enligt Kundens instruktioner i enlighet med 45 C.F.R. 164.526.
Göra information tillgänglig som krävs för att Kunden ska kunna tillhandahålla en redovisning av Disclosures i enlighet med 45 C.F.R. 164.528.
Göra CoVets interna rutiner, böcker och register som rör Use och Disclosure av PHI tillgängliga för Secretary för att fastställa efterlevnad av HIPAA.
Vid upphörande återlämna eller förstöra PHI enligt detta DPA och det Tillämpliga avtalet, om det är genomförbart, och fortsätta att skydda eventuell kvarhållen PHI.
4. Kundens HIPAA-skyldigheter
Kunden kommer inte att begära att CoVet Use eller Disclose PHI på ett sätt som inte skulle vara tillåtet enligt HIPAA om det gjordes av Kunden.
Kunden kommer att underrätta CoVet om varje begränsning i Kundens meddelande om integritetspraxis, varje begränsning av Use eller Disclosure av PHI eller varje ändring i en Individuals tillstånd som kan påverka CoVets Use eller Disclosure av PHI.
Kunden ansvarar för att besvara Individuals begäranden, avgöra om ett Breach kräver meddelande och uppfylla Kundens skyldigheter enligt HIPAA, utom i den utsträckning dessa skyldigheter uttryckligen delegeras till CoVet i det Tillämpliga avtalet.
5. Uppsägning på grund av HIPAA
Om någon av Parterna känner till ett mönster av aktivitet eller praxis hos den andra Parten som utgör ett väsentligt brott mot detta HIPAA-tillägg ska den icke-brytande Parten ge möjlighet till rättelse om rättelse är genomförbar. Om rättelse inte är genomförbar eller brottet inte rättas kan den icke-brytande Parten säga upp de berörda Tjänsterna eller vidta annan åtgärd som krävs enligt HIPAA.
6. HITECH Act
Parterna kommer att följa tillämpliga bestämmelser i HITECH Act och relaterade HHS-föreskrifter. Parterna kommer i god tro att samarbeta för att ändra detta HIPAA-tillägg i den utsträckning som rimligen krävs för att följa framtida ändringar av HIPAA som gäller för Tjänsterna.