Adendum Rekanan Bisnis HIPAA

Adendum Rekan Bisnis HIPAA ("BAA") disepakati antara Google dan pelanggan yang menyetujui persyaratan ini ("Pelanggan"), serta melengkapi, mengubah, dan digabungkan ke dalam Perjanjian (dijelaskan di bawah) hanya dalam kaitannya dengan Layanan yang Tercakup (dijelaskan di bawah). BAA ini akan berlaku sejak tanggal Pelanggan mengklik untuk menyetujui atau para pihak telah menyetujui BAA ini.

Pelanggan harus sudah memiliki Perjanjian agar BAA ini valid dan berlaku. Bersama dengan Perjanjian, BAA ini akan mengatur kewajiban masing-masing pihak terkait Informasi Kesehatan Terlindungi (dijelaskan di bawah).

Anda menyatakan dan menjamin bahwa (i) Anda memiliki kewenangan hukum penuh untuk mengikat Pelanggan dengan BAA ini, (ii) Anda telah membaca dan memahami BAA ini, dan (iii) Anda setuju, atas nama Pelanggan, dengan persyaratan BAA ini. Jika Anda tidak memiliki kewenangan hukum untuk mengikat Pelanggan, atau tidak menyetujui persyaratan ini, jangan menandatangani atau mengklik untuk menyetujui persyaratan BAA ini.

Istilah dalam huruf kapital yang digunakan tetapi tidak didefinisikan dalam BAA ini akan memiliki arti masing-masing yang ditetapkan untuk istilah tersebut di (a) bagian Administrative Simplification dari Health Insurance Portability and Accountability Act tahun 1996, Health Information Technology for Economic and Clinical Health Act, dan peraturan penerapannya sebagaimana yang diubah dari waktu ke waktu (secara kolektif, "HIPAA") atau (b) Perjanjian.

  1. Definisi.

    "Perjanjian" berarti perjanjian tertulis antara Google dan Pelanggan untuk penyediaan Layanan yang Tercakup, yang mungkin memiliki bentuk persyaratan layanan online.

    "Layanan yang Tercakup" berarti Google Data Studio.

    "Pengguna Akhir" ditetapkan definisinya dalam Perjanjian.

    "Google" berarti Entitas Google yang merupakan pihak dalam Perjanjian.

    "Entitas Google" berarti Google LLC, Google Ireland Limited, atau Afiliasi Google LLC lainnya.

    "Panduan Penerapan HIPAA" adalah panduan informatif yang disediakan oleh Google yang mendeskripsikan cara Layanan yang Tercakup dapat dikonfigurasi oleh Pelanggan sehubungan dengan upaya kepatuhan Pelanggan terhadap HIPAA. Panduan Penerapan HIPAA untuk Layanan yang Tercakup tersedia untuk ditinjau di URL berikut: https://support.google.com/looker-studio/answer/10043514.

    "Informasi Kesehatan Terlindungi" atau "PHI" ditetapkan definisinya dalam HIPAA dan untuk tujuan BAA ini terbatas pada PHI dalam Data Pelanggan yang dapat diakses Google melalui Layanan yang Tercakup dalam kaitannya dengan penggunaan yang diizinkan atas Layanan yang Tercakup oleh Pelanggan.

  2. Keberlakuan.

    1. BAA ini berlaku sejauh Pelanggan bertindak sebagai Entitas yang Tercakup atau Rekan Bisnis untuk membuat, menerima, menyimpan, atau mengirimkan PHI melalui Layanan yang Tercakup dan sejauh Google, sebagai akibatnya, dianggap bertindak sebagai Rekan Bisnis atau Subkontraktor Pelanggan berdasarkan HIPAA. Pelanggan memahami bahwa BAA ini tidak berlaku untuk (i) produk, layanan, atau fitur Google lainnya yang bukan merupakan Layanan yang Tercakup; atau (ii) PHI apa pun yang dibuat, diterima, dikelola, atau dikirimkan Pelanggan di luar Layanan yang Tercakup (termasuk penggunaan alat penyimpanan offline atau on-premise atau aplikasi pihak ketiga oleh Pelanggan).
    2. Referensi ke pasal HIPAA dalam BAA ini berarti pasal yang dapat diubah dari waktu ke waktu.

  3. Penggunaan dan Pengungkapan PHI.

    1. Google hanya dapat menggunakan dan mengungkapkan PHI (i) sebagaimana diizinkan atau diwajibkan oleh Perjanjian dan/atau BAA ini atau (ii) sebagaimana Diwajibkan oleh Hukum.
    2. Google dapat menggunakan dan mengungkapkan PHI untuk pengelolaan dan administrasinya yang tepat serta untuk menjalankan tanggung jawab hukumnya, dengan ketentuan bahwa setiap pengungkapan PHI untuk tujuan tersebut hanya dapat terjadi jika: (1) Diwajibkan oleh Hukum; atau (2) Google memperoleh jaminan tertulis yang wajar dari orang yang akan menerima pengungkapan PHI bahwa PHI tersebut akan dirahasiakan, digunakan, atau diungkapkan lebih lanjut hanya sebagaimana Diwajibkan oleh Hukum atau untuk tujuan pengungkapannya, dan bahwa Google akan diberi tahu tentang Pelanggaran atau Insiden Keamanan.
    3. Sejauh yang diwajibkan oleh persyaratan "minimum yang diperlukan" dalam HIPAA, Google hanya akan meminta, menggunakan, dan mengungkapkan jumlah minimum PHI yang diperlukan untuk mencapai tujuan permintaan, penggunaan, atau pengungkapan tersebut.
    4. Sejauh Google setuju secara tertulis untuk melaksanakan semua kewajiban Pelanggan berdasarkan Aturan Privasi HIPAA, Google harus mematuhi persyaratan Aturan Privasi HIPAA yang berlaku untuk Pelanggan dalam pelaksanaan kewajiban tersebut.

  4. Kewajiban Pelanggan.

    1. Pelanggan sepenuhnya bertanggung jawab untuk mengelola apakah Pengguna Akhir Pelanggan berwenang untuk membagikan, mengungkapkan, membuat, dan/atau menggunakan PHI dalam Layanan yang Tercakup.
    2. Pelanggan tidak akan meminta agar Google atau Layanan yang Tercakup menggunakan atau mengungkapkan PHI dengan cara apa pun yang tidak akan diizinkan berdasarkan HIPAA jika dilakukan oleh Pelanggan (jika Pelanggan adalah Entitas yang Tercakup) atau oleh Entitas yang Tercakup tempat Pelanggan bertindak sebagai Rekan Bisnis (kecuali jika secara tegas diizinkan berdasarkan HIPAA untuk Rekan Bisnis), kecuali seperti yang ditentukan pada Pasal 3 dalam BAA ini.
    3. Saat Pelanggan mengungkapkan PHI kepada Google, Pelanggan akan memberikan jumlah minimum PHI yang diperlukan untuk mencapai tujuan Google.
    4. Bagi Pengguna Akhir yang menggunakan Layanan yang Tercakup dalam kaitannya dengan PHI, Pelanggan akan menggunakan kontrol yang tersedia dalam Layanan tersebut, termasuk yang dijelaskan dalam Panduan Penerapan HIPAA, untuk memastikan penggunaan PHI oleh Pelanggan terbatas pada Layanan yang Tercakup. Pelanggan mengakui dan menyetujui bahwa Panduan Penerapan HIPAA disediakan oleh Google semata-mata sebagai panduan informatif sehubungan dengan opsi konfigurasi Pelanggan, dan bahwa Pelanggan bertanggung jawab penuh untuk memastikan bahwa penggunaan Layanan yang Tercakup oleh Pelanggan dan Pengguna Akhirnya mematuhi HIPAA.
    5. Pelanggan menjamin bahwa Pelanggan telah memperoleh dan akan memperoleh persetujuan, kewenangan, dan/atau izin hukum lainnya yang diwajibkan berdasarkan HIPAA dan/atau hukum lainnya yang berlaku untuk mengungkapkan PHI kepada Google. Jika ada perubahan atau pencabutan izin yang diberikan oleh seorang Individu atas penggunaan atau pengungkapan PHI, Pelanggan bertanggung jawab untuk mengelola penggunaannya atas Layanan yang Tercakup guna memperbarui dan/atau menghapus PHI tersebut di Layanan yang Tercakup.

  5. Perlindungan. Google dan Pelanggan masing-masing akan menggunakan pengamanan yang wajar dan tepat untuk mencegah penggunaan atau pengungkapan PHI, kecuali jika diizinkan atau diwajibkan oleh BAA ini. Selain itu, Google akan menerapkan Pengamanan Administratif, Pengamanan Fisik, dan Pengamanan Teknis yang secara wajar dan tepat melindungi Kerahasiaan, Integritas, dan Ketersediaan PHI yang dikirimkan atau disimpan dalam Media Elektronik ("EPHI") yang dibuat, diterima, dikelola, atau dikirimkan atas nama Pelanggan. Google akan mematuhi ketentuan yang berlaku dalam Aturan Keamanan HIPAA sehubungan dengan EPHI.

  6. Pelaporan dan Kewajiban Terkait.

    1. Google akan segera memberi tahu Pelanggan tentang (i) Insiden Keamanan yang diketahui Google, tunduk pada Pasal 6(c); dan (ii) Pelanggaran yang ditemukan Google, asalkan pemberitahuan untuk Pelanggaran tersebut akan diberikan segera dan tanpa keterlambatan yang tidak wajar, serta tidak lebih dari 60 hari kalender sejak penemuannya. Notifikasi yang diberikan berdasarkan pasal ini akan mendeskripsikan, sejauh yang memungkinkan, detail Pelanggaran, termasuk langkah-langkah yang diambil untuk mengurangi potensi risikonya dan langkah-langkah yang direkomendasikan Google kepada Pelanggan untuk menangani Pelanggaran tersebut.
    2. Google akan mengirimkan notifikasi yang berlaku ke alamat email notifikasi yang diberikan oleh Pelanggan dalam Perjanjian (dan/atau antarmuka pengguna layanan yang berlaku) atau melalui komunikasi langsung dengan Pelanggan.
    3. Terlepas dari Pasal 6(a), Pasal 6(c) ini akan dianggap sebagai pemberitahuan kepada Pelanggan bahwa Google secara berkala menerima upaya yang tidak berhasil untuk mengakses, menggunakan, mengungkapkan, memodifikasi, atau menghancurkan informasi secara tidak sah, atau mengganggu operasi umum sistem informasi Google dan Layanan yang Dicakup. Pelanggan mengakui dan menyetujui bahwa meskipun peristiwa tersebut merupakan Insiden Keamanan, Google tidak akan diwajibkan berdasarkan BAA ini untuk memberikan pemberitahuan tentang percobaan yang gagal tersebut selain Pasal 6(c) ini.
    4. Google akan mengambil langkah-langkah yang wajar untuk mengurangi, sejauh yang dapat dilakukan, efek berbahaya (yang diketahui oleh Google) dari penggunaan atau pengungkapan PHI oleh Google yang melanggar BAA ini.
    5. Google akan melaporkan kepada Pelanggan setiap penggunaan atau pengungkapan PHI yang tidak diizinkan berdasarkan BAA ini yang diketahui oleh Google.

  7. Subkontraktor. Google akan menyepakati perjanjian tertulis yang memenuhi persyaratan 45 C.F.R. §§ 164.504(e) dan 164.314(a)(2), sebagaimana berlaku, dengan setiap Subkontraktor yang membuat, menerima, menyimpan, atau mengirim PHI atas nama Google. Google akan memastikan bahwa perjanjian tertulis dengan setiap Subkontraktor mewajibkan Subkontraktor untuk mematuhi pembatasan dan ketentuan yang memberikan tingkat perlindungan penting yang sama untuk PHI seperti BAA ini.

  8. Akses dan Amendemen. Pelanggan mengakui dan menyetujui bahwa Pelanggan sepenuhnya bertanggung jawab atas bentuk dan konten PHI yang disimpan oleh Pelanggan dalam Layanan yang Tercakup, termasuk apakah Pelanggan menyimpan PHI tersebut dalam Kumpulan Data yang Ditetapkan dalam Layanan yang Tercakup. Google akan memberikan akses kepada Pelanggan ke PHI Pelanggan melalui Layanan yang Tercakup sehingga Pelanggan dapat memenuhi kewajibannya berdasarkan HIPAA sehubungan dengan hak akses dan perubahan Individu, tetapi tidak akan memiliki kewajiban lain kepada Pelanggan atau Individu sehubungan dengan hak yang diberikan kepada Individu oleh HIPAA sehubungan dengan Kumpulan Data yang Ditunjuk, termasuk hak akses atau perubahan PHI. Pelanggan bertanggung jawab untuk mengelola penggunaannya atas Layanan yang Tercakup guna merespons permintaan Individu tersebut dengan tepat.

  9. Catatan Pengungkapan. Google akan mendokumentasikan pengungkapan PHI oleh Google dan memberikan catatan pengungkapan tersebut kepada Pelanggan sebagaimana dan sejauh yang diminta oleh Rekan Bisnis berdasarkan HIPAA serta sesuai dengan persyaratan yang berlaku untuk Rekan Bisnis berdasarkan HIPAA.

  10. Ketersediaan Pembukuan dan Akses ke Data. Sejauh yang diwajibkan oleh hukum, dan tunduk pada hak istimewa klien pengacara yang berlaku, Google akan menyediakan praktik, buku, dan catatan internalnya sehubungan dengan penggunaan dan pengungkapan PHI yang diterima dari Pelanggan, atau dibuat atau diterima oleh Google atas nama Pelanggan, kepada Sekretaris Departemen Kesehatan dan Layanan Kemanusiaan Amerika Serikat (“Sekretaris”) untuk tujuan Sekretaris menentukan kepatuhan terhadap BAA ini.

  11. Akhir Masa Berlaku dan Penghentian.

    1. BAA ini akan dihentikan, mana saja yang lebih awal, pada saat (i) penghentian yang diizinkan sesuai dengan Pasal 11(b) di bawah, atau (ii) akhir masa berlaku atau penghentian semua Perjanjian yang memberi Pelanggan akses ke Layanan yang Tercakup.
    2. Jika salah satu pihak secara material melanggar BAA ini, pihak yang tidak melanggar dapat menghentikan BAA ini setelah mengirim pemberitahuan tertulis 15 hari sebelumnya kepada pihak yang melanggar kecuali jika pelanggaran tersebut diselesaikan dalam periode 15 hari. Jika penyelesaian berdasarkan Pasal 11(b) ini secara wajar tidak memungkinkan, pihak yang tidak melanggar dapat segera menghentikan BAA ini, atau jika penghentian atau penyelesaiannya secara wajar tidak memungkinkan berdasarkan Pasal 11(b) ini, pihak yang tidak melanggar dapat melaporkan pelanggaran tersebut kepada Menteri, tunduk pada semua hak istimewa hukum yang berlaku.
    3. Jika BAA ini dihentikan lebih awal dari Perjanjian, Pelanggan dapat terus menggunakan Layanan sesuai dengan Perjanjian, tetapi harus menghapus PHI yang disimpan Pelanggan dalam Layanan yang Tercakup dan berhenti membuat, menerima, menyimpan, atau mengirim PHI tersebut lebih lanjut kepada Google.

  12. Pengembalian/Pemusnahan Informasi. Setelah Perjanjian dihentikan, Google akan mengembalikan atau menghancurkan semua PHI yang diterima dari Pelanggan, atau dibuat atau diterima oleh Google atas nama Pelanggan; tetapi, jika pengembalian atau pemusnahan tersebut tidak memungkinkan, Google akan memperluas perlindungan BAA ini ke PHI yang tidak dikembalikan atau dihancurkan dan membatasi penggunaan dan pengungkapan lebih lanjut untuk tujuan yang membuat pengembalian atau pemusnahan PHI tidak memungkinkan.

  13. Perubahan pada BAA ini. Google dapat mengubah persyaratan BAA ini (termasuk URL yang tercantum dalam persyaratan ini dan konten dalam URL tersebut) dari waktu ke waktu. Pemberitahuan tentang perubahan tersebut akan tersedia di URL yang relevan (atau URL lain yang mungkin disediakan Google dari waktu ke waktu) atau antarmuka pengguna di Layanan yang Tercakup yang relevan. Perubahan pada persyaratan ini (termasuk perubahan pada konten di dalam URL) tidak akan berlaku secara surut dan akan berlaku 14 hari setelah diposting, kecuali perubahan pada referensi URL akan langsung berlaku.

  14. Lain-lain.

    1. Pemberlakuan. Pasal 12 (Pengembalian/Pemusnahan Informasi) dan 14 (Ketentuan Lain) akan tetap berlaku setelah penghentian atau akhir masa berlaku BAA ini.
    2. Akibat Hukum dari Adendum. Jika BAA ini bertentangan dengan ketentuan lain dalam Perjanjian, BAA ini akan berlaku. BAA ini tunduk pada pasal "Hukum yang Mengatur" dalam Perjanjian. Kecuali jika secara tegas dimodifikasi atau diubah berdasarkan BAA ini, persyaratan Perjanjian tetap berlaku dan memiliki kekuatan hukum penuh.

v1 16112020