ภาคผนวกสำหรับผู้ร่วมธุรกิจตามกฎหมาย HIPAA

ฉบับ: 22 ธันวาคม 2022

ภาคผนวกสำหรับผู้ร่วมธุรกิจ ("BAA") ตามกฎหมาย HIPAA นี้จัดทำขึ้นระหว่าง Google กับลูกค้าที่ยอมรับข้อกำหนดเหล่านี้ ("ลูกค้า") และเป็นส่วนเสริม การแก้ไข และรวมเข้าไว้ในข้อตกลง (ตามที่ระบุไว้ด้านล่าง) ในส่วนที่เกี่ยวกับบริการที่ครอบคลุมเท่านั้น (ตามที่ระบุไว้ด้านล่าง) BAA นี้จะมีผลบังคับใช้ ณ วันที่ลูกค้าคลิกเพื่อยอมรับหรือคู่สัญญายอมรับ BAA นี้

ลูกค้าจะต้องมีข้อตกลงที่มีผลบังคับใช้อยู่ก่อนแล้ว BAA นี้จึงจะสมบูรณ์และมีผลบังคับใช้ BAA นี้รวมกับข้อตกลงจะควบคุมภาระหน้าที่ของแต่ละฝ่ายที่เกี่ยวข้องกับข้อมูลสุขภาพที่ได้รับการคุ้มครอง (ดังที่ระบุไว้ด้านล่าง)

คุณรับรองและรับประกันว่า (1) คุณมีสิทธิ์ที่ถูกต้องตามกฎหมายโดยสมบูรณ์ในการลงนามผูกพันลูกค้ากับ BAA นี้ (2) คุณได้อ่านและทำความเข้าใจ BAA นี้แล้ว และ (3) คุณยอมรับข้อกำหนดของ BAA นี้ในนามของลูกค้า
หากคุณไม่มีสิทธิ์ตามกฎหมายในการลงนามผูกพันลูกค้าหรือไม่ยอมรับข้อกำหนดเหล่านี้ โปรดอย่าลงนามหรือคลิกยอมรับข้อกำหนดของ BAA นี้

คำสำคัญที่ใช้แต่ไม่ได้นิยามไว้ใน BAA นี้จะมีความหมายที่เกี่ยวข้องตามที่กำหนดไว้สำหรับคำดังกล่าวใน (ก) ส่วนความง่ายในการเข้าถึงบริการภาครัฐ (Administrative Simplification) ของกฎหมายว่าด้วยการควบคุมและการส่งผ่านข้อมูลทางด้านการประกันสุขภาพปี 1996, กฎหมายว่าด้วยเทคโนโลยีสารสนเทศด้านเศรษฐศาสตร์สาธารณสุขและการรักษาพยาบาล (Health Information Technology for Economic and Clinical Health Act) และกฎระเบียบในการบังคับใช้ตามที่ได้มีการแก้ไขเป็นครั้งคราว (เรียกรวมกันว่า "HIPAA") หรือ (ข)
ข้อตกลง อย่างใดอย่างหนึ่ง

1. คำนิยาม

"ข้อตกลง" หมายถึงข้อตกลงที่เป็นลายลักษณ์อักษรระหว่าง Google กับลูกค้าสำหรับข้อกำหนดของบริการ
ที่ครอบคลุม ซึ่งข้อตกลงอาจอยู่ในรูปแบบของข้อกำหนดในการให้บริการออนไลน์

“บริการที่ครอบคลุม” หมายถึง Looker Studio แต่ไม่รวม Looker Studio Pro

"ผู้ใช้ปลายทาง" มีการให้คำนิยามไว้ภายใต้ข้อตกลง

"Google" หมายถึงนิติบุคคล Google ที่เป็นคู่สัญญาในข้อตกลง

"นิติบุคคล Google" หมายถึง Google LLC, Google Ireland Limited หรือบริษัทในเครือรายอื่นใดของ Google LLC

"คู่มือการปรับใช้ HIPAA" หมายถึงคู่มือที่ให้ข้อมูลที่ Google จัดเตรียมไว้ให้ ซึ่งอธิบายวิธีที่ลูกค้าสามารถกำหนดค่าบริการที่ครอบคลุมโดยเกี่ยวข้องกับความพยายามในการปฏิบัติตามข้อกำหนด HIPAA ของลูกค้า
คุณตรวจสอบคู่มือการปรับใช้ HIPAA สำหรับบริการที่ครอบคลุมได้ใน URL ต่อไปนี้ https://support.google.com/looker-studio/answer/10043514.

"ข้อมูลสุขภาพที่ได้รับการคุ้มครอง" หรือ "PHI" มีการให้คำนิยามไว้ภายใต้ HIPAA และเพื่อจุดประสงค์ของ BAA นี้จะหมายถึงเฉพาะ PHI ภายในข้อมูลลูกค้าที่ Google เข้าถึงผ่านบริการที่ครอบคลุมซึ่งเกี่ยวข้องกับ
การใช้บริการที่ครอบคลุมที่ได้รับอนุญาตของลูกค้า

2. การมีผลบังคับใช้
   1. BAA นี้ใช้บังคับในขอบเขตที่ลูกค้ากระทำการในฐานะบุคคลที่ต้องปฏิบัติตามหรือผู้ร่วมธุรกิจที่สร้าง รับ เก็บรักษา หรือส่ง PHI ผ่านบริการที่ครอบคลุม และในขอบเขตที่สืบเนื่องซึ่ง HIPAA ถือว่า Google กระทำการในฐานะผู้ร่วมธุรกิจหรือผู้เหมาช่วงของลูกค้า ลูกค้ายอมรับว่า BAA นี้ไม่มีผลบังคับใช้กับ (1) ผลิตภัณฑ์ บริการ หรือฟีเจอร์อื่นใดของ Google ที่ไม่ใช่บริการที่ครอบคลุม หรือ (2) PHI ใดก็ตามที่ลูกค้าสร้าง รับ เก็บรักษา หรือส่งนอกบริการที่ครอบคลุม
      (รวมถึงการใช้เครื่องมือจัดเก็บข้อมูลแบบออฟไลน์หรือภายในองค์กร หรือแอปพลิเคชันของบุคคลที่สามโดยลูกค้า)
   2. ข้อมูลอ้างอิงใน BAA นี้จนถึงส่วนที่อยู่ใน HIPAA หมายถึงส่วนที่อาจได้รับการแก้ไขเป็น
      ครั้งคราว

3. การใช้และการเปิดเผย PHI
   1. Google อาจใช้และเปิดเผย PHI เฉพาะ (1) ตามที่ได้รับอนุญาตหรือตามที่ข้อตกลงและ/
      หรือ BAA นี้กำหนดไว้ หรือ (2) ตามที่กฎหมายกำหนด
   2. Google อาจใช้และเปิดเผย PHI เพื่อการจัดการและการดูแลระบบที่เหมาะสม รวมถึงเพื่อ
      ทำหน้าที่ตามกฎหมาย แต่การเปิดเผย PHI ตามวัตถุประสงค์นี้จะเกิดขึ้นก็ต่อเมื่อ (1) กฎหมายกำหนด หรือ (2) Google ได้รับการรับรองอย่างสมเหตุสมผลเป็นลายลักษณ์อักษรจากบุคคล
      ที่จะเข้าถึง PHI ว่าจะเก็บ PHI เป็นความลับ รวมถึงใช้และเปิดเผยต่อเมื่อกฎหมายกำหนดเท่านั้น หรือในกรณีที่ต้องเปิดเผย บุคคลดังกล่าวจะแจ้งให้ Google ทราบถึงการละเมิดหรือเหตุการณ์ด้านความปลอดภัยใดๆ
   3. ภายในขอบเขตที่ระบุไว้ตามข้อกำหนด "ขั้นต่ำที่จำเป็น" ของ HIPAA นั้น Google จะร้องขอ
      ใช้ และเปิดเผย PHI ในจำนวนขั้นต่ำตามที่จำเป็นเพื่อบรรลุวัตถุประสงค์ในการร้องขอ การใช้ หรือการเปิดเผยเท่านั้น
   4. ภายในขอบเขตที่ Google ยินยอมเป็นลายลักษณ์อักษรในการปฏิบัติภาระหน้าที่ใดๆ ของลูกค้าภายใต้กฎด้านความเป็นส่วนตัวของ HIPAA ทาง Google จะปฏิบัติตามข้อกำหนดใน
      กฎด้านความเป็นส่วนตัวของ HIPAA ที่มีผลบังคับใช้กับลูกค้าในการปฏิบัติภาระหน้าที่ดังกล่าว

4. ภาระหน้าที่ของลูกค้า
   1. ลูกค้ามีภาระหน้าที่แต่เพียงฝ่ายเดียวในการจัดการให้ผู้ใช้ปลายทางของลูกค้าได้รับหรือไม่ได้
      รับสิทธิ์ในการแชร์ เปิดเผย สร้าง และ/หรือใช้ PHI ภายในบริการที่ครอบคลุม
   2. ลูกค้าจะไม่ร้องขอให้ Google หรือบริการที่ครอบคลุมใช้หรือเปิดเผย PHI ในลักษณะใดก็ตามที่อาจไม่ได้รับอนุญาตภายใต้ HIPAA หากเป็นการดำเนินการโดยลูกค้า (หากลูกค้าคือบุคคล
      ที่ต้องปฏิบัติตาม) หรือโดยบุคคลที่ต้องปฏิบัติตามที่เป็นผู้ร่วมธุรกิจของลูกค้า (เว้นแต่จะมี
      การอนุญาตอย่างชัดแจ้งภายใต้ HIPAA สำหรับผู้ร่วมธุรกิจ) ยกเว้นตามที่ระบุไว้ในส่วนที่ 3
      ของ BAA นี้
   3. เมื่อลูกค้าเปิดเผย PHI แก่ Google ลูกค้าจะให้ PHI ในจำนวนขั้นต่ำตามที่จำเป็นเพื่อ
      การดำเนินการตามวัตถุประสงค์ของ Google
   4. สำหรับผู้ใช้ปลายทางที่ใช้บริการที่ครอบคลุมซึ่งเกี่ยวข้องกับ PHI ลูกค้าจะใช้การควบคุมที่มีอยู่ภายในบริการ รวมถึงการควบคุมที่อธิบายไว้ในคู่มือการปรับใช้ HIPAA เพื่อให้มั่นใจว่าการใช้ PHI ของลูกค้าจะจำกัดเฉพาะบริการที่ครอบคลุม ลูกค้ารับทราบและยอมรับว่าคู่มือการปรับใช้ HIPAA ที่ Google จัดเตรียมไว้ให้เป็นเพียงคู่มือที่ให้ข้อมูลเกี่ยวกับตัวเลือกการกำหนดค่าของลูกค้าเท่านั้น และลูกค้ามีหน้าที่รับผิดชอบแต่เพียงผู้เดียวในการตรวจสอบว่าการใช้งานบริการ
      ที่ครอบคลุมโดยผู้ใช้ปลายทางนั้นปฏิบัติตาม HIPAA
   5. ลูกค้ารับประกันว่าตนได้รับและจะได้รับคำยินยอม การให้สิทธิ์ และ/หรือสิทธิ์ตามกฎหมายอื่นใดที่กำหนดไว้ภายใต้ HIPAA และ/หรือกฎหมายที่เกี่ยวข้องอื่นๆ สำหรับการเปิดเผย PHI ต่อ Google หากมีการเปลี่ยนแปลงใดๆ หรือการเพิกถอนสิทธิ์ที่ได้รับจากบุคคลสำหรับการใช้หรือการเปิดเผย PHI ลูกค้าจะรับผิดชอบต่อการจัดการการใช้บริการที่ครอบคลุมของตนตามนั้น
      เพื่อปรับปรุงและ/หรือลบ PHI ดังกล่าวที่อยู่ในบริการที่ครอบคลุม
5. การป้องกัน Google และลูกค้าแต่ละฝ่ายจะใช้การป้องกันที่สมเหตุสมผลและเหมาะสมเพื่อป้องกัน
   การใช้หรือการเปิดเผย PHI เว้นแต่จะได้รับอนุญาตหรือ BAA นี้ได้กำหนดไว้ นอกจากนี้ Google จะใช้การป้องกันด้านการดูและระบบ การป้องกันทางกายภาพ และการป้องกันทางเทคนิคที่สมเหตุสมผลและเหมาะสมในการปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของ PHI ที่มีการส่งหรือเก็บรักษาไว้ในสื่ออิเล็กทรอนิกส์ ("EPHI") ที่ Google ได้สร้าง รับ เก็บรักษา หรือส่งในนามของลูกค้า Google
   จะปฏิบัติตามข้อกำหนดที่เกี่ยวข้องของกฎด้านความปลอดภัยของ HIPAA ที่เกี่ยวข้องกับ EPHI
6. การรายงานและภาระหน้าที่ที่เกี่ยวข้อง
   1. Google จะแจ้งลูกค้าในทันทีถึง (1) เหตุการณ์ด้านความปลอดภัยใดๆ ที่ Google รับทราบ
      ภายใต้ส่วนที่ 6(ค) และ (2) การละเมิดใดๆ ที่ Google ค้นพบ โดยการแจ้งเรื่องการละเมิดใดๆ จะกระทำในทันทีโดยไม่มีการล่าช้าอย่างไม่สมเหตุสมผล และจะต้องไม่เกิน 60 วันหลังจากพบการละเมิดดังกล่าวไม่ว่าในกรณีใดก็ตาม การแจ้งให้ทราบที่ดำเนินการภายใต้ส่วนนี้จะอธิบายรายละเอียดเท่าที่อธิบายได้เกี่ยวกับการละเมิด ขั้นตอนที่ได้ดำเนินการเพื่อบรรเทาความเสี่ยง
      ที่อาจเกิดขึ้น และขั้นตอนที่ Google แนะนำให้ลูกค้าดำเนินการเพื่อจัดการกับการละเมิด
   2. Google จะส่งการแจ้งให้ทราบใดๆ ที่เกี่ยวข้องไปยังอีเมลแจ้งเตือนที่ลูกค้าระบุไว้ในข้อตกลง
      (และ/หรืออินเทอร์เฟซผู้ใช้บริการที่เกี่ยวข้อง) หรือผ่านการสื่อสารโดยตรงกับลูกค้า
   3. โดยไม่คำนึงถึงส่วนที่ 6(ก) ส่วนที่ 6(ค) นี้จะถือเป็นการแจ้งแก่ลูกค้าว่า Google พบความพยายามที่ไม่ประสบความสำเร็จในการเข้าถึง ใช้ เปิดเผย แก้ไข หรือทำลายข้อมูลโดยไม่ได้รับอนุญาต หรือการแทรกแซงการปฏิบัติงานทั่วไปในระบบข้อมูลของ Google และบริการ
      ที่ครอบคลุมเป็นระยะ ลูกค้ารับทราบและยอมรับว่าแม้เหตุการณ์ดังกล่าวจะก่อให้เกิดเหตุการณ์ด้านความปลอดภัย แต่ Google ไม่จำเป็นต้องส่งการแจ้งให้ทราบใดๆ ภายใต้ BAA นี้
      ที่เกี่ยวข้องกับความพยายามที่ไม่สำเร็จดังกล่าวนอกเหนือไปจากส่วนที่ 6(ค) นี้
   4. Google จะดำเนินการตามขั้นตอนที่สมเหตุสมผลในขอบเขตที่ปฏิบัติได้เพื่อบรรเทาผลกระทบ
      ที่เป็นอันตราย (ที่ Google รับทราบ) ในการใช้หรือการเปิดเผย PHI โดย Google ที่เป็น
      การละเมิด BAA นี้
   5. Google จะรายงานลูกค้าเกี่ยวกับการใช้หรือการเปิดเผย PHI ที่ไม่ได้รับอนุญาตภายใต้ BAA นี้ที่ Google รับทราบ
7. ผู้รับเหมาช่วง Google จะทำข้อตกลงเป็นลายลักษณ์อักษรกับผู้รับเหมาช่วงแต่ละรายที่สร้าง รับ
   เก็บรักษา หรือส่ง PHI ในนามของ Google เพื่อให้เป็นไปตามข้อกำหนดของส่วนที่ 45 C.F.R. §§ 164.504(e) และ 164.314(a)(2) ที่เกี่ยวข้อง Google จะตรวจสอบว่าข้อตกลงที่เป็นลายลักษณ์อักษร
   ที่ทำไว้ร่วมกับผู้รับเหมาช่วงแต่ละรายเป็นการผูกพันผู้รับเหมาช่วงให้ปฏิบัติตามข้อจำกัดและเงื่อนไข
   ที่ให้การคุ้มครอง PHI ในระดับที่สำคัญเทียบเท่ากับ BAA นี้

8. การเข้าถึงและการแก้ไข ลูกค้ารับทราบและยอมรับว่าลูกค้าจะเป็นผู้รับผิดชอบแต่เพียงผู้เดียวต่อ
   รูปแบบและเนื้อหาของ PHI ที่ลูกค้าเก็บรักษาไว้ภายในบริการที่ครอบคลุม รวมถึงการเก็บรักษา PHI
   ดังกล่าวในชุดระเบียนที่กำหนดภายในบริการที่ครอบคลุม Google จะให้สิทธิ์แก่ลูกค้าในการเข้าถึง PHI ของลูกค้าผ่านบริการที่ครอบคลุม เพื่อให้ลูกค้าปฏิบัติตามภาระหน้าที่ได้ภายใต้ HIPAA ที่เกี่ยวข้องกับสิทธิในการเข้าถึงและการแก้ไขของบุคคล แต่จะไม่มีภาระหน้าที่อื่นๆ ต่อลูกค้าหรือบุคคลใดในส่วนที่เกี่ยวข้องกับสิทธิที่มอบให้บุคคลตาม HIPAA อันเกี่ยวข้องกับชุดระเบียนที่กำหนด รวมถึงสิทธิใน
   การเข้าถึงหรือการแก้ไข PHI ลูกค้ามีหน้าที่รับผิดชอบในการจัดการการใช้บริการที่ครอบคลุมของ
   ลูกค้าเอง เพื่อตอบสนองต่อการร้องขอของบุคคลดังกล่าวอย่างเหมาะสม

9. บันทึกการเปิดเผย Google จะจัดทำเอกสารการเปิดเผย PHI โดย Google และจะจัดเตรียมบันทึก
   การเปิดเผยดังกล่าวแก่ลูกค้าตามและภายในขอบเขตที่ผู้ร่วมธุรกิจกำหนดไว้ภายใต้ HIPAA และสอดคล้องกับข้อกำหนดที่เกี่ยวข้องกับผู้ร่วมธุรกิจภายใต้ HIPAA

10. ความพร้อมใช้งานเอกสารและการเข้าถึงระเบียน ภายในขอบเขตที่กฎหมายกำหนดไว้และภายใต้สิทธิ์คุ้มครองความลับในการติดต่อสื่อสารระหว่างลูกความกับทนายความที่เกี่ยวข้อง Google จะเปิดเผยแนวทางปฏิบัติภายใน เอกสาร และระเบียนเกี่ยวกับการใช้และการเปิดเผย PHI ที่ได้รับจากลูกค้า หรือ
    ที่สร้างขึ้นหรือได้รับโดย Google ในนามของลูกค้า ต่อรัฐมนตรีว่าการกระทรวงสุขภาพและบริการมนุษย์แห่งสหรัฐอเมริกา ("รัฐมนตรี") เพื่อให้เป็นไปตามวัตถุประสงค์ของรัฐมนตรีในการกำหนดการปฏิบัติ
    ตามข้อกำหนดของ BAA นี้

11. การหมดอายุและการสิ้นสุด
    1. BAA นี้จะสิ้นสุดใน 2 กรณีต่อไปนี้ขึ้นอยู่กับว่ากรณีใดขึ้นก่อน (1) การสิ้นสุดที่ได้รับอนุญาตตามส่วนที่ 11(ข) ด้านล่าง หรือ (2) การหมดอายุหรือการสิ้นสุดข้อตกลงทั้งหมดที่มีผลบังคับใช้กับการเข้าถึงบริการที่ครอบคลุมของลูกค้า
    2. หากคู่สัญญาฝ่ายใดฝ่ายหนึ่งละเมิด BAA นี้อย่างเป็นสาระสำคัญ ฝ่ายที่มิได้ละเมิดอาจสิ้นสุด BAA นี้ได้โดยทำการแจ้งเป็นลายลักษณ์อักษรที่มีระยะเวลา 15 วันต่อฝ่ายที่ละเมิด เว้นแต่
       การละเมิดจะได้รับการเยียวยาแก้ไขภายในระยะเวลา 15 วันดังกล่าว หากการเยียวยาแก้ไขภายใต้ส่วนที่ 11(ข) นี้ไม่สามารถกระทำได้อย่างสมเหตุสมผล ฝ่ายที่มิได้ละเมิดอาจสิ้นสุด BAA นี้ได้ทันที หรือหากทั้งการสิ้นสุดและการเยียวยาแก้ไขไม่อาจกระทำได้อย่างสมเหตุสมผลภายใต้ส่วนที่ 11(ข) ฝ่ายที่มิได้ละเมิดอาจรายงานการละเมิดต่อรัฐมนตรีภายใต้สิทธิ์ตามกฎหมาย
       ที่เกี่ยวข้องทั้งหมด
    3. หาก BAA สิ้นสุดลงก่อนข้อตกลง ลูกค้าจะใช้บริการต่อไปได้ตามข้อตกลง แต่ลูกค้าต้องลบ PHI ใดๆ ที่เก็บรักษาไว้ในบริการที่ครอบคลุม และยุติการสร้าง รับ เก็บรักษา หรือส่ง PHI ดังกล่าว
       ไปยัง Google อีก
12. การส่งคืน/การทำลายข้อมูล เมื่อสิ้นสุดข้อตกลงGoogle จะส่งคืนหรือทำลาย PHI ทั้งหมดที่ได้รับจากลูกค้า หรือที่สร้างหรือได้รับโดย Google ในนามของลูกค้า อย่างไรก็ตาม หากการส่งคืนหรือการทำลายดังกล่าวไม่อาจกระทำได้ Google จะขยายความคุ้มครองของ BAA นี้ไปยัง PHI ที่ยังไม่ได้ส่งคืนหรือ
    ถูกทำลาย และจะจำกัดการใช้และการเปิดเผยเพิ่มเติมเฉพาะสำหรับวัตถุประสงค์ที่เป็นเหตุให้ไม่สามารถส่งคืนหรือทำลาย PHI ได้
13. การเปลี่ยนแปลง BAA นี้ Google อาจแก้ไขข้อกำหนดของ BAA นี้ (รวมถึง URL ที่อ้างอิงในข้อกำหนดเหล่านี้และเนื้อหาภายใน URL ดังกล่าว) เป็นครั้งคราว ประกาศการแก้ไขดังกล่าวจะอยู่ใน URL
    ที่เกี่ยวข้อง (หรือ URL อื่นที่ Google อาจระบุไว้เป็นครั้งคราว) หรืออินเทอร์เฟซผู้ใช้ของบริการที่ครอบคลุมที่เกี่ยวข้อง การเปลี่ยนแปลงข้อกำหนดเหล่านี้ (รวมถึงการเปลี่ยนแปลงเนื้อหาภายใน URL) จะไม่มีผลย้อนหลัง และจะมีผลภายใน 14 วันหลังจากการประกาศ เว้นแต่ว่าการเปลี่ยนแปลงการอ้างอิง URL จะมีผลในทันที
14. เบ็ดเตล็ด
    1. การมีผลต่อไป ส่วนที่ 12 (การส่งคืน/การทำลายข้อมูล) และ 14 (เบ็ดเตล็ด) จะยังคงมีผลหลังจากการหมดอายุหรือการสิ้นสุด BAA
    2. ผลของภาคผนวก ในกรณีที่ BAA นี้ขัดแย้งกับส่วนที่เหลือข้อตกลงนี้ BAA นี้จะมีผลบังคับใช้ BAA นี้อยู่ภายใต้ส่วน "กฎหมายที่ควบคุม" ในข้อตกลง เว้นแต่จะมีการปรับเปลี่ยนหรือแก้ไขอย่างชัดแจ้งภายใต้ BAA นี้ ข้อกำหนดของข้อตกลงจะยังคงมีผลบังคับอย่างสมบูรณ์

ฉบับก่อนหน้า

16 พฤศจิกายน 2020