Adendum Rekan Bisnis HIPAA

Versi: 22 Desember 2022

Adendum Rekan Bisnis HIPAA ("BAA") disepakati antara Google dan pelanggan yang menyetujui persyaratan ini ("Pelanggan"), serta melengkapi, mengubah, dan digabungkan ke dalam Perjanjian (dijelaskan di bawah) hanya dalam kaitannya dengan Layanan yang Tercakup (dijelaskan di bawah). BAA ini akan berlaku sejak tanggal Pelanggan mengklik untuk menyetujui atau para pihak telah menyetujui BAA ini.

Pelanggan harus sudah memiliki Perjanjian agar BAA ini valid dan berlaku. Bersama dengan Perjanjian, BAA ini akan mengatur kewajiban masing-masing pihak terkait Informasi Kesehatan Terlindungi (dijelaskan di bawah).

Anda menyatakan dan menjamin bahwa (i) Anda memiliki kewenangan hukum penuh untuk mengikat Pelanggan dengan BAA ini, (ii) Anda telah membaca dan memahami BAA ini, dan (iii) Anda setuju, atas nama Pelanggan, dengan persyaratan BAA ini. Jika Anda tidak memiliki kewenangan hukum untuk mengikat Pelanggan, atau tidak menyetujui persyaratan ini, jangan menandatangani atau mengklik untuk menyetujui persyaratan BAA ini.

Istilah yang setiap katanya diawali dengan huruf kapital dan digunakan, tetapi tidak dijelaskan dalam BAA ini, akan ditetapkan masing-masing maknanya pada (a) pasal Penyederhanaan Administrasi dalam Health Insurance Portability and Accountability Act tahun 1996, Health Information Technology for Economic and Clinical Health Act, serta peraturan penerapannya sebagaimana diubah dari waktu ke waktu (secara keseluruhan, “HIPAA”) atau (b) Perjanjian.

1. Definisi.

“Perjanjian” berarti perjanjian tertulis antara Google dan Pelanggan untuk penyediaan Layanan yang Tercakup, yang mungkin memiliki bentuk persyaratan layanan online.

“Layanan yang Tercakup” adalah Looker Studio, tetapi tidak mencakup Looker Studio Pro.

“Pengguna Akhir” ditetapkan definisinya dalam Perjanjian.

“Google” berarti Entitas Google yang merupakan pihak dalam Perjanjian.

“Entitas Google” berarti Google LLC, Google Ireland Limited, atau Afiliasi Google LLC lainnya.

“Panduan Penerapan HIPAA” adalah panduan informatif yang disediakan oleh Google yang mendeskripsikan cara Layanan yang Tercakup dapat dikonfigurasi oleh Pelanggan sehubungan dengan upaya kepatuhan Pelanggan terhadap HIPAA. Panduan Penerapan HIPAA untuk Layanan yang Tercakup tersedia untuk ditinjau di URL berikut: https://support.google.com/looker-studio/answer/10043514.

“Informasi Kesehatan Terlindungi” atau “PHI” ditetapkan definisinya dalam HIPAA dan untuk tujuan BAA ini terbatas pada PHI dalam Data Pelanggan yang dapat diakses Google melalui Layanan yang Tercakup dalam kaitannya dengan penggunaan yang diizinkan atas Layanan yang Tercakup oleh Pelanggan.

2. Pemberlakuan.
   1. BAA ini berlaku sejauh Pelanggan bertindak sebagai Entitas yang Tercakup atau Rekan Bisnis untuk membuat, menerima, menyimpan, atau mengirimkan PHI melalui Layanan yang Tercakup dan sejauh Google, sebagai akibatnya, dianggap bertindak sebagai Rekan Bisnis atau Subkontraktor Pelanggan berdasarkan HIPAA. Pelanggan mengakui bahwa BAA ini tidak berlaku untuk (i) produk, layanan, atau fitur Google lainnya yang bukan merupakan Layanan yang Tercakup; atau (ii) PHI yang dibuat, diterima, disimpan, atau dikirim oleh Pelanggan di luar Layanan yang Tercakup (termasuk penggunaan Pelanggan atas alat penyimpanan offline atau lokal atau aplikasi pihak ketiganya).
   2. Referensi ke pasal HIPAA dalam BAA ini berarti pasal yang dapat diubah dari waktu ke waktu.

3. Penggunaan dan Pengungkapan PHI.
   1. Google hanya dapat menggunakan dan mengungkapkan PHI (i) sebagaimana diizinkan atau diwajibkan oleh Perjanjian dan/atau BAA ini atau (ii) sebagaimana Diwajibkan oleh Hukum.
   2. Google dapat menggunakan dan mengungkapkan PHI untuk pengelolaan dan administrasinya yang tepat serta untuk menjalankan tanggung jawab hukumnya, dengan ketentuan bahwa setiap pengungkapan PHI untuk tujuan tersebut hanya dapat terjadi jika: (1) Diwajibkan oleh Hukum; atau (2) Google memperoleh jaminan tertulis yang sewajarnya dari pihak penerima pengungkapan PHI bahwa pengungkapan akan dilakukan secara rahasia, digunakan atau lebih lanjut diungkapkan hanya sebagaimana Diwajibkan oleh Hukum atau untuk tujuan pengungkapannya, dan bahwa Google akan diberi tahu tentang Pelanggaran atau Insiden Keamanan.
   3. Sejauh yang diwajibkan oleh persyaratan "minimum yang diperlukan" dalam HIPAA, Google hanya akan meminta, menggunakan, dan mengungkapkan jumlah minimum PHI yang diperlukan untuk mencapai tujuan permintaan, penggunaan, atau pengungkapan tersebut.
   4. Sejauh Google setuju secara tertulis untuk melaksanakan semua kewajiban Pelanggan berdasarkan Aturan Privasi HIPAA, Google harus mematuhi persyaratan Aturan Privasi HIPAA yang berlaku untuk Pelanggan dalam pelaksanaan kewajiban tersebut.

4. Kewajiban Pelanggan.
   1. Pelanggan sepenuhnya bertanggung jawab untuk mengelola apakah Pengguna Akhir Pelanggan berwenang untuk membagikan, mengungkapkan, membuat, dan/atau menggunakan PHI dalam Layanan yang Tercakup.
   2. Pelanggan tidak akan meminta agar Google atau Layanan yang Tercakup menggunakan atau mengungkapkan PHI dengan cara apa pun yang tidak akan diizinkan berdasarkan HIPAA jika dilakukan oleh Pelanggan (jika Pelanggan adalah Entitas yang Tercakup) atau oleh Entitas yang Tercakup tempat Pelanggan bertindak sebagai Rekan Bisnis (kecuali jika secara tegas diizinkan berdasarkan HIPAA untuk Rekan Bisnis), kecuali seperti yang ditentukan pada Pasal 3 dalam BAA ini.
   3. Saat Pelanggan mengungkapkan PHI kepada Google, Pelanggan akan memberikan jumlah minimum PHI yang diperlukan untuk mencapai tujuan Google.
   4. Bagi Pengguna Akhir yang menggunakan Layanan yang Tercakup dalam kaitannya dengan PHI, Pelanggan akan menggunakan kontrol yang tersedia dalam Layanan tersebut, termasuk yang dijelaskan dalam Panduan Penerapan HIPAA, untuk memastikan penggunaan PHI oleh Pelanggan terbatas pada Layanan yang Tercakup. Pelanggan mengakui dan setuju bahwa Panduan Penerapan HIPAA disediakan oleh Google semata-mata sebagai panduan informatif terkait opsi konfigurasi Pelanggan, dan bahwa Pelanggan sepenuhnya bertanggung jawab untuk memastikan bahwa penggunaan oleh Pelanggan dan Pengguna Akhir atas Layanan yang Tercakup mematuhi HIPAA.
   5. Pelanggan menjamin bahwa Pelanggan telah memperoleh dan akan memperoleh persetujuan, kewenangan, dan/atau izin hukum lainnya yang diwajibkan berdasarkan HIPAA dan/atau hukum lainnya yang berlaku untuk mengungkapkan PHI kepada Google. Jika ada perubahan atau pencabutan izin yang diberikan oleh seorang Individu atas penggunaan atau pengungkapan PHI, Pelanggan bertanggung jawab untuk mengelola penggunaannya atas Layanan yang Tercakup guna memperbarui dan/atau menghapus PHI tersebut di Layanan yang Tercakup.
5. Perlindungan. Google dan Pelanggan masing-masing akan menggunakan pengamanan yang wajar dan tepat untuk mencegah penggunaan atau pengungkapan PHI, kecuali jika diizinkan atau diwajibkan oleh BAA ini. Selain itu, Google akan menerapkan Pengamanan Administratif, Pengamanan Fisik, dan Pengamanan Teknis yang secara wajar dan tepat melindungi Kerahasiaan, Integritas, dan Ketersediaan PHI yang dikirim atau disimpan dalam Media Elektronik (“EPHI”) yang dibuat, diterima, disimpan, atau dikirim oleh Google atas nama Pelanggan. Google akan mematuhi ketentuan yang berlaku dalam Aturan Keamanan HIPAA sehubungan dengan EPHI.
6. Pelaporan dan Kewajiban Terkait.
   1. Google akan segera memberi tahu Pelanggan tentang (i) Insiden Keamanan yang diketahui Google, tunduk pada Pasal 6(c); dan (ii) Pelanggaran yang ditemukan Google, asalkan pemberitahuan untuk Pelanggaran tersebut akan diberikan segera dan tanpa keterlambatan yang tidak wajar, serta tidak lebih dari 60 hari kalender sejak penemuannya. Notifikasi yang diberikan berdasarkan pasal ini akan mendeskripsikan, sejauh yang memungkinkan, detail Pelanggaran, termasuk langkah-langkah yang diambil untuk mengurangi potensi risikonya dan langkah-langkah yang direkomendasikan Google kepada Pelanggan untuk menangani Pelanggaran tersebut.
   2. Google akan mengirimkan notifikasi yang berlaku ke alamat email notifikasi yang diberikan oleh Pelanggan dalam Perjanjian (dan/atau antarmuka pengguna layanan yang berlaku) atau melalui komunikasi langsung dengan Pelanggan.
   3. Tanpa mengabaikan Pasal 6(a), Pasal 6(c) ini akan dianggap sebagai pemberitahuan kepada Pelanggan bahwa Google secara berkala mendeteksi percobaan yang gagal untuk akses, penggunaan, pengungkapan, perubahan, atau pemusnahan informasi yang tidak sah, atau gangguan terhadap operasi umum sistem informasi Google dan Layanan yang Tercakup. Pelanggan mengakui dan menyetujui bahwa meskipun peristiwa tersebut merupakan Insiden Keamanan, Google tidak akan diwajibkan berdasarkan BAA ini untuk memberikan pemberitahuan tentang percobaan yang gagal tersebut selain Pasal 6(c) ini.
   4. Google akan mengambil langkah-langkah yang wajar untuk mengurangi, sejauh yang dapat dilakukan, efek berbahaya (yang diketahui oleh Google) dari penggunaan atau pengungkapan PHI oleh Google yang melanggar BAA ini.
   5. Google akan melaporkan kepada Pelanggan setiap penggunaan atau pengungkapan PHI yang tidak diizinkan berdasarkan BAA ini yang diketahui oleh Google.
7. Subkontraktor. Google akan menyepakati perjanjian tertulis yang memenuhi persyaratan 45 C.F.R. §§ 164.504(e) dan 164.314(a)(2), sebagaimana berlaku, dengan setiap Subkontraktor yang membuat, menerima, menyimpan, atau mengirim PHI atas nama Google. Google akan memastikan bahwa perjanjian tertulis dengan setiap Subkontraktor mewajibkan Subkontraktor untuk mematuhi pembatasan dan ketentuan yang memberikan tingkat perlindungan penting yang sama untuk PHI seperti BAA ini.

8. Akses dan Amendemen. Pelanggan mengakui dan menyetujui bahwa Pelanggan sepenuhnya bertanggung jawab atas bentuk dan konten PHI yang disimpan oleh Pelanggan dalam Layanan yang Tercakup, termasuk apakah Pelanggan menyimpan PHI tersebut dalam Kumpulan Data yang Ditetapkan dalam Layanan yang Tercakup. Google akan memberi Pelanggan akses ke PHI Pelanggan melalui Layanan yang Tercakup, sehingga Pelanggan dapat memenuhi kewajibannya berdasarkan HIPAA sehubungan dengan hak akses dan amendemen yang dimiliki Individu, tetapi tidak akan menanggung kewajiban lain kepada Pelanggan atau Individu mana pun sehubungan dengan hak yang diberikan kepada Individu oleh HIPAA dalam kaitannya dengan Kumpulan Data yang Ditetapkan, termasuk hak akses atau amendemen PHI. Pelanggan bertanggung jawab untuk mengelola penggunaannya atas Layanan yang Tercakup guna merespons permintaan Individu tersebut dengan tepat.

9. Catatan Pengungkapan. Google akan mendokumentasikan pengungkapan PHI oleh Google dan memberikan catatan pengungkapan tersebut kepada Pelanggan sebagaimana dan sejauh yang diminta oleh Rekan Bisnis berdasarkan HIPAA serta sesuai dengan persyaratan yang berlaku untuk Rekan Bisnis berdasarkan HIPAA.

10. Ketersediaan Pembukuan dan Akses ke Data. Sejauh yang diwajibkan oleh hukum, dan tunduk pada hak istimewa pengacara-klien yang berlaku, Google akan menyediakan praktik, pembukuan, dan data internalnya terkait penggunaan dan pengungkapan PHI yang diterima dari Pelanggan, atau dibuat atau diterima oleh Google atas nama Pelanggan, kepada Menteri Kesehatan dan Layanan Masyarakat AS (“Menteri”) untuk tujuan agar Menteri menilai kepatuhan terhadap BAA ini.

11. Akhir Masa Berlaku dan Penghentian.
    1. BAA ini akan dihentikan, mana saja yang lebih awal, pada saat (i) penghentian yang diizinkan sesuai dengan Pasal 11(b) di bawah, atau (ii) akhir masa berlaku atau penghentian semua Perjanjian yang memberi Pelanggan akses ke Layanan yang Tercakup.
    2. Jika salah satu pihak secara material melanggar BAA ini, pihak yang tidak melanggar dapat menghentikan BAA ini setelah mengirim pemberitahuan tertulis 15 hari sebelumnya kepada pihak yang melanggar kecuali jika pelanggaran tersebut diselesaikan dalam periode 15 hari. Jika penyelesaian berdasarkan Pasal 11(b) ini secara wajar tidak memungkinkan, pihak yang tidak melanggar dapat segera menghentikan BAA ini, atau jika penghentian atau penyelesaiannya secara wajar tidak memungkinkan berdasarkan Pasal 11(b) ini, pihak yang tidak melanggar dapat melaporkan pelanggaran tersebut kepada Menteri, tunduk pada semua hak istimewa hukum yang berlaku.
    3. Jika BAA ini dihentikan lebih awal dari Perjanjian, Pelanggan dapat terus menggunakan Layanan sesuai dengan Perjanjian, tetapi harus menghapus PHI yang disimpan Pelanggan dalam Layanan yang Tercakup dan berhenti membuat, menerima, menyimpan, atau mengirim PHI tersebut lebih lanjut kepada Google.
12. Pengembalian/Pemusnahan Informasi. Pada saat penghentian Perjanjian ini,Google akan mengembalikan atau memusnahkan semua PHI yang diterima dari Pelanggan, atau dibuat atau diterima oleh Google atas nama Pelanggan, asalkan jika pengembalian atau pemusnahan tersebut tidak memungkinkan, Google akan menerapkan perlindungan BAA ini ke PHI yang tidak dikembalikan atau dimusnahkan serta membatasi penggunaan dan pengungkapannya lebih lanjut untuk tujuan yang membuat pengembalian atau pemusnahan PHI tersebut tidak memungkinkan.
13. Perubahan pada BAA ini. Google dapat mengubah persyaratan BAA ini (termasuk URL yang tercantum dalam persyaratan ini dan konten dalam URL tersebut) dari waktu ke waktu. Pemberitahuan tentang perubahan tersebut akan tersedia di URL yang relevan (atau URL lain yang mungkin disediakan Google dari waktu ke waktu) atau antarmuka pengguna di Layanan yang Tercakup yang relevan. Perubahan pada persyaratan ini (termasuk perubahan pada konten di dalam URL) tidak akan berlaku secara surut dan akan berlaku 14 hari setelah diposting, namun perubahan pada referensi URL akan langsung berlaku.
14. Ketentuan Lain.
    1. Pemberlakuan. Pasal 12 (Pengembalian/Pemusnahan Informasi) dan 14 (Ketentuan Lain) akan tetap berlaku setelah penghentian atau akhir masa berlaku BAA ini.
    2. Akibat Hukum dari Adendum. Jika BAA ini bertentangan dengan ketentuan lain dalam Perjanjian, BAA ini akan berlaku. BAA ini tunduk pada pasal "Hukum yang Mengatur" dalam Perjanjian. Kecuali jika secara tegas dimodifikasi atau diubah berdasarkan BAA ini, persyaratan Perjanjian tetap berlaku dan memiliki kekuatan hukum penuh.

Versi Sebelumnya

16 November 2020