Phụ lục Đơn vị liên kết kinh doanh theo HIPAA

Phiên bản: Ngày 22 tháng 12 năm 2022

Phụ lục Đơn vị liên kết kinh doanh HIPAA ("BAA") này được ký kết giữa Google và khách hàng đồng ý với các điều khoản này ("Khách hàng"), cũng như các nội dung bổ sung và sửa đổi. Phụ lục này được đưa vào (các) Thoả thuận (theo định nghĩa bên dưới) chỉ liên quan đến các Dịch vụ được bao gồm (theo định nghĩa bên dưới). BAA này có hiệu lực kể từ ngày Khách hàng nhấp để chấp nhận hoặc các bên đã đồng ý với BAA này bằng cách khác.

Khách hàng phải có sẵn một Thoả thuận đã ký kết thì BAA này mới có giá trị và có hiệu lực. Cùng với Thoả thuận đó, BAA này sẽ điều chỉnh các nghĩa vụ tương ứng của mỗi bên về Thông tin sức khoẻ được bảo vệ (theo định nghĩa bên dưới).

Bạn cam đoan và đảm bảo rằng (i) bạn có đầy đủ quyền hạn pháp lý để ràng buộc Khách hàng với BAA này, (ii) bạn đã đọc và hiểu rõ BAA này, và (iii) bạn thay mặt cho Khách hàng đồng ý với các điều khoản của BAA này. Nếu bạn không có quyền hạn pháp lý để ràng buộc Khách hàng, hoặc không đồng ý với các điều khoản này, vui lòng không ký hoặc không nhấp để chấp nhận các điều khoản của BAA này.

Những từ viết hoa được sử dụng nhưng không có định nghĩa trong BAA này sẽ mang nghĩa tương ứng được chỉ định cho các từ đó trong (a) mục Đơn giản hoá thủ tục hành chính của Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế năm 1996, Đạo luật về Công nghệ thông tin y tế cho kinh tế và y tế lâm sàng, cùng các quy định thực thi của những đạo luật này, được sửa đổi tuỳ từng thời điểm (gọi chung là "HIPAA") hoặc (b) (các) Thoả thuận.

1. Định nghĩa.

"(Các) Thoả thuận" có nghĩa là (các) thoả thuận bằng văn bản giữa Google và Khách hàng về việc cung cấp các Dịch vụ được bao gồm. (Các) Thoả thuận này có thể tồn tại ở dạng điều khoản dịch vụ trực tuyến.

"Dịch vụ được bao gồm" có nghĩa là Looker Studio, nhưng không bao gồm Looker Studio Pro.

"Người dùng cuối" có nghĩa như đã nêu trong Thoả thuận.

"Google" có nghĩa là Pháp nhân Google tham gia (các) Thoả thuận.

"Pháp nhân Google" có nghĩa là Google LLC, Google Ireland Limited hoặc mọi Đơn vị liên kết khác của Google LLC.

"Hướng dẫn triển khai theo HIPAA" có nghĩa là hướng dẫn chi tiết do Google cung cấp, trong đó mô tả cách Khách hàng có thể định cấu hình Dịch vụ được bao gồm cho phù hợp với các hoạt động của Khách hàng nhằm tuân thủ HIPAA. Hướng dẫn triển khai HIPAA đối với Dịch vụ được bao gồm có tại URL sau đây: https://support.google.com/looker-studio/answer/10043514.

"Thông tin sức khỏe được bảo vệ" hay "PHI" có ý nghĩa như được nêu trong HIPAA và để phục vụ cho mục đích của BAA này, sẽ được giới hạn ở PHI trong Dữ liệu khách hàng mà Google có quyền truy cập thông qua Dịch vụ được bao gồm liên quan đến việc sử dụng mà Khách hàng được cho phép đối với Dịch vụ được bao gồm.

2. Phạm vi áp dụng.
   1. BAA này áp dụng trong phạm vi mà Khách hàng hoạt động với vai trò một Pháp nhân thuộc phạm vi quy định hoặc Đơn vị liên kết kinh doanh để tạo, nhận, duy trì hoặc truyền tải PHI thông qua Dịch vụ được bao gồm, và trong phạm vi mà theo đó Google (theo HIPAA) hoạt động với vai trò một Đơn vị liên kết kinh doanh hoặc Nhà thầu phụ của Khách hàng. Khách hàng công nhận rằng BAA này không áp dụng cho (i) bất kỳ sản phẩm, dịch vụ hoặc tính năng nào khác của Google không phải là Dịch vụ được bao gồm; hoặc (ii) bất kỳ PHI nào mà Khách hàng tạo, nhận, duy trì hoặc truyền tải ngoài các Dịch vụ được bao gồm (kể cả khi Khách hàng sử dụng các công cụ lưu trữ ngoại tuyến hay tại cơ sở của riêng mình hoặc các ứng dụng của bên thứ ba).
   2. Khi một nội dung trong BAA này dẫn chiếu đến một mục trong HIPAA thì tức là dẫn chiếu đến mục đó với nội dung có thể được sửa đổi tuỳ từng thời điểm.

3. Sử dụng và tiết lộ PHI.
   1. Google chỉ có thể sử dụng và tiết lộ PHI (i) khi được cho phép hoặc theo yêu cầu của Thoả thuận và/hoặc BAA này hoặc (ii) theo Yêu cầu của Pháp luật.
   2. Google có thể sử dụng và tiết lộ PHI để đảm bảo hoạt động quản lý và quản trị phù hợp, cũng như để thực hiện các nghĩa vụ pháp lý, với điều kiện việc tiết lộ PHI cho các mục đích đó chỉ diễn ra trong trường hợp: (1) Được Pháp luật yêu cầu; hoặc (2) Google có được văn bản đảm bảo hợp lý từ người sẽ tiếp nhận PHI rằng người đó sẽ giữ bí mật, chỉ sử dụng hoặc tiếp tục tiết lộ nếu được Pháp luật yêu cầu hoặc chỉ phục vụ cho mục đích mà PHI đó được tiết lộ và rằng sẽ thông báo cho Google nếu có trường hợp Vi phạm hoặc Sự cố bảo mật.
   3. Trong phạm vi theo các yêu cầu về mức "tối thiểu cần thiết" của HIPAA, Google sẽ chỉ yêu cầu, sử dụng và tiết lộ lượng PHI tối thiểu cần thiết để đáp ứng mục đích của yêu cầu, việc sử dụng hoặc tiết lộ đó.
   4. Trong phạm vi Google đồng ý bằng văn bản để thực hiện những nghĩa vụ của Khách hàng theo Quy định về quyền riêng tư của HIPAA, Google sẽ tuân thủ các yêu cầu theo Quy định về quyền riêng tư của HIPAA áp dụng đối với Khách hàng trong quá trình thực hiện những nghĩa vụ đó.

4. Nghĩa vụ của Khách hàng.
   1. Khách hàng hoàn toàn chịu trách nhiệm quản lý việc Người dùng cuối của Khách hàng có được phép chia sẻ, tiết lộ, tạo và/hoặc sử dụng PHI trong các Dịch vụ được bao gồm hay không.
   2. Khách hàng sẽ không yêu cầu Google hoặc các Dịch vụ được bao gồm sử dụng hoặc tiết lộ PHI theo bất kỳ hình thức nào mà HIPAA sẽ không cho phép nếu Khách hàng là người thực hiện (trong trường hợp Khách hàng là Pháp nhân thuộc phạm vi quy định) hoặc nếu Pháp nhân thuộc phạm vi quy định (mà Khách hàng là Đơn vị liên kết kinh doanh) là người thực hiện (trừ phi được cho phép rõ ràng theo HIPAA đối với Đơn vị liên kết kinh doanh), ngoại trừ trường hợp được quy định trong Mục 3 của BAA này.
   3. Khi Khách hàng tiết lộ PHI cho Google, thì Khách hàng sẽ cung cấp lượng PHI tối thiểu cần thiết để đáp ứng mục đích của Google.
   4. Đối với Người dùng cuối sử dụng Dịch vụ được bao gồm liên quan đến PHI, Khách hàng sẽ sử dụng các biện pháp kiểm soát có trong Dịch vụ (bao gồm cả các biện pháp kiểm soát được nêu chi tiết trong Hướng dẫn triển khai HIPAA) để đảm bảo PHI chỉ được sử dụng trong các Dịch vụ được bao gồm. Khách hàng xác nhận và đồng ý rằng Hướng dẫn triển khai HIPAA mà Google cung cấp tuyệt đối chỉ phục vụ mục đích cung cấp thông tin liên quan đến các lựa chọn cấu hình của Khách hàng, và rằng Khách hàng chịu hoàn toàn trách nhiệm đảm bảo hoạt động sử dụng Dịch vụ được bao gồm của Khách hàng và của Người dùng cuối của Khách hàng đều tuân thủ HIPAA.
   5. Khách hàng đảm bảo rằng mình đã có và sẽ nhận được mọi sự đồng ý, uỷ quyền và/hoặc các quyền hợp pháp khác theo yêu cầu của HIPAA và/hoặc luật hiện hành khác cho việc tiết lộ PHI cho Google. Nếu có xảy ra thay đổi về (hoặc thu hồi) quyền mà một Cá nhân cấp cho việc sử dụng hoặc tiết lộ PHI, thì Khách hàng có trách nhiệm quản lý việc sử dụng các Dịch vụ được bao gồm cho phù hợp để cập nhật và/hoặc xoá PHI đó trong Dịch vụ được bao gồm.
5. Biện pháp bảo vệ Google và Khách hàng đều phải sử dụng các biện pháp bảo vệ hợp lý và thích hợp để ngăn chặn việc sử dụng hoặc tiết lộ PHI, trừ phi được cho phép hoặc theo yêu cầu của BAA này. Ngoài ra, Google sẽ triển khai các Biện pháp bảo vệ quản trị, Biện pháp bảo vệ vật chất và Biện pháp bảo vệ kỹ thuật để bảo vệ một cách hợp lý và thích hợp Tính bảo mật, Tính toàn vẹn và Tính sẵn có của PHI được truyền tải hoặc duy trì trong Phương tiện điện tử ("EPHI") mà Google tạo, nhận, duy trì hoặc truyền tải thay mặt cho Khách hàng. Google sẽ tuân thủ các điều khoản hiện hành của Quy định bảo mật HIPAA liên quan đến EPHI.
6. Báo cáo và các nghĩa vụ có liên quan.
   1. Google sẽ thông báo ngay cho Khách hàng về (i) bất kỳ Sự cố bảo mật nào mà Google phát hiện được, theo Mục 6(c); và (ii) bất kỳ trường hợp Vi phạm nào mà Google phát hiện, với điều kiện là trường hợp Vi phạm đều phải được thông báo nhanh chóng, không chậm trễ vô lý và trong mọi trường hợp không muộn hơn 60 ngày theo lịch kể từ khi phát hiện. Các thông báo được thực hiện theo mục này sẽ phải mô tả, trong phạm vi có thể, thông tin chi tiết về trường hợp Vi phạm, bao gồm cả các bước được thực hiện để giảm thiểu rủi ro tiềm ẩn và các bước mà Google đề xuất Khách hàng thực hiện để xử lý trường hợp Vi phạm.
   2. Google sẽ gửi thông báo thích hợp đến địa chỉ email nhận thông báo do Khách hàng cung cấp trong Thoả thuận (và/hoặc giao diện người dùng của dịch vụ thích hợp) hoặc liên lạc trực tiếp với Khách hàng.
   3. Bất kể nội dung của Mục 6(a), Mục 6(c) này sẽ được coi là thông báo cho Khách hàng rằng Google định kỳ gặp phải các hoạt động trái phép nhưng không thành công nhằm truy cập, sử dụng, tiết lộ, sửa đổi hoặc phá hủy thông tin hoặc can thiệp vào hoạt động chung của các hệ thống thông tin của Google và các Dịch vụ được bao gồm. Khách hàng thừa nhận và đồng ý rằng ngay cả khi những sự kiện đó cấu thành Sự cố bảo mật, thì Google không bắt buộc phải thông báo theo BAA này về những hoạt động không thành công đó ngoài Mục 6(c) này.
   4. Google sẽ thực hiện các biện pháp hợp lý, trong phạm vi có thể áp dụng, để giảm thiểu mọi tác động có hại (mà Google đã biết) của việc Google sử dụng hoặc tiết lộ PHI mà vi phạm BAA này.
   5. Google sẽ báo cho Khách hàng biết về mọi trường hợp sử dụng hoặc tiết lộ PHI không được phép theo BAA này mà Google biết được.
7. Nhà thầu phụ. Google sẽ ký một thoả thuận bằng văn bản đáp ứng các yêu cầu của mục 45 C.F.R. §§ 164.504(e) và 164.314(a)(2) (nếu áp dụng) với mỗi Nhà thầu phụ có trách nhiệm thay mặt cho Google tạo, nhận, duy trì hoặc truyền tải PHI. Google sẽ đảm bảo rằng thoả thuận bằng văn bản đó với từng Nhà thầu phụ sẽ yêu cầu Nhà thầu phụ phải tuân thủ các quy định hạn chế và điều kiện giúp mang lại cùng mức độ bảo vệ trọng yếu cho PHI giống như BAA này.

8. Truy cập và sửa đổi. Khách hàng thừa nhận và đồng ý rằng Khách hàng tự chịu trách nhiệm về hình thức và nội dung của PHI do Khách hàng duy trì trong Dịch vụ được bao gồm (bao gồm cả việc Khách hàng có duy trì PHI đó trong Bộ hồ sơ được chỉ định trong Dịch vụ được bao gồm hay không). Google sẽ cấp cho Khách hàng quyền truy cập vào PHI của Khách hàng thông qua Dịch vụ được bao gồm để Khách hàng có thể thực hiện nghĩa vụ của mình theo HIPAA về quyền truy cập và sửa đổi của Cá nhân, nhưng sẽ không có nghĩa vụ nào khác đối với Khách hàng hoặc bất kỳ Cá nhân nào liên quan đến các quyền được cấp cho Cá nhân theo HIPAA liên quan đến Bộ hồ sơ được chỉ định (kể cả quyền truy cập hoặc sửa đổi PHI). Khách hàng chịu trách nhiệm quản lý việc mình sử dụng các Dịch vụ được bao gồm để đáp ứng các yêu cầu đó của Cá nhân một cách phù hợp.

9. Ghi nhận việc Tiết lộ. Google sẽ ghi lại các lần Google tiết lộ PHI và cung cấp bản giải trình các lần tiết lộ đó cho Khách hàng, trong vai trò là và trong phạm vi yêu cầu đối với một Đơn vị liên kết kinh doanh theo HIPAA và tuân thủ yêu cầu áp dụng cho một Đơn vị liên kết kinh doanh theo HIPAA.

10. Cung cấp sổ sách và truy cập vào hồ sơ. Trong phạm vi yêu cầu của luật pháp và tuân theo các đặc quyền hiện hành giữa khách hàng-luật sư, Google sẽ cung cấp các phương thức nội bộ, sổ sách và hồ sơ liên quan đến việc sử dụng và tiết lộ PHI nhận được từ Khách hàng (hoặc do Google thay mặt Khách hàng tạo hoặc nhận) cho Bộ trưởng Bộ Y tế và Dịch vụ Con người Hoa Kỳ ("Bộ trưởng") để Bộ trưởng xác định việc tuân thủ BAA này.

11. Hết hạn và chấm dứt.
    1. BAA này sẽ chấm dứt tại thời điểm sớm hơn trong hai thời điểm sau: (i) thời điểm chấm dứt được phép theo Mục 11(b) dưới đây, hoặc (ii) thời điểm hết hạn hoặc chấm dứt tất cả các Thoả thuận mà theo đó Khách hàng có quyền truy cập vào Dịch vụ được bao gồm.
    2. Nếu một trong hai bên vi phạm nghiêm trọng BAA này, thì bên không vi phạm có thể chấm dứt BAA này sau 15 ngày kể từ ngày gửi thông báo bằng văn bản cho bên vi phạm, trừ phi lỗi vi phạm được khắc phục trong thời hạn 15 ngày đó. Nếu việc khắc phục theo Mục 11(b) này là không thể thực hiện được một cách hợp lý, thì bên không vi phạm có thể chấm dứt BAA này ngay lập tức, hoặc nếu việc chấm dứt hay khắc phục đều không khả thi theo Mục 11(b) này, thì bên không vi phạm có thể báo cáo lỗi vi phạm lên Bộ trưởng, theo tất cả các đặc quyền pháp lý hiện hành.
    3. Nếu BAA này bị chấm dứt sớm hơn (các) Thoả thuận, thì Khách hàng có thể tiếp tục sử dụng các Dịch vụ theo Thoả thuận, nhưng phải xóa mọi PHI mà Khách hàng duy trì trong các Dịch vụ được bao gồm và ngừng tạo, nhận, duy trì hoặc truyền thêm PHI tương tự tới Google.
12. Trả lại/Tiêu huỷ Thông tin. Khi chấm dứt (các) Thoả thuận,Google sẽ trả lại hoặc tiêu hủy tất cả PHI đã nhận được từ Khách hàng, hoặc do Google thay mặt cho Khách hàng tạo hoặc nhận; tuy nhiên, nếu việc trả lại hoặc tiêu huỷ là bất khả thi, thì Google sẽ mở rộng áp dụng các biện pháp bảo vệ theo BAA này cho những PHI không được trả lại hoặc tiêu huỷ và chỉ tiếp tục sử dụng và tiết lộ PHI cho những mục đích khiến việc trả lại hoặc tiêu huỷ PHI là bất khả thi.
13. Thay đổi đối với BAA này. Google có thể sửa đổi các điều khoản của BAA này (bao gồm cả các URL được đề cập trong các điều khoản này và nội dung trong các URL đó) tùy từng thời điểm. Thông báo về những nội dung sửa đổi đó sẽ có tại URL liên quan (hoặc URL khác mà Google có thể cung cấp tuỳ từng thời điểm) hoặc trên giao diện người dùng của Dịch vụ được bao gồm. Các thay đổi đối với những điều khoản này (bao gồm cả các thay đổi đối với nội dung trong URL) không có hiệu lực hồi tố và sẽ bắt đầu có hiệu lực sau khi được đăng tải 14 ngày. Tuy nhiên, các thay đổi đối với nội dung tham chiếu URL sẽ có hiệu lực ngay lập tức.
14. Các điều khoản khác.
    1. Tiếp tục có hiệu lực. Các Mục 12 (Trả lại/Tiêu huỷ thông tin) và 14 (Các điều khoản khác) vẫn sẽ tiếp tục có hiệu lực sau khi BAA này chấm dứt hoặc hết hạn.
    2. Hiệu lực của Phụ lục. Trong trường hợp BAA này mâu thuẫn với nội dung còn lại của (các) Thoả thuận, thì BAA này sẽ được áp dụng. BAA này tuân thủ mục "Luật điều chỉnh" trong (các) Thoả thuận. Trừ phi được điều chỉnh hoặc sửa đổi rõ ràng trong BAA này, các điều khoản của (các) Thoả thuận vẫn sẽ có hiệu lực hoàn toàn.

Các phiên bản trước

Ngày 16 tháng 11 năm 2020