Adendo de Parceiro Comercial sujeito à HIPAA

Este Adendo de Parceiro Comercial da HIPAA ("BAA") é celebrado entre o Google e o cliente que concorda com estes termos ("Cliente") e complementa, altera e está incorporado ao(s) Contrato(s) definido(s) abaixo exclusivamente com relação aos Serviços Cobertos definidos abaixo. Este BAA entrará em vigor a partir da data em que o Cliente clicar para aceitá-lo ou se as partes de algum outro modo concordarem com este BAA.

O Cliente precisa ter um Contrato estabelecido para que este BAA se torne vigente. Em conjunto com o Contrato, este BAA regerá as respectivas obrigações de cada parte relacionadas às Informações protegidas de saúde definidas abaixo.

Você declara e garante que (i) tem plenos poderes para sujeitar o Cliente a este BAA, (ii) leu e entendeu este BAA e (iii) concorda, em nome do Cliente, com os termos deste BAA. Caso não tenha autoridade legal para estabelecer esse vínculo ou não concorde com estes termos, não assine nem clique para aceitar este BAA.

Os termos com letras iniciais maiúsculas não definidos neste BAA terão os respectivos significados atribuídos a eles (a) na seção Simplificação Administrativa da Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996, na Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica e nas respectivas regulamentações de implementação, conforme alteradas periodicamente (em conjunto, "HIPAA") ou (b) no(s) Contrato(s).

1.Definições.

O termo "Contrato(s)" indica o(s) acordo(s) estabelecido(s) por escrito entre o Google e o Cliente para o fornecimento dos Serviços Cobertos, que pode(m) estar na forma de Termos de Serviço on-line.

Os "Serviços Cobertos" referem-se ao Google Data Studio.

Os "Usuários Finais" têm a definição dada no Contrato.

"Google" refere-se à Entidade do Google que é uma das partes do(s) Contrato(s).

"Entidade do Google" significa a Google LLC, a Google Ireland Limited ou qualquer outro Afiliado da Google LLC.

O "Guia de Implementação da HIPAA" é o guia informativo disponibilizado pelo Google que descreve como os Serviços Cobertos podem ser configurados pelo Cliente no que diz respeito aos esforços de conformidade com a HIPAA feitos pelo Cliente. O Guia de Implementação da HIPAA para os Serviços Cobertos está disponível no seguinte URL: https://support.google.com/looker-studio/answer/10043514.

As "Informações protegidas de saúde" ou "PHI" têm a definição dada na HIPAA e, para os fins deste BAA, estão limitadas às PHIs nos Dados do Cliente a que o Google tem acesso por meio dos Serviços Cobertos com relação ao uso permitido desses serviços pelo Cliente.

2.Aplicabilidade.

1. Este BAA é aplicável na medida em que o Cliente atua como Entidade Coberta ou Parceiro Comercial para criar, receber, manter ou transmitir PHIs por meio de um Serviço Coberto e na medida em que o Google, como resultado, é considerado, nos termos da HIPAA, atuante como Parceiro Comercial ou Subcontratado do Cliente. O Cliente confirma que este BAA não se aplica (i) a nenhum outro produto, serviço ou recurso do Google que não seja um Serviço Coberto ou (ii) a nenhuma PHI que o Cliente criar, receber, mantiver ou transmitir fora dos Serviços Cobertos (incluindo o uso pelo Cliente das ferramentas de armazenamento off-line ou no local ou de aplicativos de terceiros).
2. Uma referência feita neste BAA a uma seção da HIPAA estará relacionada a tal seção e às eventuais alterações feitas periodicamente.

3.Uso e divulgação de PHIs.

1. O Google pode usar e divulgar PHIs apenas (i) de acordo com o permitido ou exigido pelos Contratos e/ou este BAA ou (ii) conforme exigido por lei.
2. O Google pode usar e divulgar PHIs para o próprio gerenciamento e administração e para cumpriras próprias responsabilidades legais, desde que quaisquer divulgações de PHIs para tais propósitos ocorram apenas se: (1) exigidas por lei ou (2) se o Google tiver garantias razoáveis por escrito de que a pessoa a quem as PHIs serão divulgadas manterá a confidencialidade das PHIs, que as PHIs serão usadas ou divulgadas apenas conforme exigido por lei ou pelo propósito para o qual elas tenham sido divulgadas e que o Google será notificado sobre quaisquer Violações ou Incidentes de Segurança.
3. Na medida exigida pela HIPAA como "mínimo necessário", o Google apenas solicitará, usará e divulgará o mínimo necessário de PHIs para atender ao propósito da solicitação, do uso ou da divulgação.
4. Na medida em que o Google concordar por escrito em realizar qualquer uma das obrigações do Cliente conforme a Regra de Privacidade da HIPAA, o Google deverá atender às exigências da Regra de privacidade da HIPAA aplicáveis ao Cliente no cumprimento de tais obrigações.

4.Obrigações do Cliente.

1. O Cliente é o único responsável por verificar se os Usuários Finais dele estão autorizados a compartilhar, divulgar, criar e/ou usar as PHIs nos Serviços Cobertos.
2. O Cliente não poderá solicitar que o Google ou os Serviços Cobertos usem ou divulguem PHIs de qualquer forma que, de acordo com a HIPAA, é proibida para o Cliente (se o Cliente for uma Entidade Coberta) ou para a Entidade Coberta da qual o Cliente é um Parceiro Comercial (a menos que explicitamente permitido segundo a HIPAA para um Parceiro Comercial), exceto conforme consta na Seção 3 deste BAA.
3. Quando o Cliente divulgar PHIs ao Google, o Cliente fornecerá o mínimo necessário de PHIs para a concretização do propósito do Google.
4. Para Usuários Finais que utilizam os Serviços Cobertos envolvendo PHIs, o Cliente usará os controles disponíveis nos Serviços, incluindo aqueles tratados em detalhes no Guia de Implementação da HIPAA, para garantir que o uso de PHIs se limite aos Serviços Cobertos. O Cliente reconhece e concorda que o Guia de Implementação da HIPAA é fornecido pelo Google apenas para fins informativos com relação às opções de configuração do Cliente. O Cliente também reconhece que é o único responsável por garantir que o Cliente e os Usuários Finais dele usem os Serviços Cobertos de acordo com a HIPAA.
5. O Cliente garante que recebeu e que receberá todos os consentimentos, autorizações e/ou outras permissões legais exigidas pela HIPAA e/ou outras leis aplicáveis concernentes à divulgação de PHIs ao Google. Caso sejam feitas mudanças ou revogações das permissões dadas por Indivíduos com relação ao uso ou divulgação de PHIs, o Cliente será responsável por administrar o uso que faz dos Serviços Cobertos no sentido de atualizar e/ou excluir tais PHIs dos Serviços Cobertos.

5.Salvaguardas. O Google e o Cliente usarão as salvaguardas razoáveis e apropriadas para evitar o uso ou a divulgação de PHIs, exceto nos casos permitidos ou exigidos por este BAA. Além disso, o Google deverá implementar Salvaguardas Administrativas, SalvaguardasFísicas e Salvaguardas Técnicas que ofereçam proteção razoável e adequada à Confidencialidade, Integridade e Disponibilidade das PHIs transmitidas ou mantidas em Mídias Eletrônicas ("EPHI") que criar, receber, mantiver ou transmitir em nome do Cliente. O Google deverá cumprir as normas aplicáveis da Regra de Segurança da HIPAA relacionadas às EPHIs.

6.Geração de relatórios e obrigações relacionadas.

1. O Google notificará imediatamente ao Cliente quaisquer (i) Incidentes de Segurança de que tomar conhecimento, conforme a Seção 6(c) e (ii) Violações que descubra, desde que a notificação quanto à Violação seja feita imediatamente e sem atraso desarrazoado, não devendo em nenhuma hipótese exceder 60 dias corridos após a descoberta da Violação. As notificações feitas conforme esta seção irão descrever, na medida do possível, os detalhes da respectiva Violação, incluindo as etapas realizadas para mitigar os possíveis riscos, e as etapas que o Google recomenda que o Cliente siga para lidar com a Violação.
2. O Google enviará as notificações aplicáveis ao endereço de e-mail informado pelo Cliente no Contrato (e/ou na interface do usuário do serviço aplicável) ou via comunicação direta com o Cliente.
3. Independentemente da Seção 6(a), esta Seção 6(c) será considerada como um aviso ao Cliente de que o Google periodicamente sofre tentativas malsucedidas de acesso, uso, divulgação, modificação ou destruição não autorizada de informações ou interferência na operação geral dos sistemas de informação do Google e dos Serviços Cobertos. O Cliente reconhece e concorda que, mesmo se tais eventos constituírem um Incidente de Segurança, o Google não precisará enviar nenhuma notificação conforme este BAA com relação às tentativas malsucedidas além do que é tratado nesta Seção 6(c).
4. O Google tomará as medidas razoáveis para mitigar, na medida do possível, quaisquer efeitos prejudiciais (sobre os quais ele tenha conhecimento) de um uso ou divulgação de PHIs pelo Google que constituam violação deste BAA.
5. O Google informará ao Cliente quaisquer usos ou divulgações de PHIs de que o Google tome conhecimento e que não sejam permitidos por este BAA.

7.Subcontratados. O Google firmará um contrato por escrito, de acordo com a Parte 45 do C.F.R. dos EUA, §§ 164.504(e) e 164.314(a)(2), conforme aplicável, com cada Subcontratado que criar, receber, mantiver ou transmitir PHIs em nome do Google. O Google garantirá que o contrato por escrito com cada Subcontratado obrigue tal Subcontratado a respeitar as restrições e condições que proporcionam o mesmo nível material de proteção para PHIs que o fornecido por este BAA.

8.Acesso e alteração. O Cliente reconhece e concorda que é o único responsável pelo formato e conteúdo das PHIs mantidas por ele nos Serviços Cobertos, incluindo se o Cliente mantém tais PHIs em um Conjunto de Registros Designado nos Serviços Cobertos. O Google providenciará ao Cliente o acesso às PHIs do Cliente por meio dos Serviços Cobertos para que o Cliente possa cumprir as respectivas obrigações estabelecidas na HIPAA relacionadas aos direitos de acesso e alteração dos Indivíduos. No entanto, o Google não terá nenhuma outra obrigação perante o Cliente ou qualquer Indivíduo relacionada aos direitos conferidos a Indivíduos pela HIPAA com relação aos Conjuntos de Registros Designados, incluindo direitos de acesso ou alteração de PHIs. O Cliente é responsável por administrar o próprio uso dos Serviços Cobertos para responder adequadamente a essas solicitações de Indivíduos.

9.Prestação de contas sobre divulgações. O Google irá documentar divulgações de PHIs por parte do Google e prestar contas ao Cliente sobre essas divulgações conforme exigido de um Parceiro Comercial de acordo com a HIPAA e seguindo as exigências aplicáveis a um Parceiro Comercial segundo a HIPAA.

10.Disponibilidade dos livros de registros e acesso aos registros. Até onde exigido por lei e respeitando-se os privilégios aplicáveis à relação entre cliente e advogado, o Google irá disponibilizar as próprias práticas internas, registros e livros de registros sobre o uso e divulgação de PHIs recebidas do Cliente, ou criadas ou recebidas pelo Google em nome do Cliente, à Secretaria do Departamento de Saúde e de Serviços Humanos dos Estados Unidos ("Secretaria") para que a Secretaria possa verificar a conformidade com este BAA.

11.Extinção e rescisão.

1. Este BAA será extinto (i) no caso de uma rescisão de acordo com a Seção 11(b) abaixo ou (ii) mediante a extinção ou rescisão de todos os Contratos por meio dos quais o Cliente tenha acesso a um Serviço Coberto, o que ocorrer primeiro.
2. Se alguma das partes violar este BAA, a outra parte cumpridora do BAA poderá rescindir este BAA mediante um aviso por escrito enviado com 15 dias de antecedência para a parte que violou o BAA, a menos que tal violação seja resolvida dentro desse período de 15 dias. Se não for possível resolver a violação conforme esta Seção 11(b), a parte cumpridora do BAA poderá rescindir imediatamente este BAA. Se não for possível rescindir o BAA nem resolver a violação conforme esta Seção 11(b), a parte cumpridora do BAA poderá denunciar a violação à Secretaria, estando sujeita a todos os privilégios legais aplicáveis.
3. Se este BAA for extinto antes do(s) Contrato(s), o Cliente poderá continuar a usar os Serviços conforme o(s) Contrato(s), mas precisará excluir quaisquer PHIs que mantenha nos Serviços Cobertos e, a partir da extinção, deixar de criar, receber, manter ou transmitir tais PHIs para o Google.

12.Devolução/destruição de informações. Na ocasião da extinção do(s) Contrato(s), o Google devolverá ou destruirá todas as PHIs recebidas do Cliente, ou criadas ou recebidas pelo Google em nome do Cliente. Contudo, se a devolução ou destruição não for viável, o Google estenderá as proteções deste BAA às PHIs que não forem devolvidas nem destruídas e limitará os usos e divulgações posteriores para tais fins que tornam inviável a devolução ou destruição das PHIs.

13.Mudanças neste BAA.O Google pode modificar os termos deste BAA (incluindo os URLs mencionados nestes termos e o conteúdo encontrado neles) periodicamente.Para quaisquer modificações feitas, será inserido um aviso no respectivo URL (ou em um URL diferente que o Google poderá informar periodicamente) ou na interface do usuário do Serviço Coberto relevante.As alterações feitas nestes termos (incluindo mudanças no conteúdo dos URLs) não serão aplicadas de modo retroativo e entrarão em vigor 14 dias após a publicação, exceto alterações em referências de URLs, que entrarão em vigor imediatamente.

14.Disposições diversas.

1. Continuidade da vigência. As Seções 12 (Devolução/destruição de informações) e 14 (Disposições diversas) continuarão vigentes após a extinção ou rescisão deste BAA.
2. Efeitos do adendo. Em caso de discordância entre este BAA e o restante do(s) Contrato(s), este BAA prevalecerá. Este BAA está sujeito à seção "Legislação aplicável" do(s) Contrato(s). Exceto se explicitamente modificado ou alterado conforme este BAA, os termos do(s) Contrato(s) permanecerão vigentes.

v1 16112020