HIPAA商业伙伴协议

以下信息仅供参考。如果您希望使用Smartsheet输入BAA，请点击与我们的销售团队联系在这里．

---

本HIPAA商业伙伴协议(“英国机场管理局)是Smartsheet Inc. ("内容”)及以下签署的客户(“客户")，以规管客户取得及使用订阅服务("协议”)。本BAA于以下最后签署日期(“BAA生效日期”)。

1.适用性．根据本协议条款，本BAA规定了各方在HIPAA项下关于订阅服务的各自义务。"用户"承担一切责任，确保其对订阅服务的使用符合其在HIPAA、本协议和本BAA项下的义务。“客户”为履行其HIPAA义务所必需的“订阅服务”特性和功能仅在“订阅服务”的企业计划下可用(但不包括“遗留企业”计划)。因此，客户只能在企业计划下上传或提交客户PHI。如果"用户"从企业计划降级，"用户"应删除降级前上载或提交给"订阅服务"的任何PHI。更多细节可以在Smartsheet的HIPAA帮助文章中找到。

2.定义．本协议中未定义的大写术语具有本协议中规定的含义。以下术语具有HIPAA中定义的含义:违反”、“生意伙伴”、“涉及实体”、“指定记录集”、“个人”、“受保护的运行状况信息(PHI)”、“法律规定”、“安全事故”、“分包商”、“无担保φ， "和"劳动力．”

”客户的内容"系指客户或用户上传或提交在线服务并由Smartsheet代表客户处理的任何数据、文件附件、文本、图像、报告、个人信息或其他内容。

”客户φ”表示包含在“客户内容”中的PHI。

”HIPAA"系指1996年《健康保险可携性和责任法》及其下的规则和条例，包括《HITECH法》。

”HIPAA帮助文章"是指Smartsheet在help.smartsheet.com/articles/2476526提供与用户可用功能相关的信息，供用户根据HIPAA项下的义务配置和使用订阅服务。

”HIPAA法规"是指《联邦法规》第45章第160部分和第164部分中的隐私、安全、违约通知和执行规则。

”高科技的行为"系指美国国会颁布的《促进经济和临床健康的卫生信息技术法案》，即2009年《美国复苏与再投资法》A部第XIII条和B部第IV条，以及根据该法案制定的法规。

”方或"聚会，派对"指客户及/或智能表格(如适用)。

”秘书"指的是美国卫生与公众服务部部长。

”安全规则"系指《联邦法规》第45编第160部分和第164部分的A和C分部分。

”订阅服务指Smartsheet提供或控制的基于订阅的在线服务和应用程序。就本BAA而言，免费服务以及第三方提供的服务和应用程序(包括合作伙伴应用程序)不属于订阅服务的一部分，用户负责根据HIPAA项下的义务确定和实施适当的服务和应用程序使用措施。

”用户"指客户或其他用户允许或邀请访问和使用客户根据订单和本协议条款获得的订阅服务的任何个人。

3.双方的角色。

3.1双方同意，关于本BAA:

• 3.1.1当客户具有承保实体资格，并聘请Smartsheet代表客户执行某些功能或活动时，Smartsheet即为业务伙伴，这些功能或活动涉及Smartsheet通过订阅服务接收、维护或传输客户PHI;而且
• 3.1.2客户是业务伙伴，Smartsheet是分包商，当客户被聘请代表具有承保实体或业务伙伴资格的第三方履行某些职能或活动时(各为“HIPAA第三方)，涉及Smartsheet作为客户通过订阅服务接收、维护或传输HIPAA第三方的PHI。

4.内容。

除本BAA允许或要求或法律要求外，Smartsheet不会使用或披露客户PHI。

Smartsheet将使用适当的保障措施来遵守安全规则，并防止使用或披露除本BAA规定外的客户PHI。

4.3 Smartsheet将向客户提供违约或安全事件的书面通知(统称为“可报告的事件)，并在没有不当拖延的情况下意识到。通知将按照本协议中的通知要求发送给客户。

• 4.3.1 Smartsheet将根据Smartsheet的可报告事件政策和程序进行调查，并在必要时减轻或补救可报告事件(“违反管理”)。
• 4.3.2 Smartsheet将通过其违规管理向客户提供Smartsheet可获得的信息，包括事件的性质、披露的具体信息(如已知)以及任何缓解措施或补救措施("违反信息)，以允许客户遵守其在HIPAA项下的义务，作为应报告事件的结果。

4.4 Smartsheet将确保其分包商和受雇履行Smartsheet在本BAA项下涉及客户PHI的义务的员工受法定义务或书面协议的约束，该书面协议包括接收、维护、传输或以其他方式处理客户PHI的适当条款，并在本质上与本BAA一样保护客户PHI。Smartsheet对其分包商和员工在本BAA项下的义务方面的作为和不作为负责。

Smartsheet将通过订阅服务向客户提供指定记录集中的客户PHI，以便客户遵守其对个人的义务，包括访问、修改和核算客户PHI的披露。Smartsheet将以书面形式通知客户任何已确认的请求，Smartsheet直接收到有关客户PHI的个人。客户将全权负责识别相关的指定记录集和PHI，并遵守个人提出的任何要求。

4.6在法律要求的范围内，并根据适用的律师-客户特权和合同义务，Smartsheet将向秘书提供其内部实践、账簿和关于从客户处收到的或Smartsheet代表客户创建或接收的客户PHI的使用和披露的记录，以便秘书确定是否符合HIPAA规则。


5.客户。

5.1客户代表其自身及其用户声明并保证，其拥有以下所有必要的权利、权限和同意:(a)向订阅服务提交所有客户PHI;和(b)授予Smartsheet本协议中规定的处理客户PHI的有限权利。

5.2客户声明并保证，客户及其用户将遵守适用于使用或披露与订阅服务有关的客户PHI(包括HIPAA)的联邦和州法律。

5.3客户不得使用订阅服务向第三方或从第三方传输PHI，除非客户已与该第三方签订单独的HIPAA业务合作伙伴协议。Smartsheet没有义务保护本BAA项下的PHI，只要此类PHI是在订阅服务之外创建、接收、维护或传输的。

5.4关于"用户"对"订阅服务"及其用户的使用、管理和管理，"用户"(而非" Smartsheet ")应负责:(a)定期审查HIPAA "帮助条款"，该条款可能会不时更新，以解释适用法律的变化、反映流程改进或更新的实践;(b)在订阅服务中独立评估、实施并强制执行其认为必要的可用安全配置设置，以支持其遵守HIPAA;以及(c)管理哪些用户被授权创建、接收、维护或传输(包括通过共享或分发)客户PHI。

5.5客户应通知Smartsheet客户已同意的任何使用或披露客户PHI的限制，包括(如适用)客户必须同意的可能影响Smartsheet履行本BAA项下义务的限制。

6.允许使用和披露。

6.1 Smartsheet可以使用和披露客户PHI:(a)根据法律要求;(b)按客户书面要求或客户通过订阅服务的访问控制所允许的;或(c)“协议”中规定的，或防止或解决“服务”的技术问题或违反“BAA”或“协议”的行为。

6.2客户同意按照45 CFR§164.502(b)项下的要求，限制其上传或提交给订阅服务的客户PHI的数量。Smartsheet同意将其对客户PHI的使用或披露限制在本BAA项下允许的最低数量。

6.3尽管有上述允许的使用和披露，Smartsheet不会以违反45 CFR第164部分E子部分的方式使用或披露客户PHI，客户也不会要求Smartsheet进行任何此类违规使用或披露。

7.期限和终止。

7.1本BAA将在以下情况中较早发生者终止:(a)本协议规定的允许终止;(b)本协议期满或终止;或(c)签署取代本BAA的新业务伙伴协议。

7.2在订阅服务的授权访问和使用期限到期或终止后，Smartsheet将根据本协议的条款和条件返回、允许只读访问或提供不可恢复的客户PHI(如有);前提是Smartsheet可以保留包含在存档计算机系统备份中的客户PHI，该备份是根据Smartsheet的法律和财务合规义务或安全和灾难恢复政策和程序进行的。任何此类保留的客户PHI仍将受本BAA和适用协议条款的约束。

7.3任何一方对本BAA的重大违约均构成对本协议的重大违约。如果客户根据第5.5条发出的通知限制了Smartsheet处理本协议规定的客户PHI的能力，或者客户同意或必须遵守对该能力的限制或任何其他限制，Smartsheet有权提前五(5)个工作日书面通知客户，终止协议而不受罚款。此外，如果Smartsheet得知客户没有按照第5条规定的客户义务(包括不使用HIPAA帮助条款中讨论的可用功能)充分保护客户PHI，则Smartsheet可以暂停或终止客户对订阅服务的使用。

8.将军。

8.1修正案;豁免．除非另有明确规定，本BAA只能通过双方授权代表签署的书面协议进行修改。对本BAA的任何违约行为的弃权仅在以书面形式提出时才有效，且该弃权不得生效或被解释为对任何后续违约行为的弃权。

8.2.遣散费．如果本BAA的任何条款被认为是不可执行的，那么该条款将被解释为修改到必要的最低程度以使其可执行(如果法律允许)或忽略它(如果法律不允许)，本BAA的其余部分将保持书面有效。尽管有上述规定，如果修改或忽略不可执行的条款将导致本BAA的基本目的无法实现，则整个BAA将被视为无效。

8.3.优先顺序．关于本BAA的主题事项，如果本BAA与双方之间的任何其他书面协议(包括本协议)之间存在任何冲突，则以本BAA为准。双方之间可能已经存在的任何商业伙伴协议将被本BAA整体取代。

8.4通知．除非本BAA另有规定，双方将按照本协议在本BAA项下提供通知，但所有通知均可通过电子邮件发送。

8.5适用法律及司法管辖权．除HIPAA优先管辖的范围外，本BAA受本协议中规定的法律管辖，本BAA的各方特此就本BAA项下产生的任何争议，服从本协议中规定的司法管辖区和地点的选择(如果有)。

8.6.执行．除非法律另有规定:(a)只有客户有权对Smartsheet执行本BAA的任何条款;和(b) Smartsheet在本BAA项下的义务，包括任何适用的通知，仅针对客户。

8.7.责任．在本BAA双方之间，双方在本BAA项下的责任和救济均受本协议中规定的总责任限制和损害除外的约束。

8.8.HIPAA的变体．如果由于HIPAA的变更而需要对本BAA进行任何变更，则任一方均可就该法律变更向另一方提供书面通知。然后，双方将善意地讨论和协商解决该BAA变更所必需的任何变更，以便在切实可行的情况下尽快同意和实施这些变更或替代变更，前提是该等变更对订阅服务和Smartsheet业务运营的功能和性能合理。

8.9保留权利．尽管本BAA中有任何相反规定:(a) Smartsheet保留保留信息的权利，如果披露这些信息将对Smartsheet或其客户构成安全风险，或适用法律或合同义务禁止此类信息;以及(b) Smartsheet在本BAA项下的通知、响应或提供信息或合作不代表Smartsheet承认任何错误或责任。

最后更新:2021年11月18日