• Tämä HIPAA Business Associate Addendum (liiketoimintasopimuksen muutos; "Liiketoimintasopimus") solmitaan Googlen ja seuraavat ehdot hyväksyvän asiakkaan ("Asiakas") välille. Se täydentää ja muuttaa palvelusopimusta/-sopimuksia sekä sisältyy niihin (määritelty alla) ainoastaan Sopimuksen piiriin kuuluvien palveluiden (määritelty alla) osalta. "Google" on määritelty osoitteessa https://cloud.google.com/terms/google-entity. Tämä Liiketoimintasopimus tulee voimaan sinä päivänä, kun Asiakas hyväksyy sen sähköisesti ("Liiketoimintasopimuksen voimaantulopäivä").

• Asiakkaalla on oltava voimassa oleva palvelusopimus, jotta tämä Liiketoimintasopimus on voimassa. Palvelusopimus ja tämä liiketoimintasopimus yhdessä säätelevät kunkin osapuolen velvollisuuksia, jotka liittyvät suojattuihin terveystietoihin (määritelty alla).

• Vakuutat, että i) sinulla on täydet lailliset valtuudet sitouttaa Asiakas tähän liiketoimintasopimukseen, ii) olet lukenut Liiketoimintasopimuksen ja hyväksyt sen ja iii) hyväksyt tämän liiketoimintasopimuksen ehdot asiakkaan puolesta. Jos sinulla ei ole valtuuksia sitouttaa Asiakasta tai et hyväksy näitä ehtoja, älä hyväksy näitä Liiketoimintasopimuksen ehtoja klikkaamalla Hyväksy.

  • 1. Määritelmät.

    • "Kaupallinen kumppani" on määritelty samoin kuin HIPAA-laissa ("Business Associate").

    • "Rikkomus" on määritelty samoin kuin HIPAA-laissa ("Breach").

    • "Sopimuksen piiriin kuuluva taho" on määritelty samoin kuin HIPAA-laissa ("Covered Entity").

    • "Sopimuksen piiriin kuuluvat palvelut" tarkoittavat Googlen tuotteita ja/tai palveluita, jotka on erikseen lueteltu Liitteen 1 URL-osoiteluettelossa. Google voi ajoittain päivittää luetteloa, mistä se ilmoittaa Asiakkaalle. Google voi poistaa Sopimuksen piiriin kuuluvan palvelun kyseisestä URL-osoiteluettelosta vähintään 12 kuukauden ennakkoilmoituksella.

    • "Nimetty tietuekokoelma" on määritelty samoin kuin HIPAA-laissa ("Designated Record Set").

    • "HIPAA" tarkoittaa Yhdysvaltain vuoden 1996 Health Insurance Portability and Accountability Act ‑lakia sekä siihen kuuluvia sääntöjä ja säädöksiä muutoksineen.

    • "HIPAA-lain toteutusopas" tarkoittaa opasta, jonka Google tarjoaa Liitteessä 2 annetun URL-osoitteen tai sen korvaavan URL-osoitteen kautta. Oppaassa kuvaillaan, miten Asiakas voi määrittää Sopimuksen piiriin kuuluvat palvelut täyttääkseen HIPAA-lain säädöstenmukaisuusvaatimukset.

    • "HITECH Act" tarkoittaa Yhdysvaltain kongressin säätämää Health Information Technology for Economic and Clinical Health Act ‑lakia, joka on American Recovery & Reinvestment Act ‑lain XIII osasto, sekä siihen kuuluvia sääntöjä ja säädöksiä muutoksineen.

    • "Suojatut terveystiedot" on määritelty samoin kuin HIPAA-laissa ("Protected Health Information", "PHI"). Tässä Liiketoimintasopimuksessa määritelmä rajoittuu sellaisiin Asiakkaan tietoihin sisältyviin Suojattuihin terveystietoihin, joihin Googlella on pääsy Sopimuksen piiriin kuuluvien palveluiden kautta Asiakkaan käyttäessä Sopimuksen piiriin kuuluvia palveluita sallitulla tavalla.

    • "Lain edellyttämä" on määritelty samoin kuin HIPAA-laissa ("Required by Law").

    • "Tietoturvaongelma" on määritelty samoin kuin HIPAA-laissa ("Security Incident").

    • "Palvelusopimus" tarkoittaa Googlen ja Asiakkaan välistä kirjallista sopimusta, joka koskee Sopimuksen piiriin kuuluvien palveluiden tarjoamista. Tällaiset sopimukset voivat olla online-käyttöehtojen muodossa.

  • 2. Sovellettavuus.

    • Tätä Liiketoimintasopimusta sovelletaan Asiakkaan toimiessa Sopimuksen piiriin kuuluvana tahona tai Kaupallisena kumppanina luodessaan, vastaanottaessaan, ylläpitäessään tai lähettäessään Suojattuja terveystietoja Sopimuksen piiriin kuuluvan palvelun kautta ja siinä määrin kuin Googlen katsotaan tämän puitteissa HIPAA-lain mukaiseksi Asiakkaan Kaupalliseksi kumppaniksi tai alihankkijaksi ("Subcontractor"). Asiakas hyväksyy, että tätä Liiketoimintasopimusta ei sovelleta a) muihin Googlen tuotteisiin, palveluihin tai ominaisuuksiin, jotka eivät kuulu Sopimuksen piiriin kuuluviin palveluihin, eikä b) muihin Sopimuksen piiriin kuuluvien palveluiden ulkopuolella Asiakkaan luomiin, vastaanottamiin, ylläpitämiin tai lähettämiin Suojattuihin terveystietoihin (mukaan lukien Asiakkaan käyttäessä sen paikallisia tai offline-tallennustyökaluja tai kolmansien osapuolten sovelluksia).

  • 3. Suojattujen terveystietojen sallittu käyttö ja luovuttaminen.

    • a. Ellei tässä Liiketoimintasopimuksessa toisin mainita, Google voi käyttää Suojattuja terveystietoja ja luovuttaa niitä ainoastaan i) Palvelusopimusten ja/tai tämän Liiketoimintasopimuksen sallimissa ja edellyttämissä rajoissa tai ii) lain niin vaatiessa.

    • b. Google voi käyttää ja luovuttaa Suojattuja terveystietoja niiden asianmukaisen hallinnoinnin ja hoitamisen sekä lainsäädännöllisten velvoitteiden edellyttäessä, mikäli Suojattujen terveystietojen luovuttaminen tällaiseen tarkoitukseen voi tapahtua vain i) lain vaatiessa tai ii) Googlen saatua luovutettavia Suojattuja terveystietoja saavalta henkilöltä kohtuullisen kirjallisen vakuutuksen, että kyseisiä tietoja käsitellään luottamuksellisesti ja ainoastaan niiden luovutuksen syyhyn liittyviin tarkoituksiin, ja että Googlelle ilmoitetaan niihin liittyvistä rikkomuksista ja tietoturvaongelmista.

  • 4. Asiakkaan velvollisuudet.

    • a. Asiakas ei pyydä Googlea tai Sopimuksen piiriin kuuluvia palveluita käyttämään tai luovuttamaan Suojattuja terveystietoja sellaisin tavoin, joita HIPAA-laki ei sallisi Asiakkaalle (jos Asiakas on Sopimuksen piiriin kuuluva taho) tai Sopimuksen piiriin kuuluvalle taholle, jonka Kaupallinen kumppani Asiakas on (ellei HIPAA-laki yksiselitteisesti salli tällaista Kaupalliselle kumppanille).

    • b. Asiakas varmistaa Palveluissa (HIPAA-lain toteutusoppaassa yksilöidyt palvelut mukaan lukien) käytettävin keinoin, että Loppukäyttäjät, jotka käyttävät Sopimuksen piiriin kuuluvia palveluita Suojattuja terveystietoja koskeviin asioihin, että Suojattujen terveystietojen käyttö rajoittuu Sopimuksen piiriin kuuluviin palveluihin. Asiakas tiedostaa ja hyväksyy, että Google tarjoaa HIPAA-lain toteutusoppaan ainoastaan tiedoksi Asiakkaan määritysvaihtoehdoista ja että Asiakas on yksin vastuussa siitä, että Asiakas ja sen Loppukäyttäjät käyttävät Sopimuksen piiriin kuuluvia palveluita HIPAA- ja HITECH-lakien mukaisesti.

  • 5. Tarkoituksenmukaiset turvatoimet.

    • Google ja Asiakas estävät Suojattujen terveystietojen luvattoman käytön ja luovuttamisen sekä täyttävät muut HIPAA-lain vaatimukset Sopimuksen piiriin kuuluvien palveluiden osalta tarkoituksenmukaisilla turvatoimilla.

  • 6. Ilmoittaminen ja siihen liittyvät velvoitteet.

    • a. Google ilmoittaa Asiakkaalle välittömästi i) Googlelle ilmenevistä tietoturvaongelmista 6 kohdan c alakohdan mukaisesti sekä ii) Googlen havaitsemista rikkomuksista. Rikkomuksista ilmoitetaan kohtuullisen ajan kuluessa, mutta viimeistään 60 kalenteripäivän kuluessa niiden havaitsemisesta. Tämän kohdan alaisissa ilmoituksissa kuvaillaan mahdollisimman tarkasti itse Rikkomus, siihen liittyvien mahdollisten riskien minimointitavat sekä toimet, joita Google suosittelee Asiakkaalle Rikkomukseen vastaamiseksi.

    • b. Google lähettää soveltuvat ilmoitukset siihen sähköpostiosoitteeseen, jonka Asiakas antaa Sopimuksessa, tai ottamalla Asiakkaaseen yhteyttä suoraan.

    • c. 6 kohdan a alakohdassa mainittuja poikkeuksia lukuun ottamatta tätä 6 kohdan c alakohtaa pidetään tiedonantona Asiakkaalle siitä, että Google kohtaa ajoittain epäonnistuneita yrityksiä päästä käsiksi tietoihin tai käyttää, luovuttaa, muuttaa tai hävittää niitä luvatta tai häiritä Googlen järjestelmien tai Sopimuksen piiriin kuuluvien palveluiden yleistä toimintaa. Asiakas tiedostaa ja hyväksyy, että vaikka edellä mainitut tapahtumat täyttävät Tietoturvaongelman merkit, tämän Liiketoimintasopimuksen mukaisesti Googlen ei tarvitse ilmoittaa tällaisista epäonnistuneista yrityksistä muutoin kuin tällä 6 kohdan c alakohdalla.

  • 7. Alihankkijat.

    • Google pyrkii sopivin keinoin varmistamaan, että Googlen Palvelusopimusten mukaisten velvollisuuksiensa hoitamiseen käyttämät Alihankkijat, jotka tarvitsevat pääsyn Suojattuihin terveystietoihin, ovat kirjallisesti hyväksyneet tätä Liiketoimintasopimusta vastaavan velvoitteen suojata Suojatut terveystiedot. Kun Google käyttää Alihankkijoita hoitaakseen tässä kuvailtuja velvollisuuksiaan, Google on vastuussa Alihankkijoiden toimista kuin omistaan.

  • 8. Pääsy ja muutokset.

    • Asiakas tiedostaa ja hyväksyy, että Asiakas on yksin vastuussa Sopimuksen piiriin kuuluvien palveluiden kautta ylläpitämiensä Suojattujen terveystietojen muodosta ja sisällöstä, mukaan lukien se, ylläpitääkö Asiakas tällaisia Suojattuja terveystietoja Sopimuksen piiriin kuuluviin palveluihin sisältyvässä Nimetyssä tietuekokoelmassa. Google tarjoaa Asiakkaalle pääsyn Asiakkaan Suojattuihin terveystietoihin Sopimuksen piiriin kuuluvien palveluiden kautta, jotta Asiakas voi täyttää HIPAA-lain mukaiset velvollisuutensa, jotka liittyvät Yksilöiden oikeuksiin päästä tietoihinsa ja muuttaa niitä. Googlella ei kuitenkaan ole Asiakasta tai muita Yksilöitä kohtaan muita Nimettyihin tietuekokoelmiin liittyviä velvoitteita (pääsy- ja muokkausoikeus Suojattuihin terveystietoihin mukaan lukien), joita HIPAA-laki myöntää Yksilöille. Asiakas on vastuussa Sopimuksen piiriin kuuluvien palveluiden käytön hoitamisesta niin, että Asiakas pystyy vastaamaan asianmukaisesti tällaisiin yksilöiden pyyntöihin.

  • 9. Tietojen luovuttamisen kirjaaminen.

    • Google kirjaa Googlen tekemien Suojattujen terveystietojen luovutukset ja antaa Asiakkaalle kirjallisen todistuksen tällaisista luovutuksista HIPAA-lain Kaupallisille kumppaneille asettamien vaatimusten mukaisesti ja HIPAA-lain määrittämässä laajuudessa.

  • 10. Pääsy tietueisiin.

    • Google antaa lain määrittämässä laajuudessa ja sovellettavien oikeudellisten oikeuksien puitteissa Asiakkaalta saatujen tai Googlen Asiakkaan puolesta luomien tai vastaanottamien Suojattujen terveystietojen käyttöä ja luovuttamista koskevat sisäiset käytäntönsä, kirjauksensa ja tietueensa Yhdysvaltain terveysministerille ("Terveysministeri"), jotta tämä voi määrittää säädöstenmukaisuuden tämän Liiketoimintasopimuksen kanssa.

  • 11. Vanhentuminen ja lopettaminen.

    • a. Seuraavista vaihtoehdoista aiemmin tapahtuva lopettaa tämän Liiketoimintasopimuksen: i) 11 kohdan b alakohdan mukainen sallittu sopimuksen lopettaminen, tai ii) kaikkien sellaisten Palvelusopimusten vanhentuminen tai lopettaminen, joiden kautta Asiakkaalla on pääsy Sopimuksen piiriin kuuluvaan palveluun.

    • b. Jos jompikumpi osapuoli oleellisesti rikkoo tätä Liiketoimintasopimusta, syytön osapuoli voi lopettaa tämän Liiketoimintasopimuksen ilmoittamalla siitä rikkomukseen syyllistyneelle osapuolelle 30 päivää ennakkoon, ellei rikkomusta korjata kyseisen 30 päivän aikana. Jos tämän 11 kohdan b alakohdan mukainen korjaus ei ole kohtuullisin keinoin mahdollinen, syytön osapuoli voi lopettaa tämän Liiketoimintasopimuksen välittömästi. Jos sopimuksen lopettaminen tai rikkomuksen korjaaminen tämän 11 kohdan b alakohdan mukaisesti ei ole kohtuullisin keinoin mahdollista, syytön osapuoli voi ilmoittaa rikkomuksesta Terveysministerille kaikkien laillisten erioikeuksien mukaisesti.

    • c. Jos tämä Liiketoimintasopimus lopetetaan ennen Palvelusopimuksia, Asiakas voi jatkaa Palveluiden käyttöä Palvelusopimusten mukaisesti. Asiakkaan on kuitenkin poistettava Sopimuksen piiriin kuuluvissa palveluissa ylläpitämänsä Suojatut terveystiedot sekä lopetettava tällaisten Suojattujen terveystietojen luominen, vastaanottaminen ja ylläpitäminen sekä niiden lähettäminen Googlelle.

  • 12. Tietojen palauttaminen/tuhoaminen.

    • Kun Palvelusopimuksia lopetetaan, Google palauttaa tai tuhoaa kaikki Asiakkaalta vastaanottamansa tai Asiakkaan puolesta luomansa Suojatut terveystiedot. Mikäli tällainen palauttaminen tai tuhoaminen ei ole toteutettavissa, Google jatkaa tämän Liiketoimintasopimuksen antamaa suojaa palauttamattomille tai tuhoamattomille Suojatuille terveystiedoille sekä rajoittaa niiden käytön ja luovuttamisen ainoastaan sellaisiin tarkoituksiin, joiden vuoksi Suojattujen terveystietojen palauttaminen tai hävittäminen ei ole toteutettavissa.

  • 13. Muuta.

    • a. Voimassa säilyminen. Osat 12 (Tietojen palauttaminen/tuhoaminen) ja 13 (Muuta) säilyvät voimassa tämän Liiketoimintasopimuksen vanhentumisen tai lopettamisen jälkeen.

    • b. Kaksoiskappaleet. Osapuolet voivat solmia tämän Liiketoimintasopimuksen kaksoiskappaleilla, mukaan lukien faksatut kopiot, PDF-kopiot tai muut sähköiset kopiot, jotka yhdessä muodostavat yhden instrumentin.

    • c. Lisäyksen vaikutus. Mikäli tämä Liiketoimintasopimus on ristiriidassa muiden Palvelusopimusten kanssa, tämä Liiketoimintasopimus on näiltä osin ensisijainen. Tähän Liiketoimintasopimukseen sovelletaan Palvelusopimusten Sovellettava lainsäädäntö ‑osion määräyksiä. Palvelusopimusten ehdot ovat voimassa, ellei niitä yksiselitteisesti muuteta tässä Liiketoimintasopimuksessa.

  • Google Workspace HIPAA BAA (Google LLC) 09032020

Liite 1Sopimuksen piiriin kuuluvien palveluiden luettelo

• Google Workspace ‑tuotteet ja ‑palvelut, joiden on yksiselitteisesti kerrottu osoitteessa https://workspace.google.com/terms/2015/1/hipaa_functionality.html kuuluvan Googlen Liiketoimintasopimuksen piiriin (yhdessä "Google Workspace ‑sopimuksen piiriin kuuluvat palvelut").

Liite 2HIPAA-lain toteutusopas

• Google Workspace ‑sopimuksen piiriin kuuluvien palveluiden osalta:

• HIPAA-lain toteutusopas on saatavilla seuraavasta osoitteesta: https://services.google.com/fh/files/misc/gsuite_cloud_identity_hipaa_implementation_guide.pdf