Demnächst verfügbar Benachrichtigt werden
Funktionen Preise API Referenz Über
Melden Sie sich an Demnächst verfügbar

Business Associate Agreement (BAA)

v1.0 – Gültig ab März 2026

Morlivo, a brand of Stelica Ventures LLC, a Texas limited liability company ("Morlivo", "Business Associate"), is committed to safeguarding Protected Health Information (PHI) in accordance with the Health Insurance Portability and Accountability Act of 1996 (HIPAA), as amended by the HITECH Act. This Business Associate Agreement ("BAA") governs the relationship between Morlivo and our customers ("Covered Entity") with respect to the handling of PHI. References to "Morlivo" or "Morlivo.ai" refer to Stelica Ventures LLC doing business as Morlivo.ai.

1. Geltungsbereich und Zweck

This Business Associate Agreement ("BAA") supplements and is made part of the service agreement between Covered Entity and Business Associate. It establishes the terms under which Business Associate may create, receive, maintain, or transmit Protected Health Information ("PHI") on behalf of Covered Entity in connection with the translation, transcription, and language processing services provided by Morlivo (the "Services").

The parties acknowledge that Business Associate may access, use, or disclose PHI in the course of providing the Services, and this BAA sets forth the obligations of Business Associate with respect to such PHI pursuant to the applicable provisions of HIPAA, the HITECH Act, and their implementing regulations (collectively, the "HIPAA Rules").

2. Zulässige Nutzungen und Offenlegungen

Der Geschäftspartner darf PHI ausschließlich verwenden oder offenlegen:

  • Soweit erforderlich, um die in der zugrunde liegenden Servicevereinbarung beschriebenen Dienste auszuführen.
  • Wie gesetzlich vorgeschrieben, einschließlich, aber nicht beschränkt auf Offenlegungen, die vom Minister des US-Gesundheitsministeriums verlangt werden.
  • Für die ordnungsgemäße Verwaltung und Verwaltung von Business Associate, sofern eine Offenlegung gesetzlich vorgeschrieben ist oder Business Associate angemessene Zusicherungen von Dritten einholt, dass die Informationen vertraulich behandelt werden.
  • Bereitstellung von Datenaggregationsdiensten im Zusammenhang mit den Gesundheitsdiensten des abgedeckten Unternehmens, sofern dies im Servicevertrag ausdrücklich gestattet ist.

Business Associate shall not use or disclose PHI in a manner that would violate the HIPAA Rules if done by Covered Entity, except as expressly permitted in this BAA. Business Associate shall not use PHI for marketing purposes, sell PHI, or use PHI for underwriting purposes.

3. Schutzmaßnahmen

Business Associate shall implement and maintain administrative, physical, and technical safeguards that reasonably and appropriately protect the confidentiality, integrity, and availability of PHI, including electronic PHI (ePHI), as required by the HIPAA Security Rule. These safeguards include but are not limited to:

  • Verschlüsselung von ePHI im Ruhezustand mit AES-256 und während der Übertragung mit TLS 1.2 oder höher.
  • Rollenbasierte Zugriffskontrollen, die den PHI-Zugriff nur auf autorisiertes Personal beschränken.
  • Umfassende Audit-Protokollierung aller Zugriffe und Änderungen von PHI.
  • Regelmäßige Risikobewertungen und Schwachstellenscans.
  • Mitarbeiterschulung zu HIPAA Anforderungen und Sicherheitsbewusstsein.
  • Sichere Entsorgungsverfahren für PHI, die für die Dienste nicht mehr benötigt werden.

Business Associate shall ensure that any agent, including subcontractors, to whom it provides PHI agrees to the same restrictions and conditions that apply to Business Associate under this BAA, in accordance with 45 CFR § 164.502(e)(1)(ii).

4. Benachrichtigung über Verstöße

Business Associate shall report to Covered Entity any use or disclosure of PHI not permitted by this BAA of which it becomes aware, including any Breach of Unsecured PHI as defined in 45 CFR § 164.402. Business Associate shall provide such notification without unreasonable delay and in no event later than thirty (30) calendar days after discovery of the Breach.

Die Mitteilung muss, soweit verfügbar, Folgendes enthalten:

  • Identifizierung jeder Person, auf deren ungesicherte PHI zugegriffen wurde oder von der man vernünftigerweise annehmen kann, dass sie erworben, genutzt oder offengelegt wurde.
  • Eine Beschreibung der Art des Verstoßes, einschließlich der beteiligten PHI-Typen.
  • Das Datum des Verstoßes und das Datum seiner Entdeckung.
  • Eine Beschreibung der Schritte, die Business Associate unternimmt, um den Verstoß zu untersuchen und abzuschwächen und zukünftige Vorkommnisse zu verhindern.
  • Kontaktinformationen für Personen, die zusätzliche Details bereitstellen können.

5. Laufzeit und Kündigung

This BAA shall be effective as of the date of execution and shall remain in effect for the duration of the underlying service agreement, unless earlier terminated as provided herein.

Either party may terminate this BAA if it determines that the other party has violated a material term of this BAA. The non-breaching party shall provide the breaching party with written notice of the violation and afford thirty (30) days to cure. If cure is not feasible, the non-breaching party may immediately terminate both this BAA and the underlying service agreement.

Upon termination, Business Associate shall, at the election of Covered Entity, return or destroy all PHI received from or created on behalf of Covered Entity. If return or destruction is not feasible, Business Associate shall extend the protections of this BAA to such PHI and limit further uses and disclosures to those purposes that make return or destruction infeasible.

6. Abgedeckte Pflichten des Rechtsträgers

  • Das abgedeckte Unternehmen muss den Geschäftspartner über alle Einschränkungen in seiner Mitteilung zu Datenschutzpraktiken informieren, die sich auf die Nutzung oder Offenlegung von PHI durch den Geschäftspartner auswirken können.
  • Das abgedeckte Unternehmen muss den Geschäftspartner über alle Änderungen oder den Widerruf der Genehmigung einer Einzelperson zur Nutzung oder Offenlegung von PHI informieren, soweit sich diese Änderungen auf die zulässigen Nutzungen und Offenlegungen des Geschäftspartners auswirken können.
  • Das abgedeckte Unternehmen darf Geschäftspartner nicht auffordern, PHI in einer Weise zu verwenden oder offenzulegen, die gegen die HIPAA-Regeln verstoßen würde.

7. Verschiedenes

This BAA shall be governed by and construed in accordance with applicable federal law, including the HIPAA Rules. Any ambiguity in this BAA shall be interpreted to permit compliance with the HIPAA Rules. This BAA constitutes the entire agreement between the parties with respect to the subject matter hereof and supersedes all prior agreements, whether written or oral, relating to the same subject matter.

Fordern Sie eine BAA an

To request a Business Associate Agreement, contact our compliance team. We will work with you to execute a BAA tailored to your organization's needs.

Kontaktieren Sie das Compliance-Team Fordern Sie eine BAA-Vorlage an