Politique de confidentialité de l'HIPPA

2 Responsabilités en tant qu'associé commercial

2.1 Responsable de la protection de la vie privée et personne de contact

Claire-Louise Cook est le responsable de la protection de la vie privée pour XTM International Inc. Le responsable de la protection de la vie privée est chargé de superviser les accords d'association commerciale conclus par XTM International Inc avec les entités couvertes. En outre, le responsable de la protection de la vie privée sera chargé de contrôler la conformité de XTM International Inc avec les termes de ces accords d'association commerciale.

2.2 Formation du personnel

Le responsable de la protection de la vie privée est chargé de veiller à ce que tous les membres du personnel reçoivent la formation nécessaire et appropriée pour se conformer aux termes des accords d'association commerciale de l'HIPAA.

2.3 Mesures de protection et pare-feu

XTM International Inc. mettra en place des mesures de protection administratives, techniques et physiques appropriées afin d'éviter que les PHI ne soient utilisés ou divulgués, intentionnellement ou non, en violation des exigences de l'HIPAA. Les mesures de protection administratives comprennent la mise en œuvre de procédures pour l'utilisation et la divulgation des PHI. Les garanties techniques comprennent la limitation de l'accès aux informations. Les mesures de protection physique comprennent le verrouillage des portes.

2.4 Plaintes

Le responsable de la protection de la vie privée est la personne de contact chargée de recevoir les plaintes. Toute personne qui estime que la présente politique ou les conditions d'un accord d'association commerciale ont été violées doit signaler cette violation au responsable de la protection de la vie privée.

2.5 Sanctions en cas de violation de la politique de protection de la vie privée

Les sanctions pour l'utilisation ou la divulgation de PHI en violation de cette politique ou d'un accord d'association commerciale seront prises par XTM International Inc. Les sanctions peuvent inclure une réprimande, une suspension ou un licenciement.

2.6 Atténuation des divulgations involontaires de RPS

XTM International Inc. atténuera, dans la mesure du possible, tout effet néfaste dont elle aurait connaissance à la suite d'une utilisation ou d'une divulgation de RPS en violation de la présente politique ou d'un accord d'association commerciale. Par conséquent, si une personne a connaissance d'une utilisation ou d'une divulgation non autorisée de RPS, elle doit immédiatement contacter le responsable de la protection de la vie privée afin que des mesures appropriées soient prises pour atténuer les effets néfastes.

2.7 Pas d'actes d'intimidation ou de représailles

Il est interdit d'intimider, de menacer, de contraindre, de discriminer ou de prendre d'autres mesures de rétorsion à l'encontre de personnes qui exercent leurs droits, déposent une plainte, participent à une enquête ou s'opposent à toute pratique inappropriée en vertu de la HIPAA.

2.8 Documentation

Les politiques et procédures de XTM International Inc en matière de protection de la vie privée doivent être documentées et conservées pendant au moins six ans à compter de la dernière date d'entrée en vigueur. Les politiques et procédures doivent être modifiées si nécessaire ou approprié afin de se conformer aux changements de la loi, des normes, des exigences et des spécifications de mise en œuvre (y compris les changements et les modifications des réglementations). Toute modification des politiques ou des procédures doit être rapidement documentée.

3. Politiques relatives à l'utilisation et à la divulgation d'informations de santé protégées

3.1 Utilisations et divulgations autorisées au nom de l'entité couverte

XTM International Inc est autorisé à utiliser et à divulguer les PHI qu'il crée ou reçoit au nom de l'entité couverte ou qu'il reçoit de l'entité couverte (ou d'un autre associé commercial de l'entité couverte) et à demander des PHI au nom de l'entité couverte (collectivement, "PHI de l'entité couverte") afin de fournir des services à l'entité couverte.

3.2 Utilisations et divulgations autorisées dans le cadre des activités de XTM International Inc.

XTM International Inc est autorisée à utiliser les RPS de l'entité couverte dans le cadre d'une gestion et d'une administration adéquates ou pour s'acquitter de responsabilités légales, à condition que, en ce qui concerne la divulgation des RPS de l'entité couverte : (A) la divulgation soit requise par la loi ; ou (B) XTM International Inc obtienne une assurance raisonnable de toute personne ou entité à laquelle XTM International Inc divulguera les RPS de l'entité couverte que la personne ou l'entité en question :

• Garder les RPS de l'entité couverte en toute confidentialité.

• Utiliser ou divulguer les RPS de l'entité couverte uniquement dans le but pour lequel l'associé commercial a divulgué les RPS de l'entité couverte à la personne ou à l'entité ou selon les exigences de la loi.

• Aviser rapidement XTM International Inc. (qui avisera à son tour l'entité couverte conformément aux dispositions relatives à la notification des violations) de tout cas dont la personne ou l'entité prend connaissance et dans lequel la confidentialité des renseignements personnels de l'entité couverte a été violée.

3.2 Respect de la norme du "minimum nécessaire

Dans l'exercice des fonctions, des activités, des services et des opérations précisées ci-dessus, XTM International Inc s'efforcera raisonnablement d'utiliser, de divulguer et de demander uniquement le minimum de RPS de l'entité couverte raisonnablement nécessaire pour atteindre l'objectif prévu de l'utilisation, de la divulgation ou de la demande, sauf que XTM International Inc ne sera pas obligée de se conformer à cette limitation au minimum nécessaire si ni XTM International Inc ni l'entité couverte n'est tenue de limiter son utilisation, sa divulgation ou sa demande au minimum nécessaire. L'expression "minimum nécessaire" doit être interprétée conformément à l'HIPAA et à ses règlements d'application.

3.3 Divulgation des PHI aux sous-traitants et aux agents

XTM International Inc exigera de ses sous-traitants et agents qu'ils fournissent une assurance raisonnable que ces sous-traitants ou agents se conformeront aux mêmes obligations de protection de la vie privée et de la sécurité en ce qui concerne les PHI de l'entité couverte et/ou les PHI électroniques qui s'appliquent à XTM International Inc.

3.4 Violation de la vie privée ou de la sécurité

XTM International Inc signalera à l'entité couverte toute utilisation ou divulgation des RPS de l'entité couverte qui n'est pas autorisée par l'accord d'association commerciale, ainsi que toute violation des RPS non sécurisés de l'entité couverte. XTM International Inc traitera la violation comme étant découverte conformément à la norme 45 CFR § 164.410. XTM International Inc fera un rapport au responsable de la protection de la vie privée de l'entité couverte au plus tard 30 jours civils après que XTM International Inc a pris connaissance de l'utilisation ou de la divulgation non autorisée. Si un délai est demandé par un représentant des forces de l'ordre conformément à l'article 164.412 du 45 CFR, XTM International Inc peut retarder la notification à l'agent de protection de la vie privée de l'entité couverte,

XTM International Inc peut retarder la notification à l'entité couverte pendant la période applicable. Le rapport de XTM International Inc doit au moins

• Identifier la nature de la violation ou de toute autre utilisation ou divulgation non autorisée, y compris une brève description de ce qui s'est passé, y compris la date de la violation et la date de la découverte de la violation.

• Identifier les PHI de l'entité couverte qui ont fait l'objet d'une utilisation ou d'une divulgation non autorisée ou d'une violation (par exemple, si le nom complet, le numéro de sécurité sociale, la date de naissance, l'adresse du domicile, le numéro de compte ou d'autres informations ont été impliqués) sur une base individuelle.

• Déterminer qui a procédé à l'utilisation ou à la divulgation non autorisée et qui a reçu la divulgation non autorisée.

• Identifier les mesures correctives ou d'investigation que XTM International Inc a prises ou prendra pour empêcher d'autres utilisations ou divulgations non autorisées, pour atténuer les effets néfastes et pour se prémunir contre d'autres violations.

• Identifier les mesures que les personnes ayant fait l'objet d'une violation doivent prendre pour se protéger.

• Fournir toute autre information, y compris un rapport écrit, que l'entité couverte peut raisonnablement demander.

3.5 Incidents de sécurité

XTM International Inc. signalera à l'entité couverte toute tentative ou réussite (A) d'accès non autorisé, d'utilisation, de divulgation, de modification ou de destruction des PHI électroniques de l'entité couverte ou (B) d'interférence avec les opérations du système de XTM International Inc. dans les systèmes d'information, dont XTM International Inc. a connaissance.

3.6 Interdiction d'utilisation ou de divulgation non autorisée

XTM International Inc n'utilisera ni ne divulguera les RPS de l'entité couverte, sauf si cela est autorisé ou requis par un accord d'association commerciale ou par écrit par l'entité couverte ou si cela est requis par la loi. XTM International Inc ne peut pas utiliser ou divulguer les RPS de l'entité couverte d'une manière qui violerait la règle de confidentialité si elle était faite par l'entité couverte.

4. Politiques sur les droits individuels

4.1 Accès aux PHI et demandes de modification

Dans les 20 jours calendaires suivant la demande de l'entité couverte, XTM International Inc mettra à la disposition de l'entité couverte ou, à la demande de l'entité couverte, d'un individu (ou de son représentant personnel) pour inspection et pour obtenir des copies des PHI de l'entité couverte concernant l'individu qui est sous la garde ou le contrôle de XTM International Inc, afin que l'entité couverte puisse respecter ses obligations d'accès en vertu de 45 CFR § 164.524. À compter de la date spécifiée par le HHS, si les PHI sont conservés dans un dossier médical électronique, l'individu aura le droit d'obtenir de XTM International Inc une copie de ces informations dans un format électronique. XTM International Inc fournira une telle copie à l'entité couverte ou, alternativement, à l'individu directement, si ce choix alternatif est clairement, ostensiblement et spécifiquement fait par l'individu ou l'entité couverte.

4.2 Comptabilité

XTM International Inc. aidera les entités couvertes à remplir leurs obligations en matière de comptabilisation des divulgations conformément à la norme 45 CFR § 164.528 :
Disclosures Subject to Accounting. XTM International Inc enregistrera les informations spécifiées ci-dessous ("Informations de divulgation") pour chaque divulgation de PHI de l'entité couverte, non exclue de la comptabilité de divulgation comme spécifié ci-dessous, que XTM International Inc fait à l'entité couverte ou à une tierce partie.

• Divulgations non soumises à la comptabilité. XTM International Inc n'est pas tenu d'enregistrer les informations de divulgation ni de rendre compte des divulgations.

• XTM International Inc ne sera pas obligé d'enregistrer les informations de divulgation ou de rendre compte des divulgations des PHI de l'entité couverte si l'entité couverte n'a pas besoin de rendre compte de ces divulgations.

• Informations sur les divulgations. En ce qui concerne toute divulgation par XTM International Inc des RPS de l'entité couverte qui n'est pas exclue de la comptabilité des divulgations, XTM International Inc enregistrera les informations de divulgation suivantes selon le type de divulgation responsable effectuée :

  • Informations sur la divulgation en général. l'exception des divulgations répétitives des RPS de l'entité couverte, comme spécifié ci-dessous, les informations de divulgation que XTM International Inc doit enregistrer pour chaque divulgation responsable sont (i) la date de divulgation, (ii) le nom et (si connu) l'adresse de l'entité à laquelle XTM International Inc a fait la divulgation, (iii) une brève description des RPS de l'entité couverte divulgués, et (iv) une brève déclaration de l'objectif de la divulgation.

  • Informations sur la divulgation pour les divulgations répétitives. Pour les divulgations répétitives des PHI de l'entité couverte que XTM International Inc fait dans un seul but à la même personne ou entité (y compris l'entité couverte), les informations de divulgation que XTM International Inc doit enregistrer sont soit les informations de divulgation spécifiées ci-dessus pour chaque divulgation responsable, soit (i) les informations de divulgation spécifiées ci-dessus pour la première des divulgations responsables répétitives ; (ii) la fréquence, la périodicité ou le nombre de divulgations responsables répétitives ; et (iii) la date de la dernière des divulgations responsables répétitives.

  • Disponibilité des informations de divulgation. XTM International Inc. conservera les informations de divulgation pendant au moins six ans à compter de la date de la divulgation responsable à laquelle les informations de divulgation se rapportent (trois ans pour les divulgations liées à un dossier médical électronique, à compter de la date spécifiée par le HHS). XTM International Inc mettra les informations de divulgation à la disposition de l'entité couverte dans les 30 jours calendaires suivant la demande de l'entité couverte pour ces informations de divulgation afin de se conformer à la demande de comptabilité de divulgation d'un individu. À compter de la date spécifiée par le HHS, en ce qui concerne les divulgations liées à un dossier médical électronique, XTM International Inc. fournira le compte rendu directement à une personne faisant une telle demande de divulgation, si une réponse directe est demandée par la personne.

4.3 Demandes de restrictions sur l'utilisation et la divulgation d'informations de santé protégées

XTM International Inc se conformera à tout accord conclu par l'entité couverte qui (i) restreint l'utilisation ou la divulgation des informations de santé protégées de l'entité couverte conformément à l'article 164.522(a) du 45 CFR, ou (ii) exige une communication confidentielle des informations de santé protégées de l'entité couverte conformément à l'article 164.522(b) du 45 CFR, à condition que l'entité couverte informe XTM International Inc par écrit des restrictions ou des obligations de communication confidentielle auxquelles XTM International Inc doit se conformer. L'entité couverte informera rapidement XTM International Inc par écrit de la résiliation d'un tel accord de restriction ou d'une telle obligation de communication confidentielle et, en ce qui concerne la résiliation d'un tel accord de restriction, indiquera à XTM International Inc si les PHI de l'entité couverte resteront soumis aux conditions de l'accord de restriction.