Business Associate Agreement

HIPAA BUSINESS ASSOCIATE AGREEMENT

Last Updated: February 12, 2026

1. Purpose and Scope

This HIPAA Business Associate Agreement ("Agreement") is entered into by and between the customer, entity, or person accepting this Agreement (the "Covered Entity") and IT PROGRAMMING CORP, a Florida corporation (the "Business Associate"). This Agreement is intended to ensure that Business Associate complies with the Health Insurance Portability and Accountability Act of 1996 ("HIPAA"), the Health Information Technology for Economic and Clinical Health Act ("HITECH"), and all related regulations when creating, receiving, maintaining, or transmitting Protected Health Information ("PHI") on behalf of Covered Entity.

This Agreement supplements and forms part of any underlying contracts, order forms, or service agreements between the Parties (collectively, the "Underlying Agreements").

2. Definitions

Unless otherwise defined in this Agreement, all capitalized terms shall have the meanings set forth in 45 C.F.R. Parts 160 and 164, including but not limited to: PHI, Unsecured PHI, Breach, Security Incident, Use, Disclosure, Minimum Necessary, Subcontractor, and Designated Record Set.

Business Associate: IT PROGRAMMING CORP.

Covered Entity: The customer or entity that accepts this Agreement.

3. Obligations of Business Associate

3.1 Permitted Uses and Disclosures

Business Associate may Use or Disclose PHI only:

As necessary to perform services under the Underlying Agreements;
As permitted or required by this Agreement;
As Required by Law; and
Using only the Minimum Necessary PHI needed to accomplish the intended purpose.

Business Associate shall not Use or Disclose PHI in a manner that would violate Subpart E of 45 C.F.R. Part 164 if done by Covered Entity, except as expressly permitted in this Agreement.

3.2 Safeguards

Business Associate shall implement appropriate administrative, physical, and technical safeguards to protect the confidentiality, integrity, and availability of PHI, including compliance with:

45 C.F.R. §164.308 (Administrative Safeguards);
45 C.F.R. §164.310 (Physical Safeguards);
45 C.F.R. §164.312 (Technical Safeguards);
45 C.F.R. §164.316 (Policies and Documentation).

3.3 Reporting of Improper Uses or Disclosures

Business Associate shall report to Covered Entity any Use or Disclosure of PHI not permitted by this Agreement or the Underlying Agreements, including any Security Incident or Breach of Unsecured PHI, of which it becomes aware.

Business Associate shall notify Covered Entity's designated contact within five (5) business days after discovering such incident. The report shall include, to the extent known:

The nature of the incident;
The types of PHI involved;
The identity of any individuals or entities involved;
Steps taken to mitigate potential harm; and
Corrective actions implemented to prevent recurrence.

A full breach notification shall be provided no later than thirty (30) calendar days after discovery, in accordance with 45 C.F.R. §164.410.

3.4 Subcontractors

Business Associate shall ensure that any Subcontractor that creates, receives, maintains, or transmits PHI on behalf of Business Associate agrees in writing to the same restrictions, conditions, and requirements that apply to Business Associate with respect to such PHI, including compliance with the HIPAA Security Rule.

3.5 Mitigation

Business Associate shall take reasonable steps to mitigate, to the extent practicable, any harmful effect known to Business Associate of a Use or Disclosure of PHI in violation of this Agreement.

3.6 Access to PHI

Upon request by Covered Entity, Business Associate shall make available PHI in a Designated Record Set as necessary for Covered Entity to respond to an individual's request for access to PHI under 45 C.F.R. §164.524. If Business Associate receives a direct request from an individual, it shall promptly forward such request to Covered Entity within five (5) business days.

3.7 Amendment of PHI

Upon request by Covered Entity, Business Associate shall amend PHI in a Designated Record Set as directed by Covered Entity, in accordance with 45 C.F.R. §164.526. If Business Associate receives a direct request for amendment from an individual, it shall forward such request to Covered Entity within five (5) business days.

3.8 Accounting of Disclosures

Business Associate shall document Disclosures of PHI as necessary for Covered Entity to provide an accounting of Disclosures in accordance with 45 C.F.R. §164.528. Upon request, Business Associate shall provide such information to Covered Entity in the time and manner reasonably requested. Any direct request from an individual shall be forwarded to Covered Entity within five (5) business days.

3.9 Availability of Books and Records

Business Associate shall make its internal practices, books, and records relating to the Use and Disclosure of PHI available to Covered Entity and to the Secretary of the U.S. Department of Health and Human Services for purposes of determining compliance with HIPAA.

3.10 Limitation of Scope

This Agreement applies only to PHI that Business Associate creates, receives, maintains, or transmits on behalf of Covered Entity under the Underlying Agreements. Business Associate has no obligations under this Agreement with respect to PHI handled by Covered Entity outside such scope.

4. Obligations of Covered Entity

Covered Entity shall:

Provide Business Associate with its Notice of Privacy Practices and any limitations that may affect Business Associate's Use or Disclosure of PHI;
Notify Business Associate of any changes in, or revocation of, permission by an individual to Use or Disclose PHI, to the extent such changes may affect Business Associate;
Notify Business Associate of any restriction on the Use or Disclosure of PHI that Covered Entity has agreed to or is required to abide by under 45 C.F.R. §164.522;
Not request Business Associate to Use or Disclose PHI in any manner that would not be permissible under HIPAA if done by Covered Entity;
Obtain all necessary consents and authorizations required under HIPAA or other applicable law before providing PHI to Business Associate;
Remain responsible for fulfilling all individual rights under HIPAA and is not delegating such obligations to Business Associate.

5. Term and Termination

5.1 Term

This Agreement shall become effective on the Effective Date and shall remain in effect for as long as Business Associate provides services involving PHI under the Underlying Agreements, unless earlier terminated in accordance with this Section 5.

5.2 Termination for Cause

If either Party becomes aware of a material breach of this Agreement by the other Party, the non-breaching Party may:

Provide an opportunity for the breaching Party to cure the breach or end the violation within a reasonable time; and
If the breach is not cured, terminate this Agreement and the Underlying Agreements; or
If cure is not feasible, immediately terminate this Agreement and the Underlying Agreements.

5.3 Return or Destruction of PHI

Upon termination or expiration of this Agreement, Business Associate shall, to the extent feasible, return to Covered Entity or destroy all PHI received from, or created or received on behalf of, Covered Entity that Business Associate still maintains in any form. This shall be completed as promptly as possible, but no later than thirty (30) days after termination.

If Business Associate determines that returning or destroying PHI is not feasible, Business Associate shall:

Notify Covered Entity of the conditions that make return or destruction infeasible;
Extend the protections of this Agreement to such PHI for as long as it is retained; and
Limit further Uses and Disclosures to those purposes that make the return or destruction infeasible.

6. Miscellaneous

6.1 Regulatory References

A reference in this Agreement to a section in the HIPAA Rules means the section as in effect or as amended.

6.2 Regulatory Compliance

If changes in HIPAA or other applicable laws materially alter the obligations of either Party, the Parties shall negotiate in good faith to amend this Agreement as necessary to comply with such changes. Any amendment must be in writing and signed by both Parties.

6.3 Interpretation

Any ambiguity in this Agreement shall be interpreted to permit compliance with HIPAA. In the event of a conflict between this Agreement and any Underlying Agreement, the terms of this Agreement shall control to the extent necessary to comply with HIPAA.

6.4 Ownership of PHI

All PHI to which Business Associate has access under this Agreement shall remain the property of Covered Entity.

6.5 Independent Contractor

The Parties are independent contractors. Nothing in this Agreement shall be construed to create a partnership, joint venture, or agency relationship between the Parties.

6.6 Nature of Fees and Services

The Parties acknowledge that Covered Entity's disclosure of PHI to Business Associate is solely for the purpose of obtaining services from Business Associate. Any fees paid to Business Associate reflect the fair market value of such services and do not constitute remuneration in exchange for PHI in a manner that would be considered a prohibited sale of PHI under HIPAA.

6.7 Entire Agreement; Amendment

This Agreement constitutes the entire understanding between the Parties with respect to the subject matter hereof and supersedes all prior or contemporaneous agreements, representations, or understandings, whether written or oral, relating to such subject matter. This Agreement may only be amended by a written instrument signed by authorized representatives of both Parties.

6.8 Severability

If any provision of this Agreement is held to be invalid or unenforceable, the remaining provisions shall remain in full force and effect.

6.9 Assignment

Neither Party may assign this Agreement or any of its rights or obligations hereunder without the prior written consent of the other Party, which shall not be unreasonably withheld.

6.10 Third-Party Beneficiaries

This Agreement is entered into solely for the benefit of the Parties and their respective successors and permitted assigns. Nothing in this Agreement is intended to confer any rights, remedies, or benefits upon any third party.

6.11 Governing Law; Jurisdiction; Waiver of Jury Trial

This Agreement shall be governed by and construed in accordance with the laws of the State of Florida, without regard to its conflict of law principles. Any action or proceeding arising out of or relating to this Agreement shall be brought exclusively in the state or federal courts located in Miami, Florida. Each Party hereby irrevocably submits to the jurisdiction of such courts and waives any objection based on inconvenient forum. The Parties waive the right to a jury trial in any such action or proceeding.

6.12 Attorney's Fees

In any dispute arising out of or relating to this Agreement, the prevailing Party shall be entitled to recover its reasonable attorney's fees and costs from the non-prevailing Party.

6.13 Notices

All notices required or permitted under this Agreement shall be in writing and shall be deemed given when delivered personally, sent by recognized overnight courier with tracking, or mailed by certified mail, return receipt requested, to the addresses specified in the Underlying Agreements or to such other address as a Party may designate by written notice.

6.14 Counterparts; Electronic Signatures

This Agreement may be executed in counterparts, each of which shall be deemed an original, and all of which together shall constitute one and the same instrument. Signatures transmitted electronically (including PDF or similar format) shall be deemed original signatures for all purposes.

6.15 Limitation of Liability

Except as expressly required by HIPAA or other applicable law, Business Associate shall not be liable for any indirect, incidental, special, consequential, or punitive damages, including lost profits, arising out of or related to this Agreement, even if advised of the possibility of such damages.

ACUERDO DE ASOCIADO COMERCIAL HIPAA

Última actualización: 12 de febrero de 2026

1. Propósito y alcance

Este Acuerdo de Asociado Comercial HIPAA ("Acuerdo") se celebra entre el cliente, entidad o persona que acepta este Acuerdo (la "Entidad Cubierta") e IT PROGRAMMING CORP, una corporación de Florida (el "Asociado Comercial"). Este Acuerdo tiene como objetivo garantizar que el Asociado Comercial cumpla con la Ley de Portabilidad y Responsabilidad de Seguros de Salud de 1996 ("HIPAA"), la Ley de Tecnología de Información de Salud para la Salud Económica y Clínica ("HITECH") y todas las regulaciones relacionadas al crear, recibir, mantener o transmitir Información de Salud Protegida ("PHI") en nombre de la Entidad Cubierta.

Este Acuerdo complementa y forma parte de cualquier contrato subyacente, formularios de pedido o acuerdos de servicio entre las Partes (colectivamente, los "Acuerdos Subyacentes").

2. Definiciones

A menos que se defina lo contrario en este Acuerdo, todos los términos en mayúscula tendrán los significados establecidos en 45 C.F.R. Partes 160 y 164, incluyendo pero no limitado a: PHI, PHI No Asegurada, Violación, Incidente de Seguridad, Uso, Divulgación, Mínimo Necesario, Subcontratista y Conjunto de Registros Designado.

Asociado Comercial: IT PROGRAMMING CORP.

Entidad Cubierta: El cliente o entidad que acepta este Acuerdo.

3. Obligaciones del Asociado Comercial

3.1 Usos y divulgaciones permitidos

El Asociado Comercial puede Usar o Divulgar PHI solo:

Según sea necesario para realizar servicios bajo los Acuerdos Subyacentes;
Según lo permitido o requerido por este Acuerdo;
Según lo Requerido por la Ley; y
Usando solo el PHI Mínimo Necesario para lograr el propósito previsto.

El Asociado Comercial no Usará ni Divulgará PHI de una manera que violaría la Subparte E de 45 C.F.R. Parte 164 si lo hiciera la Entidad Cubierta, excepto según lo expresamente permitido en este Acuerdo.

3.2 Salvaguardas

El Asociado Comercial implementará salvaguardas administrativas, físicas y técnicas apropiadas para proteger la confidencialidad, integridad y disponibilidad de PHI, incluyendo el cumplimiento con:

45 C.F.R. §164.308 (Salvaguardas Administrativas);
45 C.F.R. §164.310 (Salvaguardas Físicas);
45 C.F.R. §164.312 (Salvaguardas Técnicas);
45 C.F.R. §164.316 (Políticas y Documentación).

3.3 Informe de usos o divulgaciones indebidos

El Asociado Comercial informará a la Entidad Cubierta cualquier Uso o Divulgación de PHI no permitido por este Acuerdo o los Acuerdos Subyacentes, incluyendo cualquier Incidente de Seguridad o Violación de PHI No Asegurada, del cual tenga conocimiento.

El Asociado Comercial notificará al contacto designado de la Entidad Cubierta dentro de cinco (5) días hábiles después de descubrir dicho incidente. El informe incluirá, en la medida en que se conozca:

La naturaleza del incidente;
Los tipos de PHI involucrados;
La identidad de cualquier individuo o entidad involucrada;
Pasos tomados para mitigar el daño potencial; y
Acciones correctivas implementadas para prevenir la recurrencia.

Se proporcionará una notificación completa de violación a más tardar treinta (30) días calendario después del descubrimiento, de acuerdo con 45 C.F.R. §164.410.

3.4 Subcontratistas

El Asociado Comercial se asegurará de que cualquier Subcontratista que cree, reciba, mantenga o transmita PHI en nombre del Asociado Comercial acepte por escrito las mismas restricciones, condiciones y requisitos que se aplican al Asociado Comercial con respecto a dicha PHI, incluyendo el cumplimiento de la Regla de Seguridad HIPAA.

3.5 Mitigación

El Asociado Comercial tomará medidas razonables para mitigar, en la medida de lo posible, cualquier efecto dañino conocido por el Asociado Comercial de un Uso o Divulgación de PHI en violación de este Acuerdo.

3.6 Acceso a PHI

Previa solicitud de la Entidad Cubierta, el Asociado Comercial pondrá a disposición PHI en un Conjunto de Registros Designado según sea necesario para que la Entidad Cubierta responda a la solicitud de un individuo de acceso a PHI bajo 45 C.F.R. §164.524. Si el Asociado Comercial recibe una solicitud directa de un individuo, la reenviará de inmediato a la Entidad Cubierta dentro de cinco (5) días hábiles.

3.7 Enmienda de PHI

Previa solicitud de la Entidad Cubierta, el Asociado Comercial enmendará PHI en un Conjunto de Registros Designado según lo dirigido por la Entidad Cubierta, de acuerdo con 45 C.F.R. §164.526. Si el Asociado Comercial recibe una solicitud directa de enmienda de un individuo, la reenviará a la Entidad Cubierta dentro de cinco (5) días hábiles.

3.8 Contabilidad de divulgaciones

El Asociado Comercial documentará las Divulgaciones de PHI según sea necesario para que la Entidad Cubierta proporcione una contabilidad de Divulgaciones de acuerdo con 45 C.F.R. §164.528. Previa solicitud, el Asociado Comercial proporcionará dicha información a la Entidad Cubierta en el tiempo y la manera razonablemente solicitados. Cualquier solicitud directa de un individuo será reenviada a la Entidad Cubierta dentro de cinco (5) días hábiles.

3.9 Disponibilidad de libros y registros

El Asociado Comercial pondrá a disposición sus prácticas internas, libros y registros relacionados con el Uso y Divulgación de PHI a la Entidad Cubierta y al Secretario del Departamento de Salud y Servicios Humanos de EE. UU. con el propósito de determinar el cumplimiento de HIPAA.

3.10 Limitación de alcance

Este Acuerdo se aplica solo a PHI que el Asociado Comercial crea, recibe, mantiene o transmite en nombre de la Entidad Cubierta bajo los Acuerdos Subyacentes. El Asociado Comercial no tiene obligaciones bajo este Acuerdo con respecto a PHI manejada por la Entidad Cubierta fuera de dicho alcance.

4. Obligaciones de la Entidad Cubierta

La Entidad Cubierta deberá:

Proporcionar al Asociado Comercial su Aviso de Prácticas de Privacidad y cualquier limitación que pueda afectar el Uso o Divulgación de PHI por parte del Asociado Comercial;
Notificar al Asociado Comercial de cualquier cambio o revocación de permiso por parte de un individuo para Usar o Divulgar PHI, en la medida en que dichos cambios puedan afectar al Asociado Comercial;
Notificar al Asociado Comercial de cualquier restricción sobre el Uso o Divulgación de PHI que la Entidad Cubierta haya acordado o esté obligada a cumplir bajo 45 C.F.R. §164.522;
No solicitar al Asociado Comercial que Use o Divulgue PHI de una manera que no sería permisible bajo HIPAA si lo hiciera la Entidad Cubierta;
Obtener todos los consentimientos y autorizaciones necesarios requeridos bajo HIPAA u otra ley aplicable antes de proporcionar PHI al Asociado Comercial;
Seguir siendo responsable de cumplir con todos los derechos individuales bajo HIPAA y no está delegando dichas obligaciones al Asociado Comercial.

5. Plazo y terminación

5.1 Plazo

Este Acuerdo entrará en vigor en la Fecha de Entrada en Vigor y permanecerá en vigor mientras el Asociado Comercial proporcione servicios que involucren PHI bajo los Acuerdos Subyacentes, a menos que se termine antes de acuerdo con esta Sección 5.

5.2 Terminación por causa

Si cualquiera de las Partes se da cuenta de un incumplimiento material de este Acuerdo por la otra Parte, la Parte que no incumple puede:

Proporcionar una oportunidad para que la Parte incumplidora corrija el incumplimiento o finalice la violación dentro de un tiempo razonable; y
Si no se corrige el incumplimiento, terminar este Acuerdo y los Acuerdos Subyacentes; o
Si la corrección no es factible, terminar inmediatamente este Acuerdo y los Acuerdos Subyacentes.

5.3 Devolución o destrucción de PHI

Al término o expiración de este Acuerdo, el Asociado Comercial deberá, en la medida de lo posible, devolver a la Entidad Cubierta o destruir toda PHI recibida de, o creada o recibida en nombre de, la Entidad Cubierta que el Asociado Comercial aún mantenga en cualquier forma. Esto se completará tan pronto como sea posible, pero a más tardar treinta (30) días después de la terminación.

Si el Asociado Comercial determina que devolver o destruir PHI no es factible, el Asociado Comercial deberá:

Notificar a la Entidad Cubierta de las condiciones que hacen que la devolución o destrucción no sea factible;
Extender las protecciones de este Acuerdo a dicha PHI durante el tiempo que se retenga; y
Limitar los Usos y Divulgaciones adicionales a aquellos propósitos que hacen que la devolución o destrucción no sea factible.

6. Disposiciones generales

6.1 Referencias regulatorias

Una referencia en este Acuerdo a una sección en las Reglas HIPAA significa la sección tal como está en vigor o según sea enmendada.

6.2 Cumplimiento regulatorio

Si los cambios en HIPAA u otras leyes aplicables alteran materialmente las obligaciones de cualquiera de las Partes, las Partes negociarán de buena fe para enmendar este Acuerdo según sea necesario para cumplir con dichos cambios. Cualquier enmienda debe ser por escrito y firmada por ambas Partes.

6.3 Interpretación

Cualquier ambigüedad en este Acuerdo se interpretará para permitir el cumplimiento de HIPAA. En caso de conflicto entre este Acuerdo y cualquier Acuerdo Subyacente, los términos de este Acuerdo controlarán en la medida necesaria para cumplir con HIPAA.

6.4 Propiedad de PHI

Toda PHI a la que el Asociado Comercial tenga acceso bajo este Acuerdo seguirá siendo propiedad de la Entidad Cubierta.

6.5 Contratista independiente

Las Partes son contratistas independientes. Nada en este Acuerdo se interpretará como la creación de una asociación, empresa conjunta o relación de agencia entre las Partes.

6.6 Naturaleza de las tarifas y servicios

Las Partes reconocen que la divulgación de PHI por parte de la Entidad Cubierta al Asociado Comercial es únicamente con el propósito de obtener servicios del Asociado Comercial. Cualquier tarifa pagada al Asociado Comercial refleja el valor justo de mercado de dichos servicios y no constituye remuneración a cambio de PHI de una manera que se consideraría una venta prohibida de PHI bajo HIPAA.

6.7 Acuerdo completo; enmienda

Este Acuerdo constituye el entendimiento completo entre las Partes con respecto al tema del mismo y reemplaza todos los acuerdos previos o contemporáneos, representaciones o entendimientos, ya sean escritos u orales, relacionados con dicho tema. Este Acuerdo solo puede ser enmendado mediante un instrumento escrito firmado por representantes autorizados de ambas Partes.

6.8 Divisibilidad

Si alguna disposición de este Acuerdo se considera inválida o inaplicable, las disposiciones restantes permanecerán en pleno vigor y efecto.

6.9 Cesión

Ninguna Parte puede ceder este Acuerdo o cualquiera de sus derechos u obligaciones en virtud del mismo sin el consentimiento previo por escrito de la otra Parte, el cual no será denegado irrazonablemente.

6.10 Terceros beneficiarios

Este Acuerdo se celebra únicamente en beneficio de las Partes y sus respectivos sucesores y cesionarios permitidos. Nada en este Acuerdo tiene la intención de conferir derechos, recursos o beneficios a ningún tercero.

6.11 Ley aplicable; jurisdicción; renuncia al juicio por jurado

Este Acuerdo se regirá e interpretará de acuerdo con las leyes del Estado de Florida, sin tener en cuenta sus principios de conflicto de leyes. Cualquier acción o procedimiento que surja de o se relacione con este Acuerdo se presentará exclusivamente en los tribunales estatales o federales ubicados en Miami, Florida. Cada Parte por la presente se somete irrevocablemente a la jurisdicción de dichos tribunales y renuncia a cualquier objeción basada en foro inconveniente. Las Partes renuncian al derecho a un juicio por jurado en cualquier acción o procedimiento.

6.12 Honorarios de abogados

En cualquier disputa que surja de o se relacione con este Acuerdo, la Parte que prevalezca tendrá derecho a recuperar sus honorarios de abogados razonables y costos de la Parte que no prevalezca.

6.13 Notificaciones

Todas las notificaciones requeridas o permitidas bajo este Acuerdo serán por escrito y se considerarán entregadas cuando se entreguen personalmente, se envíen por mensajería nocturna reconocida con seguimiento, o se envíen por correo certificado, con acuse de recibo solicitado, a las direcciones especificadas en los Acuerdos Subyacentes o a cualquier otra dirección que una Parte pueda designar mediante notificación por escrito.

6.14 Contrapartes; firmas electrónicas

Este Acuerdo puede ejecutarse en contrapartes, cada una de las cuales se considerará un original, y todas juntas constituirán un solo y mismo instrumento. Las firmas transmitidas electrónicamente (incluido PDF o formato similar) se considerarán firmas originales para todos los propósitos.

6.15 Limitación de responsabilidad

Excepto según lo expresamente requerido por HIPAA u otra ley aplicable, el Asociado Comercial no será responsable de ningún daño indirecto, incidental, especial, consecuente o punitivo, incluidas las ganancias perdidas, que surjan de o se relacionen con este Acuerdo, incluso si se le advierte de la posibilidad de tales daños.