HPE Partner Ready: supplemento alla privacy e alla protezione dei

HPE Partner Ready: supplemento alla privacy e alla protezione dei
dati dei partner
I.
Introduzione
Il presente supplemento al Contratto per i partner di HPE Partner Ready e al Codice di condotta per i
partner di HPE Partner Ready contiene informazioni per i diversi tipi di partner di HPE Partner Ready (ovvero
distributori, rivenditori a valore aggiunto, integratori di sistema, fornitori servizi, fornitori di software indipendenti e
OEM) sui requisiti di conformità con le varie leggi in materia di privacy e protezione dei dati in tutti i paesi del
mondo.
I partner di HPE Partner Ready devono trattare i dati personali di HPE e dei clienti di HPE secondo necessità,
per fornire i servizi pertinenti o quanto diversamente segnalato da HPE e devono implementare e adottare tutte le
misure di sicurezza fisiche, tecniche e organizzative necessarie per proteggere tali dati da distruzioni accidentali
o illecite o da perdite accidentali, modifiche, divulgazione o accessi non autorizzati.
La legge che incide principalmente su HPE e i partner di HPE Partner Ready è l’US Health Insurance
Portability and Accountability Act o HIPAA. Gli ulteriori requisiti, basati sull’implementazione della legge HIPAA
da parte di HPE, sono definiti nelle sezioni 2 e 3.
II.
Health Insurance Portability and Accountability Act (HIPAA)
I requisiti specifici della legge HIPAA, a cui tutti i partner di HPE Partner Ready devono conformarsi,
sono descritti nella sezione 3 seguente. La legge HIPAA si applica a due categorie di individui: organizzazioni e
agenzie, definite come “Covered Entities” (CE) e “Business Associates” (BA). I soggetti CE includono le
aziende che offrono servizi di assistenza sanitaria (ad es. medici, ospedali, strutture mediche, dentisti, farmacie
ecc.), piani di assistenza sanitaria (ad es. compagnie assicurative, piani assicurativi per aziende e programmi
governativi che sostengono spese per la sanità) e camere di compensazione sanitarie. Se un’azienda ha
accesso o potenziale accesso a dati sanitari protetti quando eroga servizi a un soggetto CE, tale azienda rientra
nella categoria BA. HIPAA richiede che, laddove sussista tale tipo di relazione, il soggetto CE e il soggetto BA
sottoscrivano un accordo BAA (Business Associate Agreement). Inoltre, quando un soggetto BA si serve di
subappaltatori o partner per erogare tali servizi, gli obblighi del BAA devono essere estesi anche ai
subappaltatori o ai partner.
In altre parole, laddove HPE o i partner di HPE Partner Ready vendano servizi o prodotti a soggetti CE
o BA e vi sia l’accesso o il potenziale accesso a dati sanitari protetti durante l’erogazione del servizio o la
fornitura del prodotto, il partner di HPE Partner Ready deve garantire che gli accordi stabiliti da HPE nel BAA
vengano estesi anche ai clienti finali, quale parte dei termini di HPE correlati ai servizi e prodotti interessati. Con
dati sanitari protetti si intendono tutti quei dati relativi a stato di salute, erogazione di servizi di assistenza
sanitaria o pagamento di servizi di assistenza sanitaria creati o raccolti da un soggetto CE o BA che possono
essere correlati a un determinato individuo.
In alcuni casi, è possibile che il partner di HPE Partner Ready debba accettare ulteriori termini con
riferimento ad HPE. Pertanto, è fondamentale che i partner di HPE Partner Ready comprendano i requisiti legali
relativi ai casi in cui HPE e i partner di HPE Partner Ready eroghino servizi o forniscano prodotti a utenti finali CE
o BA, nonché l’implementazione della legge HIPAA da parte di HPE così come applicata al suo programma di
partner di canale. Le diverse relazioni che potrebbero sussistere tra un utente finale interessato (CE o BA), HPE
e i partner di HPE Partner Ready sono descritte nella sezione 3.
Ultima revisione: 12 febbraio 2016
© Copyright 2016 Hewlett Packard Enterprise Development LP.
Pagina 1
III.
Requisiti HIPAA
Come parte della strategia complessiva di HPE per la conformità alla legge HIPAA, HPE deve garantire
la presenza di BAA appropriati tra l’utente finale (CE o BA), HPE e i partner di HPE Partner Ready per le istanze
in cui HPE o i partner di HPE Partner Ready abbiano accesso o potenziale accesso a dati sanitari protetti
durante l’erogazione di servizi o la fornitura di prodotti. In alcuni casi, HPE e i partner di HPE Partner Ready
devono garantire la conformità a un BAA secondario (denominato Agent/Subcontractor Agreement o ASA presso
HPE) per estendere i requisiti della legge HIPAA. È responsabilità dei partner di HPE Partner Ready garantire
l’esistenza di ASA appropriati tra loro e i subappaltatori.
Nota: l’Agent/Subcontract Agreement (ASA) è un termine utilizzato da HPE che si riferisce a un modello
che deve fungere da contratto tra HPE e un subappaltatore per estendere i requisiti inclusi nel BAA sottoscritto
con l’utente finale (CE o BA).
IV.
Definizioni
Nel presente supplemento vengono definiti i tipi di contratti validi per gli accordi tra HPE e i diversi tipi di
partner di HPE Partner Ready. I partner di HPE Partner Ready possono essere raggruppati in tre grandi categorie,
come definito dall’entità che intrattiene la relazione principale con il soggetto CE e che deve sottoscrivere il BAA
con il soggetto CE:
1.
2.
3.
Solo vendita
Vendita e consegna
Rivenditore a valore aggiunto (VAR)
1.
Solo vendita: vendita effettuata dal partner, consegna effettuata da HPE
In questa categoria, l'utente finale (CE o BA) acquista prodotti e servizi con marchio HPE dal partner di
HPE Partner Ready. Come parte del processo di vendita, il partner di HPE Partner Ready deve tenere conto
degli estremi del BAA sottoscritto con HPE secondo necessità. I requisiti delineati nel BAA sottoscritto con HPE
non sono negoziabili, come avviene in altre situazione simili con HPE. In breve, tra il soggetto CE e HPE
intercorre un BAA.
2.
Vendita e consegna: vendita effettuata dal partner, consegna effettuata dal partner
In questa categoria, l'utente finale (CE o BA) acquista prodotti e servizi con marchio HPE dal partner di
HPE Partner Ready. In alcuni casi, è possibile che il partner di HPE Partner Ready eroghi servizi per conto di
HPE, quindi può accedere potenzialmente a dati sanitari protetti. Come parte del processo di vendita, il partner di
HPE Partner Ready deve tenere conto degli estremi del BAA sottoscritto con HPE secondo necessità. I requisiti
delineati nel BAA sottoscritto con HPE non sono negoziabili, come avviene in altre situazione simili con HPE. Se
il partner di HPE Partner Ready eroga servizi per conto di HPE, il partner di HPE Partner Ready deve
sottoscrivere un Agent/Subcontractor Agreement (ASA) con HPE. In breve, tra HPE e il soggetto CE intercorre
un BAA e tra HPE e il partner di HPE Partner Ready intercorre un ASA secondo necessità.
Tipo di partner
Solo vendita
Accordo
Firmatari
Estensione BAA
Utente finale (CE o BA) e HPE
Vendita e consegna Estensione BAA
Utente finale (CE o BA) e HPE
ASA
Ultima revisione: 12 febbraio 2016
HPE e partner di consegna
servizi di HPE Partner Ready
© Copyright 2016 Hewlett Packard Enterprise Development LP.
Pagina 2
3.
Rivenditore a valore aggiunto: servizi con marchio del partner
In questa categoria, l'utente finale (CE o BA) acquista prodotti e/o servizi che comprendono componenti
con marchio HPE dal partner di HPE Partner Ready. Il partner di HPE Partner Ready stabilisce la relazione
commerciale principale con l’utente finale e in genere si occupa del processo di vendita. Se HPE consegna
prodotti e servizi all’utente finale per conto del partner di HPE Partner Ready e ha accesso a dati sanitari protetti,
HPE è considerata come soggetto BA. Come parte del processo di vendita, il partner di HPE Partner Ready deve
sottoscrivere un BAA con l’utente finale. Una volta finalizzata la trattativa, il partner di HPE Partner Ready deve
sottoscrivere un BAA con HPE, contenenti i termini pertinenti alla relazione con HPE.
Accordo
BAA
BAA (con termini di
estensione)
Ultima revisione: 12 febbraio 2016
Firmatari
Utente finale (CE o BA) e partner di HPE Partner
Ready
HPE e partner di HPE Partner Ready
© Copyright 2016 Hewlett Packard Enterprise Development LP.
Pagina 3