Modalités de l’entente de pratique

États-Unis | Canada | Royaume-Uni

Conditions d’utilisation américaines

Les présentes conditions générales (les « modalités ») de l’entente de pratique (« entente ») sont conclues entre Dandy (« Dandy » ou « nous ») et vous et votre cabinet dentaire (« vous ») et entrent en vigueur à la date de conclusion de l’entente de pratique (« date d’entrée en vigueur »). Si vous acceptez les présentes conditions au nom d’une entité, d’un partenariat, d’une société ou d’une organisation, « vous » vous incluez, cette entité et tous les utilisateurs de l’entité et vous déclarez par la présente que vous avez le pouvoir de lier tous ces utilisateurs. Dandy et vous serez chacun désignés comme un « parti » et ensemble, les « partis ».  Pour une bonne et précieuse contrepartie telle qu’énoncée dans l’entente, les parties conviennent de ce qui suit :

1. Modification. Les présentes conditions et l’entente ne peuvent être modifiées à moins que nous n’en convenions tous les deux par écrit. Si Dandy apporte des modifications importantes aux conditions ou à l’entente, Dandy vous en informera. Tout changement important entrera en vigueur trente (30) jours après que nous vous ayons avisé, à moins que vous ne nous avisiez par écrit que vous souhaitez résilier l’entente. Dans ce cas, le changement n’entrera pas en vigueur et Dandy honorera l’entente existante pendant 60 jours ou jusqu’à ce que vous retourniez le scanneur et tout autre équipement Dandy qui pourrait être en votre possession.
   
2. Intégralité de l’entente. L’entente de pratique, les présentes modalités, l’entente de partenariat commercial et la politique de TI pour l’équipement fourni par la pratique, le cas échéant, constituent l’intégralité de notre entente. Tout ce qui est communiqué par toute autre méthode en dehors de ces documents n’est pas contraignant. La présente entente remplace toute autre entente contradictoire que nous avons pu conclure dans le passé.
   
3. Non-cessibilité. Dandy s’associe à vous, vous ne pouvez donc pas transférer ou céder l’entente et les conditions à un tiers à moins que nous n’ayons tous les deux convenu par écrit.
   
4. Conformité légale. Les deux parties conviennent de se conformer à toutes les lois et réglementations sanitaires applicables aux États-Unis, y compris HIPAA, entre autres.
   
5. Indemnité. Vous indemniserez, défendrez et dégagerez Dandy de toute responsabilité contre toutes les réclamations, causes d’action, dommages, dettes, responsabilités, pertes, obligations, paiements, coûts et dépenses (y compris les frais juridiques), découlant de ou liés à : (a) votre violation de toute condition de l’Entente, des présentes Conditions et/ou de l’Entente des partenaires commerciaux; (b) votre violation de toute condition d’une entente entre vous et un patient, ou tout acte ou omission négligent, imprudent ou volontaire à l’égard de vos soins à un patient; (c) votre fourniture d’informations, de scans, de documents ou de données incorrects ou incomplets à Dandy, ou tout défaut de fournir à Dandy en temps opportun toute information qu’il demande à vous, à votre cabinet ou à l’un de vos dentistes; et (d) toutes les relations avec les organismes administratifs fédéraux, étatiques ou locaux, les organismes de réglementation, les organismes de réglementation ou les organismes professionnels.
   
6. Arbitrage. Dandy espère que nous ne rencontrerons jamais de désaccords significatifs au sujet de notre entente, des présentes conditions et de l’entente des partenaires commerciaux, et Dandy préfère de loin résoudre tout désaccord de la manière la plus amicale possible. L’objectif de Dandy est de travailler en étroite collaboration avec vous et la mission de Dandy est de soutenir votre pratique. Si quelque chose survient et que nous ne sommes pas en mesure de résoudre le problème à l’amiable, nous nous engageons tous les deux à résoudre le problème par arbitrage avec JAMS dans l’État de New York, en vertu de la loi de New York.
7. Taxe de vente. Dandy facturera la taxe de vente, le cas échéant, sur nos produits, équipements et services en fonction de votre emplacement géographique. Le montant de la taxe de vente sera présenté sur votre facture mensuelle et le paiement sera perçu tel que décrit dans les présentes ainsi que dans votre entente de pratique. Si vous êtes exempté du paiement de la taxe de vente, vous acceptez de fournir à Dandy un certificat d’exemption valide et acceptable pour chaque juridiction fiscale où le statut d’exonération est revendiqué.
   

Entente d’associé d’affaires

Le présent CONTRAT D’ASSOCIÉ D’AFFAIRES HIPAA (« Addenda ») entre en vigueur à la date à laquelle le Contrat de pratique est conclu (« Date d’entrée en vigueur »), entre le cabinet dentaire identifié dans le Contrat de pratique (« Entité couverte ») et Dandy (« BA »).  Le présent addenda, qui remplace toute entente de partenariat commercial antérieure entre les parties, modifie, complète et fait partie intégrante de l’entente de pratique, par et entre l’entité visée et BA, telle qu’elle peut être modifiée de temps à autre (l'« entente »).

CONSIDÉRANTS

ATTENDU QUE : L’entité visée est une « entité visée » au sens de l’article 160.103 de l’article 45 C.F.R.;

ATTENDU QUE BA peut, au nom de l’entité visée, créer, recevoir, conserver ou transmettre certains renseignements médicaux protégés (tels que définis ci-dessous) afin de fournir des services à l’entité couverte en vertu de l’entente;

ATTENDU QUE l’entité visée est assujettie aux exigences de simplification administrative de la Loi de 1996 sur la transférabilité et la responsabilité en matière d’assurance-santé et de ses règlements promulgués, y compris les Normes relatives à la protection des renseignements personnels sur la santé et les Normes de sécurité pour la protection des renseignements électroniques protégés sur la santé à l’article 45 C.F.R. Parties 160 et 164 (collectivement le « Règlement sur la protection des renseignements personnels et la sécurité »);

ATTENDU QUE le Règlement sur la protection des renseignements personnels et la sécurité exige que l’entité visée conclue un contrat avec BA afin d’imposer certaines protections pour la confidentialité et la sécurité des renseignements médicaux protégés, et que ce règlement interdit la divulgation de renseignements médicaux protégés de l’entité visée à BA si un tel contrat n’est pas en place;

ATTENDU QUE le présent addenda ne s’applique que dans le cas où BA répond, en ce qui concerne l’entité visée, à la définition de « partenaire commercial » énoncée à l’article 160.103 de l’article 45 C.F.R.

En considération de ce qui précède, et pour toute autre contrepartie valable et valable, dont la réception et la suffisance sont reconnues par les présentes, les parties conviennent de ce qui suit :

1. Définitions

1. « Manquement » a le sens donné au terme « manquement » au 45 C.F.R. § 164.402, tel qu’il s’applique aux RPS non garantis créés, reçus, maintenus ou transmis par BA de l’entité visée ou au nom de celle-ci.
2. « Renseignements électroniques protégés sur la santé » ou « ePHI » signifie le terme « renseignements électroniques protégés sur la santé » au 45 C.F.R. § 160.103, tel qu’appliqué aux renseignements créés, reçus, conservés ou transmis par BA de l’entité visée ou en son nom.
3. « Renseignements médicaux protégés » ou « RPS » s’entend au terme « renseignements médicaux protégés » à l’article 160.103 du 45 C.F.R., tel qu’il s’applique aux renseignements créés, reçus, conservés ou transmis par BA de l’entité visée ou en son nom.
4. « Événement à signaler » désigne toute (1) utilisation ou divulgation de RPS non prévue par le présent addenda; (2) Incident de sécurité; (3) Violation de RPS non garanties; ou (4) tout incident de données impliquant des RPS pour lequel un avis d’atteinte à la protection des données est requis en vertu de la loi étrangère, fédérale ou étatique applicable.
5. « Services » désigne les services fournis par BA à l’entité visée conformément à l’entente.
6. « Incident de sécurité » s’entend au terme « incident de sécurité » à l’article 164.304 du 45 C.F.R., tel qu’il s’applique aux ePHI créées, reçues, maintenues ou transmises par BA de l’entité visée ou en son nom.

Les termes utilisés, mais non définis autrement, dans le présent addenda ont le même sens que ceux du Règlement sur la protection des renseignements personnels et la sécurité, y compris, mais sans s’y limiter, les articles 160.103 et 164.501 du 45 C.F.R. Toute incohérence dans la définition d’un terme doit être résolue en faveur d’une signification qui permet la conformité à la loi HIPAA.

2. Utilisations et divulgations autorisées des RPS

Sauf disposition contraire du présent addenda ou de l’entente, BA peut prendre l’une ou l’autre des mesures suivantes :

1. Utilisation de la divulgation en vertu de l’entente. Utiliser ou divulguer des RPS pour exécuter des fonctions, des activités ou des services pour ou pour le compte de l’entité visée, dans la mesure permise par l’entente, à condition qu’une telle utilisation ou divulgation ne viole pas la règle de confidentialité ou toute loi de l’État applicable si elle est effectuée par l’entité visée.  Nonobstant ce qui précède, BA peut utiliser et divulguer des RPS aux fins énoncées aux paragraphes (2), (3) et (5) de la présente section 2, même si l’entité visée ne pouvait pas le faire en vertu de la règle de confidentialité.
2. Utilisation pour l’administration ou les responsabilités légales. Utiliser les RPS, mais seulement dans la mesure minimale nécessaire, pour la bonne gestion et l’administration de BA, pour les pratiques de recouvrement de créances de BA ou pour s’acquitter des responsabilités légales de BA.
3. Divulgation pour l’administration ou les responsabilités légales. Divulguer les RPS, mais seulement dans la mesure minimale nécessaire, pour la bonne gestion et l’administration de BA ou pour s’acquitter des responsabilités légales de BA, pourvu que :
   1. Les divulgations sont requises par la loi; ou
   2. BA obtient des assurances raisonnables du tiers à qui les RPS sont divulgués que ces renseignements demeureront confidentiels et ne seront utilisés ou divulgués ultérieurement que si la loi l’exige ou aux fins pour lesquelles ils ont été divulgués à la personne (cette fin doit être compatible avec les restrictions imposées à BA en vertu du présent addenda), et cette personne accepte d’aviser rapidement BA de tout cas dont elle a connaissance où la confidentialité des renseignements a été violée.
4. Utilisation pour signaler les violations. Utiliser les RPS pour signaler les violations de la loi aux autorités fédérales, étatiques et locales appropriées, conformément à l’article 164.502(j) de l’article 45 C.F.R.
5. Utilisation pour les services d’agrégation de données. Utiliser les RPS pour fournir des services d’agrégation de données liés aux activités de soins de santé de l’entité couverte, comme le permet 45 C.F.R. §164.504(e)(2)(i)(B).
6. Renseignements anonymisés. Utilisez les RPS pour créer des renseignements anonymisés conformément aux articles 164.502(d) et 164.514(a)-c) du 45 C.F.R.

3. Obligations de l’associé d’affaires

1. Limité par l’entente et la loi.  BA ne peut pas utiliser ou divulguer des RPS autrement que dans la mesure permise ou requise par le présent addenda et l’entente ou comme l’exige la loi.
2. Conformité à la loi HIPAA. Dans la mesure où BA est responsable de l’exécution d’une obligation de l’entité visée en vertu de la loi HIPAA en vertu du présent addenda ou de l’entente, BA doit se conformer aux exigences de la loi HIPAA qui s’appliquent à l’entité visée dans l’exécution de cette obligation.
3. Mesures de protection appropriées pour les RPS. BA doit mettre en œuvre et maintenir des mesures de protection appropriées pour empêcher l’utilisation ou la divulgation des RPS d’une manière autre que celle permise par l’entente et le présent addenda. 

4. Événements à déclarer

1. Recours à des sous-traitants. Si BA divulgue des RPS à un sous-traitant ou permet à un sous-traitant de créer, de recevoir, de maintenir ou de transmettre des RPS en son nom, BA exigera du sous-traitant qu’il signe une entente écrite l’obligeant à se conformer à toutes les conditions du présent addenda. Si BA prend connaissance d’un modèle d’activité ou de pratique d’un sous-traitant qui constituerait une violation importante de l’entente écrite entre BA et le sous-traitant, BA doit prendre des mesures raisonnables pour remédier à cette violation ou y mettre fin, selon le cas, ou résilier l’entente écrite avec ce sous-traitant.
2. Mise à disposition des pratiques internes, des livres et des registres aux organismes gouvernementaux. BA accepte de mettre à la disposition du secrétaire du département de la Santé et des Services sociaux des États-Unis ses pratiques, livres et registres internes relatifs à l’utilisation et à la divulgation des RPS reçus de l’entité visée, créés ou reçus par BA au nom de l’entité couverte afin de déterminer la conformité de l’entité visée à la HIPAA. Aucun privilège avocat-client, comptable-client ou autre privilège juridique ne sera réputé avoir été renoncé par BA en raison de la conformité de BA à cette disposition.
3. Accès aux RPS et modification de celles-ci. Dans la mesure où BA conserve des RPS dans un ensemble d’enregistrements désigné, BA doit : (a) mettre les RPS spécifiés par le partenaire à la disposition de la ou des personnes identifiées par l’entité visée comme ayant le droit d’accéder à ces RPS, et (b) apporter des modifications à ces RPS dans un ensemble d’enregistrements désignés selon les directives ou l’accord de l’entité visée. BA doit fournir cet accès et intégrer ces modifications dans le délai et de la manière spécifiés par l’entité visée qui répondent aux exigences de 45 C.F.R. § 164.524, § 164.526 et aux lois de l’État applicables.
4. Comptabilisation des informations à fournir. À la demande de l’entité visée, BA doit fournir à l’entité couverte un compte rendu des informations fournies sur les RPS d’une personne dans un délai et d’une manière qui satisfont aux exigences de l’article 45 C.F.R. § 164.528 et, à compter de la date d’entrée en vigueur applicable, de l’article 13405(c) de HITECH et de tout règlement promulgué en vertu de celui-ci.
5. Minimum nécessaire.  BA accepte de se conformer aux exigences minimales nécessaires de la HIPAA.
6. Communication avec d’autres partenaires d’affaires.  Dans le cadre de l’exécution de ses services, activités et/ou fonctions à l’Entité visée ou au nom de celle-ci, BA peut divulguer des renseignements, y compris des RPS, à d’autres partenaires commerciaux de l’Entité visée.  De même, BA peut utiliser et divulguer les renseignements, y compris les RPS, reçus d’autres partenaires commerciaux de l’entité visée, comme si ces renseignements provenaient de l’entité visée ou provenaient de celle-ci.  Les parties conviennent qu’il incombe à l’entité visée de conclure et de maintenir des ententes de partenariat commercial avec ses autres partenaires commerciaux.
7. BA doit signaler à l’entité visée tout événement à signaler dont elle a connaissance. Tous ces rapports doivent être faits sans retard déraisonnable et au plus tard quinze (15) jours ouvrables après la découverte par BA d’un événement à signaler.
8. BA doit coopérer avec l’entité visée dans le cadre de l’enquête sur un événement à signaler et aider l’entité visée à déterminer si un événement à signaler constitue une violation des RPS non garanties.
9. BA doit atténuer, dans la mesure du possible, tout effet préjudiciable connu de BA d’un événement à signaler.
10. Les parties reconnaissent et acceptent que le présent article constitue un avis de BA à l’entité visée de l’existence et de la survenance continues d’incidents de sécurité tentés mais infructueux qui n’entraînent pas l’accès non autorisé aux RPS, ou l’utilisation, la perte, la modification, la destruction ou la divulgation non autorisées des RPS, tels que les pings et autres attaques de diffusion sur le pare-feu de BA, les balayages de ports, les tentatives infructueuses d’ouverture de session, les attaques par déni de service infructueuses ou toute combinaison de ceux-ci.

5. Obligations de l’entité visée

1. Avis de pratiques en matière de protection de la vie privée.  L’entité visée doit aviser BA par écrit de toute limitation de son avis de pratiques en matière de protection de la vie privée, dans la mesure où ces limitations peuvent avoir une incidence sur l’utilisation ou la divulgation des RPS par BA.
2. Avis de révocation.  L’entité visée doit aviser BA par écrit de tout changement ou révocation de l’autorisation d’une personne d’utiliser ou de divulguer des RPS, dans la mesure où ces changements ou révocations peuvent avoir une incidence sur l’utilisation ou la divulgation des RPS par BA.
3. Avis de restrictions.  L’entité visée doit aviser BA par écrit de toute restriction à l’utilisation ou à la divulgation des RPS qu’elle a acceptée ou qu’elle est tenue de respecter conformément à l’article 164.522 de l’article 45 C.F.R., dans la mesure où cette restriction peut avoir une incidence sur l’utilisation ou la divulgation des RPS par BA.
4. Demandes permises.  L’entité visée ne doit pas demander à BA d’utiliser ou de divulguer des RPS d’une manière qui ne serait pas autorisée en vertu de la loi HIPAA ou d’une autre loi fédérale ou étatique applicable si elle le faisait par l’entité visée.

6. Durée et résiliation

1. Mandat. La durée du présent addenda est la même que celle de l’entente, mais prend fin dès la première survenance de l’un ou l’autre des événements suivants :
   1. L’entente expire ou est résiliée avec ou sans motif; 
   2. Le présent addenda est résilié pour un motif valable tel que décrit à la section 5.2 ci-dessous; 
   3. Les parties conviennent mutuellement de mettre fin au présent addenda; ou
   4. Le présent addenda est résilié en vertu des lois fédérales, étatiques ou locales applicables. 
2. Licenciement motivé
   1. Dès que l’entité visée détermine qu’il y a eu violation d’une disposition importante du présent addenda par BA, l’entité visée doit fournir à BA un avis écrit de cette violation de manière suffisamment détaillée pour permettre à BA de comprendre la nature spécifique de cette violation et de donner à BA l’occasion de remédier à la violation; toutefois, si BA ne remédie pas à la violation dans les trente (30) jours suivant la réception de cet avis, l’entité visée peut résilier le présent addenda et l’entente. 
   2. Dès que BA détermine une violation d’une condition importante du présent addenda par l’entité visée, BA doit fournir à l’entité visée un avis écrit de cette violation de manière suffisamment détaillée pour permettre à l’entité visée de comprendre la nature spécifique de cette violation et donner à l’entité couverte l’occasion de remédier à la violation; toutefois, si l’entité visée ne parvient pas à remédier à la violation dans les trente (30) jours suivant la réception de cet avis, BA peut résilier le présent addenda et l’entente.
3. Effet de la résiliation
   1. Sous réserve de l’article 5.3(b) ci-dessous, à la résiliation du présent addenda pour quelque raison que ce soit, BA doit retourner ou détruire tous les RPS que BA conserve encore sous quelque forme que ce soit.  BA ne conservera aucune copie de ces RPS. 
   2. Si le retour ou la destruction d’une partie ou de la totalité des RPS n’est pas possible, BA doit :
      1. Ne conserver que les RPS dont le retour ou la destruction n’est pas possible;
      2. Retourner à l’entité couverte ou détruire les RPS restants que BA conserve encore sous quelque forme que ce soit;
      3. Étendre les protections du présent addenda à toute RPS conservée, continuer d’utiliser les mesures de protection appropriées et se conformer à la Règle de sécurité à l’égard des RPS afin d’empêcher l’utilisation ou la divulgation des RPS conservées autrement que dans les cas prévus dans le présent addenda tant que BA conserve les RPS;
      4. Ne pas utiliser ou divulguer les RPS conservés par BA autrement qu’aux fins pour lesquelles ces RPS ont été conservés et sous réserve des mêmes conditions énoncées dans le présent addenda qui s’appliquaient avant la résiliation; et
      5. Retourner à l’entité visée ou détruire les RPS conservés par BA si et quand cela devient possible.
   3. Ces dispositions s’appliquent aux RPS qui sont en la possession de sous-traitants ou d’agents de BA.
   4. La présente section 5.3 survivra à la résiliation du présent addenda. 

7. Divers

1. Références réglementaires.  Une référence dans le présent addenda à un article de la HIPAA signifie l’article tel qu’il était en vigueur ou tel que modifié au moment de la signature ou de la modification du présent addenda.
2. Modification; Pas de renonciation.  À la date d’entrée en vigueur de toute loi fédérale modifiant ou élargissant la loi HIPAA, de toute directive ou de tout règlement temporaire, provisoire, définitif ou définitif promulgué en vertu de la loi HIPAA, ou en vertu de toute loi fédérale modifiant ou élargissant la loi HIPAA (collectivement, le « règlement HIPAA ») qui s’applique au présent addenda ou à toute modification du règlement HIPAA, le présent addenda sera automatiquement modifié, de sorte que les obligations imposées à l’entité visée et à BA demeurent conformes à ces exigences, à moins que les parties n’en conviennent autrement par consentement mutuel.  Les parties doivent prendre toutes les mesures nécessaires pour refléter expressément ces modifications automatiques au présent addenda de temps à autre.  Sauf disposition contraire du présent paragraphe (B), aucune renonciation, changement, modification ou amendement à une disposition du présent addenda ne peut être faite à moins qu’elle ne soit faite par écrit et signée par les parties aux présentes.  Le fait que l’une ou l’autre des parties n’insiste pas sur l’exécution stricte d’une condition, d’une promesse, d’un accord ou d’un accord énoncé dans le présent document ne doit pas être interprété comme une renonciation ou une renonciation au droit d’insister sur l’exécution stricte de la même condition, promesse, accord ou entente à un moment ultérieur.
3. Interprétation.  Toute ambiguïté dans le présent addenda doit être résolue en faveur d’une signification qui permet la conformité à la loi HIPAA. Les titres et titres énoncés au début de chaque section des présentes sont insérés à titre de référence seulement et ne doivent en aucun cas être interprétés comme faisant partie du présent addenda ou comme une limitation de la portée de la disposition particulière à laquelle il se réfère.  En cas d’incohérence entre les dispositions du présent addenda et les conditions impératives de l’HIPAA, telles qu’elles peuvent être expressément modifiées de temps à autre par le secrétaire, ou à la suite d’interprétations du secrétaire, d’un tribunal ou d’un autre organisme de réglementation ayant autorité sur les parties, l’interprétation du secrétaire, de ce tribunal ou de cet organisme de réglementation prévaudra.
4. Relation avec les dispositions de l’entente. Dans le cas où une disposition du présent addenda est contraire à une disposition de l’entente, la disposition du présent addenda prévaudra. Autrement, le présent addenda doit être interprété conformément aux modalités de l’entente.
5. Relation entre les parties.  Les parties au présent addenda sont des entrepreneurs indépendants.  Aucune des dispositions du présent addenda n’a pour objet de créer, ni ne doit être interprétée ou interprétée comme créant, une relation entre l’entité visée et BA autre que celle des entrepreneurs indépendants.  Sauf indication contraire expresse dans les présentes, aucune des parties, ni aucun de ses représentants, ne sera réputé être l’agent, l’employé ou le représentant de l’autre partie.
6. Aucun tiers bénéficiaire.  Le présent addenda est conclu entre les parties aux présentes.  Rien de ce qui est explicite ou implicite dans le présent addenda n’a pour but de conférer, ni de conférer, de droits, de recours, d’obligations ou de responsabilités à une personne autre que l’entité visée et BA et ses successeurs et ayants droit respectifs.
7. Disposition invalide ou inapplicable.  Les dispositions du présent addenda sont dissociables.  L’invalidité ou l’inapplicabilité d’une disposition particulière ou d’une partie d’une telle disposition du présent addenda doit être interprétée, à tous égards, comme si cette disposition ou partie de cette disposition invalide ou inapplicable avait été omise, et n’affectera pas la validité et l’applicabilité des autres dispositions des présentes ou de parties de cette disposition.
8. Affectation.  Les droits et obligations des parties à l’égard de la cession du présent addenda sont assujettis à la disposition de cession énoncée dans l’entente. Dans le cas où l’entente ne contient pas de disposition de cession, aucune des parties ne peut céder ses droits ou déléguer ses devoirs ou obligations en vertu du présent addenda sans le consentement écrit préalable de l’autre partie, lequel consentement ne doit pas être refusé sans motif valable.  Le présent addenda lie les parties aux présentes et leurs successeurs respectifs et s’applique à leur profit.
9. Loi applicable.  Le présent addenda doit être interprété, administré et régi par la loi applicable énoncée dans l’entente, sauf dans la mesure où la loi fédérale applicable l’emporte.  Dans le cas où l’Accord n’identifie pas la loi applicable, le présent Addenda doit être interprété, administré et régi par les lois de l’État de New York, sauf dans la mesure où la loi fédérale applicable l’emporte.
10. Avis.  Tous les avis en vertu des présentes doivent être écrits et remis en mains propres, envoyés par la poste ou livrés de toute autre manière dont les parties peuvent convenir, à l’adresse suivante :

À l’entité visée : Adresse courriel de la pratique indiquée dans l’entente de pratique

À BA : Dandy

À l’attention du Service juridique

11, Place du parc, bureau 502

New York, NY 10007

[email protected]

Chaque partie se réserve le droit de changer d’adresse pour recevoir l’avis pendant la durée du présent addenda sur avis écrit aux autres parties.

1. Contreparties.  Le présent addenda peut être signé en contreparties distinctes, dont aucune ne doit contenir les signatures des deux parties, et chacune d’entre elles, lorsqu’elle est ainsi signée, est réputée être un original, et ces contreparties constituent ensemble et constituent un seul et même instrument.

Politique de TI pour l’équipement fourni par la pratique

Cette politique ne s’applique qu’aux cabinets qui utilisent leur propre ordinateur portable et leur numériseur dans le cadre de leur relation avec Dandy.

Politique sur les systèmes normalisés :

Afin d’assurer la qualité et la cohérence de la soumission des cas à Dandy Labs, vous acceptez de vous conformer aux exigences suivantes concernant votre infrastructure informatique :

1. Vous acceptez d’utiliser uniquement les scanners intra-oraux 3Shape TRIOS 3, TRIOS 4 ou TRIOS 5.

• Dandy n’est pas compatible avec le 3Shape MOVE tout-in-un pour l’instant.

2. Vous acceptez de fournir une connexion Wi-Fi constante d’au moins 15 Mbps en envoi et 15 Mbps en téléchargement dans tous les endroits où la soumission aurait lieu.
3. Vous acceptez d’utiliser un ordinateur avec le scanner intraoral 3Shape qui répond aux exigences système suivantes :
4. Minimum de PC :

• Processeur : i7-10850H
• Mémoire : 16 Go DDR4
• Disque : 256 Go
• Carte graphique : Quadro T1000 (4 Go)
• Système d’exploitation : Windows 11 Pro

PC recommandé :

• Processeur : i7 12850HX
• Mémoire : 32 Go DDR5
• Disque : SSD de 1 To
• Carte graphique : NVIDIA® A3000
• Système d’exploitation : Windows 11 Pro
• Possède une webcam fonctionnelle

1. Vous acceptez de mettre à jour le logiciel Trios vers une version minimale de 1.7.19.1.
2. Vous acceptez de sauvegarder et de soumettre tous les dossiers à la mémoire locale de l’ordinateur.
3. Vous acceptez d’accorder EasyAccess à Splashtop à l’équipe du service à la clientèle de Dandy avec un mot de passe partagé convenu d’un commun accord qui existera pendant toute la durée de la relation.
4. Vous acceptez d’installer DandyUploader sur le profil d’un utilisateur local et vous utiliserez ce profil local dans le cadre de votre utilisation du logiciel TRIOS.
5. Vous acceptez d’accorder la permission au chemin de fichier suivant si vous utilisez un logiciel antivirus :

• C :\Users\Dandy\AppData\Roaming\DandyUploader
• C : \Users\Dandy\AppData\Roaming\@orthly
• C : \Program Files\Chairside
• C :\Program Files\DandyUploader
• C :\Program Files\UploaderMedit

6. Si votre cabinet dispose d’un pare-feu réseau, physique ou Web, veuillez autoriser tout le trafic sur les domaines suivants :

• *. meetdandy.com
• orthly.com
• *. orthly.com
• dandyserv.net
• *. dandyserv.net
• *dandy.dental
• .api.splashtop.com
  • Port 443
  • Permettre à la fois HTTP sur TLS et non-HTTP sur TLS

Conditions d’utilisation canadiennes, y compris l’Entente de protection des données

Ces termes et conditions (« Termes ») de l’Entente de pratique (« Accord ») sont conclus par et entre Zima Labs Canada, ULC d/b/a Dandy (« Dandy » ou « nous ») et vous et votre cabinet ou clinique dentaire (« Vous ») et sont en vigueur à compter de la date à laquelle l’Entente de pratique est conclue (« Date d’entrée en vigueur »”). Si vous acceptez ces Conditions au nom d’une entité, d’un partenariat, d’une société ou d’une organisation, « vous » incluez vous, cette entité et tous les utilisateurs de l’entité, et vous déclarez par la présente que vous avez l’autorité de lier tous ces utilisateurs. Dandy et toi serez chacun désignés comme un « Parti » et ensemble, les « Partis ».  Pour une contrepartie bonne et précieuse telle qu’énoncée dans l’Accord, les parties conviennent des éléments suivants :

1. Amendement. Ces Conditions et l’Entente ne peuvent être modifiées que si nous sommes tous deux d’accord par écrit. Si Dandy apporte des modifications importantes aux Conditions ou à l’Accord, il vous en informera. Toute modification importante prendra effet trente (30) jours après notre avis, à moins que vous ne nous informiez par écrit que vous souhaitez mettre fin à l’Accord. Dans ce cas, le changement ne prendra pas effet et Dandy respectera l’entente existante pour 60 jours ou jusqu’à ce que vous retourniez le scanner et tout autre équipement Dandy en votre possession.
2. Accord complet. L’Entente de pratique, ces Termes, l’Accord de confidentialité des données et la Politique informatique pour l’équipement fourni par la pratique, le cas échéant, constituent l’ensemble de notre entente. Tout ce qui est communiqué autrement que par ces documents n’est pas contraignant. Cet accord prime sur tout autre accord conflictuel que nous aurions pu conclure par le passé.
3. Non-assignable. Dandy est partenaire avec vous, donc vous ne pouvez pas transférer ou céder l’Entente et les Conditions à un tiers à moins que nous soyons tous les deux d’accord par écrit.
4. Conformité légale. Les deux parties s’engagent à se conformer à toutes les lois et règlements en matière de santé applicables au Canada, y compris les lois fédérales et provinciales applicables sur la protection des données, entre autres.
5. Indemnité. Vous indemniserez, défendrez et tiendrez Dandy hors de responsabilité contre et contre toutes réclamations, causes d’action, dommages-intérêts, dettes, responsabilités, pertes, obligations, paiements, coûts et dépenses (y compris les frais juridiques), découlant de : (a) votre violation de toute clause de l’Entente, de ces Conditions et/ou de l’Accord de protection des données; (b) votre violation de toute clause d’accord entre vous et un patient, ou tout acte ou manquement négligent, imprudent ou volontaire concernant vos soins à un patient; (c) votre fourniture d’informations, scans, documents ou données incorrects ou incomplets à Dandy, ou tout manquement à fournir à Dandy en temps opportun toute information demandée à vous, à votre clinique ou à l’un de vos dentistes; et (d) toutes les interactions avec les agences administratives fédérales, étatiques ou locales, les organismes de réglementation, les organismes de délivrance de licences ou professionnels.
6. L’arbitrage. Dandy espère que nous ne rencontrerons jamais de désaccords significatifs concernant notre Accord, ces Conditions et l’Accord de confidentialité des données, et il préfère de loin résoudre tout différend de la manière la plus amicale possible. L’objectif de Dandy est de travailler étroitement avec vous et sa mission est de soutenir votre pratique. Si quelque chose survient et que nous ne pouvons pas résoudre par une résolution à l’amiable, nous nous engageons tous deux à régler la question par arbitrage avec l’Association canadienne d’arbitrage dans la ville de Toronto, selon la loi ontarienne.  La langue de l’arbitrage sera l’anglais.
7. Taxe de vente. Dandy facturera la taxe de vente, selon le cas, sur nos produits, équipements et services selon votre localisation géographique. Le montant de la taxe de vente sera indiqué sur votre facture mensuelle, et le paiement sera perçu comme décrit ici ainsi que dans votre entente de pratique. Si vous êtes exempté du paiement de la taxe de vente, vous acceptez de fournir à Dandy un certificat d’exemption valide acceptable dans chaque juridiction fiscale où le statut d’exonération est revendiqué.
8. Les parties reconnaissent et conviennent que, puisque Dandy recevra et traitera des renseignements personnels de santé au nom de la contrepartie, une entente de confidentialité des données (la « DPA ») est une partie obligatoire et intégrante de cette entente. La DPA, jointe aux présentes en tant qu’annexe A, énonce les obligations des Parties en matière de collecte, d’utilisation, de divulgation et de protection des renseignements personnels et des renseignements personnels de santé. Counterparty reconnaît et accepte qu’elle ne fournira aucune information de santé personnelle à Dandy à moins et jusqu’à ce que la DPA soit signée par les deux parties.

Annexe A – Accord de protection des données

Le présent Accord de confidentialité des données (« DPA ») s’applique à la pratique (« Accord ») entre Dandy, vous et votre cabinet dentaire (« Contrepartie ») et est incorporé par référence lorsque les lois applicables (définies ci-dessous) couvrent l’utilisation des services par la contrepartie et le traitement des données personnelles. Cette DPA garantit que le traitement des renseignements personnels par Dandy est conforme aux lois applicables. 

Les termes majuscules non définis dans le présent porteront les définitions énoncées dans l’Accord.

1. Définitions

« Lois applicables » désigne toutes les lois, règlements et directives réglementaires applicables au traitement des renseignements personnels en vertu de la présente LPD, y compris la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDA) et, plus précisément pour les renseignements personnels de santé, la Loi ontarienne sur les renseignements personnels sur la santé, 2004 (PHIPA) et toute autre loi provinciale applicable sur la vie privée.

« Violation de données » désigne tout accès non autorisé, utilisation ou divulgation de renseignements personnels de santé qui sont sous la garde ou le contrôle de Dandy, et qui présentent un risque réel de préjudice important pour l’individu, tel que défini par la PHIPA. la perte réelle, le vol, l’indisponibilité ou le mauvais usage, ou l’accès illégal ou non autorisé à, l’utilisation, la divulgation ou le traitement des renseignements personnels, ou toute violation réelle ou présumée des exigences du présent Accord ou des lois applicables

« Renseignements personnels » désigne les renseignements permettant d’identifier une personne sous forme orale ou enregistrée, telle que définie par la PHIPA, qui sont recueillis, utilisés ou divulgués dans le cadre de la prestation des soins de santé, y compris, mais sans s’y limiter, les numéros de carte de santé, les renseignements sur les traitements et les dossiers dentaires.

désigne toute information relative à une personne identifiée ou identifiable, telle que définie par les lois applicables sur la protection des données au Canada, y compris la LPRPDE et toute loi provinciale applicable sur la vie privée.

2. Portée et objectif

Dandy accepte de traiter les renseignements personnels uniquement au nom et sous les instructions documentées de la contrepartie, sauf lorsque l’exige la loi applicable.

Dandy ne doit pas traiter les renseignements personnels à d’autres fins que de fournir les services décrits dans l’Entente, ou selon l’autorisation expresse de la contrepartie.

3. Obligations du Dandy

Dandy doit se conformer à toutes les lois applicables concernant le traitement des renseignements personnels. Dandy doit considérer les renseignements personnels comme confidentiels et ne divulguer ces renseignements personnels qu’à ses employés ou sous-traitants soumis à des obligations contraignantes de confidentialité concernant ces renseignements personnels (et dont l’utilisation de ces renseignements personnels est liée à leur fonction), et s’assurer que ces personnes ne traitent ces renseignements personnels que sur instructions de la contrepartie et conformément à l’entente (y compris la présente DPA).  Dandy veillera à ce que tout le personnel autorisé à traiter les renseignements personnels soit lié par des obligations de confidentialité et ait reçu une formation appropriée en matière de protection des données.

Si des sous-traitants sont engagés, Dandy doit contracter avec eux afin de s’assurer qu’ils respectent cette DPA et les lois applicables. Dandy restera à la contrepartie pour toute violation de l’entente causée par un acte, une erreur ou une omission du sous-traitant, dans la même mesure que Dandy serait responsable de ses propres actes, erreurs ou omissions.

Dandy ne doit pas transférer de renseignements personnels hors du Canada et des États-Unis sans le consentement écrit préalable de la contrepartie.

Dandy fournira à la contrepartie l’assistance raisonnablement nécessaire afin d’assister toute demande de toute personne d’accéder, de corriger, de modifier ou de supprimer ses renseignements personnels. Toute demande de ce type sera adressée par Dandy à la Contrepartie, en tant que responsable des renseignements personnels de santé, ou relative au traitement des renseignements personnels de l’individu de quelque manière que ce soit, sera adressée par Dandy à la Contrepartie et Dandy ne prendra aucune mesure à ce sujet sans instructions de la Contrepartie, sauf dans la mesure requise par la loi; 

Dandy fournira à la contrepartie un avis raisonnable de toute divulgation prévue des renseignements personnels exigée par la loi, sauf si la fourniture d’un tel avis violerait les lois applicables. Si une agence d’application de la loi envoie une demande à Dandy ou à ses sous-traitants concernant des renseignements personnels, Dandy tentera de rediriger la demande de l’agence vers la contrepartie.  

Dandy informera la Contrepartie de tout avis, enquête, enquête ou réception d’une plainte de toute personne ou autorité réglementaire liée directement ou indirectement au traitement des renseignements personnels, et coopérera raisonnablement avec la Contrepartie lorsque la Contrepartie l’exige pour respecter ses obligations en vertu des lois applicables.

4. Sécurité

Dandy a mis en place et maintiendra des mesures techniques et organisationnelles commercialement raisonnables et appropriées pour protéger les renseignements personnels contre l’accès non autorisé, la perte, la destruction ou la modification en tenant compte de la sensibilité des renseignements personnels. Cela inclut des mesures relatives à la sécurité physique des installations utilisées pour fournir des services, des mesures pour contrôler les droits d’accès aux actifs et réseaux pertinents, ainsi que des processus de test de ces mesures.

5. Violation de données

Si Dandy prend connaissance ou détecte qu’une violation de données a eu lieu, Dandy doit :(i) prendre toutes les mesures raisonnables nécessaires pour enquêter, contenir et atténuer la violation de données; et (ii) aviser la contrepartie sans délai déraisonnable après que Dandy ait pris connaissance de la violation. Dandy doit fournir rapidement à la Contrepartie toutes les informations pertinentes recueillies par Dandy à ce sujet afin de permettre à la Contrepartie de remplir ses propres obligations légales de notification en vertu de la PHIPA concernant la violation de données, et fournir rapidement à la Contrepartie toutes les informations pertinentes recueillies par Dandy à ce sujet

5. Conformité

À la demande de la contrepartie, Dandy mettra à la disposition de la contrepartie des informations démontrant et vérifiant que Dandy utilise les renseignements personnels conformément à ses obligations en vertu de la présente DPA et des lois applicables.

6. Généralités

La présente loi de défense de la mort (DPA) restera en vigueur jusqu’au plus tôt de : (i) la résiliation ou l’expiration de l’entente ou (ii) la cessation de Dandy de traiter les renseignements personnels. Après la résiliation, à la demande de Counterparty, Dandy retournera des informations personnelles à Counterparty ou supprimera des informations personnelles. 

Si une partie de cette DPA est jugée invalide, inapplicable ou illégale par un tribunal ou un organisme administratif compétent, les autres termes resteront en vigueur. Toute clause invalide, inapplicable ou illégale sera interprétée pour donner effet à l’intention commerciale des parties. Si cela n’est pas possible, elle sera coupée, mais le reste restera pleinement opérationnel.

Sauf lorsque cette DPA entre en conflit avec l’Accord, toutes les autres dispositions de l’Accord demeurent inchangées. En cas de conflit entre ce DPA et les termes de l’Accord, ce DPA prévaut dans la mesure où l’objet concerne le traitement des renseignements personnels de la contrepartie. Ce DPA, avec l’accord, constitue l’accord final, complet et exclusif des Parties concernant son objet et prévaut et fusionne toutes les discussions et accords antérieurs entre les Parties à ce sujet. Aucune autre déclaration ou clause ne s’appliquera ni ne fera partie de cette DPA. 

La responsabilité globale totale de Dandy pour toute réclamation découlant ou en lien avec cette DPA est soumise et limitée par les limitations de responsabilité contenues dans l’Accord.

La présente APD et l’Accord doivent être interprétés aussi largement que nécessaire pour mettre en œuvre et se conformer aux dispositions obligatoires des lois applicables. Les Parties conviennent que cette DPA doit être interprétée en faveur de leur intention de se conformer aux lois applicables et, par conséquent, toute ambiguïté sera résolue en faveur d’un sens conforme et conforme aux lois applicables.

Cette APD est régie par la loi applicable de la province de l’Ontario.

Conditions d’utilisation du Royaume-Uni, y compris l’Accord de confidentialité des données

Ces modalités (« Conditions ») de l’entente de pratique (« entente ») sont conclues entre Zima Labs GB Ltd. d/b/a Dandy (« Dandy » ou « nous ») et vous et votre cabinet dentaire (« vous ») et sont en vigueur à compter de la date à laquelle l’entente de pratique est conclue (« date d’entrée en vigueur »). Si vous acceptez ces Conditions au nom d’une entité, d’un partenariat, d’une société ou d’une organisation, « vous » vous incluez, cette entité et tous les utilisateurs de l’entité, et vous représentez par la présente que vous avez l’autorité de lier tous ces utilisateurs. Dandy et vous serez chacun appelés « Party » et ensemble, les « Parties ».  En échange d’une contrepartie bonne et précieuse telle qu’énoncée dans l’Accord, les Parties conviennent des éléments suivants :

1. Amendement. Ces Conditions et l’Entente ne peuvent être modifiées que si les deux parties sont d’accord écrit. Dandy vous informera de tout changement important. Les modifications deviennent effectives trente (30) jours après la notification, sauf si vous résiliez par écrit. Dans de tels cas, Dandy respectera les conditions existantes pendant 60 jours ou jusqu’à ce que le matériel soit restitué.

2. Accord complet. L’entente de pratique, ces modalités, l’entente de confidentialité des données (annexe A) et la politique informatique constituent l’intégralité de l’entente. Cet accord prime sur tous les accords conflictuels antérieurs.

3. Non-assignabilité. Vous ne pouvez pas transférer ou céder cet accord à un tiers sans le consentement écrit préalable de Dandy.

4. Conformité légale. Les deux parties acceptent de se conformer à toutes les lois applicables sur la santé et les données au Royaume-Uni, y compris le RGPD britannique, la Loi sur la protection des données de 2018, les normes réglementaires pertinentes du NHS/GDC et la Care Quality Commission (CQC).

5. Indemnité. Vous indemnisez, défendrez et tiendrez Dandy sans responsabilité de toutes réclamations ou pertes découlant de : (a) votre violation de ce Contrat ou de la DPA; (b) négligence ou actes volontaires concernant les soins aux patients; (c) la fourniture de données cliniques incorrectes; et (d) les relations avec les régulateurs britanniques (par exemple, CQC, GDC ou l’ICO).

6. Droit vigourant et résolution des différends. Cet accord est régi par les lois de l’Angleterre et du Pays de Galles. Tout différend doit être résolu par arbitrage selon les règles de la Cour d’arbitrage international de Londres (LCIA). Le siège de l’arbitrage sera Londres.

7. TVA et impôts. Dandy facturera la taxe sur la valeur ajoutée (TVA) au taux en vigueur, le cas échéant. Si vous êtes exempté, vous devez fournir un certificat d’exonération de la TVA valide ou une preuve satisfaisante à HMRC.

8. Confidentialité des données.  Parce que Dandy traite les données de catégorie spéciale (données personnelles de santé) en votre nom, l’Entente de confidentialité des données (DPA) à l’annexe A est une partie obligatoire et intégrante de cette entente.

Rôles en protection des données. Les Parties reconnaissent que :

• Dandy UK (Zima Labs GB Ltd.) agit à titre de contrôleur des données personnelles du personnel et des contacts d’affaires de la pratique, comme indiqué dans sa politique de confidentialité au Royaume-Uni.
• La clinique agit à titre de contrôleur de toutes les données personnelles des patients.
• Dandy agit à titre de transformateur lorsqu’il fournit ses services de plateforme et de laboratoire numérique à la clinique.

Contact pour la protection des données. Toute notification ou demande liée à la vie privée en vertu de cet accord doit être adressée au responsable de la protection des données (DPO) de Dandy, Tony Riesen, à [email protected].

---

Annexe A : Entente de confidentialité des données

Cette DPA est intégrée à l’Entente où Dandy agit en tant que Traiteur au nom de la Pratique (Contrôleur). La nature, l’objectif et la durée du traitement sont précisés à l’annexe 1 (Détails du traitement des données).

1. Définitions

• « Lois applicables » désigne le RGPD du Royaume-Uni et la Loi sur la protection des données de 2018.
• « Violation de données personnelles » a la signification donnée dans le RGPD du Royaume-Uni.
• « Données de catégorie spéciale » désigne des données personnelles révélant des données de santé, biométriques ou génétiques.
• « Données personnelles » désignent les données personnelles (telles que définies par le RGPD au Royaume-Uni) traitées par Dandy au nom du mandataire.
• « Personne concernée » a la signification donnée dans le RGPD au Royaume-Uni.

2. Sujet et instructions

Dandy ne traitera les données personnelles que selon les instructions documentées du contrôleur (la pratique), y compris en ce qui concerne les transferts de données personnelles vers un pays tiers, sauf si la loi britannique l’exige. Si Dandy estime qu’une instruction enfreint les lois applicables, il doit immédiatement en informer le contrôleur.

Le Contrôleur doit s’assurer d’avoir une base légale pour tout partage de données personnelles et un motif légal pour traiter toutes les données de catégorie spéciale.

3. Obligations du Dandy (Le Processeur)

• Confidentialité : Dandy s’assure que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité.
• Sous-processeurs : Dandy demeure entièrement responsable des performances des sous-processeurs. Une liste des sous-processeurs autorisés de Dandy est disponible sur demande.
• Droits des personnes concernées : Dandy doit assister le Contrôleur par des mesures techniques et organisationnelles appropriées pour remplir son obligation de répondre aux demandes d’exercice des droits des personnes concernées (par exemple, les demandes d’accès à la personne).
• Assistance : Dandy doit fournir une assistance raisonnable au besoin pour que le Contrôleur se conforme à ses obligations en vertu des lois sur la protection des données, notamment en ce qui concerne la sécurité du traitement, la notification d’une violation de données personnelles à l’autorité compétente de protection des données ou aux personnes concernées, les évaluations d’impact sur la protection des données et la consultation préalable avec l’autorité compétente.
• Sécurité : Dandy mettra en œuvre les mesures requises conformément à l’article 32 du RGPD britannique, y compris le chiffrement et la pseudonymisation lorsque cela est approprié.
• Audit et inspection : Dandy doit mettre à disposition toutes les informations nécessaires pour démontrer la conformité à l’article 28 du RGPD britannique et permettre et contribuer aux audits, y compris les inspections, menées par le contrôleur (« audits sur site »). Toute vérification sur place doit être effectuée sur la base d’un avis écrit de 60 jours à l’avance à Dandy, pas plus d’une fois par année civile. Les parties doivent faire preuve de mesures raisonnables pour s’assurer que tout audit sur place n’affecte pas de manière déraisonnable les opérations de Dandy. Le contrôleur assumera les coûts de toute vérification sur place.

4. Transferts internationaux

Dandy ne doit pas transférer de données personnelles hors du Royaume-Uni ou de l’EEE à moins de s’assurer que le transfert est soumis à des « garanties appropriées » (comme l’Accord international de transfert de données du Royaume-Uni (IDTA) ou une décision d’adéquation du gouvernement britannique).

5. Notification de violation

Dandy doit aviser le Responsable de la Traite sans délai (et dans tout cas dans les 48 heures) après avoir pris connaissance d’une violation de données personnelles affectant des données personnelles, en fournissant suffisamment d’informations pour permettre au Contrôleur de respecter toute obligation de déclaration à l’autorité compétente en matière de protection des données.

6. Suppression ou retour

Au choix du Mandataire, Dandy doit supprimer ou retourner toutes les données personnelles au Contrôleur après la fin de la prestation des services, et supprimer les copies existantes sauf si la loi britannique exige un stockage.

---

ANNEXE 1 : DÉTAILS DU TRAITEMENT DES DONNÉES

• Sujet, nature et but : La prestation des services à vous dans le cadre de l’Entente de pratique.
• Durée : La durée de l’entente de pratique plus la période jusqu’à la suppression de toutes les données.
• Catégories de sujets de données : Patients et utilisateurs autorisés du client.
• Types de données personnelles : Noms, adresses courriel, adresses d’entreprise, numéros d’enregistrement professionnels et (le cas échéant) dossiers cliniques/scans des patients.

---