IBM Watson Platform for Health

Podobne dokumenty
IBM Watson Content Hub

IBM Universal Behavior Exchange

IBM Cloud Event Management

IBM Watson Content Hub

IBM Watson Content Hub

IBM Surveillance Insight for Financial Services on Cloud

IBM Kenexa Skills Manager on Cloud

IBM Inventory Visibility

IBM Decision Optimization on Cloud

IBM IoT for Insurance

IBM Digital Analytics for Talent Acquisition

Zakres Prac dotyczący świadczenia Usług - Wsparcie w zakresie rozszerzonego serwisu i5/os V5R4

Załącznik dotyczący Opcji Serwisowych nabywanych od Partnera Handlowego IBM - Doradca Techniczny ds. Pamięci Masowej

IBM WebSphere Cast Iron Live

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

IBM Emptoris Program Management on Cloud

IBM OpenPages GRC on Cloud

Warunki Używania Produktów i Usług IBM Warunki Specyficzne dla Oferty Usług SaaS IBM Spectrum Control Storage Insights

Załącznik dotyczący Opcji Serwisowych nabycie od Partnera Handlowego IBM. Rozszerzone Wsparcie Techniczne dla Sieci. 1. Zakres Usług. 2.

IBM Enterprise Asset Management on Cloud (Maximo)

IBM Emptoris Program Management on Cloud

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

IBM Case Manager on Cloud

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

POLITYKA PRYWATNOŚCI

Europejski Fundusz Rolny na rzecz Rozwoju Obszarów Wiejskich: Europa inwestuje w obszary wiejskie

Załącznik dotyczący opcji usług (SOA) Rozszerzone Wsparcie Techniczne dla systemu Linux zainstalowanego na klastrach komputerowych

IBM Sterling Web Forms

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Zakres Prac związanych ze wsparciem dotyczącym używania systemu i5/os oraz jego znanych defektów

IBM Business Process Manager on Cloud

ZASADY OCHRONY DANYCH OSOBOWYCH W WITRYNIE INTERNETOWEJ FIRMY ENERVENT ZEHNDER OY

Warunki Używania Produktów i Usług IBM Warunki Specyficzne dla Oferty Usług SaaS. IBM QRadar on Cloud. 1. Usługi IBM SaaS. 2. Opłaty rozliczeniowe

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

POLITYKA PRYWATNOŚCI. Niniejszy dokument opisuje zasady gromadzenia, przetwarzania i wykorzystywania

Dane osobowe: Co identyfikuje? Zgoda

IBM Digital Experience Plus on Cloud

Opis Usługi Przetwarzania w Chmurze IBM IBM PureApplication Service Infrastructure

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Opis Usługi. IBM QRadar on Cloud. 1. Usługa Przetwarzania w Chmurze. 1.1 IBM QRadar on Cloud 100 EPS. 1.2 Składniki opcjonalne

Regulamin usług hostingowych Domeny.pl

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Zakres Prac dotyczący świadczenia Usług. Rozszerzenie serwisu dla urządzenia IBM DataPower SOA Zakres Usług. 2. Definicje: 3.

IBM Emptoris Managed Cloud Delivery

IBM Emptoris Spend Analysis on Cloud

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

Zasady ochrony danych i prywatności Usługi Przetwarzania w Chmurze IBM

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA OCHRONY PRYWATNOŚCI

Opis Usługi Przetwarzania w Chmurze IBM IBM Intelligent Operations Center on IBM SmartCloud

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Załacznik do Opcji Serwisowej nabywanej od Partnera Handlowego IBM Rozszerzenie serwisu produktu AIX 5.3

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

IBM Facilities and Real Estate Management on Cloud (TRIRIGA)

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Załącznik nr 4 Warunki przetwarzania danych osobowych. I. Niniejszy dokument ( Warunki przetwarzania danych osobowych ):

Wzorcowy załącznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomiędzy Firmą A oraz Firmą B

4. Obowiązki firmy IBM Poza obowiązkami wymienionymi w odpowiedniej umowie SOW firma IBM przyjmuje następujące obowiązki:

Szczegółowe warunki korzystania z usługi Kreator.online

Umowa powierzenia przetwarzania danych osobowych,

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Wsparcie Klienta w zakresie Pamięci Masowej

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

Załącznik nr 4 Warunki przetwarzania danych osobowych. a. stanowi integralną część Umowy dotyczącej świadczenia Usługi w chmurze oraz

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Umowa powierzenia danych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka prywatności strony www Wrocławski Internet

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ( Umowa Powierzenia")

Regulamin świadczenia usług drogą elektroniczną w CAT LC Polska Sp. z o.o. WSTĘP

Opis Usługi Przetwarzania w Chmurze IBM Watson Analytics

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

UMOWA POWIERZENIA ( Umowa ) zawierana w związku z zawarciem umowy na podstawie. Regulaminu Świadczenia usług platformy SKY-SHOP.PL.

IBM Emptoris Managed Cloud Delivery

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Polityka Prywatności

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA PRYWATNOŚCI SERWIS:

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ. Stowarzyszenie Zdrowa Praca. Dane Usługodawcy: Dane osoby odpowiedzialnej: Data:

Umowa na przetwarzanie danych

POLITYKA OCHRONY DANYCH OSOBOWYCH

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA

Umowa powierzenia przetwarzania danych osobowych

Załącznik dotyczący Opcji Serwisowych (SOA) Rozszerzone Wsparcie Techniczne dla sieci SAN i pamięci masowej (Wsparcie Urządzeń i Środowiska)

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

IBM Cognos Controller on Cloud

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ


Zał. nr 2 do Zarządzenia nr 48/2010 r.

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Ochrona danych osobowych w biurach rachunkowych

Transkrypt:

Opis Usługi IBM Watson Platform for Health Niniejszy opis dotyczy Usługi Przetwarzania w Chmurze, którą IBM oferuje Klientowi. Klient oznacza tu podmiot zawierający umowę wraz z jego autoryzowanymi użytkownikami i odbiorcami Usługi Przetwarzania w Chmurze. Odpowiednia Oferta Cenowa i dokument Proof of Entitlement (PoE) są dostarczane jako odrębny Dokument Transakcyjny. W przypadku wystąpienia sprzeczności między Umową (w tym Opisem Usługi i załączonym Dodatkiem dotyczącym bezpieczeństwa i ciągłości biznesowej) a jakąkolwiek ewentualną Umową ze Współpracownikiem Handlowym lub Umową dotyczącą Przetwarzania Danych (z których każda jest zwana Dokumentem Dołączonym ) zawartą pomiędzy IBM a Klientem w powiązaniu z Usługą Przetwarzania w Chmurze kolejność ważności dokumentów jest następująca: (1) Dokument Dołączony, (2) Opis Usługi, (3) Umowa. 1. Definicje Obowiązujące Przepisy wszelkie ustawy i inne akty prawne, zasady, rozporządzenia, dyrektywy, pełnomocnictwa, dekrety lub inne wymagania ustanawiane przez organy administracji publicznej, a także wszelkie powszechnie uznawane standardy branżowe, które mają zastosowanie do realizacji niniejszego Opisu Usługi. Interfejs API aplikacyjny interfejs programistyczny, czyli zestaw procedur, protokołów i narzędzi służących do budowania aplikacji. Interfejs API określa zasady współdziałania poszczególnych komponentów oprogramowania. Ponadto Interfejsy API stosuje się podczas programowania komponentów graficznego interfejsu użytkownika. Upoważniony Administrator dowolny pracownik Klienta, zatwierdzony wykonawca Klienta, osoba fizyczna lub zespół odpowiedzialny za zarządzanie utrzymaniem i niezawodnym działaniem platformy. Jego obowiązki mogą obejmować wykonywanie czynności konfiguracyjnych, udzielanie wsparcia oraz zarządzanie użytkownikami i kontami. Administratorem może być również badacz odpowiedzialny za skonfigurowanie badania klinicznego w systemie Watson Health. Osoba Upoważniona dowolna uwierzytelniona osoba, urządzenie lub aplikacja dla urządzeń mobilnych, która otrzymała prawo dostępu umożliwiające wysyłanie danych do usługi IBM Watson Platform for Health. Termin ten może obejmować Klienta oraz uczestników badań, klientów i pacjentów Klienta. Przepisy o Ochronie Danych Dotyczące Klienta Przepisy o Ochronie Danych mające zastosowanie do wykonywania obowiązków Klienta wynikających z Umowy, Dokumentów Dołączonych oraz stosownych Opisów Usług, Dokumentów Zamówień i Zakresów Prac zawartych przez Strony. Dane Klienta wszelkie dane wprowadzane przez Klienta lub w jego imieniu do Usługi Przetwarzania w Chmurze, przy czym mogą to być zarówno własne dane Klienta, jak i dane wprowadzane przez klientów Klienta lub osoby trzecie bądź w ich imieniu. Termin ten obejmuje również wszelkie dane pochodzące z urządzeń innych firm służących do monitorowania samopoczucia i stanu zdrowia. Przepisy o Ochronie Danych wszelkie Obowiązujące Przepisy dotyczące ochrony, poufności i bezpieczeństwa danych. Osoba, Której Dane Dotyczą zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, której dotyczą Dane Osobowe. Wyznaczone Centrum Przetwarzania Danych centrum przetwarzania danych wskazane w Dokumencie Transakcyjnym jako podstawowe lub zapasowe centrum przetwarzania danych, w którym działa instancja Usługi Przetwarzania w Chmurze używana przez Klienta (jeśli ma zastosowanie). Dane Medyczne wszelkie dane lub informacje (w tym obrazy), które stanowią Dane Osobowe związane ze stanem zdrowia. Przystosowany do Przetwarzania Danych Medycznych w odniesieniu do Usługi Przetwarzania w Chmurze: termin określający zdolność Usługi Przetwarzania w Chmurze do spełnienia wymagań norm, standardów i przepisów w zakresie bezpieczeństwa i ochrony danych, które obowiązują w Krajach Objętych Usługą w odniesieniu do Danych Medycznych, w tym specyfikacji wdrożeniowych określonych w części 164, działy A i C przepisów wprowadzających Ustawę HIPAA (ze zmianami wprowadzonymi przez Ustawę HITECH), a także innych Obowiązujących Przepisów odnoszących się do Danych i128-0039-02 (03/2017) Strona 1 z 16

Medycznych, przy czym użycie tego terminu nie oznacza, że IBM występuje w roli współpracownika handlowego bądź administratora danych. Ustawa HIPAA amerykańska ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (Health Insurance Portability and Accountability Act) z 1996 r. z późniejszymi zmianami, w tym zmianami wprowadzonymi przez ustawę o informatyzacji opieki zdrowotnej (Health Information Technology for Economic and Clinical Health Act) będącą częścią ustawy o ożywieniu gospodarczym i reinwestowaniu (American Recovery and Reinvestment Act) z 2009 r. (zwaną dalej Ustawą HITECH ), a także niektóre przepisy ogłoszone przez Departament Zdrowia i Opieki Społecznej Stanów Zjednoczonych na mocy Ustawy HIPAA w kodeksie przepisów federalnych (CFR), tytuł 45, części 160 i 164 oraz niektóre przepisy ogłoszone na mocy Ustawy HITECH. Przepisy o Ochronie Danych Dotyczące IBM Przepisy o Ochronie Danych mające zastosowanie do wykonywania obowiązków IBM wynikających z Umowy, Dokumentów Dołączonych oraz stosownych Opisów Usług, Dokumentów Zamówień i Zakresów Prac zawartych przez Strony. Pracownicy IBM (a) IBM, Przedsiębiorstwa Afiliowane IBM i podwykonawcy IBM oraz pracownicy wszystkich powyższych podmiotów, a także (b) zewnętrzni dostawcy, którzy świadczą usługi w imieniu IBM zgodnie z Umową i stosownymi Dokumentami Dołączonymi bądź których IBM upoważnia na innej podstawie do uzyskiwania dostępu do Danych Osobowych Klienta. Kraje Objęte Usługą 28 państw członkowskich Unii Europejskiej i Szwajcaria oraz inne kraje, które IBM może w przyszłości dodać do niniejszej listy. Dane Osobowe informacje zapisane na dowolnym nośniku i w dowolnym formacie, w tym dokumentacja w formie elektronicznej i papierowej, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przy czym określenie możliwa do zidentyfikowania osoba fizyczna oznacza osobę, którą można zidentyfikować (bezpośrednio lub pośrednio) w szczególności na podstawie numeru identyfikacyjnego bądź jednego lub kilku czynników związanych z tożsamością fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową bądź społeczną. Przetwarzanie i warianty tego określenia, takie jak przetwarzać (pisane wielką lub małą literą) każda operacja lub zestaw operacji wykonywanych na danych (automatycznie lub ręcznie), w tym gromadzenie, utrwalanie, organizowanie, przechowywanie, adaptacja lub zmiana, pobieranie, wgląd, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, blokowanie, usuwanie bądź niszczenie. Przetwarzane Dane wszelkie dane, informacje poufne lub prawnie zastrzeżone bądź materiały, w tym Dane Medyczne i Dane Osobowe, które są przetwarzane przez IBM zgodnie z Umową, Dokumentem Dołączonym, Opisem Usługi, Dokumentem Zamówienia i/lub Zakresem Prac. Incydent Związany z Bezpieczeństwem zgodnie z definicją podaną w Dodatku dotyczącym bezpieczeństwa i ciągłości biznesowej. 2. Usługa Przetwarzania w Chmurze IBM Watson Health 2.1 IBM Watson Platform for Health Ta Usługa Przetwarzania w Chmurze obejmuje platformę Przystosowaną do Przetwarzania Danych Medycznych udostępnianą jako usługa (PaaS), platformę programistyczną oraz podsystem operacyjny do przechowywania, opracowywania i przetwarzania Chronionych Informacji dotyczących Zdrowia (w rozumieniu Ustawy HIPAA) i innych Danych Medycznych. Chronione Informacje dotyczące Zdrowia i inne Dane Medyczne są zarządzane zgodnie z Przepisami o Ochronie Danych Dotyczącymi IBM, jeśli są zlokalizowane w centrum przetwarzania danych należącym do IBM lub kontrolowanym przez IBM. Aby aktywować opcje i funkcje opisane poniżej, Klient musi nabyć odpowiednie uprawnienia do usług IBM Watson Platform for Health i IBM Watson Platform for Health Access. 2.1.1 Środowiska operacyjne usługi IBM Watson Platform for Health Uprawnienie do usługi IBM Watson Platform for Health obejmuje trzy działające w chmurze środowiska operacyjne Przystosowane do Przetwarzania Danych Medycznych, zaprojektowane z myślą o umożliwieniu Klientowi przetwarzania Danych Medycznych: Środowisko pilotowe Jest to środowisko testowe, w którym Klient może opracowywać i testować aplikacje tworzone przy użyciu Usługi Przetwarzania w Chmurze. W środowisku pilotowym są wdrożone wszystkie mechanizmy zabezpieczeń przewidziane w Ustawie HIPAA z wyjątkiem mechanizmów usuwania i128-0039-02 (03/2017) Strona 2 z 16

skutków awarii, zapewnienia wysokiej dostępności i tworzenia kopii zapasowych systemów ewidencji. Środowisko produkcyjne Jest to pełnowymiarowe środowisko, w którym Klient może obsługiwać obciążenia związane z Danymi Medycznymi. Środowisko produkcyjne obejmuje mechanizmy zapewnienia wysokiej dostępności i równoważenia obciążenia, a także umożliwia przełączanie awaryjne do lokalizacji zapasowej w ramach mechanizmu usuwania skutków awarii. Środowisko usuwania skutków awarii Jest to środowisko stanowiące kopię lustrzaną środowiska produkcyjnego, umieszczone w oddzielnym centrum przetwarzania danych. 2.1.2 Tworzenie aplikacji Ta Usługa Przetwarzania w Chmurze umożliwia tworzenie aplikacji i bezpieczne gromadzenie danych z urządzeń Klienta lub urządzeń jego autoryzowanych użytkowników. Korzystając z Interfejsów API i dołączonej do nich dokumentacji, autoryzowani użytkownicy Klienta (w tym zewnętrzni usługodawcy) mogą tworzyć aplikacje i wymieniać dane z Usługą Przetwarzania w Chmurze. Warunkiem korzystania przez Klienta i jego programistów z Interfejsów API jest przestrzeganie wymagań określonych w dokumencie pt. Wymagania dotyczące interfejsów API dla programistów. Interfejsy API w architekturze REST W ramach usługi IBM Watson Platform for Health dostępne są interfejsy API REST, które Klient może wykorzystać w swoich usługach. Funkcjonalność Interfejsów API obejmuje między innymi mechanizmy dostępu do repozytoriów danych, usługę opracowywania danych, funkcje zarządzania użytkownikami oraz dzienniki kontroli. Środowiska Apple HealthKit i Apple ResearchKit Usługę IBM Watson Platform for Health można zintegrować ze środowiskiem interfejsów API Apple ResearchKit w celu obsługi badań na platformie ios oraz ze środowiskiem Apple HealthKit w celu rejestrowania danych na temat samopoczucia pacjentów. 2.1.3 Nadzór nad danymi Zarządzanie zgodami Usługa IBM Watson Platform for Health udostępnia strukturę umożliwiającą rejestrowanie zgód udzielanych przez pacjentów lub uczestników badań, a także pozwala bezpiecznie zapisywać zarejestrowane zgody niezależnie od pakietów danych, w momencie gdy powyższe osoby rejestrują się za pośrednictwem aplikacji Klienta wyposażonych w funkcje rejestrowania zgód. Maskowanie danych Usługa IBM Watson Platform for Health umożliwia wydzielenie identyfikatorów (nazwisk) z ustrukturyzowanych pakietów danych. Usługa ta odbiera dane w chmurze za pośrednictwem Interfejsów API, które pozwalają oddzielić identyfikator (nazwisko) pacjenta lub innej osoby fizycznej od reszty pakietu danych i zapisać go w odrębnej, zaszyfrowanej składnicy danych. W takim przypadku do pakietu danych przypisywany jest poddany anonimizacji znacznik, za pomocą którego można następnie prześledzić pochodzenie danych. 2.1.4 Usługi związane z Danymi Medycznymi Usługa IBM Watson Platform for Health umożliwia gromadzenie, przechowywanie i synchronizowanie danych w tym Danych Medycznych pochodzących ze źródeł zewnętrznych oraz innych Danych Osobowych w postaci ustrukturyzowanej i nieustrukturyzowanej. Pozyskiwanie danych Usługa IBM Watson Platform for Health umożliwia pozyskiwanie danych z aplikacji i urządzeń używanych przez pacjentów za pośrednictwem interfejsów API. Każda Osoba Upoważniona po stronie Klienta ma prawo przesłać do usługi IBM Watson Platform for Health maksymalnie 25 MB danych w każdym roku obowiązywania umowy. Usługa umożliwia przesyłanie maksymalnie 10 plików dziennie na każdą Osobę. Repozytorium danych operacyjnych typu data lake Surowe dane Klienta lub pacjentów są przechowywane w usłudze IBM Watson Platform for Health w postaci rodzimej, dopóki nie są potrzebne do wykonywania analiz i modelowania. i128-0039-02 (03/2017) Strona 3 z 16

Wyodrębnianie, przekształcanie i ładowanie (proces ETL) Dane są przekształcane do znormalizowanego formatu w obrębie podsystemu operacyjnego. Zgodna ze standardami branżowymi magistrala komunikacyjna przedsiębiorstwa (ESB) dla służby zdrowia ułatwia integrację danych Klienta pochodzących z różnych aplikacji i obsługiwanych przy użyciu różnych protokołów. Repozytorium typu data reservoir Po opracowaniu dane są przenoszone do repozytorium typu data reservoir. Usługa IBM Watson Platform for Health wykorzystuje wybrane elementy ujednoliconego modelu danych IBM dla służby zdrowia (IBM Unified Data Model for Healthcare) do normalizowania danych merytorycznych i technicznych dotyczących stanu zdrowia pacjentów pod kątem wykorzystania w systemach analitycznych. Rekord główny osoby Usługa Watson Health oferuje narzędzia do zarządzania danymi głównymi, które pozwalają skonsolidować dane z różnych źródeł w celu stworzenia kartoteki obejmującej całą historię leczenia danej osoby (ang. Longitudinal Person Record LPR). 2.2 Usługi Opcjonalne 2.2.1 IBM Watson Platform for Health Terminology Service Ta usługa dodatkowa ułatwia integrowanie danych i współdziałanie między różnymi systemami dla służby zdrowia poprzez ujednolicenie terminologii klinicznej stosowanej w poszczególnych aplikacjach dostępnych w chmurze Watson Health Cloud.Usługa ta oferuje platformę funkcjonalną umożliwiającą wykonywanie wszystkich czynności związanych z terminologiami, systemami kodów oraz treścią ustrukturyzowaną, takich jak: tworzenie nowych systemów kodów; konwersja międzynarodowych systemów kodów; odwzorowywanie lokalnych list kodów i standardów międzynarodowych. 3. Bezpieczeństwo W odniesieniu do niniejszej Usługi Przetwarzania w Chmurze stosowane są zasady IBM dotyczące ochrony danych i prywatności dla usług IBM SaaS, dostępne pod adresem http://www.ibm.com/cloud/data-security, a także warunki dodatkowe określone poniżej oraz w Dodatku dotyczącym bezpieczeństwa i ciągłości biznesowej do niniejszego Opisu Usługi. Żadna zmiana zasad ochrony danych i prywatności IBM nie zmniejszy bezpieczeństwa Usługi Przetwarzania w Chmurze. W ramach usługi IBM Watson Platform for Health wdrożono strategie, standardy i procesy bezpieczeństwa stworzone w oparciu o normę ISO 27001, opisane dokładniej w punkcie zawierającym opis zabezpieczeń. Wśród zabezpieczeń stosowanych w ramach rozwiązania należy wymienić: a. Bezpieczne strefy pracy W ramach usługi IBM Watson Platform for Health realizowana jest strategia głębokiej obrony, która przewiduje wykorzystanie wielu stref bezpieczeństwa do zarządzania punktami integracji z chmurą, takimi jak wprowadzanie danych czy tworzenie niestandardowych aplikacji. b. Szyfrowanie Wszystkie Dane Klienta są szyfrowane zarówno podczas przechowywania, jak i podczas przemieszczania. Szyfrowanie obejmuje wszelkie dane przesyłane do usługi IBM Watson Platform for Health i z tej usługi, a do zarządzania kluczami szyfrowania wykorzystywana jest współużytkowana usługa. Odpowiedzialność za wszelkie połączenia sieciowe między usługą en IBM Watson Health Service a serwerem proxy Klienta (w tym za ich jakość) ponosi Klient. c. Monitorowanie zdarzeń związanych z bezpieczeństwem IBM wykorzystuje swoją platformę analizy danych dotyczących bezpieczeństwa do zarządzania informacjami i zdarzeniami związanymi z bezpieczeństwem, zarządzania dziennikami, analizowania incydentów, wykrywania zagrożeń oraz zarządzania słabymi punktami zabezpieczeń. i128-0039-02 (03/2017) Strona 4 z 16

d. Zarządzanie tożsamością W przypadku dużych populacji pacjentów i użytkowników usługa IBM Watson Platform for Health współpracuje z dostawcami tożsamości zgodnymi z otwartymi standardami za pośrednictwem interfejsu OpenID Connect. W przypadku populacji użytkowników, dla których dostawcą tożsamości jest IBM, usługa IBM Watson Platform for Health obsługuje uwierzytelnianie za pośrednictwem odpowiednich usług katalogowych i funkcji zarządzania tożsamością. e. Silne uwierzytelnianie i kontrola dostępu oparta na rolach Usługa IBM Watson Platform for Health obsługuje uwierzytelnianie za pośrednictwem protokołu SAML. Mechanizm ten umożliwia Klientowi zintegrowanie z usługą własnego systemu pojedynczego logowania lub własnych usług katalogowych. Usługa IBM Watson Platform for Health umożliwia zarządzanie strategiami bezpieczeństwa (zależnie od potrzeb) przy użyciu rozwiązania do zarządzania dostępem i związanych z nim komponentów. Usługa IBM Watson Platform for Health obsługuje uwierzytelnianie dwuskładnikowe realizowane programowo. Usługa IBM Watson Platform for Health zapewnia podstawowe mechanizmy kontroli dostępu opartej na rolach (zależnie od potrzeb). Ponadto umożliwia konfigurowanie badań, profili użytkowników oraz ról i grup użytkowników za pośrednictwem aplikacyjnych interfejsów programistycznych (zwanych dalej Interfejsami API ), które umożliwiają dostęp oparty na rolach. 4. Zarządzanie kontami Usługa Przetwarzania w Chmurze jest dostępna wyłącznie dla autoryzowanych użytkowników Klienta (tj. Upoważnionych Administratorów i Osób Upoważnionych). Klient kontroluje konta upoważnione do uzyskiwania dostępu do Usługi Przetwarzania w Chmurze, które mogą obejmować autoryzowane aplikacje, pracowników Klienta oraz jego zewnętrznych usługodawców i wykonawców, a także ponosi wyłączną odpowiedzialność za (i) kontrolowanie wszelkich autoryzowanych użytkowników, w tym w szczególności weryfikowanie tożsamości każdego autoryzowanego użytkownika, oraz (ii) dopilnowanie, aby dostęp do Usługi Przetwarzania w Chmurze uzyskiwali wyłącznie autoryzowani użytkownicy. Osobom Upoważnionym będącym klientami, pacjentami lub uczestnikami badań Klienta można przyznawać wyłącznie prawa dostępu umożliwiające przesyłanie danych do Usługi Przetwarzania w Chmurze. Takie Osoby Upoważnione nie mogą uzyskiwać innego rodzaju dostępu do usługi. 5. Umowa dotycząca Poziomu Usług IBM udostępnia przedstawioną poniżej Umowę dotyczącą Poziomu Usług ( SLA ) w odniesieniu do niniejszej Usługi Przetwarzania w Chmurze zgodnie z dokumentem PoE. Umowa dotycząca Poziomu Usług nie stanowi gwarancji (rękojmia jest również wyłączona). Umowa dotycząca Poziomu Usług jest dostępna tylko dla Klienta i ma zastosowanie wyłącznie w środowiskach produkcyjnych. 5.1 Uznania z tytułu Dostępności Rabaty z tytułu dostępności dotyczą wyłącznie opłat subskrypcyjnych za uprawnienia dla Osób. Klient musi zarejestrować w dziale wsparcia technicznego IBM zgłoszenie problemu o Poziomie istotności 1 w ciągu 24 godzin od momentu uzyskania informacji o tym, że dane zdarzenie ma krytyczny wpływ na działalność przedsiębiorstwa, a Usługa Przetwarzania w Chmurze jest niedostępna. Klient udzieli IBM uzasadnionej pomocy podczas diagnozowania i rozwiązywania problemu. Reklamację dotyczącą zgłoszenia problemu z powodu niedotrzymania Umowy dotyczącej Poziomu Usług należy złożyć w ciągu trzech dni roboczych od końca miesiąca obowiązywania umowy. Wyrównanie z tytułu uzasadnionej reklamacji w sprawie niedotrzymania Umowy dotyczącej Poziomu Usług będzie mieć postać uznania na poczet przyszłej faktury z tytułu opłat za Usługę Przetwarzania w Chmurze, a jego kwota będzie uzależniona od czasu, w którym procesy przetwarzania dla Usługi Przetwarzania w Chmurze w systemie produkcyjnym były niedostępne (zwanego dalej Przestojem ). Przestój jest mierzony od chwili zgłoszenia zdarzenia przez Klienta do chwili przywrócenia Usługi Przetwarzania w Chmurze. Nie obejmuje zaplanowanych lub zapowiedzianych wyłączeń systemu w celu przeprowadzenia prac serwisowych, jak również przerw w pracy systemu spowodowanych przyczynami, na które IBM nie ma wpływu, problemami z zawartością, technologią, projektami lub instrukcjami Klienta bądź osoby i128-0039-02 (03/2017) Strona 5 z 16

trzeciej, zastosowaniem nieobsługiwanych konfiguracji systemu lub platform, innymi błędami Klienta, spowodowanym przez Klienta incydentem dotyczącym bezpieczeństwa lub testowaniem zabezpieczeń Klienta. IBM naliczy najwyższe obowiązujące wyrównanie na podstawie łącznej dostępności Usługi Przetwarzania w Chmurze osiągniętej w danym miesiącu obowiązywania umowy, zgodnie z poniższą tabelą. Łączna kwota wyrównań przyznanych za dowolny miesiąc obowiązywania umowy nie może w żadnym razie przekroczyć 20% kwoty równej 1/12 (jednej dwunastej) rocznej opłaty za Usługę Przetwarzania w Chmurze. 5.2 Poziomy usług Dostępność Usługi Przetwarzania w Chmurze w miesiącu obowiązywania umowy Dostępność w miesiącu obowiązywania umowy Wyrównanie (procent miesięcznej opłaty za subskrypcję* dla Osoby za miesiąc obowiązywania umowy, którego dotyczy reklamacja) < 99,95% 10% < 99,0% 20% * Jeśli Klient nabył Usługę Przetwarzania w Chmurze od Partnera Handlowego IBM, to miesięczna opłata za subskrypcję zostanie obliczona na podstawie aktualnej ceny katalogowej Usługi Przetwarzania w Chmurze obowiązującej w miesiącu obowiązywania umowy, którego dotyczy reklamacja, objętej upustem w wysokości 50%. IBM udostępni rabat bezpośrednio Klientowi. Dostępność wyrażona procentowo jest równa ilorazowi łącznej liczby minut w danym miesiącu obowiązywania umowy pomniejszonej o łączny czas trwania Przestojów w minutach w danym miesiącu obowiązywania umowy oraz łącznej liczby minut w danym miesiącu obowiązywania umowy. Przykład: łączny czas trwania Przestojów w miesiącu obowiązywania umowy = 108 minut 43 200 minut w 30-dniowym miesiącu obowiązywania umowy - 108 minut Przestojów = 43 092 minuty = 10% Uznanie z tytułu Dostępności za dostępność na poziomie 99,75% w Miesiącu Obowiązywania Umowy łącznie 43 200 minut 5.3 Zastrzeżenia Umowa dotycząca Poziomu Usług nie ma zastosowania w przypadku: maszyn wirtualnych udostępnianych na serwerach w celu zapewnienia obsługi aplikacji niestandardowych lub aplikacji Klienta (z wyjątkiem monitorowania serwerów); naruszenia przez Klienta istotnych zobowiązań wynikających z aktualnie obowiązujących umów. 6. Wsparcie techniczne IBM udostępni Podręcznik wsparcia dla usługi IBM Software as a Service (SaaS), który zawiera informacje kontaktowe działu wsparcia technicznego, godziny pracy serwisu oraz inne informacje i procesy. Informacje kontaktowe i inne szczegółowe informacje na temat wsparcia technicznego można znaleźć w Podręczniku wsparcia dla usługi IBM Software as a Service (SaaS) pod adresem https://support.ibmcloud.com. Wsparcie techniczne i pomoc w sprawie prostych zgłoszeń związanych z konfiguracją Usług Przetwarzania w Chmurze są udzielane za pośrednictwem elektronicznego systemu obsługi zgłoszeń. Powyższe wsparcie techniczne jest oferowane razem z Usługami Przetwarzania w Chmurze i nie jest dostępne jako oddzielna oferta. Dokumentacja i informacje przekazywane podczas zgłaszania problemu lub incydentu nie mogą zawierać danych osobowych, w tym chronionych informacji dotyczących zdrowia i wrażliwych danych osobowych. i128-0039-02 (03/2017) Strona 6 z 16

7. Informacje o uprawnieniach i rozliczaniu 7.1 Opłaty rozliczeniowe Przy sprzedaży Usługi Przetwarzania w Chmurze wysokość opłat rozliczeniowych jest ustalana na podstawie jednej z następujących miar, zgodnie z Dokumentem Transakcyjnym: a. Jednostką miary, według której można korzystać z Usługi Przetwarzania w Chmurze, jest Dostęp. Dostęp oznacza prawo do używania Usługi Przetwarzania w Chmurze. Klient musi uzyskać pojedyncze uprawnienie do Dostępu, aby móc korzystać z Usługi Przetwarzania w Chmurze w okresie pomiarowym wyszczególnionym w Dokumencie PoE lub Dokumencie Transakcyjnym. b. Jednostką miary, według której można korzystać z Usługi Przetwarzania w Chmurze, jest Osoba. Osoba oznacza pojedynczego człowieka lub pojedynczy przedmiot. Klient musi uzyskać odpowiednie uprawnienia umożliwiające obsługę każdej Osoby, którą Usługa Przetwarzania w Chmurze przetwarza lub którą usługa ta zarządza w okresie pomiarowym określonym w dokumencie Proof of Entitlement (PoE) lub w Dokumencie Transakcyjnym Klienta. Na potrzeby niniejszej Usługi Przetwarzania w Chmurze Osobą może być osoba fizyczna, urządzenie lub aplikacja dla urządzeń mobilnych, którą zarządza ta usługa. c. Jednostką miary, według której można korzystać z Usługi Przetwarzania w Chmurze, jest Instancja. Instancja oznacza dostęp do konkretnej konfiguracji Usługi Przetwarzania w Chmurze. Dla każdej udostępnionej Instancji Usługi Przetwarzania w Chmurze Klient musi uzyskać odpowiednie uprawnienia umożliwiające mu uzyskiwanie do niej dostępu i jej używanie w okresie pomiarowym określonym w dokumencie PoE lub Dokumencie Transakcyjnym Klienta. 7.2 Opłaty za niepełne miesiące Opłata za niepełny miesiąc, zgodnie z treścią Dokumentu Transakcyjnego, może być naliczana w ujęciu proporcjonalnym. 7.3 Opłaty za przekroczenie limitu Jeśli rzeczywiste wykorzystanie Usługi Przetwarzania w Chmurze w okresie pomiarowym przekroczy uprawnienia określone w dokumencie PoE, Klientowi zostanie naliczona opłata za przekroczenie limitu zgodnie z postanowieniami Dokumentu Transakcyjnego. 8. Okres obowiązywania i możliwości odnowienia Okres obowiązywania Usługi Przetwarzania w Chmurze rozpoczyna się z datą powiadomienia Klienta przez IBM o udostępnieniu mu pilotowego środowiska operacyjnego tej usługi zgodnie z Dokumentem Zamówienia. W przypadku uprawnień dla Osób okres subskrypcji rozpoczyna się z datą powiadomienia Klienta przez IBM o udostępnieniu mu produkcyjnego środowiska operacyjnego. W Dokumencie Zamówienia zostanie określone, czy Usługa Przetwarzania w Chmurze będzie odnawiana automatycznie, kontynuowana na zasadzie nieprzerwanego używania czy zakończona po upływie okresu jej obowiązywania. W przypadku odnawiania automatycznego Usługa Przetwarzania w Chmurze będzie automatycznie przedłużana na okres wskazany w dokumencie PoE, chyba że Klient złoży pisemny wniosek o jej nieprzedłużanie co najmniej 90 dni przed datą jej wygaśnięcia. W przypadku kontynuacji na zasadzie nieprzerwanego używania dostępność Usługi Przetwarzania w Chmurze będzie przedłużana z miesiąca na miesiąc, chyba że Klient wypowie ją pisemnie z wyprzedzeniem co najmniej 90 dni. Po zakończeniu takiego 90-dniowego okresu wypowiedzenia Usługa Przetwarzania w Chmurze będzie dostępna do końca miesiąca kalendarzowego. 9. Prywatność 9.1 Wymagania ogólne W relacji między Stronami Klient jest wyłącznym administratorem wszelkich Danych Osobowych Klienta, a IBM jest wyznaczonym przez Klienta podmiotem przetwarzającym dane. Zgodnie z Przepisami o Ochronie Danych Klient ma prawo wydawać IBM polecenia dotyczące przetwarzania przez IBM Danych Osobowych Klienta. W związku z przetwarzaniem przez IBM Danych Osobowych Klienta IBM jest zobowiązany: a. przestrzegać wszelkich Przepisów o Ochronie Danych Dotyczących IBM; i128-0039-02 (03/2017) Strona 7 z 16

b. nie mieszać Danych Osobowych Klienta z danymi pochodzącymi z innych źródeł, chyba że odbywa się to: w zakresie niezbędnym do świadczenia Usługi Przetwarzania w Chmurze (z wyłączeniem wszelkich innych celów, o ile Klient wyraźnie nie wskaże inaczej); zgodnie z postanowieniami niniejszego Opisu Usługi oraz Dodatku dotyczącego bezpieczeństwa i ciągłości biznesowej. W związku z przetwarzaniem przez IBM Danych Osobowych Klienta Klient: a. jest zobowiązany przestrzegać wszelkich Przepisów o Ochronie Danych Dotyczących Klienta; b. ponosi odpowiedzialność za wszelką komunikację między Klientem a jego Przedsiębiorstwami Afiliowanymi, pacjentami, użytkownikami, Osobami, Których Dane Dotyczą i/lub innymi osobami trzecimi współpracującymi z Klientem; c. jest zobowiązany zawrzeć z administratorami danych umowy dotyczące przetwarzania danych, które są niezbędne, aby umożliwić IBM jako podmiotowi przetwarzającemu dane oraz jego podwykonawcom w tym zakresie przetwarzanie wszelkich Danych Osobowych Klienta; d. pełni funkcję osoby kontaktowej na potrzeby IBM oraz ponosi wyłączną odpowiedzialność za wewnętrzną koordynację, przegląd i przesyłanie do IBM poleceń lub żądań Przedsiębiorstw Afiliowanych Klienta będących pozostałymi administratorami danych (IBM jest zwolniony z obowiązku informowania lub powiadamiania któregokolwiek z Przedsiębiorstw Afiliowanych Klienta będącego administratorem danych w przypadku przekazania informacji lub powiadomienia Klientowi, a także ma prawo odmówić wykonania poleceń przekazanych bezpośrednio przez Przedsiębiorstwo Afiliowane Klienta będące administratorem danych zamiast przez Klienta). Od żadnej ze Stron nie można wymagać podejmowania działań, które naruszałyby mające do niej zastosowanie Przepisy o Ochronie Danych. 9.2 Prawa Klienta do danych Klient oświadcza i zapewnia, że (a) jest właścicielem danych, które będzie wprowadzać do Usługi Przetwarzania w Chmurze, lub (b) uzyskał i ma obowiązek utrzymywać w mocy wszelkie niezbędne prawa, zezwolenia, zgody i upoważnienia niezbędne do udzielenia IBM uprawnień do uzyskiwania dostępu do Danych Klienta oraz ich używania i ujawniania zgodnie z postanowieniami niniejszych Warunków Używania lub Umowy bądź w inny sposób niezbędny IBM do świadczenia Usługi Przetwarzania w Chmurze. Ponadto Klient oświadcza i zapewnia, że Dane Klienta będą albo (a) dotyczyć wyłącznie osób fizycznych zamieszkałych w Stanach Zjednoczonych i będą w takim przypadku wprowadzane do Usługi Przetwarzania w Chmurze wyłącznie w centrum przetwarzania danych znajdującym się na terenie Stanów Zjednoczonych, albo (b) dotyczyć wyłącznie osób fizycznych zamieszkałych w jednym lub kilku Krajach Objętych Usługą i będą w takim przypadku wprowadzane do Usługi Przetwarzania w Chmurze wyłącznie w Wyznaczonych Centrach Przetwarzania Danych. 9.3 Usługi i obowiązki związane z danymi a. Klient zobowiązuje się wykonywać operacje analityczne na Danych Klienta lub zlecać IBM wykonywanie takich operacji wyłącznie w związku z działalnością stanowiącą działalność w sektorze służby zdrowia lub badania w rozumieniu Ustawy HIPAA i/lub działalność określaną podobnymi terminami w innych Przepisach o Ochronie Danych, a także korzystać z Danych Klienta lub zlecać IBM korzystanie z nich wyłącznie w sposób zgodny z wszelkimi stosownymi wymogami powyższych i wszelkich innych Przepisów o Ochronie Danych Dotyczących Klienta (dotyczącymi np. ewentualnych decyzji lub zwolnień wydawanych przez komisję etyczną zatwierdzającą programy badawcze). b. Klient ponosi wyłączną odpowiedzialność za uzyskanie wszelkich rejestracji, zgód, upoważnień i zezwoleń wymaganych przez Przepisy o Ochronie Danych Dotyczące Klienta w poszczególnych Krajach Objętych Usługą (a w szczególności przez Ustawę HIPAA oraz inne obowiązujące przepisy i zasady dotyczące ochrony i bezpieczeństwa danych) w zakresie niezbędnym do wprowadzania Danych Klienta do Usługi Przetwarzania w Chmurze oraz ich używania i ujawniania przez Klienta, IBM i dozwolonych wykonawców IBM w sposób przewidziany w niniejszym Opisie Usługi i w Umowie. IBM nie ma obowiązku monitorować, kiedy powyższe rejestracje, zgody, upoważnienia i zezwolenia są otrzymywane lub wymagane. i128-0039-02 (03/2017) Strona 8 z 16

c. Klient ponosi wyłączną odpowiedzialność za dopilnowanie, aby wszelkie Dane Klienta wprowadzane do Usługi Przetwarzania w Chmurze dotyczyły wyłącznie osób fizycznych zamieszkałych w Stanach Zjednoczonych lub w odpowiednim Kraju Objętym Usługą. d. IBM ma obowiązek utrzymywać centra wsparcia zatrudniające osoby przeszkolone w zakresie Ustawy HIPAA i innych Przepisów o Ochronie Danych Dotyczących IBM, które odnoszą się do danych pochodzących z Krajów Objętych Usługą. 9.4 Zabezpieczenia i Incydenty Związane z Bezpieczeństwem a. IBM ma obowiązek wdrożyć i utrzymywać środki techniczne i organizacyjne (w tym procesy i procedury organizacyjne) oraz przestrzegać wszelkich konkretnych zobowiązań dotyczących bezpieczeństwa określonych lub wspomnianych w niniejszym Opisie Usługi oraz Dodatku dotyczącym bezpieczeństwa i ciągłości biznesowej, aby chronić Dane Osobowe Klienta przed użyciem lub dostępem, przypadkową utratą, uszkodzeniem, modyfikacją, zniszczeniem, kradzieżą bądź ujawnieniem bez zezwolenia. b. W przypadku uzyskania przez IBM informacji o Incydencie Związanym z Bezpieczeństwem (zgodnie z definicją w Dodatku dotyczącym bezpieczeństwa i ciągłości biznesowej), który ma związek z Przetwarzanymi Danymi Klienta, IBM ma obowiązek poinformować o tym Klienta zgodnie z warunkami Dodatku dotyczącego bezpieczeństwa i ciągłości biznesowej oraz Przepisów o Ochronie Danych Dotyczących IBM, przy czym powiadomienie takie musi zawierać informacje na temat wpływu Incydentu Związanego z Bezpieczeństwem na Klienta i ewentualne Osoby, Których Dane Dotyczą oraz informacje o czynnościach naprawczych wykonanych lub zaproponowanych przez IBM. 9.5 Przyjmowanie zapytań i skarg IBM ma obowiązek niezwłocznie (nie później niż w ciągu 5 (pięciu) dni roboczych, jeśli zezwalają na to Przepisy o Ochronie Danych Dotyczące IBM) powiadamiać Klienta na piśmie o otrzymaniu przez specjalistę ds. ochrony danych działu IBM Watson Health wszelkich zapytań, pism lub skarg dotyczących Danych Osobowych Klienta, kierowanych do IBM przez: a. dowolną Osobę, Której Dane Dotyczą w odniesieniu do przetwarzanych przez IBM Danych Osobowych związanych z taką Osobą, Której Dane Dotyczą. Klient ma obowiązek udzielać odpowiedzi na wszelkie takie zgłoszenia ze strony Osób, Których Dane Dotyczą, a IBM zobowiązuje się wykonywać uzasadnione polecenia Klienta, aby pomóc mu w udzielaniu odpowiedzi na powyższe zgłoszenia. Jeśli wymagają tego Przepisy o Ochronie Danych Dotyczące IBM, IBM może odpowiadać bezpośrednio na takie zgłoszenia pod warunkiem wcześniejszego powiadomienia Klienta o udzieleniu odpowiedzi oraz uzgodnienia z Klientem w uzasadnionym zakresie jej formy i treści, o ile zezwalają na to Przepisy o Ochronie Danych Dotyczące IBM i jest to pod innymi względami możliwe; b. dowolny organ lub urząd w odniesieniu do przetwarzania przez IBM Danych Osobowych Klienta, przy czym IBM może odpowiadać bezpośrednio na takie zgłoszenia otrzymane od organu administracji publicznej wraz z wezwaniem do sądu lub podobnym dokumentem prawnym nakazującym IBM ujawnienie danych (bądź na innej podstawie, na jakiej jest to wymagane zgodnie z Przepisami o Ochronie Danych) pod warunkiem wcześniejszego powiadomienia Klienta o udzieleniu odpowiedzi oraz uzgodnienia z Klientem w uzasadnionym zakresie jej formy i treści, o ile zezwalają na to przepisy prawa i jest to pod innymi względami możliwe. 9.6 Przetwarzanie Danych Osobowych Klienta a. IBM zobowiązuje się ujawniać Dane Osobowe Klienta wyłącznie tym Pracownikom IBM, których obowiązki mogą obejmować udzielanie pomocy w związku ze świadczeniem Usług. b. IBM zobowiązuje się realizować wszelkie uzasadnione wnioski Klienta dotyczące zmiany, poprawiania, usuwania lub blokowania przez IBM Danych Osobowych Klienta zgodnie z Obowiązującymi Przepisami. c. Na wniosek każdej ze Stron IBM, Klient bądź Przedsiębiorstwa Afiliowane IBM i Klienta zawrą standardowe umowy wymagane przez prawo w celu zapewnienia ochrony Danych Osobowych Klienta. Strony wyrażają zgodę, aby powyższe umowy podlegały ograniczeniom i wyłączeniom odpowiedzialności zawartym w niniejszej Umowie na potrzeby rozstrzygania roszczeń między Stronami oraz zobowiązują się doprowadzić do wyrażenia takiej zgody przez ich Przedsiębiorstwa Afiliowane. Ponadto Strony zobowiązują się współpracować ze sobą w celu zawarcia i przestrzegania dalszych obopólnie uzgodnionych porozumień lub umów, które mogą być i128-0039-02 (03/2017) Strona 9 z 16

wymagane zgodnie z Przepisami o Ochronie Danych (bądź w celu doprowadzenia do zawarcia takich porozumień lub umów przez Przedsiębiorstwa Afiliowane Stron). 9.7 Zwrot Danych Osobowych Klienta Z chwilą wygaśnięcia lub rozwiązania Umowy IBM zaprzestanie i nakaże wszystkim Pracownikom IBM, aby zaprzestali używania lub przetwarzania wszelkich informacji prawnie zastrzeżonych Klienta i Danych Osobowych Klienta, a także według uznania Klienta i na jego wniosek: a. niezwłocznie zwróci w formacie i na nośnikach pamięci masowej wymaganych w uzasadnionym zakresie przez Klienta wszelkie informacje prawnie zastrzeżone Klienta i Dane Osobowe Klienta, które IBM przechowuje w postaci elektronicznej, a po potwierdzeniu ich otrzymania przez Klienta usunie lub zniszczy takie informacje prawnie zastrzeżone Klienta i Dane Osobowe Klienta (w tym ich kopie, łącznie z kopiami zapasowymi) bądź w inny sposób trwale uniemożliwi ich odczytanie lub odcyfrowanie, przy czym IBM może zażądać zwrotu kosztów nośników pamięci masowej i niektórych czynności wykonywanych na wniosek Klienta (takich jak dostarczenie informacji prawnie zastrzeżonych Klienta i Danych Osobowych Klienta w określonym formacie bądź zniszczenie informacji prawnie zastrzeżonych Klienta i Danych Osobowych Klienta w określony sposób); b. natychmiast usunie lub zniszczy informacje prawnie zastrzeżone Klienta i Dane Osobowe Klienta (w tym ich kopie, łącznie z kopiami zapasowymi) bądź w inny sposób trwale uniemożliwi ich odczytanie lub odcyfrowanie. 9.8 Umowa ze Współpracownikiem Handlowym Jeśli będzie to właściwe i konieczne zgodnie z Ustawą HIPAA, IBM i Klient zawrą umowę ze współpracownikiem handlowym (zwaną dalej Umową ze Współpracownikiem Handlowym ), w której zostaną określone obowiązki IBM jako współpracownika handlowego Klienta w zakresie świadczenia Usługi Przetwarzania w Chmurze. Bez uszczerbku dla zobowiązań IBM wyraźnie określonych w Umowie i ewentualnej Umowie ze Współpracownikiem Handlowym Klient potwierdza i uznaje, że ponosi odpowiedzialność za określenie właściwości oraz przestrzeganie wszelkich Obowiązujących Przepisów i wymogów związanych z licencjonowaniem, które mają zastosowanie do korzystania przez Klienta z Usługi Przetwarzania w Chmurze bądź wykonywania przez niego innych czynności w związku z tą usługą (w tym do korzystania z usługi bądź wykonywania innych czynności przez autoryzowanych użytkowników). 9.9 Dodatek dotyczący przetwarzania danych w Unii Europejskiej Jeśli Klient zleci IBM przetwarzanie Danych Osobowych pochodzących z Unii Europejskiej, IBM i Klient podpiszą dodatek dotyczący przetwarzania danych zawierający stosowne klauzule określone w dokumentach wzorcowych UE (z wyłączeniem klauzul opcjonalnych). 10. Warunki dodatkowe 10.1 Postanowienia ogólne Klient wyraża zgodę na publikowanie przez IBM w komunikatach reklamowych lub marketingowych informacji o Kliencie jako subskrybencie Usług Przetwarzania w Chmurze. 10.2 Ciągłe dostarczanie Klient jest uprawniony do korzystania z nowych możliwości i udoskonaleń rozwiązania wdrażanych przez IBM w ramach modelu ciągłego dostarczania w chmurze. 10.3 Tworzenie i odtwarzanie kopii zapasowych Usługa IBM Watson Platform for Health umożliwia tworzenie kopii zapasowych Danych Klienta w środowisku produkcyjnym (z uwzględnieniem repozytoriów typu data lake i data reservoir ) w celu odtworzenia ostatniego znanego prawidłowego stanu usługi w przypadku awarii systemu. 10.4 Wysoka dostępność Komponenty usługi IBM Watson Platform for Health w środowisku produkcyjnym są wdrażane w konfiguracjach zapewniających wysoką dostępność. Serwery baz danych są łączone w klastry zapewniające nadmiarowość, umożliwiające rozproszenie obciążenia i wyeliminowanie punktów podatności na awarię. i128-0039-02 (03/2017) Strona 10 z 16

10.5 Usuwanie Skutków Katastrofy Przyjęta przez IBM metoda usuwania skutków awarii polega na tworzeniu wielu centrów przetwarzania danych w różnych rejonach geograficznych, co umożliwia realizację następujących założeń dotyczących ciągłości biznesowej w środowisku produkcyjnym: docelowy czas odzyskiwania 36 godzin od momentu ogłoszenia awarii; docelowy okres dopuszczalnej utraty danych (treści Klienta) nie więcej niż 24 godziny. 10.6 Narzędzia pomiarowe W ramach Usługi Przetwarzania w Chmurze wykorzystywane jest syntetyczne rozwiązanie monitorujące, które umożliwia monitorowanie i mierzenie dostępności i wyłączeń (w kontekście gwarantowanych poziomów usług) oraz raportowanie na ten temat. Rozwiązanie to symuluje i śledzi czas reakcji na żądania użytkowników oraz jakość obsługi użytkowników na poziomie globalnym zarówno w zakresie dostępności statycznej, jak i w zakresie obsługi transakcji. Elementem Usługi Przetwarzania w Chmurze jest również wewnętrzny system monitorowania wskaźników, zdarzeń i alertów, który obejmuje swoim działaniem całe rozwiązanie. i128-0039-02 (03/2017) Strona 11 z 16

Opis Usługi IBM Watson Platform for Health Dodatek dotyczący bezpieczeństwa i ciągłości biznesowej W niniejszym Dodatku dotyczącym bezpieczeństwa i ciągłości biznesowej (zwanym dalej Dodatkiem ) określono niektóre wymagania i zobowiązania IBM związane ze świadczeniem Usługi Przetwarzania w Chmurze na rzecz Klienta. Wymagania i zobowiązania określone w niniejszym Dodatku uzupełniają wymagania i zobowiązania określone w opisie zasad bezpieczeństwa danych dla usług IBM SaaS, który jest dostępny pod adresem http://www.ibm.com/cloud/data-security. Terminy pisane wielką literą, które nie zostały zdefiniowane w niniejszym Dodatku, mają znaczenie nadane im w Umowie lub w Opisie Usługi. 1. Program bezpieczeństwa informacji IBM stosuje wewnętrzne strategie, standardy i procesy bezpieczeństwa zgodne z wymogami ramowymi i obszarami kontroli określonymi normą ISO 27001. Powyższe strategie, standardy i procesy są objęte nadzorem ze strony centralnego pionu bezpieczeństwa IBM, a także podlegają regularnym audytom wewnętrznym. IBM stale realizuje program bezpieczeństwa informacji obejmujący środki bezpieczeństwa o charakterze organizacyjnym, operacyjnym, administracyjnym, fizycznym i technicznym dotyczące przetwarzania, przechowywania i przesyłania treści Klienta, które spełniają co najmniej wymagania określone w niniejszym Dodatku. IBM zobowiązuje się udzielać Klientowi (na jego żądanie) informacji na temat programu bezpieczeństwa informacji dotyczącego platformy IBM Watson Health, aby umożliwić Klientowi stwierdzenie, czy program ten jest nadal właściwy, wystarczający i skuteczny. Program bezpieczeństwa informacji dotyczący platformy IBM Watson Health będzie co pewien czas uaktualniany w celu uwzględnienia aktualnie obowiązujących ogólnie przyjętych procedur branżowych i Przepisów o Ochronie Danych Dotyczących IBM. 2. Mechanizmy kontroli dostępu IBM zobowiązuje się ujawniać treść Klienta wyłącznie swoim pracownikom, podwykonawcom i osobom trzecim, którym dostęp do takiej treści Klienta jest faktycznie niezbędny w celu udzielania IBM pomocy w wypełnianiu zobowiązań wobec Klienta lub innych osób w związku ze świadczeniem Usługi Przetwarzania w Chmurze zgodnie z Obowiązującymi Przepisami, Umową lub Dokumentem Dołączonym (stosownie do okoliczności). Jeśli IBM jest współpracownikiem handlowym Klienta, IBM i Klient zobowiązują się ujawniać Dane Osobowe związane ze stanem zdrowia wyłącznie w sposób zgodny z warunkami odpowiedniej Umowy ze Współpracownikiem Handlowym zawartej przez Strony. IBM wdrożył formalny, wewnętrzny proces zarządzania dostępem użytkowników, który przewiduje składanie formalnych wniosków o udzielenie użytkownikom praw dostępu, zatwierdzanie takich praw dostępu po potwierdzeniu tożsamości użytkownika i przyznawanie uprawnień w zależności od rzeczywistych potrzeb (zgodnie z zasadą ograniczania uprawnień do niezbędnego minimum). Dostęp do treści Klienta mogą uzyskiwać wyłącznie aktywni użytkownicy i aktywne konta użytkowników. Ponadto w IBM obowiązuje formalny proces nakazujący okresowe przeprowadzanie ponownej weryfikacji praw dostępu przyznanych aktywnym kontom użytkowników. IBM stosuje bezpieczne protokoły uwierzytelniania użytkowników, które obejmują między innymi przypisywanie unikalnych identyfikatorów i stosowanie silnych haseł w przypadku aktywnych kont użytkowników w systemach wykorzystywanych do świadczenia usług na rzecz Klienta zgodnie z korporacyjnymi standardami i strategiami bezpieczeństwa obowiązującymi w IBM: a. Niedozwolone jest używanie haseł domyślnych dostarczanych przez producentów. Ponadto hasła muszą być przechowywane w miejscu i/lub formacie, który nie powoduje naruszenia ochrony danych zabezpieczonych przy użyciu takich haseł. b. Wyświetlane i drukowane hasła muszą być maskowane, utajniane lub w inny sposób zasłaniane, aby uniemożliwić osobom niepowołanym ich rozpoznanie i późniejsze odtworzenie. Niedozwolone jest rejestrowanie i przechwytywanie wpisywanych haseł. Ponadto hasła użytkowników nie mogą być przechowywane w postaci jawnego tekstu. c. Hasła związane z poszczególnymi technologiami tworzącymi Usługę Przetwarzania w Chmurze wybiera się tak, aby zmniejszyć ryzyko związane ze znanymi słabymi punktami zabezpieczeń dotyczącymi długości haseł. Hasła takie muszą zostać udokumentowane. i128-0039-02 (03/2017) Strona 12 z 16

d. Jeśli ze względów operacyjnych konieczne jest stosowanie identyfikatorów wewnętrznych, uprzywilejowanych, współużytkowanych lub funkcyjnych, IBM zarządza identyfikatorami współużytkowanymi, funkcyjnymi i/lub systemowymi wymagającymi pobrania haseł w sposób umożliwiający indywidualne egzekwowanie odpowiedzialności. W odniesieniu do wszystkich systemów i aplikacji, w których jest przechowywana treść Klienta, ustanawiane są limity czasu nieaktywności. Jeśli zajdzie taka potrzeba, po otrzymaniu od Klienta stosownego wniosku i formalnym zatwierdzeniu go przez IBM zostanie ustanowiony zdalny dostęp do sieci, systemów i aplikacji IBM, w których jest przechowywana treść Klienta, przy czym wszelkie połączenia zdalne będą zabezpieczone przy użyciu silnych protokołów uwierzytelniania i szyfrowania, a korzystanie ze zdalnego dostępu będzie rejestrowane i monitorowane. Jeśli świadczenie Usługi Przetwarzania w Chmurze będzie wymagać uzyskania przez IBM zdalnego dostępu do jakiegokolwiek systemu w obrębie sieci wewnętrznych Klienta, wszelki tego rodzaju zdalny dostęp będzie odbywać się wyłącznie przy użyciu bezpiecznych systemów i protokołów zdalnego dostępu Klienta oraz danych uwierzytelniających przekazanych IBM przez Klienta. Zdalny dostęp do sieci Klienta będzie ustanawiany wyłącznie na wniosek IBM zatwierdzony przez Klienta oraz zgodnie z obowiązującymi w danym czasie strategiami Klienta, które zostaną wcześniej udostępnione IBM. Ponadto IBM będzie korzystać z sieci wewnętrznych Klienta zgodnie ze strategiami dotyczącymi użytkowania i zabezpieczania systemów informatycznych Klienta, które zostaną wcześniej udostępnione IBM. IBM realizuje zasadę podziału obowiązków w zakresie administrowania zabezpieczeniami, weryfikacji praw dostępu i prowadzenia dochodzeń dotyczących naruszenia zasad bezpieczeństwa. Treść Klienta jest przechowywana, udostępniana na serwerach i przetwarzana w środowisku odseparowanym logicznie od środowisk służących do przetwarzania informacji należących do innych klientów obsługiwanych przez IBM. W przypadku wyrażenia przez Klienta zgody na używanie współużytkowanego obszaru roboczego do przechowywania, udostępniania czy przetwarzania danych IBM ma obowiązek wdrożyć procedury i środki bezpieczeństwa zgodne z wymogami określonymi w niniejszym Dodatku, aby zapobiec ujawnieniu treści Klienta bez zezwolenia. IBM stosuje zasadę czystego biurka i czystego ekranu, aby zagwarantować, że treść Klienta nie będzie w żadnym razie pozostawać bez nadzoru w miejscach publicznych. 3. Przesyłanie i szyfrowanie W przypadku przesyłania treści Klienta (faksem, pocztą elektroniczną, pocztą kurierską itd.) IBM ma obowiązek stosować należyte środki ostrożności, aby zagwarantować użycie poprawnych informacji kontaktowych adresata, a także dokonać wcześniejszych uzgodnień z adresatem, aby zagwarantować bezpieczny odbiór przesyłanych informacji. IBM konsekwentnie stosuje i nakazuje Pracownikom IBM stosowanie odpowiednich form szyfrowania lub innych bezpiecznych technologii w związku z przetwarzaniem treści Klienta, w tym w związku z przesyłaniem, transmisją lub przechowywaniem treści Klienta (w tym jej kopii zapasowych) oraz zdalnym dostępem do niej. IBM szyfruje na przykład przy użyciu odpowiednich, standardowo stosowanych w branży algorytmów wszelkie rekordy i pliki zawierające treść Klienta, które są: a. przechowywane na laptopach, w urządzeniach przenośnych lub na przenośnych nośnikach elektronicznych należących do IBM (w tym na taśmach z kopiami zapasowymi) podczas transportu do miejsca przechowywania poza siedzibą przedsiębiorstwa; b. przechowywane lub transportowane przez IBM poza zabezpieczonymi fizyczne biurami i obiektami Klienta i IBM (z wyłączeniem dokumentów w postaci drukowanej); c. przesyłane przez IBM w sieciach publicznych; d. przesyłane z systemów IBM do Klienta; e. przesyłane przez IBM drogą bezprzewodową; f. przechowywane przez IBM na serwerach i w bazach danych. 4. Bezpieczeństwo sieci IBM używa w miarę możliwości aktualnych wersji systemowego oprogramowania zabezpieczającego, w tym firewalli, serwerów proxy, firewalli aplikacji WWW oraz interfejsów. Powyższe oprogramowanie musi zawierać funkcje ochrony przed szkodliwym oprogramowaniem oraz jak najaktualniejsze poprawki i definicje wirusów. Ponadto zgodnie z obowiązującymi w przedsiębiorstwie standardami na stacjach i128-0039-02 (03/2017) Strona 13 z 16

roboczych i serwerach oraz w związanych z nimi punktach końcowych musi być zainstalowane oprogramowanie antywirusowe (jeśli jest to możliwe z technicznego punktu widzenia), a zarządzanie takim oprogramowaniem musi odbywać się zgodnie ze strategią przedsiębiorstwa przy użyciu wewnętrznych rozwiązań administracyjnych. IBM monitoruje Usługę Przetwarzania w Chmurze w celu jak najwcześniejszego wykrywania i identyfikowania Incydentów Związanych z Bezpieczeństwem. Minimalny zakres obowiązków IBM w tej dziedzinie obejmuje utrzymywanie zgodnych ze standardami branżowymi narzędzi do wykrywania włamań oraz procesów prewencji, monitorowania i reagowania umożliwiających identyfikowanie zarówno wewnętrznych, jak i zewnętrznych słabych punktów zabezpieczeń, które mogłyby spowodować bezprawne ujawnienie, niewłaściwe użytkowanie, zmianę bądź zniszczenie treści Klienta bądź systemów informatycznych używanych do świadczenia usług na rzecz Klienta. IBM subskrybuje usługi analizy słabych punktów zabezpieczeń lub biuletyny dotyczące bezpieczeństwa informacji oraz inne stosowne publikacje będące źródłem aktualnych informacji na temat słabych punktów zabezpieczeń w systemach. Ponadto IBM regularnie analizuje słabe punkty zabezpieczeń w swojej sieci i podejmuje działania zaradcze. IBM monitoruje Usługę Przetwarzania w Chmurze w celu wykrywania i identyfikowania Incydentów Związanych z Bezpieczeństwem, ograniczania ich skutków oraz rozwiązywania spowodowanych przez nie problemów. IBM sprawdza dostępność, integralność i skuteczność infrastruktury zabezpieczeń sieci wykorzystywanej do udostępniania Usługi Przetwarzania w Chmurze przy użyciu opracowanych przez siebie procesów zarządzania wersjami. 5. Zarządzanie incydentami i powiadomienia Zespoły obsługujące platformę IBM Watson Health współpracują z zespołem IBM ds. reagowania na incydenty związane z cyberbezpieczeństwem (tj. globalnym zespołem odpowiedzialnym za przyjmowanie, analizowanie i wewnętrzną koordynację Incydentów Związanych z Bezpieczeństwem, które dotyczą oferty IBM) w zakresie realizacji działań prewencyjnych niezbędnych do ograniczenia liczby problemów związanych z bezpieczeństwem oprogramowania. Określenie Incydent Związany z Bezpieczeństwem oznacza udaną próbę uzyskania dostępu bez uprawnień do systemu używanego przez IBM do świadczenia Usługi Przetwarzania w Chmurze lub znajdujących się w nim danych, użycia, ujawnienia lub zmodyfikowania takich danych bądź zakłócenia działania takiego systemu. W przypadku wykrycia Incydentu Związanego z Bezpieczeństwem (poprzez skanowanie, na podstawie alertów lub zdarzeń progowych itd.) IBM ma obowiązek poinformować i powiadomić Klienta: a. o każdym potwierdzonym Incydencie Związanym z Bezpieczeństwem, który dotyczy treści Klienta w najkrótszym możliwym czasie, który nie może w żadnym przypadku przekraczać 2 dni roboczych od momentu zbadania i potwierdzenia takiego Incydentu Związanego z Bezpieczeństwem; b. o każdym wniosku o udzielenie dostępu do treści Klienta lub informacji na jej temat złożonym przez urzędnika państwowego (w tym urząd ochrony danych lub organ ścigania) niezwłocznie po otrzymaniu takiego wniosku, chyba że zabrania tego prawo bądź stosowne zarządzenie; c. o ujawnieniu lub przekazaniu treści Klienta osobie trzeciej bądź uzyskaniu przez osobę trzecią dostępu do takiej treści przed takim ujawnieniem, przekazaniem lub udostępnieniem (poza przypadkami dozwolonymi zgodnie z paragrafem Mechanizmy kontroli dostępu niniejszego Dodatku). 6. Rejestrowanie Zgodnie z własnymi strategiami i procedurami oraz ogólnie przyjętą praktyką branżową IBM monitoruje w uzasadnionym zakresie systemy pod kątem używania Przetwarzanych Danych Klienta i uzyskiwania do nich dostępu bez zezwolenia. W ramach monitorowania rejestrowane są faktyczne przypadki naruszenia zasad logowania i dostępu oraz próby logowania i dostępu. IBM prowadzi ewidencję wszystkich żądań dostępu oraz rejestruje działania związane z dostępem w odniesieniu do wszelkich systemów używanych do przechowywania, udostępniania, przetwarzania i przesyłania zawartości Klienta i Danych Medycznych w zakresie wymaganym przez Ustawę HIPAA oraz inne Przepisy o Ochronie Danych Dotyczące IBM. Dzienniki i raporty zawierają co najmniej informacje o: (i) wszelkich próbach logowania (udanych i nieudanych), w tym wymagane w uzasadnionym zakresie informacje identyfikacyjne; (ii) wszelkich zmianach konfiguracji systemu i sieci, takich jak zainstalowanie aplikacji, zmiany związane z i128-0039-02 (03/2017) Strona 14 z 16

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres