Die folgenden Anforderungen und Einschränkungen gelten für die Nutzung der Dienste durch den Kunden, wenn Kundendaten geschützte Gesundheitsinformationen (Personal Health Information, PHI) enthalten, der Kunde ein betroffenes Unternehmen oder Geschäftspartner ist und Asana der Geschäftspartner oder der Unterauftragnehmer des Kunden ist, wie im Zusatz zur Geschäftspartnervereinbarung zwischen den Parteien definiert:

1. Der Kunde muss einen Zusatz zur Geschäftspartner-Vereinbarung besitzen, bevor er eine PHI in den Dienst einträgt.

2. Der Zugriff auf einen HIPAA-konformen Arbeitsbereich ist domainübergreifend. Daher muss der Kunde seinen/seine vorhandenen Arbeitsbereich(e) auf ein einziges Unternehmen und bestehende Abteilungen auf ein solches Unternehmen upgraden.

3. Zwischen den Parteien ist der Kunde allein für die Verwaltung von Endbenutzern und den Zugriff auf PHI innerhalb der Arbeitsbereiche des Kunden im Dienst verantwortlich.

• a. Sofern von Asana nicht schriftlich anders angegeben, muss der Kunde sicherstellen, dass jeder Endbenutzer über eine dedizierte E-Mail-Domain verfügt. Die Verwendung einer persönlichen E-Mail-Domain ist untersagt.

• b. Der Kunde muss die Sichtbarkeit von Projekten, einschließlich PHI, für Endbenutzer einschränken, indem er Service-Funktionen wie private Aufgaben und private Projekte verwendet.

• c. Der Kunde muss die Zwei-Faktor-Authentifizierung, SSO oder Google-Authentifizierung für alle Endbenutzer aktivieren oder aktivieren lassen.

• d. Der Kunde darf den Dienst nicht nutzen, um direkt mit Patienten, Mitversicherten, ihren Familien oder Arbeitgebern zu kommunizieren oder ihnen Konten zur Verfügung zu stellen.

4. Der Kunde darf PHI nur in „Aufgaben“ und „Projekte“ innerhalb des Dienstes eingeben (z. B. Aufgaben- und Projektbeschreibungen, Aufgaben- und Projekttitel, benutzerdefinierte Felder, Kommentare und Anhänge).

• a. Der Kunde darf dem User Operations Team von Asana keine PHI in Support-Tickets oder in Teilen von Asana zur Verfügung stellen, die keine Aufgabe sind.

• b. Der Kunde darf PHI nicht in Service-Funktionen einbinden, die oben nicht angegeben sind, einschließlich, aber nicht beschränkt auf: Profile, Nachrichten oder Ziele.

5. Der Kunde darf PHI nicht in eine kostenlose Version des Dienstes eingeben.

6. Zwischen den Parteien ist der Kunde allein für die Verwendung der Asana-APIs und des Audit-Protokolls verantwortlich, um ungewöhnliche Aktivitäten zu überwachen.

7. Der Kunde erkennt an und stimmt zu, dass einige Asana-Funktionen für den Kunden möglicherweise nicht verfügbar sind und dass einige Funktionen in den Arbeitsbereichen des Kunden standardmäßig deaktiviert sind, da sie nicht HIPAA-konform sind. Der Kunde kann diese Funktionen auf eigenes Risiko aktivieren. Dazu gehören unter anderem die folgenden Funktionen, die von Zeit zu Zeit in der Dokumentation von Asana aktualisiert werden können: Gäste, Videonachrichten und die KI von Asana.

8. Der Kunde darf den Dienst nicht als Dokumentationssystem für PHI nutzen.

9. Der Kunde erkennt an, dass Asana keine Geschäftspartnerverträge mit Drittanbietern abschließt, einschließlich derjenigen im App-Verzeichnis von Asana. Der Kunde muss direkt separate Geschäftspartnervereinbarungen mit diesen Drittanbietern abschließen.

10. Der Kunde erkennt an, dass Asana ungeachtet der Vereinbarung des Kunden über den Zugriff auf den Asana-Dienst („Vereinbarung“) alle Kundendaten (einschließlich PHI) einhundertachtzig (180) Tage nach Beendigung oder Ablauf der Vereinbarung des Kunden löscht, es sei denn, der Kunde hat auf die HIPAA-Smiles-Stufe des Dienstes zugegriffen. Daten werden in einem Backup für einen begrenzten Zeitraum nach der Löschung der Domain gespeichert. Wenn der Kunde auf die HIPAA-Smiles-Stufe des Dienstes zugegriffen hat, löscht Asana alle Kundendaten (einschließlich PHI) in der Instanz des Kunden nach sechs Monaten Inaktivität. Der Kunde kann Kundendaten (einschließlich PHI) während der Laufzeit jederzeit in Übereinstimmung mit der Dokumentation exportieren.