Letsdial

Liste de contrôle de l'acheteur de soins de santé pour un système téléphonique qui signe un BAA

Les cliniques peuvent intégrer une liste de contrôle pratique en matière d'approvisionnement dans n'importe quel appel d'offres, couvrant les enregistrements, la résidence, les pistes d'audit et la notification de violation.

PA
Aïcha Patel
Ingénieur de sécurité
30 janvier 20267 minutes de lecture
Industrie

Essai · composons · 30 janvier 2026

Introduction

Tous les fournisseurs de systèmes téléphoniques ciblant les soins de santé vous diront qu'ils sont conformes à la loi HIPAA. Très peu d’entre eux vous diront ce que cela signifie en termes d’architecture, de BAA ou de ce qui se passe en cas de problème. Cette liste de contrôle est conçue pour passer outre le marketing et faire ressortir les questions importantes pour l'approvisionnement – ​​celles qui déterminent si vous passerez par votre prochain audit OCR ou si vous vous démènerez pour expliquer une lacune dont vous ignoriez l'existence.

1. Vont-ils signer un accord de partenariat commercial ?

C'est la ligne de base. Un BAA est requis en vertu de la HIPAA pour tout fournisseur qui gère des informations de santé protégées (PHI) en votre nom. « Conforme à la HIPAA » sans un BAA signé n'a aucun sens : la conformité s'applique uniquement aux entités couvertes et à leurs associés commerciaux, et l'association exige un accord signé.

Demandez au fournisseur : pouvez-vous fournir un BAA avant que nous signions le contrat de service, pas après ? Examinez-le avant de vous engager. Éléments clés à vérifier : définit-il les PHI de manière cohérente avec la définition de la HIPAA ? Décrit-il l'obligation du fournisseur de vous informer d'une violation dans un délai de 60 jours ? Précise-t-il comment les PHI sont détruits ou restitués à la fin du contrat ?

2. Où sont stockés les enregistrements d’appels et pendant combien de temps ?

Les enregistrements d'appels dans un contexte de soins de santé contiennent fréquemment des PHI : noms des patients, dates de naissance, descriptions des symptômes, détails des rendez-vous. Demandez spécifiquement :

  • Les enregistrements sont-ils stockés dans une région avec des contrôles de résidence des données ou dans un pool mondial ?
  • Quelle norme de chiffrement est utilisée au repos et en transit ? (AES-256 au repos et TLS 1.2+ en transit sont les attentes minimales actuelles.)
  • Quelle est la période de conservation par défaut et pouvez-vous en définir une plus courte ?
  • Qui, au sein de l'organisation du fournisseur, peut accéder aux enregistrements, et dans quelles conditions ?
  • Les journaux d’accès sont-ils conservés et sont-ils à votre disposition à des fins d’audit ?

3. Comment les transcriptions des messages vocaux sont-elles gérées ?

La transcription de la messagerie vocale est une lacune courante de la HIPAA. Si un fournisseur transcrit des messages vocaux à l'aide d'un modèle ASR tiers, ce modèle est probablement un sous-traitant – et le BAA du fournisseur doit explicitement couvrir les sous-traitants et leurs obligations. Demandez : quels fournisseurs traitent votre transcription, sont-ils formés à la HIPAA et sont-ils répertoriés dans le registre des sous-traitants du fournisseur ?

Vérifiez également si les transcriptions sont stockées séparément des enregistrements et si elles peuvent être purgées indépendamment si un patient demande leur suppression en vertu des lois nationales applicables en matière de confidentialité.

4. Que couvre réellement la piste d’audit ?

Les garanties techniques de la HIPAA nécessitent des contrôles d'audit qui enregistrent et examinent l'activité des systèmes d'information contenant des PHI. Pour un système téléphonique, cela signifie des journaux indiquant qui a accédé aux enregistrements, quand et d'où. Demandez un exemple de journal d'audit avant de signer : il doit inclure l'ID utilisateur, l'horodatage, le type d'action et la ressource consultée. Les journaux qui couvrent uniquement les événements de connexion et non l'accès au niveau des ressources ne suffisent pas.

Vérifiez également que les journaux d’audit sont inviolables. Un journal pouvant être modifié par un administrateur ne constitue pas une piste d’audit fiable. Recherchez les journaux écrits dans un magasin immuable et disponibles pour l'exportation vers votre SIEM ou votre système d'audit.

5. Quel est le processus de notification de violation ?

La HIPAA exige la notification d'une violation impliquant des PHI dans les 60 jours suivant sa découverte. Demandez au fournisseur : comment définissez-vous une violation et comment allez-vous nous en informer ? La réponse doit inclure un délai de notification défini inférieur à 60 jours (la plupart des bons fournisseurs s'engagent à 48 à 72 heures de découverte), un point de contact désigné pour les incidents de sécurité et une description du processus médico-légal qui détermine si une violation impliquait des PHI.

Un fournisseur qui ne peut pas décrire en détail son processus de notification de violation n’a pas effectué d’exercice théorique à ce sujet. C’est en soi un indicateur de risque.

6. La couche IA touche-t-elle les PHI, et comment ?

Les fonctionnalités d’IA – transcription, analyse des sentiments, réceptionniste IA – sont de plus en plus présentes dans le chemin de traitement des appels contenant des PHI. Demandez : ces fonctionnalités sont-elles basées sur des modèles propriétaires ou les appels sont-ils envoyés à une API LLM tierce ? S'il s'agit d'une API tierce, ce fournisseur est-il répertorié comme sous-traitant secondaire dans le BAA ? Les données envoyées pour le traitement de l’IA sont-elles anonymisées avant de quitter votre locataire ?

Conclusion

Il s’agit actuellement de l’écart de conformité qui évolue le plus rapidement sur le marché. Les fournisseurs qui ont ajouté rapidement des fonctionnalités d’IA n’ont peut-être pas mis à jour leur BAA ou leur registre de sous-traitants pour refléter la destination actuelle des données d’appels des patients.

La liste de contrôle des achats

  • BAA disponible avant la signature du contrat — pas après, pas sur demande
  • BAA couvre explicitement tous les sous-traitants
  • Enregistrements d'appels cryptés au repos (AES-256) et en transit (TLS 1.2+)
  • Enregistrements stockés dans une région définie avec contrôles d'accès
  • Les journaux d'audit capturent l'accès au niveau des ressources, pas seulement les connexions
  • Les journaux d’audit sont inviolables et exportables
  • Les sous-traitants de transcription de la messagerie vocale sont nommés et couverts par le BAA
  • L’engagement de notification de violation est spécifique et d’une durée inférieure à 60 jours
  • Les fonctionnalités d'IA documentent la façon dont elles gèrent les PHI dans le chemin de traitement
  • Le processus de destruction ou de retour des données est défini dans le BAA
Fin

Écrit par Aïcha Patel · 30 janvier 2026

Répondre à l'auteur
Conformité des soins de santé

Un système téléphonique qui signe le BAA et le pense.

Prêt pour la HIPAA avec un BAA disponible avant de signer, une journalisation des pistes d'audit, des enregistrements cryptés et une couche d'IA qui documente la façon dont il gère les PHI.

PA

À propos de l'auteur

Aïcha Patel · Ingénieur de sécurité

Aisha gère le programme de sécurité chez Letsdial, SOC 2, HIPAA et la moitié ennuyeuse des appels d'audit.

Lire ensuite

Tous les messages

Bulletin

Recevez le prochain message dans votre boîte de réception.

Un article réfléchi toutes les deux semaines. Pas de spam, désabonnement facile.