Letsdial
Alle berichten·Industrie

De checklist voor de zorginkoper voor een telefoonsysteem dat een BAA ondertekent

Een praktische inkoopchecklist die klinieken in elke RFP kunnen plakken, met daarin opnames, ingezetenschap, audittrails en melding van inbreuken.

AP
Aisha Patel
Beveiligingsingenieur
30 januari 20267 minuten lezen
Industrie

Essay · letdial · 30 januari 2026

Invoering

Elke leverancier van telefoonsystemen die zich op de gezondheidszorg richt, zal u vertellen dat ze voldoen aan de HIPAA. Zeer weinigen van hen zullen je vertellen wat dat betekent in termen van hun architectuur, hun BAA, of wat er gebeurt als er iets misgaat. Deze checklist is bedoeld om de marketing te doorbreken en de vragen naar boven te halen die van belang zijn voor inkoop; de vragen die bepalen of u door uw volgende OCR-audit heen komt of moeite doet om een ​​hiaat uit te leggen waarvan u niet wist dat het bestond.

1. Zullen ze een Business Associate Agreement ondertekenen?

Dit is de basislijn. Onder HIPAA is een BAA vereist voor elke leverancier die namens u beschermde gezondheidsinformatie (PHI) verwerkt. 'HIPAA-compliant' zonder een ondertekende BAA is zinloos; de naleving is alleen van toepassing op de gedekte entiteiten en hun zakenpartners, en de vereniging vereist een ondertekende overeenkomst.

Vraag het aan de verkoper: kunt u een BAA verstrekken voordat we het servicecontract ondertekenen, en niet erna? Bekijk het voordat u zich vastlegt. Belangrijke punten om te controleren: definieert het PHI consistent met de definitie van HIPAA? Omschrijft het de verplichting van de verkoper om u binnen 60 dagen op de hoogte te stellen van een inbreuk? Wordt er gespecificeerd hoe PHI wordt vernietigd of geretourneerd aan het einde van het contract?

2. Waar worden gespreksopnamen opgeslagen en voor hoe lang?

Opnames van gesprekken in de gezondheidszorg bevatten vaak PHI: namen van patiënten, geboortedata, symptoombeschrijvingen, afspraakgegevens. Vraag specifiek:

  • Worden opnamen opgeslagen in een regio met controles op de gegevenslocatie, of in een mondiale pool?
  • Welke versleutelingsstandaard wordt in rust en onderweg gebruikt? (AES-256 in rust en TLS 1.2+ tijdens transport zijn de huidige minimale verwachtingen.)
  • Wat is de standaardbewaartermijn en kunt u een kortere instellen?
  • Wie in de leveranciersorganisatie heeft toegang tot de opnamen, en onder welke voorwaarden?
  • Worden er toegangslogboeken bijgehouden en zijn deze voor u beschikbaar voor auditdoeleinden?

3. Hoe worden voicemailtranscripties verwerkt?

Voicemailtranscriptie is een veel voorkomende HIPAA-kloof. Als een leverancier voicemails transcribeert met behulp van een ASR-model van een derde partij, is dat model waarschijnlijk een subverwerker – en de BAA van de leverancier moet expliciet betrekking hebben op subverwerkers en hun verplichtingen. Vraag: welke leveranciers verwerken uw transcriptie, zijn ze HIPAA-getraind en staan ​​ze vermeld in het register van subverwerkers van de leverancier?

Controleer ook of transcripties afzonderlijk van de opnames worden opgeslagen en of ze onafhankelijk kunnen worden verwijderd als een patiënt om verwijdering vraagt ​​op grond van de toepasselijke privacywetten van de staat.

4. Wat houdt het audittraject eigenlijk in?

De technische waarborgen van HIPAA vereisen auditcontroles die de activiteiten in informatiesystemen die PHI bevatten, registreren en onderzoeken. Voor een telefoonsysteem betekent dit logboeken van wie toegang heeft gehad tot de opnames, wanneer en waar vandaan. Vraag voordat u ondertekent om een ​​voorbeeld van een auditlogboek. Hierin moet de gebruikers-ID, het tijdstempel, het actietype en de gebruikte bron staan. Logboeken die alleen inloggebeurtenissen bestrijken en niet toegang op resourceniveau, zijn niet voldoende.

Controleer ook of er met auditlogboeken kan worden geknoeid. Een logboek dat door een beheerder kan worden gewijzigd, is geen betrouwbaar audittraject. Zoek naar logboeken die naar een onveranderlijke opslag zijn geschreven en die beschikbaar zijn voor export naar uw SIEM- of auditsysteem.

5. Wat is het meldingsproces voor inbreuken?

HIPAA vereist kennisgeving van een inbreuk waarbij PHI betrokken is binnen 60 dagen na ontdekking. Vraag het aan de leverancier: hoe definieert u een inbreuk en hoe meldt u ons? Het antwoord zou een gedefinieerde meldingstijdlijn van minder dan 60 dagen moeten omvatten (de meeste goede leveranciers streven naar 48-72 uur detectie), een genoemd contactpunt voor beveiligingsincidenten en een beschrijving van het forensische proces dat bepaalt of bij een inbreuk sprake is van PHI.

Een leverancier die zijn meldingsproces voor inbreuken niet gedetailleerd kan beschrijven, heeft er geen tabletop-oefening op uitgevoerd. Dat is op zichzelf al een risico-indicator.

6. Raakt de AI-laag PHI aan, en hoe?

AI-functies – transcriptie, sentimentanalyse, AI-receptionist – maken steeds meer deel uit van het verwerkingspad van oproepen die PHI bevatten. Vraag: zijn deze functies gebouwd op modellen van eerste partijen, of worden oproepen verzonden naar een LLM-API van derden? Als het een API van derden is, wordt die provider dan vermeld als subverwerker in de BAA? Worden de gegevens die voor AI-verwerking worden verzonden, geanonimiseerd voordat deze uw huurder verlaten?

Conclusie

Dit is momenteel de snelst groeiende compliance-kloof op de markt. Leveranciers die snel AI-functies hebben toegevoegd, hebben mogelijk hun BAA- of subprocessorregister niet bijgewerkt om aan te geven waar de gegevens van patiëntoproepen nu naartoe gaan.

De inkoopchecklist

  • BAA beschikbaar vóór ondertekening van het contract — niet daarna, niet op aanvraag
  • BAA heeft expliciet betrekking op alle subverwerkers
  • Opnames van gesprekken gecodeerd in rust (AES-256) en onderweg (TLS 1.2+)
  • Opnames opgeslagen in een gedefinieerde regio met toegangscontrole
  • Auditlogboeken leggen toegang op resourceniveau vast, niet alleen logins
  • Auditlogboeken zijn fraudebestendig en exporteerbaar
  • Subverwerkers voor voicemailtranscriptie worden genoemd en vallen onder de BAA
  • De verplichting tot het melden van inbreuken is specifiek en korter dan 60 dagen
  • AI-functies documenteren hoe ze omgaan met PHI in het verwerkingspad
  • Het proces voor gegevensvernietiging of retournering is gedefinieerd in de BAA
Einde

Geschreven door Aisha Patel · 30 januari 2026

Reageer op de auteur
Naleving van de gezondheidszorg

Een telefoonsysteem dat de BAA ondertekent en meent.

HIPAA-ready met een BAA beschikbaar voordat u ondertekent, audit-trail logging, gecodeerde opnames en een AI-laag die documenteert hoe het om PHI gaat.

AP

Over de auteur

Aisha Patel · Beveiligingsingenieur

Aisha beheert het beveiligingsprogramma bij Letsdial, SOC 2, HIPAA en de saaie helft van de auditgesprekken.

Lees het volgende

Alle berichten

Nieuwsbrief

Ontvang het volgende bericht in je inbox.

Elke week een attente post. Geen spam, eenvoudig afmelden.