Introduktion
Varje leverantör av telefonsystem som riktar sig till sjukvården kommer att berätta att de är HIPAA-kompatibla. Väldigt få av dem kommer att berätta vad det betyder när det gäller deras arkitektur, deras BAA eller vad som händer när något går fel. Den här checklistan är utformad för att skära igenom marknadsföringen och lyfta fram de frågor som är viktiga för upphandling – de som avgör om du ska segla igenom din nästa OCR-revision eller försöka förklara en lucka du inte visste fanns.
1. Kommer de att underteckna ett affärspartneravtal?
Detta är grundlinjen. En BAA krävs enligt HIPAA för alla leverantörer som hanterar Protected Health Information (PHI) för din räkning. "HIPAA-kompatibel" utan en undertecknad BAA är meningslös - efterlevnaden gäller endast för täckta enheter och deras affärspartners, och föreningen kräver ett undertecknat avtal.
Fråga säljaren: kan du tillhandahålla en BAA innan vi undertecknar serviceavtalet, inte efter? Granska det innan du binder dig. Viktiga saker att kontrollera: definierar den PHI i enlighet med HIPAA:s definition? Beskriver det säljarens skyldighet att meddela dig om ett brott inom 60 dagar? Anger det hur PHI förstörs eller returneras vid kontraktets slut?
2. Var lagras samtalsinspelningar och hur länge?
Samtalsinspelningar i vårdsammanhang innehåller ofta PHI: patientnamn, födelsedatum, symptombeskrivningar, mötesdetaljer. Fråga specifikt:
- Lagras inspelningar i en region med datauppehållskontroller eller i en global pool?
- Vilken krypteringsstandard används i vila och under transport? (AES-256 i vila och TLS 1.2+ under transport är de nuvarande minimiförväntningarna.)
- Vad är standardlagringsperioden och kan du ställa in en kortare?
- Vem i leverantörsorganisationen kan komma åt inspelningar och under vilka förutsättningar?
- Upprätthålls åtkomstloggar och är de tillgängliga för dig för revisionsändamål?
3. Hur hanteras röstbrevlådan?
Transkription av röstbrevlåda är ett vanligt HIPAA-gap. Om en leverantör transkriberar röstmeddelanden med hjälp av en tredje parts ASR-modell, är den modellen sannolikt en underbehandlare – och leverantörens BAA bör uttryckligen täcka underbehandlare och deras skyldigheter. Fråga: vilka leverantörer behandlar din transkription, är de HIPAA-utbildade och är de listade i leverantörens underprocessorregister?
Kontrollera också om transkriptioner lagras separat från inspelningar och om de kan rensas oberoende om en patient begär radering enligt tillämpliga statliga integritetslagar.
4. Vad omfattar revisionsspåret egentligen?
HIPAA:s tekniska säkerhetsåtgärder kräver revisionskontroller som registrerar och undersöker aktivitet i informationssystem som innehåller PHI. För ett telefonsystem innebär det loggar över vem som har tillgång till inspelningar, när och varifrån. Be om ett exempel på granskningslogg innan du signerar – den bör innehålla användar-ID, tidsstämpel, åtgärdstyp och den resurs som används. Loggar som bara täcker inloggningshändelser och inte tillgång på resursnivå räcker inte.
Bekräfta också att granskningsloggarna är manipuleringssäkra. En logg som kan ändras av en administratör är inte ett tillförlitligt granskningsspår. Leta efter loggar som är skrivna till en oföränderlig butik och som är tillgängliga för export till ditt SIEM- eller revisionssystem.
5. Vad är processen för meddelande om intrång?
HIPAA kräver meddelande om ett brott som involverar PHI inom 60 dagar efter upptäckt. Fråga säljaren: hur definierar du ett brott och hur kommer du att meddela oss? Svaret bör innehålla en definierad tidslinje för meddelanden som är kortare än 60 dagar (de flesta bra leverantörer förbinder sig till 48-72 timmars upptäckt), en namngiven kontaktpunkt för säkerhetsincidenter och en beskrivning av den rättsmedicinska processen som avgör om ett intrång involverade PHI.
En leverantör som inte kan beskriva sin process för avisering av intrång med detaljer har inte kört en bordsövning på den. Det är i sig en riskindikator.
6. Berör AI-lagret PHI, och hur?
AI-funktioner – transkription, sentimentanalys, AI-receptionist – sitter alltmer i bearbetningsvägen för samtal som innehåller PHI. Fråga: är dessa funktioner byggda på förstapartsmodeller, eller skickas samtal till ett tredjeparts LLM API? Om det är ett tredjeparts-API, är den leverantören listad som en underbehandlare i BAA? Är data som skickas för AI-behandling anonymiserad innan den lämnar din hyresgäst?
Slutsats
Detta är den snabbast växande efterlevnadsgapet på marknaden just nu. Leverantörer som lade till AI-funktioner snabbt kanske inte har uppdaterat sin BAA eller sitt underprocessorregister för att återspegla vart patientsamtalsdata nu tar vägen.
Upphandlingens checklista
- BAA tillgängligt före kontraktsskrivning - inte efter, inte på begäran
- BAA täcker uttryckligen alla underbehandlare
- Samtalsinspelningar krypterade i vila (AES-256) och under överföring (TLS 1.2+)
- Inspelningar lagrade i en definierad region med åtkomstkontroller
- Granskningsloggar fångar åtkomst på resursnivå, inte bara inloggningar
- Granskningsloggar är manipuleringssäkra och exporterbara
- Underbehandlare för transkription av röstbrevlåda är namngivna och BAA-täckta
- Åtagandet om meddelande om brott är specifikt och kortare än 60 dagar
- AI-funktioner dokumenterar hur de hanterar PHI i bearbetningsvägen
- Dataförstöring eller returprocess definieras i BAA
HIPAA-efterlevnad hos Letsdial
Skrivet av Aisha Patel · 30 januari 2026
Svara till författaren