Letsdial
Tất cả bài viết·Ngành công nghiệp

Danh sách kiểm tra của người mua dịch vụ chăm sóc sức khỏe đối với hệ thống điện thoại ký BAA

Danh sách kiểm tra mua sắm thực tế mà các phòng khám có thể dán vào bất kỳ RFP nào, bao gồm các bản ghi âm, nơi cư trú, dấu vết kiểm tra và thông báo vi phạm.

AP
Aisha Patel
Kỹ sư bảo mật
Ngày 30 tháng 1 năm 2026đọc 7 phút
Ngành công nghiệp

Tiểu luận · letdial · Ngày 30 tháng 1 năm 2026

Giới thiệu

Mọi nhà cung cấp hệ thống điện thoại nhắm mục tiêu chăm sóc sức khỏe sẽ cho bạn biết họ tuân thủ HIPAA. Rất ít người trong số họ sẽ cho bạn biết điều đó có ý nghĩa gì về mặt kiến ​​trúc, BAA của họ hoặc điều gì sẽ xảy ra khi có sự cố xảy ra. Danh sách kiểm tra này được thiết kế để lướt qua hoạt động tiếp thị và đưa ra các câu hỏi quan trọng đối với hoạt động mua sắm — những câu hỏi quyết định liệu bạn sẽ thực hiện cuộc kiểm tra OCR tiếp theo hay cố gắng giải thích một lỗ hổng mà bạn không biết đã tồn tại.

1. Họ có ký Thỏa thuận liên kết kinh doanh không?

Đây là cơ sở. BAA được yêu cầu theo HIPAA đối với bất kỳ nhà cung cấp nào thay mặt bạn xử lý Thông tin sức khỏe được bảo vệ (PHI). 'Tuân thủ HIPAA' mà không có BAA được ký là vô nghĩa - việc tuân thủ chỉ áp dụng cho các thực thể được bảo hiểm và đối tác kinh doanh của họ và hiệp hội yêu cầu phải có thỏa thuận đã được ký kết.

Hỏi nhà cung cấp: bạn có thể cung cấp BAA trước khi chúng tôi ký hợp đồng dịch vụ chứ không phải sau đó? Hãy xem lại nó trước khi bạn cam kết. Các mục chính cần kiểm tra: nó có xác định PHI nhất quán với định nghĩa của HIPAA không? Nó có mô tả nghĩa vụ của nhà cung cấp là thông báo cho bạn về hành vi vi phạm trong vòng 60 ngày không? Nó có chỉ rõ PHI bị hủy hoặc trả lại như thế nào khi kết thúc hợp đồng không?

2. Bản ghi âm cuộc gọi được lưu trữ ở đâu và trong bao lâu?

Bản ghi cuộc gọi trong bối cảnh chăm sóc sức khỏe thường chứa PHI: tên bệnh nhân, ngày sinh, mô tả triệu chứng, chi tiết cuộc hẹn. Hỏi cụ thể:

  • Các bản ghi được lưu trữ trong một khu vực có kiểm soát nơi lưu trữ dữ liệu hay trong một nhóm chung?
  • Tiêu chuẩn mã hóa nào được sử dụng khi lưu trữ và truyền tải? (AES-256 khi lưu trữ và TLS 1.2+ khi chuyển tiếp là những kỳ vọng tối thiểu hiện tại.)
  • Khoảng thời gian lưu giữ mặc định là bao lâu và bạn có thể đặt khoảng thời gian ngắn hơn không?
  • Ai trong tổ chức của nhà cung cấp có thể truy cập bản ghi và trong những điều kiện nào?
  • Nhật ký truy cập có được duy trì và chúng có sẵn cho bạn cho mục đích kiểm tra không?

3. Bản ghi thư thoại được xử lý như thế nào?

Phiên âm thư thoại là một lỗ hổng HIPAA phổ biến. Nếu nhà cung cấp chép lại thư thoại bằng mô hình ASR của bên thứ ba thì mô hình đó có thể là bộ xử lý phụ — và BAA của nhà cung cấp phải quy định rõ ràng về các bộ xử lý phụ và nghĩa vụ của họ. Hỏi: nhà cung cấp nào xử lý bản ghi của bạn, họ có được đào tạo theo HIPAA không và họ có được liệt kê trong sổ đăng ký bộ xử lý phụ của nhà cung cấp không?

Đồng thời kiểm tra xem bản ghi có được lưu trữ riêng biệt với bản ghi hay không và liệu chúng có thể được xóa độc lập hay không nếu bệnh nhân yêu cầu xóa theo luật bảo mật hiện hành của tiểu bang.

4. Quá trình kiểm tra thực sự bao gồm những gì?

Các biện pháp bảo vệ kỹ thuật của HIPAA yêu cầu các biện pháp kiểm soát kiểm toán ghi lại và kiểm tra hoạt động trong hệ thống thông tin có chứa PHI. Đối với hệ thống điện thoại, điều đó có nghĩa là nhật ký về người đã truy cập bản ghi âm, khi nào và từ đâu. Yêu cầu nhật ký kiểm tra mẫu trước khi bạn ký — nhật ký này phải bao gồm ID người dùng, dấu thời gian, loại hành động và tài nguyên được truy cập. Nhật ký chỉ bao gồm các sự kiện đăng nhập chứ không bao gồm quyền truy cập cấp tài nguyên là không đủ.

Đồng thời xác nhận rằng nhật ký kiểm tra là bằng chứng giả mạo. Nhật ký mà quản trị viên có thể sửa đổi không phải là bản ghi kiểm tra đáng tin cậy. Tìm kiếm nhật ký được ghi vào một cửa hàng bất biến và có sẵn để xuất sang SIEM hoặc hệ thống kiểm tra của bạn.

5. Quy trình thông báo vi phạm là gì?

HIPAA yêu cầu thông báo về vi phạm liên quan đến PHI trong vòng 60 ngày kể từ ngày phát hiện. Hỏi nhà cung cấp: bạn xác định vi phạm như thế nào và bạn sẽ thông báo cho chúng tôi như thế nào? Câu trả lời phải bao gồm dòng thời gian thông báo được xác định ngắn hơn 60 ngày (hầu hết các nhà cung cấp tốt cam kết 48-72 giờ phát hiện), đầu mối liên hệ được chỉ định cho các sự cố bảo mật và mô tả về quy trình điều tra nhằm xác định xem liệu vi phạm có liên quan đến PHI hay không.

Nhà cung cấp không thể mô tả chi tiết cụ thể quy trình thông báo vi phạm của họ thì chưa thực hiện bài tập trên máy tính bảng về quy trình đó. Đó chính là một chỉ báo rủi ro.

6. Lớp AI có chạm vào PHI không và bằng cách nào?

Các tính năng AI - phiên âm, phân tích cảm xúc, lễ tân AI - ngày càng nằm trong quá trình xử lý các cuộc gọi có chứa PHI. Hỏi: những tính năng này có được xây dựng trên mô hình của bên thứ nhất hay lệnh gọi có được gửi tới API LLM của bên thứ ba không? Nếu đó là API của bên thứ ba thì nhà cung cấp đó có được liệt kê là bên xử lý phụ trong BAA không? Dữ liệu được gửi để xử lý AI có được ẩn danh trước khi rời khỏi đối tượng thuê của bạn không?

Phần kết luận

Đây là khoảng cách tuân thủ diễn ra nhanh nhất trên thị trường hiện nay. Các nhà cung cấp đã nhanh chóng bổ sung các tính năng AI có thể chưa cập nhật BAA hoặc sổ đăng ký bộ xử lý phụ của họ để phản ánh nơi dữ liệu cuộc gọi của bệnh nhân hiện đang diễn ra.

Danh sách kiểm tra mua sắm

  • BAA có sẵn trước khi ký hợp đồng — không phải sau, không theo yêu cầu
  • BAA bao gồm tất cả các bộ xử lý phụ một cách rõ ràng
  • Bản ghi âm cuộc gọi được mã hóa khi lưu trữ (AES-256) và khi truyền (TLS 1.2+)
  • Bản ghi được lưu trữ trong một khu vực xác định với các điều khiển truy cập
  • Nhật ký kiểm tra ghi lại quyền truy cập ở cấp tài nguyên, không chỉ thông tin đăng nhập
  • Nhật ký kiểm tra là bằng chứng giả mạo và có thể xuất khẩu
  • Bộ xử lý phụ phiên âm thư thoại được đặt tên và được bảo vệ bởi BAA
  • Cam kết thông báo vi phạm cụ thể và ngắn hơn 60 ngày
  • Các tính năng AI ghi lại cách chúng xử lý PHI trong đường dẫn xử lý
  • Quá trình hủy hoặc trả lại dữ liệu được xác định trong BAA
Kết thúc

Được viết bởi Aisha Patel · Ngày 30 tháng 1 năm 2026

Trả lời tác giả
Tuân thủ chăm sóc sức khỏe

Một hệ thống điện thoại ký BAA và có ý nghĩa như vậy.

HIPAA sẵn sàng với BAA có sẵn trước khi bạn ký, ghi nhật ký theo dõi kiểm tra, bản ghi được mã hóa và lớp AI ghi lại cách xử lý PHI.

AP

Về tác giả

Aisha Patel · Kỹ sư bảo mật

Aisha điều hành chương trình bảo mật tại Letsdial, SOC 2, HIPAA và một nửa các cuộc gọi kiểm tra nhàm chán.

Bản tin

Nhận bài viết tiếp theo trong hộp thư đến của bạn.

Một bài viết chu đáo mỗi tuần. Không có thư rác, dễ dàng hủy đăng ký.