Letsdial
所有帖子·行业

签署 BAA 的电话系统的医疗保健买家清单

实用的采购清单诊所可以粘贴到任何 RFP 中,涵盖记录、驻留、审计跟踪和违规通知。

美联社
艾莎·帕特尔
安全工程师
2026 年 1 月 30 日7 分钟阅读
行业

随笔·letdial· 2026 年 1 月 30 日

介绍

每个针对医疗保健的电话系统供应商都会告诉您他们符合 HIPAA 标准。他们中很少有人会告诉你这对他们的架构、BAA 意味着什么,或者当出现问题时会发生什么。该清单旨在贯穿营销并揭示对采购至关重要的问题,这些问题决定您是否能够顺利通过下一次 OCR 审核,还是急于解释您不知道存在的差距。

1. 他们会签署商业伙伴协议吗?

这是基线。根据 HIPAA,任何代表您处理受保护健康信息 (PHI) 的供应商都需要获得 BAA。没有签署 BAA 的“符合 HIPAA 要求”是没有意义的——合规性仅适用于所涵盖的实体及其业务伙伴,并且协会要求签署协议。

询问供应商:你们能否在我们签订服务合同之前而不是之后提供 BAA?在提交之前先回顾一下。要检查的关键项目:它对 PHI 的定义是否与 HIPAA 的定义一致?它是否描述了供应商在 60 天内通知您违规行为的义务?它是否指定了合同结束时如何销毁或返还 PHI?

2. 通话录音存储在哪里以及存储多长时间?

医疗保健环境中的通话录音通常包含 PHI:患者姓名、出生日期、症状描述、预约详细信息。具体问一下:

  • 记录是否存储在具有数据驻留控制的区域中,还是存储在全局池中?
  • 静态和传输中使用什么加密标准? (静态时的 AES-256 和传输中的 TLS 1.2+ 是当前的最低期望。)
  • 默认保留期限是多少?您可以设置更短的保留期限吗?
  • 供应商组织中的谁可以访问录音,在什么条件下?
  • 是否维护访问日志?您是否可以将其用于审计目的?

3. 语音邮件记录如何处理?

语音邮件转录是一个常见的 HIPAA 缺陷。如果供应商使用第三方 ASR 模型转录语音邮件,则该模型可能是子处理者,并且供应商的 BAA 应明确涵盖子处理者及其义务。问:哪些供应商处理您的转录,他们是否经过 HIPAA 培训,以及他们是否列在供应商的子处理者注册表中?

还要检查抄本是否与录音分开存储,以及如果患者根据适用的州隐私法要求删除,它们是否可以单独清除。

4. 审计跟踪实际上涵盖什么?

HIPAA 的技术保障措施需要审计控制来记录和检查包含 PHI 的信息系统中的活动。对于电话系统来说,这意味着谁访问录音、何时访问、从何处访问的日志。在签名之前索取示例审核日志 — 它应包括用户 ID、时间戳、操作类型和访问的资源。仅涵盖登录事件而不涵盖资源级访问的日志是不够的。

还要确认审核日志是防篡改的。管理员可以修改的日志并不是可靠的审计跟踪。查找写入不可变存储并可导出到 SIEM 或审核系统的日志。

5. 违规通知流程是怎样的?

HIPAA 要求在发现涉及 PHI 的违规行为后 60 天内发出通知。询问供应商:您如何定义违规行为,以及您将如何通知我们?答案应包括规定的短于 60 天的通知时间表(大多数优秀供应商承诺在 48-72 小时内发现)、指定的安全事件联系人以及确定违规是否涉及 PHI 的取证流程的描述。

无法详细描述其违规通知流程的供应商尚未对其进行桌面练习。这本身就是一个风险指标。

6. AI 层是否接触 PHI?如何接触?

人工智能功能(转录、情绪分析、人工智能接待员)越来越多地出现在包含 PHI 的呼叫的处理路径中。问:这些功能是基于第一方模型构建的,还是调用会发送到第三方 LLM API?如果是第三方 API,该提供商是否在 BAA 中被列为子处理者?发送给人工智能处理的数据在离开您的租户之前是否经过匿名处理?

结论

这是目前市场上变化最快的合规差距。快速添加人工智能功能的供应商可能没有更新他们的 BAA 或子处理器注册表来反映患者呼叫数据现在的去向。

采购清单

  • BAA 在合同签订前提供——不是之后,也不是根据要求提供
  • BAA 明确涵盖所有子处理者
  • 静态 (AES-256) 和传输中 (TLS 1.2+) 加密的通话录音
  • 录音存储在具有访问控制的定义区域中
  • 审核日志捕获资源级访问,而不仅仅是登录
  • 审计日志防篡改且可导出
  • 语音邮件转录子处理器已命名并受 BAA 保护
  • 违规通知承诺具体且短于 60 天
  • AI 功能记录了它们如何在处理路径中处理 PHI
  • BAA 中定义了数据销毁或返回流程
结尾

撰写者 艾莎·帕特尔 · 2026 年 1 月 30 日

回复作者
医疗保健合规性

签署 BAA 并落实该协议的电话系统。

HIPAA 就绪,在签名前提供 BAA、审计跟踪记录、加密记录以及记录其如何处理 PHI 的 AI 层。

美联社

关于作者

艾莎·帕特尔 · 安全工程师

Aisha 负责 Letsdial 的安全程序、SOC 2、HIPAA 以及无聊的一半审核电话。

阅读下一篇

所有帖子
行业

如何选择可保护您利润的批发 VoIP 提供商

批发 VoIP 看起来就像是一种商品,直到您的应答率下降并且发票不再与您的使用情况相匹配。这就是优秀供应商与昂贵供应商的真正区别。

DP
丹尼尔·帕克
2026 年 5 月 14 日 · 8 分钟阅读
行业

运营商级批发语音实际提供什么

“运营商级”是批发语音中最常使用的短语。以下是它在实践中的含义,以及证明提供商可以支持该标签的操作细节。

DP
丹尼尔·帕克
2026 年 5 月 18 日 · 7 分钟阅读

通讯

在收件箱中获取下一篇文章。

每隔一周一篇深思熟虑的帖子。没有垃圾邮件,轻松取消订阅。