Einführung
Jeder Telefonsystemanbieter, der auf das Gesundheitswesen abzielt, wird Ihnen sagen, dass er HIPAA-konform ist. Nur sehr wenige von ihnen werden Ihnen sagen, was das im Hinblick auf ihre Architektur, ihre BAA oder was passiert, wenn etwas schief geht. Diese Checkliste soll das Marketing durchbrechen und die Fragen aufdecken, die für die Beschaffung wichtig sind – diejenigen, die darüber entscheiden, ob Sie Ihr nächstes OCR-Audit bestehen oder sich darum bemühen, eine Lücke zu erklären, von der Sie nicht wussten, dass sie existiert.
1. Werden sie einen Geschäftspartnervertrag unterzeichnen?
Dies ist die Grundlinie. Gemäß HIPAA ist für jeden Anbieter, der in Ihrem Namen geschützte Gesundheitsinformationen (Protected Health Information, PHI) verarbeitet, eine BAA erforderlich. „HIPAA-konform“ ohne unterzeichnetes BAA ist bedeutungslos – die Einhaltung gilt nur für betroffene Unternehmen und deren Geschäftspartner, und der Verband erfordert eine unterzeichnete Vereinbarung.
Fragen Sie den Anbieter: Können Sie eine BAA vorlegen, bevor wir den Servicevertrag unterzeichnen, nicht erst danach? Überprüfen Sie es, bevor Sie sich verpflichten. Wichtige Punkte, die überprüft werden müssen: Ist PHI im Einklang mit der HIPAA-Definition definiert? Beschreibt es die Verpflichtung des Anbieters, Sie innerhalb von 60 Tagen über einen Verstoß zu informieren? Wird darin angegeben, wie PHI bei Vertragsende vernichtet oder zurückgegeben werden?
2. Wo und wie lange werden Anrufaufzeichnungen gespeichert?
Anrufaufzeichnungen im Gesundheitswesen enthalten häufig PHI: Patientennamen, Geburtsdaten, Symptombeschreibungen, Termindetails. Fragen Sie gezielt nach:
- Werden Aufzeichnungen in einer Region mit Datenresidenzkontrollen oder in einem globalen Pool gespeichert?
- Welcher Verschlüsselungsstandard wird im Ruhezustand und bei der Übertragung verwendet? (AES-256 im Ruhezustand und TLS 1.2+ während der Übertragung sind die aktuellen Mindesterwartungen.)
- Was ist die Standardaufbewahrungsfrist und können Sie eine kürzere festlegen?
- Wer in der Anbieterorganisation kann auf Aufzeichnungen zugreifen und unter welchen Bedingungen?
- Werden Zugriffsprotokolle geführt und stehen sie Ihnen für Prüfzwecke zur Verfügung?
3. Wie werden Voicemail-Transkripte gehandhabt?
Die Transkription von Voicemails ist eine häufige HIPAA-Lücke. Wenn ein Anbieter Voicemails mithilfe eines ASR-Modells eines Drittanbieters transkribiert, handelt es sich bei diesem Modell wahrscheinlich um einen Unterauftragsverarbeiter – und die BAA des Anbieters sollte Unterauftragsverarbeiter und ihre Pflichten ausdrücklich abdecken. Fragen Sie: Welche Anbieter verarbeiten Ihre Transkription, sind sie HIPAA-geschult und im Unterauftragsverarbeiterregister des Anbieters aufgeführt?
Überprüfen Sie außerdem, ob Transkripte getrennt von Aufzeichnungen gespeichert werden und ob sie unabhängig gelöscht werden können, wenn ein Patient die Löschung gemäß den geltenden Datenschutzgesetzen des Bundesstaates beantragt.
4. Was deckt der Audit Trail eigentlich ab?
Die technischen Sicherheitsvorkehrungen des HIPAA erfordern Prüfkontrollen, die Aktivitäten in Informationssystemen, die PHI enthalten, aufzeichnen und untersuchen. Für ein Telefonsystem bedeutet das Protokolle darüber, wer wann und von wo aus auf Aufzeichnungen zugegriffen hat. Fordern Sie vor der Unterzeichnung ein Muster-Audit-Protokoll an – es sollte Benutzer-ID, Zeitstempel, Aktionstyp und die aufgerufene Ressource enthalten. Protokolle, die nur Anmeldeereignisse und nicht den Zugriff auf Ressourcenebene abdecken, reichen nicht aus.
Stellen Sie außerdem sicher, dass Prüfprotokolle manipulationssicher sind. Ein Protokoll, das von einem Administrator geändert werden kann, ist kein zuverlässiger Prüfpfad. Suchen Sie nach Protokollen, die in einen unveränderlichen Speicher geschrieben werden und für den Export in Ihr SIEM- oder Prüfsystem verfügbar sind.
5. Wie läuft das Benachrichtigungsverfahren bei Verstößen ab?
HIPAA verlangt, dass ein Verstoß im Zusammenhang mit PHI innerhalb von 60 Tagen nach Entdeckung gemeldet wird. Fragen Sie den Anbieter: Wie definieren Sie einen Verstoß und wie werden Sie uns benachrichtigen? Die Antwort sollte einen definierten Benachrichtigungszeitraum von weniger als 60 Tagen (die meisten guten Anbieter verpflichten sich zu einer Entdeckungszeit von 48 bis 72 Stunden), einen benannten Ansprechpartner für Sicherheitsvorfälle und eine Beschreibung des forensischen Prozesses umfassen, der feststellt, ob ein Verstoß PHI betrifft.
Ein Anbieter, der seinen Prozess zur Meldung von Verstößen nicht detailliert beschreiben kann, hat dazu keine Übersichtsübung durchgeführt. Das ist selbst ein Risikoindikator.
6. Berührt die KI-Ebene PHI und wie?
KI-Funktionen – Transkription, Sentimentanalyse, KI-Rezeptionist – stehen zunehmend im Verarbeitungspfad von Anrufen, die PHI enthalten. Fragen Sie: Basieren diese Funktionen auf Erstanbietermodellen oder werden Aufrufe an eine LLM-API eines Drittanbieters gesendet? Wenn es sich um eine Drittanbieter-API handelt, ist dieser Anbieter im BAA als Unterauftragsverarbeiter aufgeführt? Werden die zur KI-Verarbeitung gesendeten Daten anonymisiert, bevor sie Ihren Mieter verlassen?
Abschluss
Dies ist derzeit die am schnellsten wachsende Compliance-Lücke auf dem Markt. Anbieter, die KI-Funktionen schnell hinzugefügt haben, haben ihre BAA oder ihr Unterauftragsverarbeiterregister möglicherweise nicht aktualisiert, um zu zeigen, wohin die Patientenanrufdaten jetzt gehen.
Die Beschaffungs-Checkliste
- BAA verfügbar vor Vertragsunterzeichnung – nicht danach und nicht auf Anfrage
- BAA deckt ausdrücklich alle Unterauftragsverarbeiter ab
- Anrufaufzeichnungen verschlüsselt im Ruhezustand (AES-256) und während der Übertragung (TLS 1.2+)
- Aufzeichnungen werden in einem definierten Bereich mit Zugriffskontrollen gespeichert
- Audit-Protokolle erfassen den Zugriff auf Ressourcenebene, nicht nur Anmeldungen
- Audit-Protokolle sind manipulationssicher und exportierbar
- Unterauftragsverarbeiter für die Voicemail-Transkription sind benannt und unterliegen der BAA
- Die Verpflichtung zur Meldung von Verstößen ist spezifisch und kürzer als 60 Tage
- KI-Funktionen dokumentieren, wie sie im Verarbeitungspfad mit PHI umgehen
- Der Prozess der Datenvernichtung bzw. -rückgabe ist in der BAA festgelegt
HIPAA-Konformität bei Letsdial
Geschrieben von Aisha Patel · 30. Januar 2026
Antwort an den Autor