Letsdial

La lista de verificación del comprador de atención médica para un sistema telefónico que firma un BAA

Una práctica lista de verificación de adquisiciones que las clínicas pueden pegar en cualquier RFP, que cubre grabaciones, residencia, pistas de auditoría y notificación de infracciones.

AP
Aisha Patel
Ingeniero de seguridad
30 de enero de 20267 minutos de lectura
Industria

Ensayo · vamos a marcar · 30 de enero de 2026

Introducción

Todos los proveedores de sistemas telefónicos orientados a la atención médica le dirán que cumplen con HIPAA. Muy pocos de ellos le dirán lo que eso significa en términos de su arquitectura, su BAA o qué sucede cuando algo sale mal. Esta lista de verificación está diseñada para superar el marketing y sacar a la luz las preguntas que son importantes para las adquisiciones, las que determinan si superará con éxito su próxima auditoría de OCR o se apresurará a explicar una brecha que no sabía que existía.

1. ¿Firmarán un Acuerdo de Socio Comercial?

Esta es la línea de base. Se requiere una BAA según HIPAA para cualquier proveedor que maneje información médica protegida (PHI) en su nombre. "Cumplir con HIPAA" sin un BAA firmado no tiene sentido: el cumplimiento solo se aplica a las entidades cubiertas y sus socios comerciales, y la asociación requiere un acuerdo firmado.

Pregúntele al proveedor: ¿puede proporcionar un BAA antes de que firmemos el contrato de servicio, no después? Revíselo antes de comprometerse. Elementos clave a verificar: ¿define la PHI de manera consistente con la definición de HIPAA? ¿Describe la obligación del proveedor de notificarle sobre un incumplimiento dentro de los 60 días? ¿Especifica cómo se destruye o devuelve la PHI al finalizar el contrato?

2. ¿Dónde se almacenan las grabaciones de llamadas y durante cuánto tiempo?

Las grabaciones de llamadas en un contexto de atención médica frecuentemente contienen PHI: nombres de pacientes, fechas de nacimiento, descripciones de síntomas, detalles de citas. Pregunte específicamente:

  • ¿Las grabaciones se almacenan en una región con controles de residencia de datos o en un grupo global?
  • ¿Qué estándar de cifrado se utiliza en reposo y en tránsito? (AES-256 en reposo y TLS 1.2+ en tránsito son las expectativas mínimas actuales).
  • ¿Cuál es el período de retención predeterminado? ¿Se puede establecer uno más corto?
  • ¿Quién en la organización proveedora puede acceder a las grabaciones y bajo qué condiciones?
  • ¿Se mantienen registros de acceso y están disponibles para fines de auditoría?

3. ¿Cómo se manejan las transcripciones de los mensajes de voz?

La transcripción de correo de voz es una brecha común de HIPAA. Si un proveedor transcribe mensajes de voz utilizando un modelo ASR de terceros, es probable que ese modelo sea un subprocesador, y el BAA del proveedor debe cubrir explícitamente a los subprocesadores y sus obligaciones. Pregunte: ¿qué proveedores procesan su transcripción? ¿Están capacitados en HIPAA y están incluidos en el registro de subprocesadores del proveedor?

También verifique si las transcripciones se almacenan por separado de las grabaciones y si se pueden eliminar de forma independiente si un paciente solicita su eliminación según las leyes de privacidad estatales aplicables.

4. ¿Qué cubre realmente la pista de auditoría?

Las salvaguardias técnicas de HIPAA requieren controles de auditoría que registren y examinen la actividad en los sistemas de información que contienen PHI. Para un sistema telefónico, eso significa registros de quién accedió a las grabaciones, cuándo y desde dónde. Solicite un registro de auditoría de muestra antes de firmar; debe incluir la identificación del usuario, la marca de tiempo, el tipo de acción y el recurso al que se accedió. Los registros que solo cubren eventos de inicio de sesión y no el acceso a nivel de recursos no son suficientes.

Confirme también que los registros de auditoría sean a prueba de manipulaciones. Un registro que un administrador puede modificar no es una pista de auditoría confiable. Busque registros escritos en un almacén inmutable y que estén disponibles para exportar a su SIEM o sistema de auditoría.

5. ¿Cuál es el proceso de notificación de incumplimiento?

HIPAA exige la notificación de una infracción que involucre PHI dentro de los 60 días posteriores al descubrimiento. Pregúntele al proveedor: ¿cómo se define una infracción y cómo nos lo notificará? La respuesta debe incluir un cronograma de notificación definido de menos de 60 días (la mayoría de los buenos proveedores se comprometen a entre 48 y 72 horas de descubrimiento), un punto de contacto designado para incidentes de seguridad y una descripción del proceso forense que determina si una violación involucró PHI.

Un proveedor que no puede describir su proceso de notificación de infracciones con detalles no ha realizado un ejercicio teórico al respecto. Esto es en sí mismo un indicador de riesgo.

6. ¿La capa de IA toca la PHI y cómo?

Las funciones de IA (transcripción, análisis de sentimientos, recepcionista de IA) se encuentran cada vez más en la ruta de procesamiento de las llamadas que contienen PHI. Pregunte: ¿estas funciones se basan en modelos propios o las llamadas se envían a una API LLM de terceros? Si se trata de una API de terceros, ¿ese proveedor figura como subprocesador en la BAA? ¿Los datos enviados para el procesamiento de IA son anónimos antes de salir de su inquilino?

Conclusión

Esta es la brecha de cumplimiento que más rápido avanza en el mercado en este momento. Es posible que los proveedores que agregaron funciones de IA rápidamente no hayan actualizado su BAA o su registro de subprocesadores para reflejar hacia dónde van ahora los datos de las llamadas de los pacientes.

La lista de verificación de adquisiciones

  • BAA disponible antes de la firma del contrato, no después ni previa solicitud
  • BAA cubre explícitamente a todos los subprocesadores
  • Grabaciones de llamadas cifradas en reposo (AES-256) y en tránsito (TLS 1.2+)
  • Grabaciones almacenadas en una región definida con controles de acceso
  • Los registros de auditoría capturan el acceso a nivel de recursos, no solo los inicios de sesión
  • Los registros de auditoría son a prueba de manipulaciones y exportables
  • Los subprocesadores de transcripción de correo de voz tienen nombre y están cubiertos por BAA
  • El compromiso de notificación de incumplimiento es específico y inferior a 60 días.
  • Las funciones de IA documentan cómo manejan la PHI en la ruta de procesamiento
  • El proceso de destrucción o devolución de datos está definido en la BAA
Fin

Escrito por Aisha Patel · 30 de enero de 2026

Responder al autor
Cumplimiento de la atención médica

Un sistema telefónico que firma el BAA y lo dice en serio.

Listo para HIPAA con un BAA disponible antes de firmar, registro de seguimiento de auditoría, grabaciones cifradas y una capa de inteligencia artificial que documenta cómo maneja la PHI.

AP

Sobre el autor

Aisha Patel · Ingeniero de seguridad

Aisha dirige el programa de seguridad en letsdial, SOC 2, HIPAA y la aburrida mitad de las llamadas de auditoría.

Hoja informativa

Recibe la próxima publicación en tu bandeja de entrada.

Una publicación reflexiva cada dos semanas. Sin spam, darse de baja fácil.