Perkenalan
Setiap vendor sistem telepon yang menargetkan layanan kesehatan akan memberi tahu Anda bahwa mereka mematuhi HIPAA. Sangat sedikit dari mereka yang akan memberi tahu Anda apa artinya itu dalam kaitannya dengan arsitektur, BAA, atau apa yang terjadi jika terjadi kesalahan. Daftar periksa ini dirancang untuk memotong pemasaran dan memunculkan pertanyaan-pertanyaan yang penting bagi pengadaan — pertanyaan yang menentukan apakah Anda akan menjalani audit OCR berikutnya atau berusaha menjelaskan kesenjangan yang tidak Anda ketahui keberadaannya.
1. Apakah mereka akan menandatangani Perjanjian Rekan Bisnis?
Ini adalah garis dasarnya. BAA diperlukan berdasarkan HIPAA untuk vendor mana pun yang menangani Informasi Kesehatan yang Dilindungi (PHI) atas nama Anda. 'Kepatuhan HIPAA' tanpa BAA yang ditandatangani tidak ada artinya — kepatuhan hanya berlaku untuk entitas yang tercakup dan rekan bisnisnya, dan asosiasi tersebut memerlukan perjanjian yang ditandatangani.
Tanyakan kepada vendor: bisakah Anda memberikan BAA sebelum kami menandatangani kontrak layanan, bukan setelahnya? Tinjau sebelum Anda berkomitmen. Hal-hal penting yang perlu diperiksa: apakah definisi PHI konsisten dengan definisi HIPAA? Apakah ini menjelaskan kewajiban vendor untuk memberi tahu Anda tentang pelanggaran dalam waktu 60 hari? Apakah disebutkan secara spesifik bagaimana PHI dimusnahkan atau dikembalikan pada akhir kontrak?
2. Di mana rekaman panggilan disimpan dan untuk berapa lama?
Rekaman panggilan dalam konteks layanan kesehatan sering kali berisi PHI: nama pasien, tanggal lahir, deskripsi gejala, detail janji temu. Tanyakan secara spesifik:
- Apakah rekaman disimpan di wilayah dengan kontrol residensi data, atau di kumpulan global?
- Standar enkripsi apa yang digunakan saat diam dan transit? (AES-256 saat istirahat dan TLS 1.2+ saat transit adalah ekspektasi minimum saat ini.)
- Berapa periode retensi defaultnya, dan dapatkah Anda menetapkan periode retensi yang lebih pendek?
- Siapa di organisasi vendor yang dapat mengakses rekaman, dan dalam kondisi apa?
- Apakah log akses dipelihara, dan apakah tersedia bagi Anda untuk tujuan audit?
3. Bagaimana transkrip pesan suara ditangani?
Transkripsi pesan suara adalah celah HIPAA yang umum. Jika vendor mentranskripsikan pesan suara menggunakan model ASR pihak ketiga, model tersebut kemungkinan besar merupakan sub-pemroses — dan BAA vendor harus secara eksplisit mencakup sub-pemroses dan kewajibannya. Tanyakan: vendor mana yang memproses transkripsi Anda, apakah mereka terlatih dalam HIPAA, dan apakah mereka terdaftar di registri subprosesor vendor?
Periksa juga apakah transkrip disimpan secara terpisah dari rekaman, dan apakah transkrip dapat dihapus secara independen jika pasien meminta penghapusan berdasarkan undang-undang privasi negara bagian yang berlaku.
4. Apa sebenarnya yang tercakup dalam jejak audit?
Pengamanan teknis HIPAA memerlukan pengendalian audit yang mencatat dan memeriksa aktivitas dalam sistem informasi yang mengandung PHI. Untuk sistem telepon, ini berarti log siapa yang mengakses rekaman, kapan, dan dari mana. Mintalah contoh log audit sebelum Anda menandatanganinya — log tersebut harus menyertakan ID pengguna, stempel waktu, jenis tindakan, dan sumber daya yang diakses. Log yang hanya mencakup peristiwa login dan bukan akses tingkat sumber daya saja tidaklah cukup.
Konfirmasikan juga bahwa log audit tidak mudah rusak. Log yang dapat diubah oleh admin bukanlah jejak audit yang dapat diandalkan. Cari log yang ditulis ke penyimpanan yang tidak dapat diubah dan tersedia untuk diekspor ke SIEM atau sistem audit Anda.
5. Bagaimana proses pemberitahuan pelanggaran?
HIPAA mewajibkan pemberitahuan pelanggaran yang melibatkan PHI dalam waktu 60 hari setelah ditemukan. Tanyakan kepada vendor: bagaimana Anda mendefinisikan pelanggaran, dan bagaimana Anda akan memberi tahu kami? Jawabannya harus mencakup jangka waktu pemberitahuan yang ditentukan lebih pendek dari 60 hari (sebagian besar vendor yang baik berkomitmen untuk 48-72 jam penemuan), titik kontak yang disebutkan untuk insiden keamanan, dan deskripsi proses forensik yang menentukan apakah suatu pelanggaran melibatkan PHI.
Vendor yang tidak dapat menjelaskan proses pemberitahuan pelanggarannya secara spesifik belum menjalankan latihan di atas meja. Itu sendiri merupakan indikator risiko.
6. Apakah lapisan AI menyentuh PHI, dan bagaimana caranya?
Fitur AI – transkripsi, analisis sentimen, resepsionis AI – semakin banyak berada di jalur pemrosesan panggilan yang mengandung PHI. Tanyakan: apakah fitur ini dibuat berdasarkan model pihak pertama, atau apakah panggilan dikirim ke API LLM pihak ketiga? Jika itu adalah API pihak ketiga, apakah penyedia tersebut terdaftar sebagai sub-pemroses di BAA? Apakah data yang dikirim untuk pemrosesan AI dianonimkan sebelum data tersebut meninggalkan penyewa Anda?
Kesimpulan
Ini adalah kesenjangan kepatuhan yang paling cepat terjadi di pasar saat ini. Vendor yang menambahkan fitur AI dengan cepat mungkin belum memperbarui BAA atau registri sub-prosesornya untuk mencerminkan ke mana perginya data panggilan pasien.
Daftar periksa pengadaan
- BAA tersedia sebelum penandatanganan kontrak — bukan setelahnya, tidak berdasarkan permintaan
- BAA mencakup semua sub-prosesor secara eksplisit
- Rekaman panggilan dienkripsi saat istirahat (AES-256) dan saat transit (TLS 1.2+)
- Rekaman disimpan di wilayah tertentu dengan kontrol akses
- Log audit menangkap akses tingkat sumber daya, bukan hanya login
- Log audit tahan terhadap kerusakan dan dapat diekspor
- Sub-prosesor transkripsi pesan suara diberi nama dan dilindungi BAA
- Komitmen pemberitahuan pelanggaran bersifat spesifik dan kurang dari 60 hari
- Fitur AI mendokumentasikan cara mereka menangani PHI di jalur pemrosesan
- Proses pemusnahan atau pengembalian data ditentukan dalam BAA
Kepatuhan HIPAA di Letsdial
Ditulis oleh Aisha Patel · 30 Januari 2026
Balas ke penulis