BAA测评:签前避坑流程

BAA测评最怕只看有没有文件,不看能不能执行。我按签前、签中、签后三段拆坑:哪些话术要警惕,哪些条款必须抠,哪些运营动作不能漏。照着跑一遍,基本能拦住大多数低级雷。

第1步:先拆供应商话术

做BAA测评时,我最不爱听的一句话是“我们是HIPAA ready”。ready到什么程度?有没有BAA?覆盖哪些产品?是否允许处理PHI?这些不问清,ready就是一张贴纸。

正确做法是让供应商给三样东西:可签BAA、适用服务清单、安全措施摘要。如果对方只给官网链接或销售PPT,先别急着走采购。真正成熟的医疗服务商通常知道客户会问这些,不会全靠口头解释。

第2步:检查用途有没有过宽

很多BAA的坑藏在“使用数据改进服务”这类句子里。普通SaaS这么写很常见,但PHI不能随便拿去训练、画像、营销或做不受限制的分析。测评时要看用途是否被限定在提供服务、管理运营和法律允许范围内。

如果供应商坚持保留宽泛使用权,你至少要要求排除PHI,或者写明只能使用去标识化数据,并说明去标识化标准。别被一句“我们不会乱用”带走,合同里没写,后面很难说清。

想要完整资源?

会员专享,海量内容

立即查看 →

第3步:抠泄露通知细节

只写“发现后尽快通知”不够。BAA测评要看通知触发条件、时间、联系人、初步信息、后续更新和补救配合。最好能写明发现安全事件后多少个工作日内通知,而不是把所有压力留给“合理”。

还要分清Security Incident和Breach。有些供应商把所有异常都定义得很窄,导致真正需要你知道的事被挡在门外。你不一定要求每次扫描告警都通知,但涉及PHI未授权访问、披露或丢失,必须有明确流程。

第4步:追分包商到底

供应商自己合规,不代表它的下游都稳。短信、云服务器、邮件、客服、监控、备份工具,任何一个碰到PHI,都可能变成风险点。测评时要问分包商是否签了同等保护义务,新增分包商是否通知或可查询。

一个实用做法是让对方提供分包商页面或清单,并约定重大变更通知。小客户未必能拿到逐一审批权,但至少要有知情渠道。完全不愿透露下游的供应商,在医疗数据场景里要慎重。

第5步:签完做一次落地复盘

最后一个坑是签完就结束。BAA测评真正收尾,要看内部有没有动作:权限是否最小化,日志是否能查,PHI是否进入了不该进的分析工具,终止合作时数据怎么返还或销毁。

我的签后复盘表很短:谁能访问PHI、哪些系统存PHI、事件联系人是谁、分包商清单在哪、合同到期怎么删数据。五个问题答不上来,说明BAA还停在纸面上。文件签得再漂亮,也挡不住运营里的漏洞。

获取完整内容

加入会员,海量资源任你看

立即进入 →

常见问题

BAA测评主要测什么?

主要测角色是否清楚、PHI用途是否受限、泄露通知是否明确、分包商是否受控、终止后数据处理是否可执行。

供应商不给BAA还能合作吗?

如果它会接触PHI,通常不建议继续。可以先确认是否真的接触PHI;如果会接触但拒绝签BAA,风险很高。

BAA测评需要律师参与吗?

高风险或金额大的合作建议让律师参与。但产品、安全、采购也要先把数据流和供应商接触范围梳理清楚,否则律师也只能盲审。