anonym.legal

By · Last updated 2026-06-05

العودة إلى المدونةالرعاية الصحية

HIPAA OCR: 725 اختراقًا و275 مليون سجل

رصد مكتب HHS لحقوق المدنيين 725 اختراقًا للبيانات الصحية في 2024 طالت 275 مليون سجل مريض — وهو الرقم الأعلى في التاريخ. متوسط تكلفة الاختراق الصحي 10.22 مليون دولار.

June 5, 202610 دقيقة قراءة
HIPAA enforcementPHI de-identificationOCR HHShealthcare breachHIPAA Security Rule

HIPAA OCR: 725 اختراقًا و275 مليون سجل

محدَّث لعام 2026

رصد مكتب حقوق المدنيين التابع لوزارة الصحة والخدمات الإنسانية الأمريكية (HHS/OCR) 725 اختراقًا للبيانات الصحية في 2024. وقد طالت هذه الاختراقات 275 مليون سجل مريض، وهو أعلى رقم إجمالي يُسجَّل في عام واحد.

بلغ متوسط تكلفة كل اختراق صحي 10.22 مليون دولار في 2025، وفق تقرير IBM لتكلفة اختراق البيانات. وتشمل هذه التكلفة الغرامات المدنية والرسوم القانونية وإخطار المرضى ورصد الائتمان والثقة المفقودة.

تُعدُّ سنتا 2025 و2026 مفصليتَين للجهات المشمولة وشركائها في الأعمال. فقد اقترح تحديث قاعدة أمن HIPAA الصادر في مارس 2025 أكبر مجموعة من الضوابط التقنية منذ عام 2003.

أسباب الاختراقات الـ725 في 2024

تُصنِّف بوابة مكتب OCR إخفاقات 2024 في أربعة أنواع.

الاختراق واختراق تقنية المعلومات أفضى إلى 74% من الاختراقات المُبلَّغ عنها. وتتصدر القائمة برامج الفدية وهجمات الخوادم واحتيال البريد الإلكتروني. بات المهاجمون يستهدفون الشبكات بأكملها؛ فهجوم واحد قادر على استخراج سجلات من نظام سجلات صحية إلكترونية بأكمله.

الوصول غير المصرح به والإفصاح أفضى إلى 18% من الاختراقات، وتشمل ضوابط الوصول الرديئة وإساءة الاستخدام الداخلي وأخطاء إرسال البريد لغير المعنيين.

حوادث الأطراف الثالثة شكَّلت 35% من اختراقات 2024، بدأت عند شريك أعمال لا عند الجهة المشمولة ذاتها. فـChange Healthcare (إحدى وحدات UnitedHealth Group) وحدها كشفت عن أكثر من 190 مليون سجل مريض، وهو أكبر اختراق للبيانات الصحية في الولايات المتحدة.

سرقة الوسائط المحمولة أو ضياعها أفضت إلى 8% من الاختراقات، وتشمل الحواسيب المحمولة ومحركات USB والسجلات الورقية المسروقة أو المفقودة دون تشفير.

أنواع البيانات الصحية المحمية الـ18 وفق الملاذ الآمن

تستلزم طريقة الملاذ الآمن بموجب HIPAA [45 CFR §164.514(b)] حذف جميع أنواع البيانات الصحية للمرضى الثمانية عشر. معظم الفرق تحفظ القائمة؛ الصعوبة تكمن في الكشف على نطاق واسع.

  1. الأسماء — المرضى وأفراد الأسرة وأصحاب العمل
  2. البيانات الجغرافية — أي منطقة أصغر من مستوى الولاية
  3. التواريخ — الدخول والخروج والميلاد والوفاة (يمكن الإبقاء على السنة)
  4. أرقام الهاتف
  5. أرقام الفاكس
  6. عناوين البريد الإلكتروني
  7. أرقام الضمان الاجتماعي
  8. أرقام السجلات الطبية (يتفاوت التنسيق بحسب نظام السجلات الإلكترونية)
  9. أرقام عضوية الخطة الصحية
  10. أرقام الحسابات
  11. أرقام الشهادات والتراخيص — طبية، DEA، ولائية
  12. معرِّفات المركبات — أرقام التعريف وألواح السيارات
  13. معرِّفات الأجهزة — الأرقام التسلسلية والرموز الفريدة للأجهزة
  14. عناوين URL
  15. عناوين IP
  16. البيانات البيومترية — بصمات الأصابع وبصمات الصوت
  17. الصور الكاملة للوجه والصور المماثلة
  18. أي معرِّف أو رمز أو سمة فريدة أخرى

النوع الثامن عشر هو الأصعب كشفًا؛ إذ يجب حذف أي رمز يربط سجلًا بمريض بعينه حتى وإن لم يكن له نمط محدد.

للاطلاع على دليل خطوة بخطوة لتنقية جميع الأنواع الثمانية عشر من السجلات السريرية، راجع إخفاء هوية HIPAA وفق الملاذ الآمن للبحث الصحي.

خمسة قواعد جديدة في التحديث الأمني المقترح

يضيف التحديث المقترح لقاعدة أمن HIPAA (مارس 2025) خمسة التزامات جديدة.

عمليات تدقيق سنوية للتشفير. يجب على الجهات المشمولة التأكيد على أن جميع بيانات المرضى الساكنة مُشفَّرة بمعيار AES-256 أو ما يعادله، مع وجود معايير مكتوبة لإدارة المفاتيح.

إجراءات مكتوبة لإخفاء الهوية. تستلزم أي بيانات مرضى تُستخدم في البحث أو تدريب الذكاء الاصطناعي أو التحليلات خطوات موثَّقة مع إثبات تحقق تقني.

فحوصات أمنية لشركاء الأعمال. يجب على شركاء الأعمال اجتياز فحوصات تقنية محددة قبل الانطلاق؛ إذ كانت العقود تُعالج هذا الأمر سابقًا دون تفاصيل تقنية.

المصادقة متعددة العوامل (MFA). يجب على جميع الموظفين الذين يصلون إلى البيانات الإلكترونية للمرضى استخدام MFA دون استثناء للأنظمة القديمة.

اختبار الاستجابة للحوادث. تُشترط تدريبات سنوية واختبارات تقنية مع الاحتفاظ بسجلات النتائج.

دروس من اختراق Change Healthcare

كشف اختراق Change Healthcare (فبراير 2024) عن معنى المخاطر النظامية. كانت Change Healthcare تُعالج 15 مليار معاملة سنويًا، وتربط مقدِّمي الخدمات ودافعي الفواتير والصيدليات بصفتها جهة تسوية.

بدأ الاختراق من حساب وصول عن بُعد واحد بلا MFA. تحرَّك المهاجمون عبر الشبكة لتسعة أيام ثم أطلقوا برامج الفدية.

الدرس واضح: شريك أعمال واسع الوصول إلى معاملات الرعاية الصحية يُشكِّل خطرًا على كل شريك يتعامل معه. الإطار القديم لم يُصمَّم لموفِّري خدمات يُعالجون ثلث معاملات الرعاية الصحية الأمريكية.

ترتبط MFA وتجزئة الشبكة وفحوصات شركاء الأعمال في التحديث المقترح بهذا الحدث مباشرةً.

للاطلاع على إزالة البيانات الشخصية المحمية من تنسيقات السجلات الخاصة بالمستشفيات، راجع كشف أرقام السجلات الطبية وأنماط المستشفيات المحددة. للاطلاع على تصميم الخزانة الصفرية المعرفة الذي يُبقي بيانات المرضى خارج الشبكة، راجع الخزانة الصفرية المعرفة وBHI المتوافقة مع HIPAA في السحابة.

المصادر

مقالات ذات صلة

الرعاية الصحية

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

الرعاية الصحية

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

الرعاية الصحية

HIPAA MRN Detection Without a Regex PhD

Every hospital's MRN format is different. Memorial uses MRN:XXXXXXX, St. Mary's uses PT-YYYYY, University Hospital uses UHN-XXXXXXXXXX.

هل أنت مستعد لحماية بياناتك؟

ابدأ بإخفاء المعلومات الشخصية مع أكثر من 285 نوع كيان عبر 48 لغة.

ابدأ تجربة مجانيةعرض الميزات

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.