HHS Úřad pro občanská práva (OCR) zveřejnil v roce 2024 svůj nejaktivnější vymáhací rok v historii: 725 prošetřených porušení zahrnujících 275 milionů záznamů — rekord v obou počtu i dopadu.
Analýza vzorů vymáhání OCR 2024
Hlavní příčiny vymáhání:
- Neoprávněný přístup nebo zveřejnění: 38 % případů
- Ztráta nebo krádež zařízení: 21 % případů
- Hacking/IT incident: 28 % případů
- Nesprávné zneškodnění: 8 % případů
- Jiné: 5 % případů
Průměrná výše pokuty: $1,9 milionu (nárůst z $1,1 milionu v roce 2022)
Organizace s nejvyšším rizikem: Malé nemocnice a ambulantní praxe (< 500 lůžek) — tvoří 67 % vyšetřování, ale disponují omezenými compliance zdroji.
Klíčová technická selhání vedoucí k vymáhání
PHI v nezabezpečeném e-mailu: Nejčastější technické selhání. Zaměstnanci odesílají PHI prostřednictvím nezašifrovaných e-mailů pro pohodlí.
PHI v cloudových sdílení: Záznamy pacientů sdílené prostřednictvím konzumentských cloudů (Dropbox, Google Drive) bez šifrování nebo přístupu s řízeným přístupem.
PHI v aplikacích třetích stran: Použití klinické AI nástrojů (ChatGPT, Microsoft Copilot) pro klinickou dokumentaci bez BAA a bez předchozí anonymizace PHI.
Preventivní Technická Opatření
OCR technická pokyny po vymáhání konzistentně citují tři preventivní prioritizace:
- Šifrování v tranzitu: Veškerá komunikace PHI musí používat TLS 1.2+ šifrování
- Šifrování v klidu: Databáze PHI musí být šifrovány při uložení
- Anonymizace před sdílením: PHI odeslaná analytickým platformám, AI nástrojům nebo třetím stranám musí být anonymizována před přenosem
Zdroje: