HIPAA OCR: 725 Brud, 275 Millioner Journaler

HIPAA OCR: 725 Brud, 275 Millioner Journaler

Opdateret for 2026

HHS Office for Civil Rights (OCR) registrerede 725 brud på sundhedsdata i 2024. Disse brud ramte 275 millioner patientjournaler. Det samlede antal er det højeste nogensinde registreret i ét enkelt år.

De gennemsnitlige omkostninger pr. brud på sundhedsdata nåede 10,22 mio. USD i 2025. IBMs Cost of a Data Breach Report placerer tallet der. Omkostningerne dækker civile bøder, juridiske gebyrer, patientmeddelelser, kreditovervågning og tabt tillid.

2025 og 2026 er nøgleår for dækkede enheder og deres forretningspartnere. En foreslået opdatering af HIPAA Security Rule fra marts 2025 vil tilføje det største sæt tekniske regler siden 2003.

Hvad Forårsagede 725 Brud i 2024

OCR-portalen grupperer 2024-fejl i fire typer.

Hacking og IT-hændelser forårsagede 74% af de rapporterede brud. Ransomware, serverangreb og e-mailbedrageri er de mest fremtrædende typer. Angribere sigter nu mod hele netværk. Ét angreb kan trække journaler fra et helt EHR-system på én gang.

Uautoriseret adgang og videregivelse forårsagede 18% af bruddene. Dårlige adgangskontroller, misbrug fra insidere og fejlmodtager-fejl tæller alle her.

Tredjeparts-hændelser udgjorde 35% af 2024-bruddene. Fejlen startede hos en forretningspartner — ikke den dækkede enhed. Change Healthcare (en UnitedHealth Group-enhed) eksponerede alene over 190 millioner patientjournaler. Det er det største brud på sundhedsdata i USA's historie.

Tyveri eller tab af bærbare medier forårsagede 8% af bruddene. Laptops, USB-drev og papirjournaler tabt eller stjålet uden kryptering.

De 18 PHI-Typer Under Safe Harbor

HIPAAs Safe Harbor-metode (45 CFR §164.514(b)) kræver fjernelse af alle 18 typer patientdata. De fleste teams kender listen. Den svære del er detektion i stor skala.

1. Navne — patienter, familiemedlemmer, arbejdsgivere
2. Geografiske data — ethvert område mindre end en stat
3. Datoer — indlæggelse, udskrivning, fødsel, død (år kan forblive)
4. Telefonnumre
5. Faxnumre
6. E-mailadresser
7. Cpr-numre (Social Security Numbers)
8. Medicinske journalnumre (format varierer pr. EHR-system)
9. Sundhedsplanmedlemsnumre
10. Kontonumre
11. Certifikat- og licensnumre — medicinsk, DEA, statslig
12. Køretøjs-ID'er — VIN'er og nummerplader
13. Enheds-ID'er — serienumre og unikke enhedskoder
14. Web-URL'er
15. IP-adresser
16. Biometriske data — fingeraftryk og stemmeaftryk
17. Fuldansigtsfotos og lignende billeder
18. Enhver anden unik ID, kode eller karakteristik

Type 18 er sværest at opfange. Enhver kode, der knytter en journal til en bestemt patient, skal væk — selv uden et fast mønster.

For en trin-for-trin-guide til at fjerne alle 18 typer fra kliniske journaler, se HIPAA Safe Harbor de-identifikation for sundhedsforskning.

Fem Nye Regler i den Foreslåede Sikkerhedsopdatering

Den foreslåede HIPAA Security Rule-opdatering (marts 2025) tilføjer fem pligter.

Årlige krypteringsrevisioner. Dækkede enheder skal bekræfte, at alle patientdata i hvile bruger AES-256 eller tilsvarende. Nøglehåndtering skal opfylde skriftlige standarder.

Skriftlige de-identifikationsprocedurer. Enhver patientdata, der bruges i forskning, AI-træning eller analyser, kræver skriftlige trin. En politiknote er ikke nok. Tekniske journaler med bevis for validering er påkrævet.

Sikkerhedstjek af forretningspartnere. Forretningspartnere skal bestå specifikke tekniske tjek, inden de går i drift. Kontrakter håndterede tidligere dette uden teknisk detalje.

Multifaktorgodkendelse (MFA). Alt personale med adgang til elektroniske patientdata skal bruge MFA. Ældre systemer er ikke undtaget.

Test af hændelsesrespons. Årlige øvelser og tekniske tests er påkrævede. Teams skal opbevare resultater.

Lærdommene fra Change Healthcare

Change Healthcare-bruddet (februar 2024) viste, hvordan systemisk risiko ser ud. Change Healthcare håndterede 15 milliarder transaktioner om året. Det forbandt udbydere, betalere og apoteker som et clearinghouse.

Bruddet startede med én fjernadgangskonto. Den konto havde ingen MFA. Angribere bevægede sig igennem netværket i ni dage. Derefter lancerede de ransomware.

Lærdommen er klar. En forretningspartner med bred adgang til sundhedstransaktioner er en risiko for enhver partner, den berører. Den gamle ramme var ikke bygget til udbydere, der håndterer en tredjedel af alle amerikanske sundhedstransaktioner.

Den foreslåede regels MFA, netværkssegmentering og forretningspartnertjek kan alle spores tilbage til denne hændelse.

For PHI-fjernelse fra hospitalspecifikke journalformater, se HIPAA MRN-detektion og hospitalspecifikke mønstre. For zero-knowledge-design, der holder patientdata væk fra netværket, se HIPAA-kompatibel cloud-PHI og zero-knowledge-design.

Kilder

• HHS OCR: HIPAA Breach Portal
• IBM: Cost of a Data Breach Report 2025
• HHS: Foreslået HIPAA Security Rule-opdatering, marts 2025