anonym.legal

By · Last updated 2026-06-05

Povratak na BlogZdravstvo

HIPAA OCR: 725 povreda, 275 milijuna zapisa

HHS OCR zabiljezip je 725 HIPAA povreda u 2024. godini koje su zahvatile 275 milijuna zapisa pacijenata — dosad najvise. Prosjecni trosak povrede zdravstvenih podataka iznosi 10,22 milijuna dolara.

June 5, 202610 min čitanja
HIPAA enforcementPHI de-identificationOCR HHShealthcare breachHIPAA Security Rule

HIPAA OCR: 725 povreda, 275 milijuna zapisa

Azurirano za 2026. godinu

HHS Ured za gradjanska prava (OCR) zabiljezio je 725 povreda zdravstvenih podataka u 2024. godini. Te su povrede zahvatile 275 milijuna zapisa pacijenata. Taj ukupni broj je najvisi ikada zabiljezen u jednoj godini.

Prosjecni trosak po povredi zdravstvenih podataka dostigao je 10,22 milijuna dolara u 2025. godini. IBM-ov izvjestaj o troskovima povrede podataka navodi taj broj. Trosak obuhvaca gradjanskopravne kazne, pravne naknade, obavijesti pacijentima, kreditni nadzor i gubitak povjerenja.

Godine 2025. i 2026. kljucne su za pokrivene subjekte i njihove poslovne suradnike. Predlozena nadopuna HIPAA sigurnosnog pravila iz ozujka 2025. dodala bi najveci skup tehnickih pravila od 2003. godine.

Sto je uzrokovalo 725 povreda u 2024. godini

OCR portal grupira kvarove iz 2024. u cetiri vrste.

Hakiranje i IT incidenti uzrokovali su 74% prijavljenih povreda. Ransomware, napadi na posluzitelje i elektronicke prijevare najcesci su oblici. Napadaci sada ciljaju cijele mreze. Jedan napad moze izvuci zapise iz cijelog EHR sustava odjednom.

Neovlasteni pristup i otkrivanje uzrokovali su 18% povreda. Losa kontrola pristupa, zloupotreba od strane insajdera i pogresni primatelji — sve to spada ovdje.

Incidenti trecih strana cinili su 35% povreda iz 2024. Kvar je zapoceo kod poslovnog suradnika — ne kod pokrivenog subjekta. Change Healthcare (jedinica UnitedHealth Groupa) sama je izlozila vise od 190 milijuna zapisa pacijenata. To je najveca povreda americkih zdravstvenih podataka ikad zabiljezena.

Kradja ili gubitak prijenosnih medija uzrokovali su 8% povreda. Prijenosna racunala, USB memorije i papirnati zapisi izgubljeni ili ukradeni bez enkripcije.

18 vrsta PHI prema metodi sigurne luke

HIPAA-ina metoda sigurne luke (45 CFR par. 164.514(b)) zahtijeva uklanjanje svih 18 vrsta podataka o pacijentima. Vecina timova poznaje popis. Teski dio je detekcija u velikim razmjerima.

  1. Imena — pacijenata, clanova obitelji, poslodavaca
  2. Geografski podaci — svako podrucje manje od drzave
  3. Datumi — prijema, otpusta, rodjenja, smrti (godina moze ostati)
  4. Brojevi telefona
  5. Brojevi telefaksa
  6. Adrese elektronicke poste
  7. Brojevi socijalnog osiguranja
  8. Brojevi medicinskih kartona (format varira po EHR sustavu)
  9. Brojevi clanova zdravstvenog plana
  10. Brojevi racuna
  11. Brojevi potvrda i dozvola — medicinski, DEA, drzavni
  12. Identifikatori vozila — VIN-ovi i registarski brojevi
  13. Identifikatori uredjaja — serijski brojevi i jedinstveni kodovi uredjaja
  14. Web URL adrese
  15. IP adrese
  16. Biometricki podaci — otisci prstiju i glasovni otisci
  17. Fotografije lica u punom okviru i slicne slike
  18. Svaki drugi jedinstveni ID, kod ili osobina

Vrsta 18 je najteza za otkrivanje. Svaki kod koji vezuje zapis za odredjenog pacijenta mora biti uklonjen — cak i bez odredjenog uzorka.

Za korak-po-korak vodic o uklanjanju svih 18 vrsta iz klinickih zapisa, pogledajte HIPAA Safe Harbor de-identifikacija za zdravstveno istrazivanje.

Pet novih pravila u predlozenoj nadopuni sigurnosti

Predlozena nadopuna HIPAA sigurnosnog pravila (ozujak 2025.) dodaje pet obveza.

Godisnje revizije enkripcije. Pokriveni subjekti moraju potvrditi da svi podaci o pacijentima u mirovanju koriste AES-256 ili jednakovrijedno. Upravljanje kljucevima mora zadovoljiti pisane standarde.

Pisani postupci de-identifikacije. Svaki podatak o pacijentima koristen u istrazivanju, treniranju AI-a ili analitici treba pisane korake. Politicka napomena nije dovoljna. Potrebni su tehnicka dokumentacija s dokazom provjere valjanosti.

Sigurnosne provjere poslovnih suradnika. Poslovni suradnici moraju proci specificne tehnicke provjere prije pocetka rada. Ugovori su se ranije bavili time bez tehnickih detalja.

Visestruka autentifikacija (MFA). Svo osoblje s pristupom elektronickim podacima o pacijentima mora koristiti MFA. Naslijedjeni sustavi nisu izuzeti.

Testiranje odgovora na incidente. Godisnje vjezbe i tehnicke provjere su obavezne. Timovi moraju cuvati zapise rezultata.

Pouke iz Change Healthcare

Povreda Change Healthcare (veljaca 2024.) pokazala je kako izgleda sustavni rizik. Change Healthcare obradjivao je 15 milijardi transakcija godisnje. Povezivao je pruzatelje usluga, platitelje i ljekarne kao posrednik.

Povreda je zapocela s jednim racunom za daljinski pristup. Taj racun nije imao MFA. Napadaci su se kretali kroz mrezu devet dana. Zatim su pokrenuli ransomware.

Pouka je jasna. Poslovni suradnik sa sirokim pristupom zdravstvenim transakcijama rizik je za svakog partnera s kojim radi. Stari okvir nije bio izradjen za pruzatelje koji obradjuju trecinu svih americkih zdravstvenih transakcija.

MFA, segmentacija mreze i provjere poslovnih suradnika iz predlozenog pravila — sve to potjece iz ovog dogadjaja.

Za uklanjanje PHI iz bolnickih formata zapisa, pogledajte HIPAA MRN detekcija i bolnicko-specificni uzorci. Za dizajn nultog znanja koji cuva podatke pacijenata van mreze, pogledajte HIPAA-uskladjeni oblacni PHI i dizajn nultog znanja.

Izvori

Povezani Članci

Zdravstvo

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Zdravstvo

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Zdravstvo

HIPAA MRN Detection Without a Regex PhD

Every hospital's MRN format is different. Memorial uses MRN:XXXXXXX, St. Mary's uses PT-YYYYY, University Hospital uses UHN-XXXXXXXXXX.

Spremni za zaštitu vaših podataka?

Započnite anonimizaciju PII-a s 285+ vrsta entiteta na 48 jezika.

Započnite Besplatno SuđenjePogledajte Značajke

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.