anonym.legal
Vissza a BlograEgészségügy

HIPAA OCR Végrehajtás 2024: 725 Incidens...

A HHS OCR 725 egészségügyi adatincidensről kapott értesítést 2024-ben, 275 millió egyén nyilvántartását érintve.

April 21, 202610 perc olvasás
HIPAA enforcementPHI de-identificationOCR HHShealthcare breachHIPAA Security Rule

Az HHS Office for Civil Rights (OCR) 725 egészségügyi adatsértést jelentett 2024-ben, amelyek 275 millió betegrekordot érintenek — ez a valaha egyetlen évben rögzített legmagasabb szám. Az átlagos egészségügyi adatsértés költsége 10,22 millió dollárra emelkedett 2025-ben (IBM Adatsértési Költségjelentés), amelyet a HIPAA polgári pénzbírságai, jogi költségek, betegértesítés, hitelmonitorozás és hírnévkárosodás hajtanak.

Az Egyesült Államok egészségügyi lefedett szervezetei és üzleti társultjai számára 2025 fordulópont-év: a javasolt HIPAA Biztonsági Szabály frissítés (2025. március) a legjelentősebb HIPAA technikai követelményeket hozná létre az eredeti Biztonsági Szabály 2003-as véglegesítése óta.

725 Adatsértés: Mi Ment Rosszul 2024-ben

Az OCR adatsértési portáljának adatai feltárják a 2024-es rekordszámú adatsértéseket mozgató hibakategóriákat:

Hackelés/IT-incidensek: A bejelentett adatsértések 74%-a — a domináns kategória. Hálózati szerver-kompromittálások, zsarolóvírusok és üzleti e-mail kompromittálás alkotják a többséget. A változás strukturális: a támadók az egyéni munkaállomások célzásáról a hálózati szintű támadásokra tértek át, amelyek teljes EHR rendszereket kompromittálnak, egyszerre millió rekordot kinyerve.

Jogosulatlan hozzáférés/közzétételek: Az adatsértések 18%-a. Tartalmazza a bennfentes fenyegetéseket, a betegadatokat jogosulatlan munkatársaknak kitevő helytelenül konfigurált hozzáférési kontrollokat és a téves személyeknek való véletlen közzétételeket.

Harmadik feles/üzleti társult incidensek: Egyre növekvő arány — a 2024-es adatsértések 35%-a üzleti társultaknál keletkezett, nem lefedett szervezeteknél. A Change Healthcare (UnitedHealth Group leányvállalata) egyedül 190+ millió beteget érintett — az Egyesült Államok történetének legnagyobb egészségügyi adatsértése.

Hordozható média elvesztése/ellopása: Az adatsértések 8%-a. Titkosítás nélküli védelemmel rendelkező laptopok, USB-meghajtók és papíralapú rekordok ellopva vagy elveszítve.

A 18 PHI-azonosító: HIPAA Safe Harbor Standard

A HIPAA Safe Harbor azonosítás-eltávolítási módszere (45 CFR §164.514(b)) megköveteli mind a 18 meghatározott PHI-azonosító eltávolítását. A lefedett szervezetek és üzleti társultak többsége ismeri a listát konceptuálisan, de az észlelési kihívás technikai:

  1. Nevek: Betegek, családtagok, munkaadók összes neve
  2. Földrajzi adatok: Államnál kisebb összes felosztás (utca, város, megye, kerület, irányítószám első 3 jegye, ha <20 000 lakos)
  3. Dátumok: Minden, a beteggel közvetlenül összefüggő dátum (születés, felvétel, elbocsátás, halál), kivéve az évet
  4. Telefonszámok: Minden telefonszám
  5. Faxszámok: Minden faxszám
  6. E-mail-címek: Minden e-mail-cím
  7. Társadalombiztosítási számok: Minden SSN
  8. Beteg-nyilvántartási számok: Minden MRN-formátum (EHR-rendszerenként eltér)
  9. Egészségbiztosítási kedvezményezett számok: Minden biztosítói tagazonosító
  10. Számlaszámok: Minden pénzügyi számlaszám
  11. Igazolvány/engedélyszámok: Orvosi engedély, DEA-regisztráció, állami engedélyszámok
  12. Jármű-azonosítók: VIN-számok, rendszámok
  13. Eszközazonosítók: Sorozatszámok, egyedi eszközazonosítók
  14. Webes URL-ek: Minden webcím
  15. IP-címek: Minden IP-cím
  16. Biometrikus azonosítók: Ujjlenyomatok és hangminták
  17. Teljes arckép és hasonló képek
  18. Bármely más egyedi azonosítószám, kód vagy jellemző

A 18. azonosító — "bármely más egyedi azonosítószám" — a legsúlyosabb észlelési követelmény. Ez azt jelenti, hogy minden adatbázis-specifikus azonosítót, amely rekordokat egy adott beteghez kapcsolna vissza, észlelni és el kell távolítani, még akkor is, ha nem felel meg egy előre meghatározott mintának.

Javasolt HIPAA Biztonsági Szabály Frissítés: Mi Változik 2025-2026-ban

A 2025. márciusban közzétett javasolt HIPAA Biztonsági Szabály frissítés megkövetelné:

Éves titkosítási auditok: A lefedett szervezeteknek éves technikai auditokat kell végezniük annak ellenőrzésére, hogy az összes inaktív PHI AES-256 vagy egyenértékű titkosítással van-e titkosítva, és a titkosítási kulcskezelés megfelel-e a dokumentált szabványoknak.

Dokumentált azonosítás-eltávolítási eljárások: Minden PHI esetén, amelyet kutatásban, minőségfejlesztésben, AI-képzésben vagy elemzésben használnak, a lefedett szervezeteknek dokumentált eljárásokat kell fenntartaniuk, amelyek bemutatják az azonosítás-eltávolítás megvalósítását — nem csak egy politikanyilatkozatot, hanem érvényesítési bizonyítékkal alátámasztott technikai dokumentációt.

Üzleti társultak biztonsági követelményei: Az üzleti társultaknak most konkrét technikai biztonsági követelményeknek kell megfelelniük (korábban Üzleti Társulati Megállapodásokra delegálva technikai specifikáció nélkül). A BA technikai értékelések kötelezővé válnak a beléptetés előtt.

Multi-faktor hitelesítés: Az elektronikus PHI-hozzáféréssel rendelkező összes munkatársnak MFA-t kell használnia. Kivétel nincs az "örökölt rendszerek" számára — a javasolt szabály a rendszer korától függetlenül MFA-t követel meg.

Incidensreakció tesztelés: Éves asztali gyakorlatok és az incidensreakciós eljárások technikai tesztelése. A tesztelés bizonyítékait meg kell őrizni.

A Change Healthcare Tanulsága

A Change Healthcare adatsértés (2024. február) — amely 190+ millió amerikait érint — illusztrálta az egészségügy összekapcsolt infrastruktúrájának szisztematikus kockázatát. A Change Healthcare évi 15 milliárd egészségügyi tranzakciót dolgozott fel klíringszervizként a szolgáltatók, a fizetők és a patikák között.

A sértés egy MFA-védelem nélküli Citrix távoli hozzáférési hitelesítő adattal kezdődött. Bejutva a támadók 9 napon át oldalirányban mozogtak a Change Healthcare hálózatán, mielőtt zsarolóvírust telepítettek volna.

A szisztematikus tanulság: minden üzleti társult, amely hálózati hozzáféréssel rendelkezik az egészségügyi tranzakciós adatokhoz, szisztematikus kockázatot jelent az összes általa összekapcsolt egészségügyi ökoszisztéma számára. A HIPAA üzleti társulati kerete nem az összes USA egészségügyi tranzakció harmadát kezelő szisztematikus infrastrukturális szolgáltatók számára lett tervezve.

A lefedett szervezetek és üzleti társultak számára: a Change Healthcare adatsértés közvetlenül tájékoztatta a javasolt HIPAA Biztonsági Szabály hálózati szegmentálásra, MFA-ra és üzleti társult technikai értékelésekre vonatkozó követelményeit.

Források:

Kapcsolódó Cikkek

Egészségügy

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Egészségügy

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Egészségügy

HIPAA MRN Detection Without a Regex PhD

Every hospital's MRN format is different. Memorial uses MRN:XXXXXXX, St. Mary's uses PT-YYYYY, University Hospital uses UHN-XXXXXXXXXX.

Készen áll az adatai védelmére?

Kezdje el a PII anonimizálását 285+ entitástípuson 48 nyelven.

Ingyenes Próbát KezdFunkciók Megtekintése