anonym.legal

By · Last updated 2026-06-05

Vissza a BlograEgészségügy

HIPAA OCR: 725 adatvédelmi incidens, 275 millió rekord

A HHS OCR 2024-ben 725 HIPAA-incidenst rögzített, amelyek 275 millió páciens adatát érintették – ez minden idők legmagasabb száma. Az egészségügyi adatvédelmi incidensek átlagos költsége 10,22 millió dollár.

June 5, 202610 perc olvasás
HIPAA enforcementPHI de-identificationOCR HHShealthcare breachHIPAA Security Rule

HIPAA OCR: 725 adatvédelmi incidens, 275 millió rekord

Frissítve 2026-ra

A HHS Polgári Jogok Hivatala (OCR) 2024-ben 725 egészségügyi adatvédelmi incidenst rögzített. Ezek az incidensek 275 millió páciens adatát érintették. Ez az egyetlen évben valaha rögzített legmagasabb szám.

Az egészségügyi adatvédelmi incidensek átlagos költsége 2025-re 10,22 millió dollárra emelkedett az IBM Adatvédelmi Incidens Költségjelentése szerint. A költség magában foglalja a polgári bírságokat, jogi díjakat, páciensértesítési költségeket, hitelfigyelési kiadásokat és a bizalomvesztést.

2025 és 2026 kulcsfontosságú évek a fedezett szervezetek és üzleti partnereik számára. A 2025 márciusában javasolt HIPAA biztonsági szabály-frissítés a 2003 óta eltelt időszak legtöbb technikai követelményét adná hozzá a jogszabályhoz.

Mi okozta a 725 incidenst 2024-ben

Az OCR portálja a 2024-es hibákat négy típusba sorolja.

Hackelési és informatikai incidensek okozták a bejelentett incidensek 74%-át. A zsarolóvírusok, szerveres támadások és e-mail-alapú csalás a leggyakoribb típusok. A támadók ma már egész hálózatokat vesznek célba. Egy támadás egyszerre kihúzhatja az összes rekordot egy teljes elektronikus egészségügyi nyilvántartó rendszerből.

Jogosulatlan hozzáférés és nyilvánosságra hozatal okozta az incidensek 18%-át. Ide tartoznak a rossz hozzáférési kontrollok, belső visszaélések és a tévesen megcímzett dokumentumok.

Harmadik feles incidensek tették ki a 2024-es incidensek 35%-át. A hiba egy üzleti partnernél keletkezett, nem a fedezett szervezetnél. A Change Healthcare (a UnitedHealth Group egysége) egyedül több mint 190 millió páciens adatát tette ki. Ez az USA-ban valaha rögzített legnagyobb egészségügyi adatvédelmi incidens.

Hordozható adathordozók ellopása vagy elvesztése okozta az incidensek 8%-át. Titkosítás nélkül elveszett vagy ellopott laptopok, USB-meghajtók és papíralapú nyilvántartások.

A 18 PHI-típus a Safe Harbor módszer szerint

A HIPAA Safe Harbor módszere (45 CFR §164.514(b)) a páciensadatok mind a 18 típusának eltávolítását követeli meg. A legtöbb csapat ismeri a listát. A nehézség a nagy léptékű észlelés.

  1. Nevek – páciensek, családtagok, munkáltatók
  2. Földrajzi adatok – bármely egy államnál kisebb terület
  3. Dátumok – felvétel, elbocsátás, születés, halál (az év megtartható)
  4. Telefonszámok
  5. Faxszámok
  6. E-mail-címek
  7. Társadalombiztosítási számok
  8. Orvosi nyilvántartási számok (formátuma EHR-rendszerenként változik)
  9. Egészségügyi terv tagsági számai
  10. Számlaszámok
  11. Igazolvány- és engedélyszámok – orvosi, DEA, állami
  12. Jármű-azonosítók – alvázszámok és rendszámok
  13. Eszközazonosítók – sorozatszámok és egyedi eszközkódok
  14. Webcímek
  15. IP-címek
  16. Biometrikus adatok – ujjlenyomatok és hangminták
  17. Teljes arclenyomatok és hasonló képek
  18. Bármely egyéb egyedi azonosító, kód vagy jellemző

A 18. típus a legnehezebb észlelni. Minden kódot, amely egy rekordot egy adott pácienshez köt, el kell távolítani – még rögzített minta nélkül is.

A mind a 18 típus klinikai nyilvántartásokból való eltávolításának lépésről lépésre bemutatott útmutatójáért lásd: HIPAA Safe Harbor de-azonosítás egészségügyi kutatáshoz.

A javasolt biztonsági frissítés öt új szabálya

A 2025 márciusában javasolt HIPAA Biztonsági Szabály-frissítés öt kötelezettséget vezet be.

Éves titkosítási auditok. A fedezett szervezeteknek meg kell erősíteniük, hogy az összes nyugalmi állapotban lévő páciensadat AES-256 vagy azzal egyenértékű titkosítást használ. A kulcskezelésnek írott szabványoknak kell megfelelnie.

Írásos de-azonosítási eljárások. Minden olyan páciensadat, amelyet kutatásban, mesterséges intelligencia betanításában vagy elemzésben használnak, írásos lépéseket igényel. Egy irányelvfeljegyzés nem elegendő. Érvényesítési bizonyítékokkal alátámasztott technikai dokumentáció szükséges.

Üzleti partner biztonsági ellenőrzések. Az üzleti partnereknek meghatározott technikai ellenőrzéseken kell átesniük, mielőtt élesbe állnak. Eddig a szerződések technikai részletek nélkül intézték el ezt.

Többfaktoros hitelesítés (MFA). Az elektronikus páciensadatokhoz hozzáféréssel rendelkező összes dolgozónak MFA-t kell használnia. Az örökölt rendszerek sem mentesülnek ez alól.

Incidenskezelési tesztelés. Éves szimulációk és technikai tesztek szükségesek. A csapatoknak nyilvántartást kell vezetniük az eredményekről.

Tanulságok a Change Healthcare esetéből

A Change Healthcare-incidens (2024. február) megmutatta, milyen a rendszerszintű kockázat. A Change Healthcare évente 15 milliárd tranzakciót kezelt. Elszámolóházként kötötte össze a szolgáltatókat, biztosítókat és gyógyszerészeket.

Az incidens egyetlen távelérési fiókkal kezdődött, amelynek nem volt MFA-védelme. A támadók kilenc napon keresztül mozogtak a hálózaton, majd zsarolóvírust indítottak.

A tanulság egyértelmű: egy széles körű egészségügyi tranzakció-hozzáféréssel rendelkező üzleti partner kockázatot jelent minden üzleti partnerére nézve. A régi keretrendszer nem volt felkészítve egy olyan szolgáltató kezelésére, amely az összes amerikai egészségügyi tranzakció egyharmadát dolgozza fel.

A javasolt szabály MFA-, hálózatszegmentációs és üzleti partneres ellenőrzési követelményei mind ebből az esetből erednek.

A kórházspecifikus nyilvántartásformátumokból való PHI-eltávolításhoz lásd: HIPAA MRN-észlelés és kórházspecifikus minták. A páciensadatokat hálózaton kívül tartó nullaismeret-alapú tervekről lásd: HIPAA-megfelelő felhőalapú PHI és nullaismeret-alapú tervezés.

Források

Kapcsolódó Cikkek

Egészségügy

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Egészségügy

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Egészségügy

HIPAA MRN Detection Without a Regex PhD

Every hospital's MRN format is different. Memorial uses MRN:XXXXXXX, St. Mary's uses PT-YYYYY, University Hospital uses UHN-XXXXXXXXXX.

Készen áll az adatai védelmére?

Kezdje el a PII anonimizálását 285+ entitástípuson 48 nyelven.

Ingyenes Próbát KezdFunkciók Megtekintése

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.