anonym.legal

By · Last updated 2026-03-10

Kembali ke BlogKesehatan

HIPAA di Cloud: Zero-Knowledge untuk PHI

Perjanjian Mitra Bisnis tidak mencegah pelanggaran HIPAA ketika vendor AI cloud Anda memproses PHI dalam teks biasa. Inilah yang dilakukan arsitektur zero-knowledge.

March 10, 20269 menit baca
HIPAA compliancezero-knowledge architecturePHI anonymizationcloud securityBAA limitations

Diperbarui untuk 2026

Asumsi HIPAA yang Membahayakan Pasien

Setiap tim IT layanan kesehatan mendengar saran yang sama. Tandatangani Perjanjian Mitra Bisnis dan Anda terlindungi di bawah HIPAA.

Persyaratan BAA itu nyata. Aturan Privasi HIPAA mengharuskan entitas yang dicakup untuk menandatangani BAA dengan mitra bisnis. Ini adalah pihak ketiga yang menangani informasi kesehatan yang dilindungi atas nama mereka. Setiap alat AI yang menyentuh catatan klinis memerlukan BAA terlebih dahulu.

Namun BAA mencakup hubungan hukum. Itu tidak mencakup apa yang terjadi pada catatan pasien di server penyedia AI setelah kontrak ditandatangani.

Pertanyaan kuncinya bukan apakah Anda memiliki BAA. Pertanyaannya adalah apakah penyedia AI dapat membaca catatan kesehatan pasien Anda. Dan apa yang terjadi ketika mereka diretas.

Apa yang Sebenarnya Dilakukan Perjanjian Mitra Bisnis

BAA mewajibkan mitra bisnis pada empat hal:

  • Gunakan catatan pasien hanya untuk tujuan yang disepakati
  • Pasang perlindungan untuk melindungi mereka
  • Laporkan setiap pelanggaran kepada entitas yang dicakup
  • Kembalikan atau hancurkan file saat kontrak berakhir

BAA adalah kontrak. Penyedia berjanji untuk menangani file klinis dengan hati-hati, menerapkan keamanan yang wajar, dan memberi tahu Anda jika ada yang salah.

Apa yang tidak dilakukan BAA:

  • Menghentikan penyerang dari membobol server penyedia
  • Menghapus kemampuan untuk membaca catatan pasien dalam bentuk yang didekripsi
  • Melindungi organisasi Anda dari tanggung jawab HIPAA ketika penyedia terkena serangan

Ketika penyedia AI cloud mengalami pelanggaran, BAA mencakup langkah pemberitahuan. Namun paparan catatan kesehatan itu nyata. Pasien dirugikan. Entitas yang dicakup menghadapi penyelidikan HHS. Kontrak itu tidak mengubah hal itu.

Masalah Sisi Server

Alat AI cloud yang menangani catatan kesehatan memiliki satu desain inti. File berjalan ke server penyedia. AI memprosesnya di sana. Hasilnya kembali ke pengguna.

Agar ini berhasil, penyedia harus membaca file dalam bentuk yang dapat digunakan. Itu berarti salah satu dari dua hal. File-nya tidak terenkripsi. Atau penyedia mengelola kunci enkripsi.

Enkripsi yang dikelola penyedia bukan enkripsi ujung ke ujung. Jika penyedia memegang kunci, penyedia dapat mendekripsi. Jika server diretas, catatan pasien terekspos dalam teks biasa.

Inilah kesenjangan yang tidak ditutup BAA. BAA mengharuskan "perlindungan yang sesuai." Enkripsi sisi server dengan kunci yang dipegang penyedia memenuhi standar itu di atas kertas. Itu tidak melindungi dari pelanggaran di sisi penyedia.

AI menggunakan catatan klinis, catatan penagihan, dan rencana perawatan untuk menghasilkan output. Semua konten itu berada dalam bentuk yang dapat dibaca di server penyedia. Pelanggaran di sana berarti catatan pasien keluar.

Penegakan HIPAA tidak peduli bahwa Anda memiliki BAA. Kantor Hak Sipil HHS mengajukan satu pertanyaan: apakah Anda menggunakan perlindungan yang benar-benar melindungi catatan? Kontrol teknis menentukan jawabannya. Bahasa kontrak tidak.

Cara Arsitektur Zero-Knowledge Memperbaiki Ini

Desain zero-knowledge menyelesaikan masalah akses sisi server di akarnya.

Sebelum file apa pun meninggalkan lingkungan Anda, detail pasien digantikan dengan token. Penyedia AI hanya menerima konten yang dianonimkan. Catatan klinis memiliki nama yang ditukar. Catatan penagihan memiliki nomor akun yang digantikan. Rencana perawatan memiliki informasi pribadi yang dihapus.

AI memproses versi yang dianonimkan. Sistem Anda menghubungkan kembali hasil ke catatan pasien asli menggunakan peta token. Peta itu tidak pernah meninggalkan kendali Anda.

Apa yang ini ubah dalam praktik:

Penyedia AI tidak pernah menerima informasi kesehatan yang dilindungi. Catatan klinis yang dikirim melalui anonimisasi zero-knowledge tidak mengandung nama, tanggal lahir, alamat, atau nomor catatan. AI beroperasi pada file yang bersih.

Pelanggaran di penyedia tidak mengekspos apa pun. Jika server mereka diretas, konten yang tersimpan tidak memiliki informasi pasien di dalamnya. Paparan tidak dapat terjadi karena catatan yang dilindungi tidak pernah dikirim.

Perlindungan teknis melampaui apa yang disyaratkan kontrak. Entitas yang dicakup telah membuat paparan catatan pasien menjadi tidak mungkin secara teknis. Bukan hanya dilarang oleh kontrak. Itu adalah posisi yang jauh lebih kuat.

Lihat cara lapisan anonimisasi bekerja di halaman kepatuhan keamanan dan di dokumen kesesuaian hukum.

Standar yang Bertahan di Bawah Penegakan

Penegakan HIPAA di bawah Kantor Hak Sipil HHS bergantung pada satu tes. Apakah entitas yang dicakup menggunakan perlindungan yang wajar mengingat risiko yang diketahui?

Penyedia AI cloud yang menangani catatan kesehatan di bawah BAA telah diretas. Risikonya nyata. Bukan teoritis. Penyidik bertanya apakah entitas yang dicakup mengatasinya.

Satu jenis entitas yang dicakup mengandalkan BAA dan enkripsi yang dikelola penyedia. Itu adalah perbaikan kontraktual untuk masalah teknis. Jenis lain mengaonimkan catatan pasien sebelum mengirim apa pun. Itu menghapus paparan dari sumbernya.

Pendekatan kedua memberikan jawaban yang jelas untuk penyelidikan apa pun. Catatan yang dilindungi tidak pernah mencapai penyedia AI dalam bentuk yang dapat digunakan. Tidak ada pelanggaran yang perlu dilaporkan. Tidak ada pasien yang perlu diberitahu. Tidak ada penyelidikan yang perlu dijawab. Desain membuat hasil itu tidak mungkin.

Untuk organisasi layanan kesehatan yang mengadopsi AI cloud, pendekatan kepatuhan yang tepat sudah jelas. BAA saja tidak cukup. Catatan pasien tidak boleh pernah mencapai pihak ketiga dalam bentuk yang dapat dipulihkan. BAA memenuhi persyaratan hukum. Arsitektur zero-knowledge memenuhi persyaratan teknis.

Pelajari lebih lanjut di dokumen sistem token dan pusat FAQ.

Lapisan anonimisasi anonym.legal menghapus detail pasien sebelum mencapai alat AI mana pun. Token menggantikan nama, tanggal, dan nomor catatan. Hasilnya dikembalikan dengan detail asli yang dipulihkan — hanya di sisi Anda. Lihat halaman harga.

Sumber

Artikel Terkait

Kesehatan

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Kesehatan

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Kesehatan

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Siap untuk melindungi data Anda?

Mulai anonimisasi PII dengan 285+ jenis entitas dalam 48 bahasa.

Mulai Uji Coba GratisLihat Fitur

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.