HIPAA OCR: 725 brot, 275 milljóna skráningar
Uppfært fyrir 2026
HHS Office for Civil Rights (OCR) taldi 725 heilsugagnabrot árið 2024. Þessi brot snertu 275 milljóna sjúklingaskráningar. Þetta magn er hæst sem hefur verið skráð á einu ári.
Meðalkostnaður hvers heilsugagnabrot náði $10,22 milljónum árið 2025. IBM Cost of a Data Breach Report staðfestir þessa tölu. Kostnaðurinn nær til borgaralegra sekta, lögfræðikostnaðar, tilkynninga til sjúklinga, lánsmatsvaktar og glataðrar trausts.
2025 og 2026 eru lykilár fyrir skráð aðila og viðskiptaaðila þeirra. Tillaga um uppfærslu á HIPAA-öryggisreglu frá mars 2025 myndi bæta við stærstu tæknilegu kröfurnar síðan 2003.
Hvað olli 725 brotum árið 2024
OCR-gáttinn flokkar 2024-bilun í fjórar gerðir.
Tölvuárásir og tæknileg atvik ollu 74% tilkynntra brota. Lausnarhugbúnaður, netþjónaárásir og tölvupóstsvindl eru helstu tegundir. Árásarmenn miða nú á heilu netkerfi. Ein árás getur dregið gögn úr öllu EHR-kerfi í einu.
Óheimilaður aðgangur og birting olli 18% brota. Slæmar aðgangsstýringar, misnotkun starfsmanna að innan og mistök við val á viðtakanda teljast hingað.
Þriðja aðila atvik námu 35% af brotum 2024. Bilunin hófst hjá viðskiptaaðila — ekki hjá skráðum aðila. Change Healthcare (dótturfyrirtæki UnitedHealth Group) eitt og sér afhjúpaði yfir 190 milljóna sjúklingaskráningar. Þetta er stærsta heilsugagnabrot í sögu Bandaríkjanna.
Þjófnaður eða tap á geymslumiðlum olli 8% brota. Fartölvur, USB-drif og pappírsgögn glötuð eða þjófnuð án dulkóðunar.
18 PHI-tegundir samkvæmt Safe Harbor
HIPAA Safe Harbor-aðferðin (45 CFR §164.514(b)) krefst fjarlægingar á öllum 18 gerðum sjúklingagagna. Flest teymi þekkja listann. Erfiðasta hlutinn er greining í stórum stíl.
- Nöfn — sjúklingar, fjölskyldumeðlimir, vinnuveitendur
- Landfræðileg gögn — hvert svæði minna en ríki
- Dagsetningar — innlögn, útskrift, fæðing, dauði (ár má standa eftir)
- Símanúmer
- Faxnúmer
- Netfang
- Almannatryggingarnúmer
- Sjúkraskrárnúmer (snið er mismunandi eftir EHR-kerfi)
- Meðlimsnúmer heilsutryggingar
- Reikningsnúmer
- Vottorðs- og leyfistölur — læknavottorð, DEA, ríkisleyfi
- Ökutækjaauðkenni — VIN og skráningarnúmer
- Tækjaauðkenni — raðnúmer og einstök tækjakóðar
- Vefslóðir
- IP-tölur
- Líffræðileg gögn — fingraför og raddprentun
- Andlitsmyndir og svipaðar myndir
- Önnur einstök auðkenni, kóðar eða einkenni
Tegund 18 er erfiðust að greina. Sérhver kóði sem tengir skrá við ákveðinn sjúkling verður að fara — jafnvel án fastmælts mynsturs.
Sjá HIPAA Safe Harbor-dulnefning fyrir heilsufarsrannsóknir til að fá skref-fyrir-skref leiðbeiningar um hvernig á að þrífa allar 18 tegundir úr klínískum gögnum.
Fimm nýjar reglur í tillögu um öryggisuppfærslu
Tillagan um uppfærslu HIPAA-öryggisreglu (mars 2025) bætir við fimm skyldum.
Árlegar dulkóðunarúttektir. Skráðir aðilar verða að staðfesta að öll sjúklingagögn í hvíld noti AES-256 eða jafngilt. Lyklastýring verður að uppfylla skriflegar staðlar.
Skriflegar dulnefningarferlar. Sérhver sjúklingagögn sem notuð eru í rannsóknir, AI-þjálfun eða greiningar þarfnast skriflegra skrefa. Stefnunóta er ekki nóg. Tæknilegar skrár með gögnum um staðfestingu eru nauðsynlegar.
Öryggisprófanir viðskiptaaðila. Viðskiptaaðilar verða að standast sérstakar tæknilegar prófanir áður en þeir fara í loftið. Samningar höfðu áður séð um þetta án tæknilegrar nákvæmni.
Fjölþáttagjörning (MFA). Allir starfsmenn með aðgang að rafrænum sjúklingagögnum verða að nota MFA. Eldri kerfi eru ekki undanskilin.
Prófun á atviksviðbrögðum. Árlegar æfingar og tæknilegar prófanir eru krafist. Teymi verða að halda skrár yfir niðurstöður.
Lærdómur af Change Healthcare
Change Healthcare-brotið (febrúar 2024) sýndi hvernig kerfisbundinn áhætta lítur út. Change Healthcare annaðist 15 milljarða færslna á ári. Þess tengdi heilbrigðisþjónustu, greiðendur og lyfsölur sem milligönguaðili.
Brotið hófst með einum fjartengdur aðgangsreikningi. Sá reikningur hafði enga MFA. Árásarmenn fóru í gegnum netið í níu daga. Síðan kveiktu þeir lausnarhugbúnaðinn.
Lærdómurinn er skýr. Viðskiptaaðili með víðan aðgang að heilsufarsviðskiptum er áhætta fyrir hvern þátttakanda sem hann tengist. Gamalt rammi var ekki smíðað fyrir þjónustuveitendur sem annast þriðjung allra heilsufarsviðskipta í Bandaríkjunum.
MFA, netskiptingar og athuganir á viðskiptaaðilum í tillögunni rekja sig allar til þessa atburðar.
Sjá HIPAA MRN-greining og sjúkrahúsásérstakar mynstrar til að fjarlægja PHI úr sjúkrahúsásérlegum skráarsniðum. Sjá HIPAA-samhæft ský PHI og núllþekkingarhönnun til að fá upplýsingar um hönnun sem heldur sjúklingagögnum af netinu.