anonym.legal

By · Last updated 2026-06-05

Atgal į BlogąSveikatos Priežiūra

HIPAA OCR: 725 pažeidimai, 275 mln. įrašų

HHS OCR 2024 m. pranešė apie 725 HIPAA pažeidimus, paveikusius 275 mln. įrašų -- tai aukščiausias kada nors užfiksuotas skaičius. Vidutinė sveikatos duomenų pažeidimo kaina -- 10,22 mln. USD.

June 5, 202610 min skaityti
HIPAA enforcementPHI de-identificationOCR HHShealthcare breachHIPAA Security Rule

HIPAA OCR: 725 pažeidimai, 275 mln. įrašų

Atnaujinta 2026 m.

HHS Pilietinių teisių biuras (OCR) 2024 m. suskaičiavo 725 sveikatos duomenų pažeidimus. Tie pažeidimai palietė 275 milijonų pacientų įrašus. Tas skaičius yra aukščiausias kada nors užfiksuotas per vienerius metus.

Vidutinė sveikatos pažeidimo kaina 2025 m. pasiekė 10,22 mln. USD. IBM duomenų pažeidimo kainos ataskaita pateikia šį skaičių. Kaina apima civilines baudas, teisines išlaidas, pranešimus pacientams, kredito stebėjimą ir prarastą pasitikėjimą.

2025 ir 2026 m. yra svarbūs metai apdraustajai subjektams ir jų verslo partneriams. 2025 m. kovo mėn. siūlomas HIPAA saugumo taisyklės atnaujinimas pridėtų didžiausią techninių taisyklių rinkinį nuo 2003 m.

Kas sukėlė 725 pažeidimus 2024 m.

OCR portalas grupuoja 2024 m. nesėkmes į keturis tipus.

Įsilaužimas ir IT incidentai sukėlė 74% pranešimų apie pažeidimus. Išpirkos reikalaujančios programos, serverių atakos ir el. pašto sukčiavimas yra populiariausi tipai. Užpuolikai dabar taikosi į visus tinklus. Viena ataka gali paimti įrašus iš viso EHR sistemos.

Neleistina prieiga ir atskleidimas sukėlė 18% pažeidimų. Prasti prieigos valdikliai, vidiniai piktnaudžiavimai ir klaidingo gavėjo klaidos -- visa tai patenka čia.

Trečiųjų šalių incidentai sudarė 35% 2024 m. pažeidimų. Nesėkmė prasidėjo verslo partneryje, o ne apdraustuose subjektuose. Vien tik Change Healthcare (UnitedHealth Group padalinys) atskleidė daugiau nei 190 milijonų pacientų įrašų. Tai yra didžiausias JAV sveikatos duomenų pažeidimas istorijoje.

Nešiojamų laikmenų vagystė arba praradimas sukėlė 8% pažeidimų. Nešiojamieji kompiuteriai, USB įrenginiai ir popieriniai įrašai, pamesti arba pavogti be šifravimo.

18 PHI tipų pagal "Safe Harbor"

HIPAA "Safe Harbor" metodas (45 CFR §164.514(b)) reikalauja pašalinti visus 18 pacientų duomenų tipų. Dauguma komandų žino sąrašą. Sunkiausia dalis yra aptikimas dideliu mastu.

  1. Vardai -- pacientai, šeimos nariai, darbdaviai
  2. Geografiniai duomenys -- bet kuri sritis, mažesnė nei valstija
  3. Datos -- priėmimas, išrašymas, gimimas, mirtis (metai gali likti)
  4. Telefono numeriai
  5. Fakso numeriai
  6. El. pašto adresai
  7. Socialinio draudimo numeriai
  8. Medicininių įrašų numeriai (formatas skiriasi pagal EHR sistemą)
  9. Sveikatos plano narių numeriai
  10. Sąskaitos numeriai
  11. Pažymėjimų ir licencijų numeriai -- medicininis, DEA, valstijos
  12. Transporto priemonių ID -- VIN ir numerio ženklai
  13. Prietaisų ID -- serijos numeriai ir unikalūs prietaisų kodai
  14. Interneto URL adresai
  15. IP adresai
  16. Biometriniai duomenys -- pirštų atspaudai ir balso atspaudai
  17. Viso veido nuotraukos ir panašūs vaizdai
  18. Bet koks kitas unikalus ID, kodas arba požymis

18 tipas yra sunkiausiai aptinkamas. Bet koks kodas, siejantis įrašą su konkrečiu pacientu, turi būti pašalintas -- net be nustatyto šablono.

Norėdami gauti žingsnis po žingsnio vadovą, kaip išvalyti visus 18 tipų iš klinikinių įrašų, žiūrėkite HIPAA Safe Harbor de-identifikavimas sveikatos priežiūros tyrimams.

Penki nauji reikalavimai siūlomame saugumo atnaujinime

Siūlomas HIPAA saugumo taisyklės atnaujinimas (2025 m. kovas) prideda penkis įpareigojimus.

Metiniai šifravimo auditai. Apdrausti subjektai turi patvirtinti, kad visi ramybės būsenos pacientų duomenys naudoja AES-256 arba lygiavertį. Raktų valdymas turi atitikti raštinius standartus.

Rašytinės de-identifikavimo procedūros. Bet kokie pacientų duomenys, naudojami tyrimams, DI mokymui ar analizei, reikalauja rašytinių žingsnių. Politikos pastabos nepakanka. Reikalingi techniniai įrašai su patvirtinimo įrodymais.

Verslo partnerių saugumo patikrinimai. Verslo partneriai turi praeiti konkrečius techninius patikrinimus prieš pradedant veikti. Anksčiau sutartys tvarkė tai be techninių detalių.

Daugiafaktoris autentifikavimas (MFA). Visi darbuotojai, turintys prieigą prie elektroninių pacientų duomenų, turi naudoti MFA. Senesnės sistemos nėra išimtys.

Incidentų reagavimo testavimas. Metiniai pratimai ir techniniai testai yra privalomi. Komandos turi saugoti rezultatų įrašus.

Pamokos iš Change Healthcare

Change Healthcare pažeidimas (2024 m. vasaris) parodė, kaip atrodo sisteminė rizika. Change Healthcare per metus apdorojo 15 milijardų sandorių. Ji sujungė teikėjus, mokėtojus ir vaistines kaip tarpuskaitos organizacija.

Pažeidimas prasidėjo su viena nuotolinės prieigos paskyra. Ta paskyra neturėjo MFA. Užpuolikai judėjo per tinklą devynias dienas. Tada paleido išpirkos reikalaujančias programas.

Pamoka aiški. Verslo partneris su plačia prieiga prie sveikatos sandorių kelia riziką kiekvienam partneriui, kurį jis liečia. Senasis sistema nebuvo sukurta teikėjams, apdorojančiems trečdalį visų JAV sveikatos sandorių.

Siūlomo reglamento MFA, tinklo segmentavimas ir verslo partnerių patikrinimai visi atsekini iki šio įvykio.

Šaltiniai

Susiję Straipsniai

Sveikatos Priežiūra

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Sveikatos Priežiūra

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Sveikatos Priežiūra

HIPAA MRN Detection Without a Regex PhD

Every hospital's MRN format is different. Memorial uses MRN:XXXXXXX, St. Mary's uses PT-YYYYY, University Hospital uses UHN-XXXXXXXXXX.

Pasiruošę apsaugoti savo duomenis?

Pradėkite anonimizuoti PII su 285+ subjektų tipais 48 kalbomis.

Pradėti Nemokamą Bandomąją VersijąPeržiūrėti Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.