HIPAA OCR: 725 pārkāpumi, 275 milj. ierakstu

HIPAA OCR: 725 pārkāpumi, 275 milj. ierakstu

Atjaunināts 2026. gadam

HHS Civiltiesību birojs (OCR) 2024. gadā reģistrēja 725 veselības aprūpes datu pārkāpumus. Šie pārkāpumi skāra 275 miljonus pacientu ierakstu. Šis kopējais rādītājs ir vēsturiski augstākais, kas jebkad reģistrēts vienā gadā.

Vidējās veselības aprūpes pārkāpuma izmaksas 2025. gadā sasniedza 10,22 miljonus ASV dolāru. IBM Datu pārkāpuma izmaksu ziņojums uzrāda šo skaitli. Izmaksas ietver civiltiesiskos naudassodus, juridiskās maksas, pacientu paziņojumus, kredītu uzraudzību un zaudēto uzticēšanos.

2025. un 2026. gads ir galvenie gadi segto vienību un to biznesa partneru. Ierosināts HIPAA Drošības noteikuma atjauninājums no 2025. gada marta pievienotu vislielāko tehnisko noteikumu kopumu kopš 2003. gada.

Kas izraisīja 725 pārkāpumus 2024. gadā

OCR portāls 2024. gada kļūmes grupē četros veidos.

Uzlaušana un IT incidenti izraisīja 74% ziņoto pārkāpumu. Izpirkuma programmatūra, serveru uzbrukumi un e-pasta krāpšana ir galvenie veidi. Uzbrucēji tagad vēršas pret veselām tīkla sistēmām. Viens uzbrukums var izvilkt ierakstus no visas EHR sistēmas vienlaikus.

Nesankcionēta piekļuve un izpaušana izraisīja 18% pārkāpumu. Šeit tiek skaitītas sliktas piekļuves kontroles, iekšēju personu ļaunprātīga izmantošana un kļūdainas adresāta kļūdas.

Trešo personu incidenti veidoja 35% no 2024. gada pārkāpumiem. Kļūme sākās biznesa partnerī, nevis segumā vienībā. Tikai Change Healthcare (UnitedHealth Group vienība) atklāja vairāk nekā 190 miljonus pacientu ierakstu. Tas ir lielākais ASV veselības datu pārkāpums vēsturē.

Portatīvo datu nesēju zādzība vai nozaudēšana izraisīja 8% pārkāpumu. Klēpjdatori, USB diskdziņi un papīra ieraksti bez šifrēšanas, kas nozaudēti vai nozagti.

18 PHI veidi saskaņā ar Safe Harbor

HIPAA Safe Harbor metode (45 CFR §164.514(b)) prasa visu 18 pacientu datu veidu noņemšanu. Lielākā daļa komandu zina šo sarakstu. Grūtā daļa ir atklāšana lielos apjomos.

1. Vārdi — pacienti, ģimenes locekļi, darba devēji

2. Ģeogrāfiskie dati — jebkura teritorija, kas mazāka par štatu

3. Datumi — uzņemšanas, izrakstīšanas, dzimšanas, nāves (gads var palikt)

4. Tālruņu numuri

5. Faksa numuri

6. E-pasta adreses

7. Sociālās apdrošināšanas numuri

8. Medicīnisko ierakstu numuri (formāts atšķiras atkarībā no EHR sistēmas)

9. Veselības plāna biedru numuri

10. Konta numuri

11. Sertifikātu un licenču numuri — medicīniskie, DEA, štatu

12. Transportlīdzekļu ID — VIN numuri un numura zīmes

13. Ierīču ID — sērijas numuri un unikālie ierīču kodi

14. Tīmekļa URL

15. IP adreses

16. Biometriskie dati — pirkstu nospiedumi un balss nospiedumi

17. Sejas pilnmēra fotogrāfijas un līdzīgi attēli

18. Jebkurš cits unikāls ID, kods vai pazīme

19. veids ir visgrūtāk uztverams. Jebkurš kods, kas saista ierakstu ar konkrētu pacientu, ir jānoņem — pat bez noteikta parauga.

Pakāpeniskas rokasgrāmatas par visu 18 veidu noņemšanu no klīniskajiem ierakstiem skatiet HIPAA Safe Harbor de-identifikācija veselības aprūpes pētniecībā.

Pieci jauni noteikumi ierosinātajā drošības atjauninājumā

Ierosināts HIPAA Drošības noteikuma atjauninājums (2025. gada marts) pievieno piecus pienākumus.

Ikgadējie šifrēšanas auditi. Segtajām vienībām jāapstiprina, ka visi miera stāvoklī esošie pacientu dati izmanto AES-256 vai līdzvērtīgu. Atslēgu pārvaldībai jāatbilst rakstiskiem standartiem.

Rakstiskas de-identifikācijas procedūras. Jebkuriem pacientu datiem, ko izmanto pētniecībā, AI apmācībā vai analītikā, nepieciešami raktiski soļi. Politikas piezīme nav pietiekama. Nepieciešami tehniski ieraksti ar validācijas pierādījumiem.

Biznesa partneru drošības pārbaudes. Biznesa partneriem jāiziet konkrētas tehniskas pārbaudes pirms darbības uzsākšanas. Līgumi agrāk risināja šo jautājumu bez tehniskajām detaļām.

Daudzfaktoru autentifikācija (MFA). Visiem darbiniekiem ar piekļuvi elektroniskiem pacientu datiem jāizmanto MFA. Mantotās sistēmas nav atbrīvotas.

Incidentu reaģēšanas testēšana. Nepieciešamas ikgadējas mācības un tehniskie testi. Komandām jāsaglabā rezultātu ieraksti.

Mācības no Change Healthcare

Change Healthcare pārkāpums (2024. gada februāris) parādīja, kā izskatās sistēmisks risks. Change Healthcare gadā apstrādāja 15 miljardus darījumu. Tas savienoja pakalpojumu sniedzējus, maksātājus un aptiekas kā klīringa nams.

Pārkāpums sākās ar vienu attālās piekļuves kontu. Šim kontam nebija MFA. Uzbrucēji deviņas dienas pārvietojās pa tīklu. Pēc tam viņi palaida izpirkuma programmatūru.

Mācība ir skaidra. Biznesa partneris ar plašu piekļuvi veselības darījumiem rada risku katram tam pieslēgtajam partnerim. Vecā ietvara struktūra nebija veidota pakalpojumu sniedzējiem, kas apstrādā trešdaļu no visiem ASV veselības darījumiem.

Ierosinātā noteikuma MFA, tīkla segmentācija un biznesa partneru pārbaudes viss atsaucas uz šo notikumu.

PHI noņemšanai no slimnīcai specifiskiem ierakstu formātiem skatiet HIPAA MRN atklāšana un slimnīcai raksturīgie paraugi. Nulles zināšanu dizainam, kas notur pacientu datus ārpus tīkla, skatiet HIPAA atbilstīgs mākoņa PHI un nulles zināšanu dizains.

Avoti

• HHS OCR: HIPAA pārkāpumu portāls
• IBM: Datu pārkāpuma izmaksu ziņojums 2025
• HHS: Ierosinātais HIPAA Drošības noteikuma atjauninājums, 2025. gada marts