HIPAA OCR: 725 прекршувања, 275 милиони записи

HIPAA OCR: 725 прекршувања, 275 милиони записи

Ажурирано за 2026 година

Канцеларијата за граѓански права на HHS (OCR) евидентирала 725 прекршувања на здравствени податоци во 2024 година. Тие прекршувања засегнале 275 милиони пациентски записи. Тој вкупен број е највисокиот икогаш евидентиран во единствена година.

Просечниот трошок по прекршување на здравствени податоци достигнал 10,22 милиони долари во 2025 година. Тоа го наведува Извештајот на IBM за трошоци на прекршување на податоци. Трошокот ги покрива граѓанските глоби, правните такси, известувањата за пациенти, кредитниот мониторинг и изгубената доверба.

2025 и 2026 се клучни години за покриените субјекти и нивните деловни соработници. Предложената ажурирање на Безбедносното правило на HIPAA од март 2025 би додало најголем сет на технички правила од 2003 година.

Што предизвикало 725 прекршувања во 2024 година

Порталот на OCR ги групира неуспесите од 2024 година во четири типа.

Хакирање и ИТ инциденти предизвикале 74% од пријавените прекршувања. Рансомвер, напади на сервери и е-пошта измама се главните типови. Напаѓачите сега нишанат цели мрежи. Еден напад може да извлече записи од целиот систем за електронски здравствени досиеа одеднаш.

Неовластен пристап и откривање предизвикале 18% од прекршувањата. Лоши контроли на пристап, злоупотреба од страна на инсајдери и грешки при испраќање до погрешни примачи — сите спаѓаат тука.

Инциденти од трети страни сочинувале 35% од прекршувањата во 2024 година. Неуспехот почнал кај деловен соработник — не кај покриениот субјект. Change Healthcare (единица на UnitedHealth Group) сама по себе изложила над 190 милиони пациентски записи. Тоа е најголемото прекршување на здравствени податоци во историјата на САД.

Кражба или загуба на пренослива медија предизвикала 8% од прекршувањата. Лаптопи, USB дискови и хартиени записи изгубени или украдени без шифрирање.

18-те типови на PHI под Safe Harbor

Методот Safe Harbor на HIPAA (45 CFR §164.514(b)) бара отстранување на сите 18 типа на пациентски податоци. Повеќето тимови ја знаат листата. Тешкиот дел е откривањето на голем обем.

1. Имиња — пациенти, членови на семејство, работодавачи
2. Географски податоци — секоја површина помала од сојузна држава
3. Датуми — прием, отпуштање, раѓање, смирт (годината може да остане)
4. Телефонски броеви
5. Броеви на факс
6. Адреси за е-пошта
7. Броеви на социјално осигурување
8. Броеви на медицински досиеа (форматот варира по EHR систем)
9. Броеви на членови во здравствен план
10. Броеви на сметки
11. Броеви на сертификати и лиценци — медицински, DEA, државни
12. Идентификатори на возила — VIN броеви и броеви на таблички
13. Идентификатори на уреди — сериски броеви и уникатни кодови на уреди
14. Веб URL-адреси
15. IP адреси
16. Биометриски податоци — отпечатоци од прсти и гласовни отпечатоци
17. Фотографии на цело лице и слични снимки
18. Кој било друг уникатен идентификатор, код или карактеристика

Типот 18 е најтешко да се фати. Секој код кој поврзува запис со конкретен пациент мора да се отстрани — дури и без утврдена шема.

За чекор-по-чекор водич за чистење на сите 18 типа од клинички записи, видете HIPAA Safe Harbor де-идентификација за здравствено истражување.

Пет нови правила во предложеното ажурирање на безбедноста

Предложеното ажурирање на Безбедносното правило на HIPAA (март 2025) додава пет должности.

Годишни ревизии на шифрирање. Покриените субјекти мора да потврдат дека сите пациентски податоци во мирување користат AES-256 или еквивалент. Управувањето со клучеви мора да ги исполнува пишаните стандарди.

Пишани постапки за де-идентификација. Секои пациентски податоци користени во истражување, тренирање на ВИ или аналитика бараат пишани чекори. Забелешката за политика не е доволна. Потребни се технички записи со доказ за валидација.

Безбедносни проверки на деловните соработници. Деловните соработници мора да поминат специфични технички проверки пред да стапат во функција. Договорите порано го решавале ова без технички детали.

Повеќефакторска автентикација (MFA). Сите вработени со пристап до електронски пациентски податоци мора да користат MFA. Наследените системи не се исклучени.

Тестирање на одговор на инциденти. Потребни се годишни вежби и технички тестови. Тимовите мора да чуваат записи за резултатите.

Лекции од Change Healthcare

Прекршувањето на Change Healthcare (февруари 2024) покажа како изгледа системскиот ризик. Change Healthcare обработувала 15 милијарди трансакции годишно. Ги поврзувала давателите, платителите и аптеките како клириншки куќа.

Прекршувањето почнало со една сметка за далечински пристап. Таа сметка немала MFA. Напаѓачите се движеле низ мрежата девет дена. Потоа лансирале рансомвер.

Лекцијата е јасна. Деловен соработник со широк пристап до здравствените трансакции претставува ризик за секој партнер со кого работи. Старата рамка не била изградена за давателите кои обработуваат третина од сите здравствени трансакции во САД.

MFA на предложеното правило, сегментацијата на мрежата и проверките на деловните соработници — сите се поврзани со овој настан.

За отстранување на PHI од болнички-специфични формати на записи, видете откривање на HIPAA MRN и болнички-специфични шеми. За дизајн без знаење кој ги чува пациентските податоци надвор од мрежата, видете HIPAA-усогласен облак PHI и дизајн без знаење.

Извори

• HHS OCR: Портал за прекршувања на HIPAA
• IBM: Извештај за трошоци на прекршување на податоци 2025
• HHS: Предложено ажурирање на Безбедносното правило на HIPAA, март 2025