HIPAA OCR: 725 brudd, 275 millioner journaler

HIPAA OCR: 725 brudd, 275 millioner journaler

Oppdatert for 2026

HHS Office for Civil Rights (OCR) registrerte 725 helsedata-brudd i 2024. Disse bruddene rammet 275 millioner pasientjournaler. Det totale antallet er det høyeste som noen gang er registrert i løpet av ett enkelt år.

Gjennomsnittlig kostnad per helsebrudd nådde 10,22 millioner dollar i 2025. IBMs Cost of a Data Breach Report legger dette til grunn. Kostnadene dekker sivile bøter, juridiske honorarer, varsler til pasienter, kreditovervåkning og tapt tillit.

2025 og 2026 er nøkkelår for berørte enheter og deres forretningspartnere. En foreslått oppdatering av HIPAA Security Rule fra mars 2025 vil legge til det største settet av tekniske krav siden 2003.

Hva som forårsaket 725 brudd i 2024

OCR-portalen grupperer feilene i 2024 i fire typer.

Hacking og IT-hendelser forårsaket 74 % av de rapporterte bruddene. Løsepengevirus, serverangrep og e-postsvindel er de vanligste typene. Angripere retter seg nå mot hele nettverk. Ett angrep kan trekke ut journaler fra et helt EHR-system på én gang.

Uautorisert tilgang og utlevering forårsaket 18 % av bruddene. Dårlige tilgangskontroller, misbruk fra innsidere og feiladresserte forsendelser telles alle her.

Tredjepartshendelser utgjorde 35 % av bruddene i 2024. Feilen startet hos en forretningspartner – ikke hos den berørte enheten. Change Healthcare (en enhet i UnitedHealth Group) alene avslørte over 190 millioner pasientjournaler. Det er det største helsedata-bruddet i USA noensinne.

Tyveri eller tap av bærbare medier forårsaket 8 % av bruddene. Bærbare datamaskiner, USB-enheter og papirjournaler tapt eller stjålet uten kryptering.

De 18 PHI-typene under Safe Harbor

HIPAAs Safe Harbor-metode (45 CFR §164.514(b)) krever fjerning av alle 18 typer pasientdata. De fleste team kjenner listen. Det vanskelige er deteksjon i stor skala.

1. Navn – pasienter, familiemedlemmer, arbeidsgivere
2. Geografiske data – ethvert område mindre enn en delstat
3. Datoer – innleggelse, utskrivelse, fødsel, død (år kan beholdes)
4. Telefonnumre
5. Faksnumre
6. E-postadresser
7. Personnumre
8. Pasientjournalnumre (formatet varierer etter EHR-system)
9. Helseforsikringsmedlemsnumre
10. Kontonumre
11. Sertifikat- og lisensnumre – medisinsk, DEA, delstat
12. Kjøretøy-ID-er – VIN-numre og kjennemerker
13. Enhets-ID-er – serienumre og unike enhetskoder
14. Web-URL-er
15. IP-adresser
16. Biometriske data – fingeravtrykk og stemmeprøver
17. Ansiktsbilder og lignende avbildninger
18. Enhver annen unik ID, kode eller egenskap

Type 18 er vanskeligst å fange. Enhver kode som knytter en journal til en bestemt pasient, må fjernes – selv uten et fastsatt mønster.

For en trinnvis veiledning om å fjerne alle 18 typene fra kliniske journaler, se HIPAA Safe Harbor de-identifikasjon for helsetjenesteforskning.

Fem nye regler i det foreslåtte sikkerhetsoppdateringen

Den foreslåtte oppdateringen av HIPAA Security Rule (mars 2025) legger til fem plikter.

Årlige krypteringsrevisjoner. Berørte enheter må bekrefte at alle pasientdata i hvile bruker AES-256 eller tilsvarende. Nøkkelhåndtering må oppfylle skriftlige standarder.

Skriftlige de-identifikasjonsprosedyrer. Alle pasientdata brukt i forskning, AI-opplæring eller analyse krever skriftlige prosedyrer. Et policynotat er ikke nok. Teknisk dokumentasjon med bevis for validering er påkrevd.

Sikkerhetssjekker for forretningspartnere. Forretningspartnere må bestå spesifikke tekniske sjekker før de tas i bruk. Kontrakter håndterte tidligere dette uten teknisk detalj.

Multifaktorautentisering (MFA). Alt personale med tilgang til elektroniske pasientdata må bruke MFA. Eldre systemer er ikke unntatt.

Testing av hendelsesrespons. Årlige øvelser og tekniske tester er påkrevd. Team må oppbevare resultatene.

Lærdommer fra Change Healthcare

Change Healthcare-bruddet (februar 2024) viste hva systemisk risiko er. Change Healthcare håndterte 15 milliarder transaksjoner per år. Det koblet leverandører, betalere og apotek som et clearinghus.

Bruddet startet med én konto for fjerntilgang. Den kontoen hadde ingen MFA. Angripere beveget seg gjennom nettverket i ni dager. Deretter lanserte de løsepengevirus.

Lærdommen er klar. En forretningspartner med bred tilgang til helsetransaksjoner utgjør en risiko for enhver partner den berører. Det gamle rammeverket var ikke bygget for leverandører som håndterer en tredjedel av alle amerikanske helsetransaksjoner.

Den foreslåtte regelens krav om MFA, nettverkssegmentering og sikkerhetssjekker av forretningspartnere har alle utspring i denne hendelsen.

For fjerning av PHI fra sykehuspesifikke journalformater, se HIPAA MRN-deteksjon og sykehuspesifikke mønstre. For zero-knowledge-design som holder pasientdata utenfor nettverket, se HIPAA-kompatibel sky-PHI og zero-knowledge-design.

Kilder

• HHS OCR: HIPAA Breach Portal
• IBM: Cost of a Data Breach Report 2025
• HHS: Foreslått oppdatering av HIPAA Security Rule, mars 2025