Aplicação da HIPAA OCR 2024: 725 Violações...

HIPAA OCR: 725 violações, 275 milhões de registos

Atualizado para 2026

O HHS Office for Civil Rights (OCR) registou 725 violações de dados de saúde em 2024. Essas violações expuseram 275 milhões de registos de pacientes. É o total mais elevado alguma vez registado num único ano.

O custo médio de uma violação no setor da saúde atingiu os 10,22 milhões de dólares em 2025. Este valor provém do relatório IBM Cost of a Data Breach. Inclui multas civis, honorários legais, notificações a pacientes, monitorização de crédito e danos à reputação.

2025 e 2026 são anos decisivos para entidades cobertas e seus parceiros comerciais. Uma atualização proposta à Regra de Segurança HIPAA (março de 2025) introduziria os requisitos técnicos mais exigentes desde 2003.

O que causou 725 violações em 2024

O portal OCR classifica as falhas de 2024 em quatro categorias.

Pirataria e incidentes informáticos causaram 74 % das violações reportadas. Ransomware, ataques a servidores e fraude por e-mail são os tipos mais comuns. Os atacantes agora visam redes inteiras. Um único ataque pode extrair milhões de registos de um sistema EHR de uma só vez.

Acesso não autorizado e divulgação causaram 18 % das violações. Controles de acesso deficientes, uso indevido por funcionários e envios ao destinatário errado entram nesta categoria.

Incidentes em terceiros representaram 35 % das violações de 2024. A violação começou num parceiro comercial — não na entidade coberta. A Change Healthcare (subsidiária da UnitedHealth Group) sozinha expôs dados de mais de 190 milhões de pacientes. É a maior violação de dados de saúde da história dos EUA.

Roubo ou perda de suportes amovíveis causou 8 % das violações. Portáteis, pens USB e documentos em papel — perdidos ou roubados sem encriptação.

As 18 categorias de PHI segundo o Safe Harbor

O método Safe Harbor do HIPAA (45 CFR §164.514(b)) exige a remoção de todas as 18 categorias de informação de saúde protegida (PHI). A maioria das equipas conhece a lista. O desafio está na deteção automatizada em escala.

1. Nomes — pacientes, familiares, empregadores
2. Dados geográficos — qualquer área menor que um estado
3. Datas — admissão, alta, nascimento, morte (o ano pode permanecer)
4. Números de telefone
5. Números de fax
6. Endereços de e-mail
7. Números de segurança social
8. Números de registo médico (formato varia conforme o sistema EHR)
9. Números de beneficiário do plano de saúde
10. Números de conta
11. Números de certificado e licença — licença médica, DEA, estadual
12. Identificadores de veículos — VINs e matrículas
13. Identificadores de dispositivos — números de série e códigos únicos
14. URLs web
15. Endereços IP
16. Dados biométricos — impressões digitais e de voz
17. Fotografias de rosto completo e imagens comparáveis
18. Qualquer outro número, código ou característica identificadora única

A categoria 18 é a mais difícil de detetar. Qualquer código que associe um registo a uma pessoa específica deve ser removido — mesmo sem padrão predefinido.

Para um guia prático sobre a remoção dos 18 tipos em registos clínicos, consulte De-identificação HIPAA Safe Harbor para investigação em saúde.

Cinco novos requisitos na atualização proposta

A atualização proposta à Regra de Segurança HIPAA (março de 2025) acrescenta cinco obrigações.

Auditorias anuais de encriptação. As entidades cobertas devem verificar que toda a PHI em repouso usa AES-256 ou equivalente. A gestão de chaves deve cumprir normas documentadas.

Procedimentos de de-identificação documentados. Qualquer PHI usada em investigação, treino de IA ou análises exige procedimentos escritos. Uma declaração de política não é suficiente. É necessária documentação técnica com evidências de validação.

Avaliações de segurança de parceiros comerciais. Os parceiros comerciais devem cumprir requisitos técnicos específicos antes da integração. Anteriormente, os contratos tratavam disto sem detalhe técnico.

Autenticação multifator (MFA). Todos os colaboradores com acesso a PHI eletrónica devem usar MFA. Os sistemas legados não estão isentos.

Testes de resposta a incidentes. Exercícios anuais e testes técnicos são obrigatórios. As equipas devem conservar os registos dos resultados.

As lições da Change Healthcare

A violação na Change Healthcare (fevereiro de 2024) mostrou o risco sistémico na prática. A Change Healthcare processava 15 mil milhões de transações por ano. Servia como câmara de compensação entre fornecedores, pagadores e farmácias.

A violação começou com uma única conta de acesso remoto Citrix. Essa conta não tinha MFA. Os atacantes moveram-se pela rede durante nove dias. Depois implantaram ransomware.

A lição é clara. Um parceiro comercial com amplo acesso a transações de saúde representa um risco sistémico para todas as organizações que liga. O quadro anterior não foi concebido para prestadores que tratam um terço de todas as transações de saúde dos EUA.

Os requisitos de MFA, segmentação de rede e avaliação de parceiros do regulamento proposto derivam diretamente deste incidente.

Para a remoção de PHI em formatos de registos hospitalares específicos, consulte Deteção HIPAA MRN e padrões hospitalares específicos. Para arquitetura zero-knowledge que mantém os dados fora da rede, consulte PHI em nuvem compatível com HIPAA e design zero-knowledge.

Fontes

• HHS OCR: HIPAA Breach Portal
• IBM: Cost of a Data Breach Report 2025
• HHS: Proposta de Atualização da Regra de Segurança HIPAA, março de 2025