anonym.legal

By · Last updated 2026-06-05

Înapoi la BlogSănătate

HIPAA OCR: 725 de breșe, 275 de milioane de înregistrări

HHS OCR a raportat 725 de breșe HIPAA în 2024, afectând 275 de milioane de înregistrări — cel mai ridicat nivel înregistrat vreodată. Costul mediu al unei breșe în domeniul sănătății: 10,22 milioane de dolari.

June 5, 202610 min citire
HIPAA enforcementPHI de-identificationOCR HHShealthcare breachHIPAA Security Rule

HIPAA OCR: 725 de breșe, 275 de milioane de înregistrări

Actualizat pentru 2026

Biroul pentru Drepturi Civile (OCR) al HHS a înregistrat 725 de breșe de date medicale în 2024. Aceste breșe au afectat 275 de milioane de înregistrări ale pacienților — cel mai ridicat total înregistrat vreodată într-un singur an.

Costul mediu al unei breșe medicale a ajuns la 10,22 milioane de dolari în 2025, conform Raportului IBM privind costul breșelor de date. Costul acoperă amenzile civile, onorariile juridice, notificările pacienților, monitorizarea creditului și pierderea încrederii.

2025 și 2026 sunt ani esențiali pentru entitățile acoperite și partenerii lor de afaceri. O actualizare propusă a Regulii de Securitate HIPAA din martie 2025 ar adăuga cel mai extins set de cerințe tehnice de la adoptarea regulii originale în 2003.

Ce a cauzat cele 725 de breșe din 2024

Portalul OCR grupează eșecurile din 2024 în patru categorii.

Atacuri informatice și incidente IT au cauzat 74% din breșele raportate. Ransomware, atacuri asupra serverelor și frauda prin email sunt tipurile principale. Atacatorii vizează acum rețele întregi. Un singur atac poate extrage înregistrări dintr-un întreg sistem EHR.

Accesul neautorizat și divulgarea au cauzat 18% din breșe. Controale de acces deficitare, utilizarea abuzivă de către angajați și erorile de destinatar sunt incluse aici.

Incidentele cu terți au reprezentat 35% din breșele din 2024. Eșecul a pornit de la un partener de afaceri, nu de la entitatea acoperită. Change Healthcare (o unitate a UnitedHealth Group) a expus singură peste 190 de milioane de înregistrări ale pacienților — cea mai mare breșă de date medicale din SUA înregistrată vreodată.

Furtul sau pierderea suporturilor portabile a cauzat 8% din breșe. Laptopuri, stick-uri USB și înregistrări pe hârtie pierdute sau furate fără criptare.

Cele 18 tipuri de PHI conform metodei Safe Harbor

Metoda Safe Harbor din HIPAA (45 CFR §164.514(b)) impune eliminarea celor 18 tipuri de date ale pacienților. Cele mai multe echipe cunosc lista. Dificultatea constă în detectarea la scară.

  1. Nume — pacienți, membri ai familiei, angajatori
  2. Date geografice — orice zonă mai mică decât un stat
  3. Date calendaristice — internare, externare, naștere, deces (anul poate rămâne)
  4. Numere de telefon
  5. Numere de fax
  6. Adrese de email
  7. Numere de securitate socială
  8. Numere de dosar medical (formatul variază în funcție de sistemul EHR)
  9. Numerele de membru al planului de sănătate
  10. Numere de cont
  11. Numerele de certificate și licențe — medicale, DEA, de stat
  12. Identificatori de vehicule — VIN-uri și numere de înmatriculare
  13. Identificatori de dispozitive — numere de serie și coduri unice de dispozitive
  14. URL-uri web
  15. Adrese IP
  16. Date biometrice — amprente și impresii vocale
  17. Fotografii ale feței și imagini similare
  18. Orice alt ID, cod sau caracteristică unică

Tipul 18 este cel mai dificil de detectat. Orice cod care leagă o înregistrare de un anumit pacient trebuie eliminat — chiar și fără un format prestabilit.

Pentru un ghid pas cu pas privind eliminarea tuturor celor 18 tipuri din înregistrările clinice, consultați De-identificarea Safe Harbor HIPAA pentru cercetarea medicală.

Cinci noi reguli în actualizarea propusă a regulii de securitate

Actualizarea propusă a Regulii de Securitate HIPAA (martie 2025) adaugă cinci obligații.

Audituri anuale de criptare. Entitățile acoperite trebuie să confirme că toate datele pacienților stocate utilizează AES-256 sau echivalent. Gestionarea cheilor trebuie să respecte standarde scrise.

Proceduri scrise de de-identificare. Orice date ale pacienților utilizate în cercetare, antrenarea IA sau analize necesită pași documentați. O notă de politică nu este suficientă. Sunt necesare înregistrări tehnice cu dovezi de validare.

Verificări de securitate pentru partenerii de afaceri. Partenerii de afaceri trebuie să treacă verificări tehnice specifice înainte de a deveni operaționali. Contractele obișnuiau să gestioneze acest lucru fără detalii tehnice.

Autentificare multifactor (MFA). Tot personalul cu acces la datele electronice ale pacienților trebuie să utilizeze MFA. Sistemele moștenite nu sunt exceptate.

Testarea răspunsului la incidente. Sunt necesare simulări anuale și teste tehnice, iar echipele trebuie să păstreze înregistrări ale rezultatelor.

Lecțiile din breșa Change Healthcare

Breșa Change Healthcare (februarie 2024) a demonstrat cum arată riscul sistemic. Change Healthcare procesa 15 miliarde de tranzacții pe an. Conecta furnizorii, plătitorii și farmaciile ca un centru de compensare.

Breșa a început cu un singur cont de acces la distanță. Acel cont nu avea MFA. Atacatorii s-au deplasat prin rețea timp de nouă zile, după care au lansat ransomware.

Lecția este clară. Un partener de afaceri cu acces extins la tranzacțiile medicale reprezintă un risc pentru fiecare partener cu care lucrează. Cadrul vechi nu a fost conceput pentru furnizori care procesează o treime din toate tranzacțiile medicale din SUA.

Cerințele de MFA, segmentare a rețelei și verificare a partenerilor de afaceri din regula propusă au toate originea în acest eveniment.

Pentru eliminarea PHI din formatele de înregistrări specifice spitalelor, consultați Detectarea MRN HIPAA și tipare specifice spitalelor. Pentru design zero-knowledge care menține datele pacienților în afara rețelei, consultați PHI în cloud conform HIPAA și design zero-knowledge.

Surse

Articole Asemănătoare

Sănătate

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Sănătate

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Sănătate

HIPAA MRN Detection Without a Regex PhD

Every hospital's MRN format is different. Memorial uses MRN:XXXXXXX, St. Mary's uses PT-YYYYY, University Hospital uses UHN-XXXXXXXXXX.

Pregătit să vă protejați datele?

Începeți să anonimizati PII cu 285+ tipuri de entități în 48 de limbi.

Începeți Proba GratuităVizualizați Funcționalitățile

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.