anonym.legal

By · Last updated 2026-03-10

Späť na blogZdravotná Starostlivosť

HIPAA v cloude: Architektura s nulovymi znalosťami pre PHI

Dohody o obchodnom partnerovi nezabrania poruseniu HIPAA, ked vas cloudovy dodavatel AI spracuva PHI v cistom texte. Tu je to, čo architektura s nulovymi znalosťami skutočne meni.

March 10, 20269 min čítania
HIPAA compliancezero-knowledge architecturePHI anonymizationcloud securityBAA limitations

Aktualizované pre rok 2026

Predpoklad HIPAA, ktory ohrozuje pacientov

Každý IT tím v zdravotníctve počuje rovnaké rady. Podpíšte Dohodu o obchodnom partnerovi a ste krytí podľa HIPAA.

Požiadavka BAA je reálna. Pravidlo HIPAA o ochrane súkromia vyžaduje, aby kryté subjekty podpísali BAA s obchodnými partnermi. To sú tretie strany, ktoré spracúvajú chránené zdravotné informácie v ich mene. Každý nástroj AI, ktorý sa dotýka klinických poznámok, potrebuje BAA ako prvú vec.

Ale BAA pokrýva právny vzťah. Nezahŕňa to, čo sa stane s pacientskymi záznamami na serveroch poskytovateľa AI po podpise zmluvy.

Kľúčová otázka nie je, či máte BAA. Je to, či poskytovateľ AI môže čítať zdravotné záznamy vašich pacientov. A čo sa stane, keď budú napadnutí.

Čo Dohoda o obchodnom partnerovi skutocne rieši

BAA zaväzuje obchodného partnera k štyrom veciam:

  • Používať pacientske záznamy len na dohodnuté účely
  • Zaviesť záruky na ich ochranu
  • Nahlásiť akékoľvek prelamenie krytenému subjektu
  • Vrátiť alebo zničiť súbory pri ukončení zmluvy

BAA je zmluva. Poskytovateľ sľubuje zaobchádzať s klinickými súbormi starostlivo, aplikovať primeranú bezpečnosť a upozorniť vás, ak sa niečo pokazí.

Čo BAA nerobí:

  • Nezastaví útočníkov pred prelamením serverov poskytovateľa
  • Neodstráni schopnosť čítať pacientske záznamy v dešifrovanej forme
  • Nechráni vašu organizáciu pred zodpovednosťou HIPAA, keď je poskytovateľ zasiahnutý

Keď cloudový poskytovateľ AI utrpí prelamenie, BAA pokrýva krok oznámenia. Ale skutočná expozícia zdravotných záznamov je reálna. Pacienti sú poškodení. Krytý subjekt čelí vyšetrovaniu HHS. Zmluva to nemení.

Problém na strane servera

Cloudové nástroje AI, ktoré spracúvajú zdravotné záznamy, zdieľajú jeden základný dizajn. Súbory cestujú na servery poskytovateľa. AI ich tam spracúva. Výsledky sa vracajú používateľovi.

Aby to fungovalo, poskytovateľ musí čítať súbory v použiteľnej forme. To znamená jednu z dvoch vecí. Súbory sú nešifrované. Alebo poskytovateľ spravuje šifrovacie kľúče.

Šifrovanie spravované poskytovateľom nie je end-to-end šifrovanie. Ak poskytovateľ drží kľúče, poskytovateľ môže dešifrovať. Ak je server napadnutý, pacientske záznamy sú odhalené v čistom texte.

Toto je medzera, ktorú BAA nezatvárajú. BAA vyžaduje "primerané záruky". Šifrovanie na strane servera s kľúčmi spravovanými poskytovateľom spĺňa tento štandard na papieri. Nechráni pred prelamením na strane poskytovateľa.

AI používa klinické poznámky, záznamy o fakturácii a plány starostlivosti na generovanie výstupu. Všetok tento obsah sedí v čitateľnej forme na serveroch poskytovateľa. Prelamenie tam znamená, že pacientske záznamy sú vonku.

Vynucovanie HIPAA nezaujíma, že ste mali BAA. HHS Office for Civil Rights kladie jednu otázku: použili ste záruky, ktoré skutočne chránili záznamy? Technické kontroly určujú odpoveď. Jazyk zmluvy nie.

Ako architektura s nulovymi znalosťami rieši tento problem

Dizajn s nulovými znalosťami rieši problém prístupu na strane servera pri koreni.

Pred tým, ako akékoľvek súbory opustia vaše prostredie, sú detaily pacientov nahradené tokenmi. Poskytovateľ AI dostáva len anonymizovaný obsah. Klinické poznámky majú vymenené mená. Záznamy o fakturácii majú nahradené čísla účtov. Plány starostlivosti majú odstránené osobné informácie.

AI spracúva anonymizovanú verziu. Váš systém znovu prepojí výsledky s pôvodným pacientskym záznamom pomocou mapy tokenov. Táto mapa nikdy neopustila vašu kontrolu.

Čo to v praxi mení:

Poskytovateľ AI nikdy nedostane chránené zdravotné informácie. Klinické poznámky odosielané cez anonymizáciu s nulovými znalosťami neobsahujú mená, dátumy narodenia, adresy ani čísla záznamov. AI pracuje na čistých súboroch.

Prelamenie u poskytovateľa nič neodhalí. Ak sú ich servery napadnuté, uložený obsah nemá žiadne informácie o pacientoch v ňom. Expozícia nemôže nastať, pretože chránené záznamy nikdy neboli odoslané.

Technické záruky idú nad rámec požiadaviek zmluvy. Krytý subjekt urobil technickú expozíciu pacientskych záznamov nemožnou. Nielen zakázanou zmluvou. To je oveľa silnejšia pozícia.

Zistite, ako anonymizačná vrstva funguje na stránke o bezpečnostnom súlade a v dokumentácii o právnom súlade.

Standard, ktory obstoji pri vynucovani

Vynucovanie HIPAA pod HHS Office for Civil Rights sa opiera o jeden test. Použil krytý subjekt primerané záruky vzhľadom na známe riziko?

Cloudoví poskytovatelia AI, ktorí spracúvajú zdravotné záznamy pod BAA, boli napadnutí. Riziko je reálne. Nie teoretické. Vyšetrovatelia sa pýtajú, či to krytý subjekt riešil.

Jeden typ kryteného subjektu sa spoliehal na BAA a šifrovanie spravované poskytovateľom. To je zmluvná oprava technického problému. Iný typ anonymizoval pacientske záznamy pred odoslaním čohokoľvek. To odstránilo expozíciu pri zdroji.

Druhý prístup poskytuje jasnú odpoveď na akékoľvek vyšetrovanie. Chránené záznamy nikdy nedosiahli poskytovateľa AI v použiteľnej forme. Nie je žiadne prelamenie na nahlásenie. Nie je žiadny pacient na upozornenie. Nie je žiadne vyšetrovanie, na ktoré by sa odpovedalo. Dizajn urobil tento výsledok nemožným.

Pre zdravotnícke organizácie adoptujúce cloudové AI je správny prístup k súladu jasný. BAA samo nestačí. Pacientske záznamy nikdy nesmú dosiahnuť tretiu stranu v obnoviteľnej forme. BAA spĺňa právnu požiadavku. Architektura s nulovými znalosťami spĺňa technickú.

Viac sa dozviete v dokumentácii tokenového systému a na rozcestniku FAQ.

Anonymizačná vrstva anonym.legal odstraňuje detaily pacienta pred tým, ako dosiahnú akýkoľvek nástroj AI. Tokeny nahrádzajú mená, dátumy a čísla záznamov. Výsledky sa vrátia s obnovenými pôvodnými detailmi — len na vašej strane. Pozrite si cenovú stránku.

Zdroje

Súvisiace články

Zdravotná Starostlivosť

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Zdravotná Starostlivosť

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Zdravotná Starostlivosť

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Pripravení chrániť vaše údaje?

Začnite anonymizovať PII s 285+ typmi entít v 48 jazykoch.

Začať bezplatnú skúšobnú verziuZobraziť funkcie

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.