anonym.legal

By · Last updated 2026-02-20

Tillbaka till BloggenHälsovård

7,42 M $: Sjukvårdens intrångskostnader leder

Sjukvården har haft den högsta intrångskostnaden i alla branscher 14 år i rad. Lär dig varför PHI är så värdefullt och hur du skyddar det.

February 20, 20269 min läsning
healthcareHIPAAPHIdata breachransomware

Sjukvården leder alla sektorer i intrångskostnad

För 14:e året i rad har sjukvården den högsta intrångskostnaden i någon sektor. IBM:s rapport för 2025 sätter genomsnittet till 7,42 miljoner dollar per intrång. Det är en minskning från 9,77 miljoner dollar 2024. Men det är fortfarande långt över alla andra branscher.

Det globala genomsnittet över alla sektorer: 4,44 miljoner dollar.

Nyckeltal

MätvärdeVärdeKälla
Genomsnittlig intrångskostnad7,42 M $IBM 2025
Kostnad per exponerad post398 $IBM 2025
Dagar att hitta och stoppa279 dagarIBM 2025
Stora intrång (2025)710HHS OCR
Drabbade personer (2025)62 miljonerHHS OCR
Ransomware-attacker445Comparitech 2025

Sjukvårdsinträngen tar 279 dagar att hitta och stoppa. Det är fem veckor mer än världsgenomsnittet. Nästan 10 månaders öppen risk.

Varför medicinska journaler säljer dyrt

Medicinska journaler säljer för 10 till 40 gånger mer än kreditkort på darknet. Varför? En enda journal innehåller mycket.

Rik identitetsdata

Varje journal kan innehålla:

  • Fullständigt namn, födelsedatum, personnummer
  • Adress, telefon och e-post
  • Försäkrings- och arbetsuppgifter
  • Data om familjemedlemmar

Många typer av bedrägeri

Stulna journaler möjliggör:

  • Medicinsk identitetsstöld
  • Försäkringsbedrägeri
  • Receptbedrägeri
  • Skattebedrägeri med personnummer

Data som inte kan ändras

Du kan avbryta ett kreditkort. Du kan inte ändra din medicinska historia, ditt personnummer eller ditt födelsedatum. Därför förblir journaler användbara för kriminella i år.

Change Healthcare-attacken

Det största sjukvårdsintränget någonsin drabbade Change Healthcare i februari 2024. BlackCat/ALPHV ransomware-gruppen genomförde attacken.

MätvärdeVärde
Drabbade poster192,7 miljoner
Total kostnad3,1 miljarder $
Betald lösensumma22 miljoner $
System nereVeckor

Attacken avbröt anspråks- och läkemedelsbehandling i hela USA. Vårdgivare kunde inte skicka in anspråk. Patienter kunde inte få sina mediciner. Intäkterna stannade av.

Gruppen tog de 22 miljonerna i lösensumma — och läckte sedan patientdata online ändå. Att betala hjälpte inte.

Hur ransomware förändrades

Ransomware inom sjukvård förändrades kraftigt från 2024 till 2025.

Mätvärde20242025Förändring
Andel låsta filer74 %34 %−54 %
Andel datastöld94 %96 %+2 %
Genomsnittlig lösensumma4 M $343 K $−91 %
Genomsnittlig betald lösensumma1,47 M $150 K $−90 %

Angripare fokuserar nu på datastöld, inte fillåsning. Säkerhetskopior har blivit bättre, så fillåsning fungerar sämre. Stulen data har fortfarande värde länge efter att attacken är slut.

Den 96-procentiga stöldandelen innebär att nästan varje attack nu tar data.

De 18 HIPAA-identifierarna

HIPAA listar 18 typer av skyddad hälsoinformation (PHI) som kräver skydd. Alla hälsodata kopplade till dessa blir PHI enligt lagen.

#IdentifierareExempel
1NamnPatientnamn, familjenamn
2Geografiska dataAdress, stad, postnummer
3DatumFödd, besök, utskrivning
4TelefonnummerAlla telefonnummer
5FaxnummerAlla faxnummer
6E-postadresserAlla e-postadresser
7PersonnummerSociala säkerhetsnummer
8JournalnummerMRN, journalnummer
9Hälsoplan-ID:nFörmånsnummer
10KontonummerPatientkontonummer
11LicensnummerKörkort etc.
12Fordon-ID:nVIN, registreringsskyltar
13Enhets-ID:nMedicinska enhetsserienummer
14Webb-URL:erPatient-portal-URL:er
15IP-adresserAlla IP-adresser
16BiometriFingeravtryck, röstavtryck
17AnsiktsfotonOch liknande bilder
18Andra unika ID:nKoder, egenskaper

Leverantörer är den svaga länken

Här är ett nyckeltal för varje sjukvårds-CISO:

Mer än 80 % av stulen PHI kom från tredjepartsleverantörer, inte sjukhus.

Change Healthcare bröt inte enskilda sjukhus. Det träffade ett clearinghouse som behandlar anspråk för tusentals vårdgivare. En leverantörs misslyckande spreds till dem alla.

Ditt PHI-skydd är bara så starkt som din svagaste leverantör.

HIPAA-böter ökar

HHS Office for Civil Rights (OCR) agerar. Under 2025:

MätvärdeVärde
Ärenden med böter21
Totala böter8,33 miljoner $
HuvudfokusRiskanalysgap

OCR riktar in sig på grupper som hoppar över korrekta riskbedömningar. Det är ett kärnsteg i Security Rule — och ett vanligt gap.

Hur anonym.legal skyddar PHI

Alla 18 HIPAA-identifierare

anonym.legal täcker alla 18 HIPAA-identifierartyper med checksumkontroller. Namn, datum, personnummer, journalnummer, telefon, fax, e-post — allt hanteras. Se vår HIPAA-efterlevnadsguide för detaljer.

Reversibel kryptering

Många team behöver återställa data för studier, revisioner eller rättslig granskning. anonym.legal använder AES-256-GCM-kryptering som kan ångras med rätt åtkomstnycklar.

Safe Harbor-efterlevnad

HIPAA Safe Harbor-metoden kräver att alla 18 identifierartyper tas bort. anonym.legal:s HIPAA-förinställning gör detta åt dig:

  • Namn → [PERSON]
  • Datum → År enbart
  • Postnummer → Första 3 siffror (om befolkning >20 000)
  • Direkta ID:n → Krypterade tokens

Lokal bearbetning

Med 7,42 miljoner dollar per intrång kan du inte skicka PHI till externa servrar. anonym.legal:s Desktop App körs på din egen maskin. Skyddad hälsodata lämnar aldrig ditt nätverk.

Kostnaden för passivitet

ScenarioKostnad
Genomsnittligt sjukvårdsintrång7,42 M $
anonym.legal Business-plan29 €/månad
Årlig kostnad348 €
Break-even0,005 % intrångsprevention

Om anonym.legal stoppar bara 0,005 % av ett intrångs kostnad, betalar det sig självt. Change Healthcare-attacken kostade 3,1 miljarder dollar. Bättre PHI-kontroller i den leverantörskedjan kunde ha stoppat det.

Slutsats

Sjukvården kommer att förbli ett toppmal. PHI är värdefullt. Systemen är komplexa. Leverantörskedjor lägger till risk. Och det genomsnittliga intrånget tar 279 dagar att hitta.

När du får kännedom om ett intrång är skadan redan gjord. Det bästa steget är prevention — innan en incident börjar.

Kom igång

Källor

Relaterade Artiklar

Hälsovård

HIPAA OCR: 725 Breaches, 275M Records

HHS OCR reported 725 HIPAA breaches in 2024 affecting 275M records — the highest ever. $10.22M average healthcare breach cost.

Hälsovård

Handwritten Form OCR & PII Detection

A mid-size hospital processes 50,000 handwritten intake forms per year. Manual PII redaction at this volume requires 0.5 FTE.

Hälsovård

HHS 2025: AI Clinical Notes Need PHI

AI transcription systems can inadvertently put Patient A's PHI in Patient B's record. Here's why real-time PHI detection before EHR commit is the control.

Redo att skydda din data?

Börja anonymisera PII med 285+ entitetstyper på 48 språk.

Börja Gratis ProvperiodVisa Funktioner

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.