HIPAA OCR: 725 İhlal, 275 Milyon Kayıt
2026 için güncellendi
HHS Medeni Haklar Ofisi (OCR), 2024 yılında 725 sağlık verisi ihlali saydı. Bu ihlaller 275 milyon hasta kaydını etkiledi. Bu toplam, tek bir yılda kaydedilen en yüksek rakam.
Sağlık ihlali başına ortalama maliyet 2025'te 10,22 milyon dolara ulaştı. IBM'in Veri İhlali Maliyeti Raporu bu rakamı ortaya koyuyor. Maliyet, medeni cezaları, hukuk ücretlerini, hasta bildirimlerini, kredi izlemeyi ve güven kaybını kapsıyor.
2025 ve 2026, kapsanan kuruluşlar ve iş ortakları için kritik yıllar. Mart 2025'te önerilen HIPAA Güvenlik Kuralı güncellemesi, 2003'ten bu yana en kapsamlı teknik kurallar setini ekleyecek.
2024'teki 725 İhlalin Nedenleri
OCR portalı, 2024 başarısızlıklarını dört türde gruplandırıyor.
Hacking ve BT olayları bildirilen ihlallerin %74'üne yol açtı. Fidye yazılımı, sunucu saldırıları ve e-posta dolandırıcılığı başlıca türler. Saldırganlar artık tüm ağları hedef alıyor. Tek bir saldırı, bütün bir EHR sisteminden kayıtları çekebiliyor.
Yetkisiz erişim ve ifşa ihlallerin %18'ine neden oldu. Kötü erişim kontrolleri, içeriden kötüye kullanım ve yanlış alıcı hataları bu kapsamda değerlendiriliyor.
Üçüncü taraf olayları 2024 ihlallerinin %35'ini oluşturdu. Başarısızlık, kapsanan kuruluşta değil iş ortağında başladı. Yalnızca Change Healthcare (UnitedHealth Group bünyesinde), 190 milyonun üzerinde hasta kaydını ifşa etti. Bu, ABD'nin kaydedilmiş en büyük sağlık veri ihlali.
Taşınabilir medya hırsızlığı veya kaybı ihlallerin %8'ine neden oldu. Şifreleme yapılmadan kaybolan veya çalınan dizüstü bilgisayarlar, USB sürücüler ve kâğıt kayıtlar.
Güvenli Liman Kapsamındaki 18 PHI Türü
HIPAA'nın Güvenli Liman yöntemi (45 CFR §164.514(b)), 18 tür hasta verisinin tamamının kaldırılmasını şart koşuyor. Çoğu ekip listeyi biliyor. Zorluk, ölçekli tespitte yatıyor.
-
İsimler — hastalar, aile üyeleri, işverenler
-
Coğrafi veriler — bir eyaletten küçük her alan
-
Tarihler — kabul, taburcu, doğum, ölüm (yıl kalabilir)
-
Telefon numaraları
-
Faks numaraları
-
E-posta adresleri
-
Sosyal güvenlik numaraları
-
Tıbbi kayıt numaraları (EHR sistemine göre format değişir)
-
Sağlık planı üye numaraları
-
Hesap numaraları
-
Sertifika ve lisans numaraları — tıbbi, DEA, eyalet
-
Araç kimlikleri — VIN'ler ve plaka numaraları
-
Cihaz kimlikleri — seri numaraları ve benzersiz cihaz kodları
-
Web URL'leri
-
IP adresleri
-
Biyometrik veriler — parmak izleri ve ses baskıları
-
Tam yüz fotoğrafları ve benzeri görüntüler
-
Diğer benzersiz kimlik, kod veya özellikler
-
tür en zor yakalanandır. Bir kaydı belirli bir hastayla ilişkilendiren her kod kaldırılmalı — belirlenmiş bir desen olmasa bile.
Klinik kayıtlarda 18 türün tamamının temizlenmesine ilişkin adım adım rehber için sağlık araştırmalarında HIPAA Güvenli Liman kimlik gizleme sayfasına bakın.
Önerilen Güvenlik Güncellemesindeki Beş Yeni Kural
Mart 2025'te önerilen HIPAA Güvenlik Kuralı güncellemesi beş yükümlülük ekliyor.
Yıllık şifreleme denetimleri. Kapsanan kuruluşlar, beklemedeki tüm hasta verilerinin AES-256 veya eşdeğer şifreleme kullandığını doğrulamak zorunda. Anahtar yönetimi yazılı standartları karşılamalı.
Yazılı kimlik gizleme prosedürleri. Araştırma, yapay zeka eğitimi veya analitikte kullanılan hasta verileri için yazılı adımlar gerekiyor. Bir politika notu yeterli değil. Doğrulama kanıtıyla teknik kayıtlar zorunlu.
İş ortağı güvenlik kontrolleri. İş ortakları canlıya geçmeden önce belirli teknik kontrolleri geçmek zorunda. Sözleşmeler bunu teknik detay içermeden yönetiyordu.
Çok faktörlü kimlik doğrulama (MFA). Elektronik hasta verilerine erişimi olan tüm personel MFA kullanmak zorunda. Eski sistemler muaf değil.
Olay müdahale testleri. Yıllık tatbikatlar ve teknik testler zorunlu. Ekipler sonuçların kayıtlarını tutmak zorunda.
Change Healthcare'den Çıkarılan Dersler
Change Healthcare ihlali (Şubat 2024), sistemik riskin nasıl göründüğünü ortaya koydu. Change Healthcare yılda 15 milyar işlem gerçekleştiriyordu. Sağlayıcıları, ödeyenleri ve eczaneleri bir takas merkezi olarak birbirine bağlıyordu.
İhlal, MFA'sız tek bir uzaktan erişim hesabıyla başladı. Saldırganlar dokuz gün boyunca ağda dolaştı. Ardından fidye yazılımını devreye aldı.
Ders açık. Sağlık işlemlerine geniş erişimi olan bir iş ortağı, temas ettiği tüm ortaklar için bir risk oluşturuyor. Eski çerçeve, ABD sağlık işlemlerinin üçte birini yöneten sağlayıcılar için tasarlanmamıştı.
Önerilen kuraldaki MFA, ağ segmentasyonu ve iş ortağı kontrolleri bu olaya dayanıyor.
Hastaneye özgü kayıt biçimlerinden PHI kaldırma için HIPAA MRN tespiti ve hastaneye özgü desenler sayfasına bakın. Hasta verilerini ağ dışında tutan sıfır bilgi tasarımı için HIPAA uyumlu bulut PHI ve sıfır bilgi tasarımı sayfasına bakın.