Czym jest HIPPA?

Spis Treści Artykułu

Wstęp do regulacji HIPAA: dlaczego ochrona danych medycznych jest kluczowa?

Źródło: https://pixabay.com/pl/illustrations/cyberbezpiecze%c5%84stwa-odcisk-d%c5%82oni-7119389/

Z pewnością każdy z nas zdaje sobie sprawę, że ochrona danych zdrowotnych jest aspektem, na który należy zwracać szczególną uwagę. Informacje znajdujące się w tych zbiorach są niezwykle wrażliwe. Dlatego też należy prowadzić szeroko zakrojoną edukację wśród wszystkich podmiotów i uczestników biorących udział w procesie przechowywania, przesyłania i przetwarzania takich danych.

Zdają sobie z tego sprawę również wszystkie lub prawie wszystkie państwa. Z tego właśnie powodu nie pozostawiają tak ważnej kwestii samej sobie. Tworzą i wprowadzają w życie akty prawne, mające za zadanie chronić zbiory danych, w tym zbiory danych medycznych.

W systemach klasyfikacji informacji (np. wg norm ISO 27001) dane medyczne trafiają do najwyższej kategorii poufności („ściśle tajne” lub „poufne”), wymagającej najsurowszych środków ochrony takich jak szyfrowanie, segregacja i audyty.

W Stanach Zjednoczonych w tym celu opracowano ustawę federalną o nazwie Health Insurance Portability and Accountability Act w skrócie HIPAA.

Stopniowo była poddawana modyfikacjom w celu dostosowania do zmieniających się warunków, w tym wzrostu poziomu cyfryzacji w medycynie. Zmiany te polegały na wprowadzaniu coraz większego nacisku na ciągłe podnoszenie poziomu zabezpieczeń informatycznych przed naruszeniami, rozszerzono zasady prywatności i ochronę danych wrażliwych. Działania te przyczyniły się do zwiększenia poczucia bezpieczeństwa i zaufania ze strony pacjentów.

Rodzaje ataków informatycznych na sektor zdrowotny stopniowo ulegały modyfikacjom. Początkowo były dość nieudolne proste technicznie. Jednak stopniowo stawały się coraz groźniejsze oraz wyrafinowane, trudniejsze do wykrycia i zablokowania. Obecnie dość często używa się w nich zaawansowanych narzędzi, które dodatkowo wspierane są przez AI.

Jednak wszystkie je łączy jedna cecha wspólna. Jest nią postępujący w zawrotnym tempie wzrost ich liczby. Są one wymierzone w sektor medyczny. Dlatego też są wyjątkowo niebezpieczne. Każdy taki incydent może przynieść negatywne skutki – od kradzieży tożsamości aż po śmierć pacjentów.

Ewolucja cyberzagrożeń w sektorze zdrowia: od prostych exploitów po ataki wspierane przez AI

Źródło: https://pixabay.com/pl/illustrations/ai-generowane-ewolucja-robot-8705083/

Ataki na sektor medyczny można spróbować sklasyfikować według różnych właściwości. Posłużę się w tym celu podziałem dość prostym – ze względu na zakresy dat:

Lata 1980 – 2010 – początki 2000 roku to tak naprawdę raczkowanie informatyzacji w sektorze zdrowotnym. Ataki ograniczały się głównie do prostych exploitów umieszczanych w systemach EMR (Electronic Medical Record), czyli elektronicznej wersji kompleksowej dokumentacji medycznej pacjenta. Rekordy informacji znajdowały się w jednej organizacji np. jednym szpitalu. Popularne były również ataki phishingowe. Jednak próby naruszenia prywatności były stosunkowo rzadkie.

Ich główny cel ukierunkowany był na uzyskaniu takich informacji, które umożliwiały kradzieże tożsamości.

Lata 2010 – 2020 – w tym okresie cyfryzacja w sektorze medycznym była już bardzo mocno rozwinięta. Jest to z pewnością jeden z powodów, który wpłynął na znaczący wzrost liczby incydentów. W latach 2010-2020 wyniósł on aż 300%.

W porównaniu do wcześniejszych lat zdecydowanie rzadziej używano exploitów. Pojawiły się natomiast nowe rodzaje ataków. Zaczęto powszechnie korzystać z uderzeń przy pomocy ransomware. Wykorzystywano również dość często ataki typu DDoS. To właśnie te dwie grupy były najczęściej w użyciu.

Zmianie uległ również podstawowy motyw ataków. Względy finansowe stały się głównym celem przyświecającym cyberprzestępcom. Zarabiali oni na okupach, których żądali w zamian za odszyfrowanie danych z dysków. Pojawiły się również próby wykradania wyników naukowych badań medycznych. Oskarżano o to grupy hakerskie działające pod auspicjami niektórych państw. Jest to więc ewidentnie motyw szpiegowski.

Lata 2020 – 2024 – w trakcie pandemii COVID-19 liczba naruszeń wzrosła po raz kolejny, tym razem o 84%. Głównymi narzędziami w dalszym ciągu były ataki ransomware.

W latach tych po raz pierwszy pojawiło się bardzo niepokojące zjawisko. Polegało ono na atakach, których celem było uniemożliwienie przeprowadzenia procedur medycznych. W wyniku ataku tego typu w Niemczech zmarła jedna z pacjentek. W dalszym ciągu aktywnie działały grupy wspierane przez państwa.

Lata 2025 i kolejne – pojawiły się ataki typu data-extortion oraz double-extortion. Wciąż szeroko wykorzystywano phishing. W związku z intensywnym rozwojem AI zaczęto wykorzystywać narzędzia tego typu w działaniach mających na celu naruszenie bezpieczeństwa przechowywanych danych medycznych.

Niestety, ale ilość naruszeń wciąż wzrasta. W 2010 roku w Stanach Zjednoczonych było to 6 milionów rekordów danych medycznych. Natomiast w 2024 roku liczba ta osiągnęła aż 170 milionów. Dlatego też dostosowanie się do norm obowiązujących w HIPPA jest niezwykle istotnym zagadnieniem.

Pomimo tego, że Health Insurance Portability and Accountability Act jest ustawą federalną USA, nie jest aktem obowiązującym tylko i wyłącznie na terenie Stanów Zjednoczonych. Każda firma spoza tego kraju, która przetwarza lub ma dostęp do danych medycznych pochodzących z USA, jest zobowiązana do jego przestrzegania. Aspekt ten jest weryfikowany już na etapie przedwstępnym przed podpisaniem umowy.

Dodatkowo każda firma spoza Stanów Zjednoczonych musi podpisać dokument o nazwie Business Associate Agreement (BAA). Jest to umowa, którą HIPAA nakazuje zawierać pomiędzy organizacjami objętymi regulacjami, takimi jak dostawcy usług medycznych lub ubezpieczyciele, a ich zewnętrznymi partnerami biznesowymi (business associates), którzy mają dostęp do chronionych danych zdrowotnych pacjentów (PHI).

Dokument określa granice dozwolonego przetwarzania i udostępniania PHI. Zobowiązuje do stosowania środków zabezpieczających, które są zgodne z zasadami bezpieczeństwa HIPAA, a także zobowiązuje do natychmiastowego informowania o incydentach, w tym naruszeniach danych.

Dodatkowo BAA jasno określa zakres odpowiedzialności obu stron, zapewniając zwrot lub zniszczenie PHI po zakończeniu współpracy i umożliwiając audyty zgodności, co pomaga uniknąć surowych kar regulacyjnych.

Jego złamanie powoduje naliczenie wysokich kar finansowych i wiąże się również ze szkodami wizerunkowymi. Oprócz tego każda z firm może też zostać pociągnięta do odpowiedzialności przed sądami, które działają na terenie Stanów Zjednoczonych.

Czym jest HIPAA? Historia i 5 filarów amerykańskiej ustawy

Źródło: https://pixabay.com/pl/photos/prawny-sprawiedliwo%c5%9bci-prawo-4926021/

Health Insurance Portability and Accountability Act (HTML: https://www.govinfo.gov/content/pkg/PLAW-104publ191/html/PLAW-104publ191.htm 

PDF: https://www.govinfo.gov/content/pkg/PLAW-104publ191/pdf/PLAW-104publ191.pdf) to amerykański stanowy akt prawny podpisany w 1996 roku przez ówczesnego prezydenta Billa Clintona, który wszedł do amerykańskiego porządku prawnego. Porusza on niezwykle istotną kwestię ubezpieczeń zdrowotnych oraz bezpieczeństwa danych medycznych.

Akt ten co prawda nie był pierwszym obejmującym zakres ochrony danych. Jednakże na tle innych był w momencie ogłoszenia bardzo innowacyjny. Jego wyjątkowość polegała na ujednoliceniu standardów cyfryzacji danych obowiązujących w sektorze medycznym. Żaden wcześniejszy akt prawny nie poruszał tego niezwykle istotnego i wrażliwego obszaru.

Pierwotnym założeniem, którym kierowano się podczas prac nad dokumentem Health Insurance Portability and Accountability Act było wprowadzenie ułatwień związanych z ubezpieczeniem zdrowotnym. Cała ustawa składa się z 5 głównych działów. Są to:

Dział 1: Przenośność ubezpieczenia zdrowotnego (Health Insurance Portability) – dotyczy przenośności i ciągłości ubezpieczeń oraz wykluczeń czasowych.

Dział 2: Uproszczenie administracyjne (Administrative Simplification) – wprowadza standardy dla elektronicznych transakcji medycznych, unikalne identyfikatory (NPI) oraz Privacy Rule i Security Rule chroniące PHI (Protected Health Information). Reguluje prywatność, bezpieczeństwo ePHI i kary za naruszenia.

Dział 3: Wytyczne dotyczące planów medycznych (Tax-Related Health Provisions) – uregulowania podatkowe.

Dział 4: Zastosowanie i wdrażanie ubezpieczeń grupowych (Application and Enforcement of Group Health Plan Requirements) – zastosowanie i egzekucja wymogów dla grupowych planów zdrowotnych.

Dział 5: Przepisy dotyczące ubezpieczeń od zatrudnienia (Revenue Offsets) – źródła przychodów, kary za ujawnianie PHI. Finansuje HIPAA karami za naruszenia prywatności.

Działy 1 i 2 stanowią 90% praktycznego zastosowania HIPAA. Reszta natomiast obejmuje głównie podatki i egzekucje.

Mobilność pracowników a HIPAA

Źródło: https://pixabay.com/pl/photos/samochody-ruch-drogowy-tunel-droga-6991336/

Przed uchwaleniem i wprowadzeniem HIPAA firmy ubezpieczeniowe w USA dość często stosowały klauzule wykluczające. Polegały one na nieobejmowaniu w nowym ubezpieczeniu zdrowotnym wcześniej istniejących schorzeń. Jeśli dla przykładu ktoś chorował na cukrzycę, to nowa umowa ubezpieczeniowa nie obejmowała kosztów leczenia i refundacji leków na to schorzenie.

Dlatego też duża liczba pracowników obawiała się zmiany pracodawcy na nowego. Obawa ta nie wynikała z niepokoju związanego z szeroko pojętymi warunkami pracy czy też innymi czynnikami, na które mogli się natknąć w nowym miejscu zatrudnienia. Głównym powodem do niepokoju była potencjalna przerwa w ciągłości ubezpieczenia zdrowotnego, a także klauzule wykluczające. W takiej samej sytuacji znajdowały się osoby, które utraciły pracę.

Ta niepewność w znacznym stopniu przyczyniała się do braku mobilności pracowników, która jest tak potrzebna w nowoczesnym i prężnym społeczeństwie. To bowiem mobilność pracowników w znacznym stopniu odpowiada za wzrost efektywności gospodarki, elastyczność zatrudnienia i co za tym idzie wzrost zamożności społeczeństwa i państwa.

Ów negatywny trend o charakterze hamującym ujawniał się w coraz większym stopniu. Coraz silniej obciążał przedsiębiorstwa, generując jednocześnie straty w gospodarce. W końcu zaniepokoiło to organy państwowe, które przy pomocy ustawy Health Insurance Portability and Accountability Act postanowiły rozwiązać ten problem.

Ten akt prawny miał również inny niezwykle istotny cel. Jego zadaniem jest zapobiegać wszelkim nadużyciom finansowym i innym malwersacjom związanym z sektorem ubezpieczeń zdrowotnych.

Wprowadzono w niej dwie główne grupy ubezpieczeń zdrowotnych oferowanych przez pracodawców:

Grupowe plany zdrowotne (group health plans) – ta forma jest najczęstsza w USA.

Association health plans – polisy grupowe dla członków stowarzyszeń zawodowych lub branżowych (np. freelancerzy z danej profesji), które objęte są zasadami przenośności, ale ze znacznie mniejszą regulacją.

W ramach grupowych planów zdrowotnych wprowadzono obowiązujące odgórnie wszystkie towarzystwa ubezpieczeniowe limity czasowe bezobjętowości ubezpieczenia. Podzielono je na dwie grupy:

Polisy indywidualne – okres mógł maksymalnie wynosić 12 miesięcy.

Polisy rodzinne – w tym wypadku okres jest dłuższy i wynosi 18 miesięcy.

Działania te wpłynęły na zwiększenie rotacji kadr w firmach oraz ułatwiły przyciąganie do nich nowych specjalistów. Jednocześnie spowodowały obniżenie poziomu niepokoju związanego z ciągłością ubezpieczenia zdrowotnego podczas zmiany pracy.

Modyfikacje i zmiany dotyczyły również szeregu narzędzi mających za zadanie ochronę pracowników przed różnymi formami dyskryminacji, wynikającymi z chorób, które ich dotykają. Są to jednak narzędzia pośrednie, a nie bezpośrednie. Należą do nich:

zakaz różnicowania składek – polega on na tym, że w przypadku pracodawcy oferującego grupowe ubezpieczenie nie może on różnicować składek pomiędzy pracownikami ze względu na przebyte lub obecne choroby,

ciągłość ubezpieczenia przy zmianie pracy.

HITECH Act i proces cyfryzacji: Jak zmieniały się przepisy w erze cyfrowej?

Źródło: https://pixabay.com/pl/illustrations/czas-iluzja-perspektywiczny-cykl-8908228/

W otaczającym nas świecie dochodzi do nieustających zmian. Dlatego też ustawa, która została wprowadzona w życie w 1996 roku, po kilku latach okazała się przestarzała. Ciągły i nieprzerwany rozwój cyfryzacji, który dotyka obecnie każdego aspektu codzienności, wkroczył także w obszar medycyny. Ten fakt wymusił wprowadzenie zmian w tym akcie prawnym.

Tak więc Health Insurance Portability and Accountability Act zaczęto stopniowo modyfikować, aby dostosować go do aktualnej sytuacji. Zmiany te miały na celu dostosowanie go do bezpiecznego funkcjonowania w cyfrowej erze. Zmiana polegała na wprowadzeniu jednego osobnego aktu prawnego i kilku mniejszych modyfikacji.

Do osobnego aktu prawnego należy:

HITECH Act z 2009 – wprowadzony został w lutym 2009 roku i promował elektroniczne rekordy zdrowotne (EHR). Dodatkowo zaostrzył kary za naruszenia HIPAA i rozszerzył odpowiedzialność na podmioty zewnętrzne (Business Associates). Jest to część pakietu ARRA, mającą na celu stymulację cyfryzacji w medycynie.

Natomiast modyfikacje to:

Privacy Rule (2003 rok) – są to zasady ochrony danych osobowych pacjentów. Zapewniają kontrolę nad przetwarzaniem informacji medycznych. Wprowadzają również obowiązek minimalizacji danych i sankcje za ich ujawnienie.

Security Rule (2005 rok) – modyfikacja ta wprowadziła reguły zabezpieczeń danych elektronicznych. Określają one 18 wymogów organizacyjnych i technicznych. Do 2026 roku dzieliły środki na obowiązkowe i zalecane.

NIST SP 800-66 (2008 rok) – kompleksowy przewodnik NIST dla podmiotów objętych HIPAA, który wyjaśnia techniczne i administracyjne zabezpieczenia zasad bezpieczeństwa z działu II HIPAA.

HITECH Breach Notification Rule (2009 rok) – wprowadził obowiązek informowania o wyciekach danych medycznych. Duże naruszenia zgłaszane są do władz w ciągu 60 dni, a pacjenci dodatkowo muszą zostać poinformowani na przykład za pomocą listów poleconych.

Omnibus Rule (2013) – są to w sumie aż cztery rozporządzenia. Dotyczą umów z podwykonawcami i zakazu handlu danymi bez zezwolenia.

Reproductive Health Rule (2024) – wprowadzono ochronę historii o aborcji i antykoncepcji. Wprowadzono także zakaz wykorzystania danych medycznych w postępowaniach karnych. Modyfikacja ta została jednak zablokowana przez sąd i obecnie nie obowiązuje.

Security Rule Modernizacja (2026) – przepisy te jeszcze nie są obowiązujące w przestrzeni prawnej. Jest to na razie propozycja zmian, która prawdopodobnie zacznie obowiązywać od maja 2026 roku z okresem dostosowawczym do końca 2026 lub początku 2027 roku.

Wymusza wprowadzenie nowych wymogów MFA, a także obowiązek wykonywania testów penetracyjnych infrastruktury minimum raz w roku. Wszystkie zabezpieczenia stają się bezwzględnie obowiązkowe. Planowane odzyskanie pełnej sprawności musi nastąpić w ciągu 72 godzin po cyberataku.

Wszystkie te modyfikacje maja na celu dostosowanie HIPPA do cyfrowej opieki zdrowotnej, kładąc szczególny nacisk na elektroniczne rekordy medyczne i nakładając kary za nieprzestrzeganie zasad. Zwrócono szczególnie uwagę na dostawców zewnętrznych, ponieważ to właśnie oni odpowiadają za 60% naruszeń. Od 2013 r. podwykonawcy IT stają się współodpowiedzialni za dane medyczne tak samo, jak i szpitale.

Analizując te zmiany, można bardzo wyraźnie zauważyć zmianę podejścia z nastawienia na zapewnienie przenośności do zapewnienia cyberbezpieczeństwa.

Co ciekawe, aktualizowanie kar za złamanie HIPAA następuje zgodnie ze wzrostem inflacji. Zasada ta wprowadzona została w HITECH Act.

Znaczenie HIPAA dla sektora medycznego: ochrona danych PHI w praktyce

Źródło: https://pixabay.com/pl/photos/deweloper-oprogramowania-6521720/

Informacje medyczne, które klasyfikowane są według terminologii HIPPA określa się jako dane ekstremalnie wrażliwe. Ich wycieki mogą przynieść wyjątkowo groźne skutki, szczególnie dla tych osób, których dane zostały wykradzione. W informacjach medycznych znajdują się bowiem takie dane, które łączą je z konkretną osobą. Tak więc (Protected Health Information), czyli PHI zawiera takie elementy jak:

imię i nazwisko,

adres,

numer telefonu,

adres e-mail,

numer ubezpieczenia społecznego,

identyfikatory (np. numer konta pacjenta, adres IP urządzenia),

historię chorób,

wyniki badań,

diagnozy,

informacje o stanie zdrowia psychicznego,

dane o leczeniu i procedurach medycznych,

informacje o lekach i receptach,

płatnościach za usługi zdrowotne.

Jak można zauważyć, jest to bardzo szczegółowy zbiór informacji medycznych. Z tego właśnie powodu ich kradzież może doprowadzić do bardzo wielu negatywnych skutków. Mogą to być na przykład kradzież tożsamości, szantaż, zagrożenia fizyczne czy też mogą przyczynić się do różnych form dyskryminacji.

Z tego względu wprowadzenie zasad zawartych w Health Insurance Portability and Accountability Act jest niezwykle istotną i palącą sprawą. Ma ono znaczenie zarówno dla firm IT operujących na tym rynku, organizacji medycznych, jak i dla samych pacjentów. Regulacje dotyczące pracy z tymi danymi ujęte są w Privacy Rule oraz Security Rule, które są częścią składową HIPPA.

Prawa pacjenta w systemie HIPAA: kontrola nad dokumentacją i historią leczenia

Źródło: https://pixabay.com/pl/photos/cenzura-ograniczenia-wolno%c5%9b%c4%87-s%c5%82owa-610101/

W amerykańskim systemie opieki zdrowotnej regulacja HIPAA (Health Insurance Portability and Accountability Act) przyznaje pacjentom znaczące uprawnienia w zakresie zarządzania swoimi danymi medycznymi określanymi jako PHI (Protected Health Information). Te przepisy pozwalają odbiorcom usług na aktywny udział w ochronie własnej historii medycznej, co zdecydowanie zmienia ich rolę w systemie opieki zdrowotnej.

Zasady te zmieniają biernych odbiorców usług w aktywnych decydentów, umożliwiając inspekcję, edycję i ograniczanie obiegu wrażliwych informacji – od historii wizyt po dane rozliczeniowe. W erze elektronicznych rekordów zdrowotnych (EHR) i telemedycyny ta kontrola minimalizuje błędy, wycieki danych i nadużycia w sieci obejmującej szpitale, ubezpieczycieli oraz laboratoria medyczne.

HIPAA przekształca pacjentów w aktywnych partnerów systemu zdrowotnego USA, umożliwiając kontrolę nad danymi PHI i pobudzając innowacje, jak badania oparte na ich zbiorach danych. W 2026 roku, przy pełnej cyfryzacji (elektroniczne karty istnieją aż w 95% placówek) i wykorzystaniu sztucznej inteligencji w medycynie, ich rola wzrasta. Zgody równoważą efektywność (obniżenie kosztów leczenia o 15-20%) z prywatnością, zmniejszając wycieki i błędy w aktach medycznych.

To powoduje wzmocnienie zaufania i napędza rozwój sektora technologii medycznych wartego 500 miliardów dolarów. W rezultacie działania te zmniejszają ryzyko kradzieży tożsamości medycznej (ponad 2 mln przypadków rocznie) czy też otrzymywania niechcianego marketingu.

Ustanowione w HIPP prawa mają bezpośredni wpływ na ludzkie życie: przy zmianie miejsca zamieszkania dzięki pełnemu transferowi akt zapewniają spójność i ciągłość leczenia, co jest ważnym czynnikiem wpływającym na proces leczenia i jego rokowania. Natomiast w przypadku sporów sądowych dane pozostają prywatne. Dodatkowo zapewniona kontrola nad PHI zapobiega wykorzystywaniu ich, co jest niezwykle istotne w modelach treningowych AI bez świadomej akceptacji pacjenta.

Niestety, ale jednak istnieją pewne bariery, które negatywnie wpływają na cały ten spójny system. Należą do nich choćby niechęć niektórych dostawców (ponad 500 skarg w 2025 do regulatorów), wysokie koszty wdrożenia, obawa o konkurencyjność, biurokracja, niska świadomość wśród grup wykluczonych.

Kary za naruszenie HIPAA: od grzywien cywilnych po odpowiedzialność karną

Źródła: https://pixabay.com/pl/photos/nadgarstek-aparat-cia%c5%82a-794099/

Organizacje działające na rynku zdrowotnym w USA mogą zostać ukarane za naruszenia przepisów HIPAA. Istnieje aż 4 poziomy kar cywilnych, które różnią się między sobą wagą przewinienia i tym samym możliwą wysokością kary:

Poziom 1: dotyczą nieświadomych naruszeń (nie dało się ich przewidzieć pomimo starań) – kara w takim wypadku mieści się w zakresie 100 – 50 tys. USD za przypadek. W przypadku wielokrotnych takich samych naruszeń kara może wynieść w sumie maksymalnie 25 tys. USD na rok.

Poziom 2: chodzi o naruszenia, które można było przewidzieć dzięki na przykład braku właściwych środków zapobiegawczych. Kara może wynieść: 1000 – 50 tys. USD za pojedynczy przypadek. Nie może przekroczyć kwoty 100 tys. USD w ciągu roku.

Poziom 3: w przypadku umyślnych zaniedbań, ale z próbą ich naprawy kara mieści się w zakresie 10 tys.- 50 tys. USD za pojedynczy przypadek, a w ciągu roku maksymalnie 250 tys. USD.

Poziom 4: najcięższe przewinienie z tej listy. Polega na celowym i nieuzasadnionym ignorowaniu zasad. Kary wynoszą minimum 50 tys. USD za przypadek i maksymalnie 1,5 mln USD na rok.

Co ciekawe kwota kar może przekroczyć wysokość 1,5 mln USD. Powodem tego jest fakt, że kary za poszczególne incydenty sumują się ze sobą.

Najwyższe kwoty zasądzonych kar:

Rok ugody	Firma	Kwota (mln USD)	Skala naruszenia
2016	Advocate Health	5,55	4 mln pacjentów
2017	Memorial Hermann	2,4	80 tys. pacjentów
2018	Anthem Inc	16	78,8 mln pacjentów
2020	Premera Blue Cross	6,85	10,4 mln pacjentów
2023	South Broward Hosp	2,9	1,9 mln pacjentów

Oficjalny spis wszystkich zawartych ugód OCR (Office for Civil Rights), który odpowiada między innymi za egzekwowanie zasad prywatności i bezpieczeństwa danych zdrowotnych znajduje się pod adresem:

https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/agreements/index.html

Dodatkowo wprowadzono trzy poziomy kar kryminalnych. Są one stosowane znacznie rzadziej i dotyczą osób prywatnych, a nie organizacji jak w poprzednim przykładzie. Kary kryminalne nakładane są przez Departament Sprawiedliwości, a konkretnie przez prokuratorów federalnych.

Poziomy kar kryminalnych:

Poziom	Dokładny opis przewinienia	Maksymalna grzywna (USD)	Maksymalne więzienie
1	Świadome uzyskanie lub ujawnienie PHI bez upoważnienia	Do 50 000	Do 1 roku
2	Uzyskanie PHI pod fałszywymi pretekstami lub oszustwem	Do 100 000	Do 5 lat
3	Uzyskanie lub ujawnienie PHI z intencją uzyskania korzyści majątkowej, lub wyrządzenia szkody	Do 250 000	Do 10 lat

Lista skazanych osób:

Lp.	Stanowisko	Data wyroku	Rodzaj sprawy	Kara
1	Pracownik szpitala	2005	Kradzież i sprzedaż danych 1000 pacjentów	6 miesięcy więzienia + 3 lata nadzoru
2	Recepcjonistka	2009	Sprzedaż PHI 1000 pacjentów	6 miesięcy więzienia
3	Chirurg (UCLA)	2010	Nieuprawniony dostęp do rekordów medycznych po zwolnieniu	4 miesiące więzienia + 2000 USD grzywny
4	Pracownik medyczny (anonimowa sprawa z fałszywym pretekstem)	2011	Uzyskanie PHI pod fałszem	1 rok więzienia
5	Lekarz (szpital dziecięcy)	2024	Ujawnienie PHI do mediów	Oskarżony, max 10 lat (sprawa w toku)

Jak widać, ilość spraw karnych jest naprawdę niewielka i dochodzi do nich tylko w wyjątkowych sytuacjach.

Zasady prywatności w HIPAA (Privacy Rule): na czym polega standard „minimum necessary”?

Źródło: https://pixabay.com/pl/photos/wzrost-zwi%c4%99ksza%c4%87-tom-obroty-biznes-4822683/

W regulacjach HIPPA Privacy Rule wprowadzono standard określany jako „minimum necessary” (niezbędne minimum). Stanowi on fundament ochrony danych zdrowotnych pacjentów, nakazując ograniczenie dostępu do chronionych informacji zdrowotnych PHI wyłącznie do niezbędnego minimum.

Wymóg ten, zapisany w 45 CFR §164.502(b), zobowiązuje podmioty objęte HIPAA, a także ich kontrahentów biznesowych do podejmowania takich działań, by używać, udostępniać albo żądać PHI tylko w zakresie wymaganym do realizacji konkretnego celu. Zapis ten wprowadzono po to, aby zmniejszyć poziom ryzyka wycieków, a także ekspozycji wrażliwych danych. Zapis ten równocześnie zapewnia elastyczność dopasowaną do specyfiki codziennych zadań organizacji.

Zasada ta obejmuje wszelkiego typu zadania związane z danymi medycznymi, a także obowiązek konfiguracji systemów informatycznych, w tym różnych form PHI. Interpretacja słowa „minimum” bywa zmienna i elastyczna. Zależy od kilku czynników, między innymi od oceny ryzyka prywatności, możliwości technologicznych i uzasadnienia biznesowego.

Organizacje (na przykład szpitale) są zobowiązane do wprowadzenia polityk, procedur, programów szkoleniowych oraz mechanizmów audytowych dostępu, aby zagwarantować pełną zgodność, ze szczególnym uwzględnieniem nadzoru nad procedurami awaryjnego dostępu do systemów przetwarzania danych medycznych.

Wyjątki od zasady niezbędnego minimum: kiedy można udostępnić dane bez autoryzacji?

Źródło: https://pixabay.com/pl/photos/pionek-szachy-strategia-wy%c5%bcywienie-2430046/

Od minimum necessary istnieją pewne wyjątki. Są one szczegółowo ujęte i po zmianach wprowadzonych w 2024 roku należą do nich:

Przekazanie PHI bezpośrednio osobie, której dane dotyczą (pacjentowi lub jego przedstawicielowi).

Użycie lub ujawnienie PHI na podstawie ważnej autoryzacji podpisanej przez pacjenta.

Ujawnienia lub żądania PHI przez dostawców opieki zdrowotnej w celu użycia ich w procedurze leczenia pacjenta.

Ujawnienia do Departamentu Zdrowia i Opieki Społecznej (HHS) w celach dochodzeń, federalnej inspekcji polityk, procedur, szkoleń, kontroli dostępu i zabezpieczeń PHI lub egzekwowania prawa.

Ujawnienia wymagane przez prawo federalne, stanowe lub lokalne.

Transakcje zgodne z HIPAA Administrative Simplification Rules (np. standaryzowane wymiany administracyjne).

Przykład praktycznego wdrożenia zasady minimum necessary polega między innymi na:

Ograniczeniu recepcjonistom dostępu tylko do danych wizyt i ubezpieczeń, bez żadnych informacji na temat szczegółów klinicznych.

Żądaniu od płatnika jedynie kodów usług i dat.

Użyciu w badaniach zbiorów danych ograniczonych (limited data sets).

W koordynacji opieki wyjątki ułatwiają wymianę pełnych rekordów pomiędzy specjalistami.

W 2025 AHIMA wezwało do klarowniejszych wytycznych, podkreślając różne ich interpretacje, które prowadzą do sporów sądowych.

AHIMA jest to organizacja, która wspiera wprowadzenia HIPPA. Robi to poprzez:

Szkolenia i certyfikacje: prowadzą akredytowane kursy z Privacy i Security Rule HIPAA.

Wydają różne stanowiska, np. dotyczące ochrony informacji zdrowotnych (PHI) u podmiotów nieobjętych HIPAA.

Zasoby praktyczne: narzędzia do przygotowania do audytów HIPAA, modele polityk bezpieczeństwa ePHI.

Wdrożenie minimum necessary wymaga ciągłego doskonalenia: polityk ryzyka, technologii i edukacji personelu. Efektywna zgodność nie tylko wpływa na unikanie kar, lecz również wzmacnia zaufanie pacjentów.

Edycja PHI, ePHI i zasada Notice of Privacy Practices(NPP)

Źródło: https://pixabay.com/pl/vectors/znak-edycja-informacja-697219/

Ustawa Health Insurance Portability and Accountability Act gwarantuje pacjentom wgląd w kopie swoich PHI. Instytucje medyczne, do których wpłynęło podanie o taki dostęp, muszą spełnić to żądanie w terminie 30 dni (do 60 dni w wyjątkowych sytuacjach). Forma dostępu do tych danych zależna jest od indywidualnych preferencji – może mieć postać drukowanych papierowych dokumentów, formę elektroniczną lub dowolną inną. Istnieją również wyspecjalizowane platformy elektroniczne takie jak MyChar, które oferują analizę danych w dowolnym momencie.

Dla chorych na choroby długotrwałe, takie jak nadciśnienie czy nowotwory ta możliwość oznacza praktyczną autonomię: samodzielna analiza i wykrywanie rozbieżności w wynikach badań pozwala na wczesne ich wykrycie i szybsze interwencje. Statystyki wskazują na wzrost zaangażowania się pacjentów w terapię o 20-30%. Osoby te również dokładniej przestrzegają zaleceń lekarskich, kiedy widzą ich cały kontekst. Przyczynia się to do mniejszej liczby powikłań i znacznie lepszych rokowań.

Innym ważnym elementem jest możliwość złożenia wniosku o edycję PHI. Organizacja medyczna, do której on wpłynął ma 60 dni na jego rozpatrzenie. W przypadku odmowy, pacjent ma możliwość dołączenia własnego komentarza, który jest dopisywany do danych. Taki proces eliminuje utrwalanie pomyłek, jak np. fałszywą alergię na antybiotyki, co mogłoby zagrozić życiu w sytuacji kryzysowej.

Osoby zmagające się z dolegliwościami psychicznymi lub rzadkimi chorobami zyskują dzięki takiej możliwości szczególnie dużo: mogą bowiem wprowadzić korektę stygmatyzujących wpisów w aktach, a rodzice dzieci z rzadkimi schorzeniami – nieścisłe diagnozy. W interoperacyjnym środowisku zintegrowanym przez standardy, takie jak FHIR, zmiany synchronizują się między placówkami, usprawniając opiekę ciągłą.

Zasada Notice of Privacy Practices (NPP)

Źródło: https://pixabay.com/pl/photos/biznesmen-prywatne-prywatno%c5%9bci-3205454/

W HIPPA zawarto również konieczność obowiązkowego powiadamiania pacjentów o zasadach prywatności i dostępnych opcjach kontroli danych zawartych w PHI. Nazywa się ona Notice of Privacy Practices (NPP). Przepis ten zawiera informacje na temat zasad używania PHI, sytuacji, które wymagają wydania upoważnienia przez pacjenta, praw do wglądu kopii, modyfikacji danych czy też ograniczenia w ich udostępnianiu.

Informacja ta musi być dostarczona petentowi zawsze przy pierwszym kontakcie z placówką medyczną i potwierdzona podpisem.

W Notice of Privacy Practices umieszczono również możliwość blokady udostępniania rekordów z PHI w sytuacjach wykraczających poza standardowe cele, czyli związanych z leczeniem, rozliczeniami finansowymi itp. Tak więc pomimo zablokowania rekordów PHI przez pacjenta lekarz w związku z procesem leczenia może podzielić się informacjami o jego stanie zdrowia z innym specjalistą. Jednakże przekazywane informacje muszą zawierać tylko niezbędne do tego celu minimum.

Dzięki możliwości ograniczeniu w przekazywaniu zawartości PHI pacjenci mogą na przykład zablokować dostęp ubezpieczyciela do informacji o zabiegach estetycznych czy terapii płodności. To właśnie również dzięki zapisom NPP lekarz bez zgody pacjenta nie może podzielić się informacją o jego stanie zdrowia z innymi członkami rodziny.

Ta ochrona poufności w chorobach zakaźnych lub uzależnieniach pozwala na zachowanie godności rodzinnej i społecznej. 70% pacjentów w USA preferuje placówki medyczne lub dostawców usług zdrowotnych (np. szpitale, lekarzy, aplikacje telemedyczne), które są zgodne z regulacjami HIPAA. Dzięki tym działaniom ponad 80% beneficjentów czuje się bardziej pewnie i komfortowo w elektronicznym systemie zdrowotnym.

Zasady bezpieczeństwa danych (Security Rule): wymogi administracyjne, techniczne i fizyczne

Źródło: https://pixabay.com/pl/photos/bran%c5%bce-proces-in%c5%bcynier-mechanik-4327631/

Security Rule jest niezwykle ważnym elementem HIPPA. Jest to jedna z głównych regulacji obok Privacy Rule i Breach Notification Rule. Wprowadza ona bowiem do ustawy Health Insurance Portability and Accountability Act zasady bezpieczeństwa ePHI, czyli elektronicznych informacji zdrowotnych.

Security Rule wymaga od wszystkich organizacji tworzących, wysyłających, otrzymujących lub przechowujących ePHI zapewnienia jego ochrony. Ten nadzór obejmuje przewidywalne zagrożenia oraz ujawnienia lub nieautoryzowane wykorzystanie tych danych.

Regulacja ta wprowadziła podział zabezpieczeń na dwie grupy. Obecnie działania dotyczące bezpieczeństwa mogą być:

Wymagane – są to działania, które są bezwzględnie obowiązkowe.

Addressable – nie są obowiązkowe. Jednakże w związku z tym każdy podmiot musi dokonać samodzielnie oceny, czy określone wdrożenia w jego środowisku są właściwe. Jeśli tak to musi je wdrożyć. Jeśli natomiast nie, musi uzasadnić tę decyzję lub wskazać alternatywne zabezpieczenia. Tak więc addressable zawsze wymaga dokumentacji z wyjaśnieniem podjętych decyzji.

Security Rule opiera się na trzech kategoriach zabezpieczeń:

administracyjnych

technicznych

fizycznych

Dwie pierwsze dotyczą głównie zabezpieczenia elektronicznych danych. Natomiast ostatnia kategoria odnosi się głównie do zabezpieczeń sprzętu oraz obiektów.

Ad.1. Zabezpieczenia administracyjne głównie koncentrują się na metodykach, procedurach wewnętrznych organizacyjnych oraz politykach bezpieczeństwa, które mają na celu ochronę elektronicznych danych medycznych przed zagrożeniami.

W tym celu nałożono na organizacje szereg obowiązków, których wypełnienie może zostać poddane procesowi weryfikacji. Każdy z podmiotów ma obowiązek zatrudnić specjalistę do spraw bezpieczeństwa oraz organizować szkolenia dla nowo zatrudnionych pracowników. Szkolenia te muszą odbywać się regularnie, a także każdorazowo po zmianie polityki bezpieczeństwa lub incydencie związanym z naruszeniem ePHI.

Ich częstotliwość nie jest narzucona z góry. Jednak dobrymi praktykami w tej kwestii są szkolenia co 12 miesięcy a w mniejszych organizacjach co 24 miesiące. Dotyczą one lekarzy, pielęgniarek, personelu IT, administracji, managerów, czyli każdego z pracowników, który ma dostęp do danych z sektora medycznego.

Dodatkowo do szkoleń takich zobowiązani są wszyscy kontrahenci i partnerzy biznesowi, którzy biorą udział w przetwarzaniu danych medycznych obywateli USA.

Organizacje muszą prowadzić systematyczną ocenę zagrożeń ePHI oraz dostosowywać do niej obowiązujące wewnętrzne procedury. To właśnie na ich podstawie powinno tworzyć się grafik częstotliwości szkoleń.

Tabela na podstawie wytycznych HHS.gov i praktyk OCR (2026):

Przykład dokumentacji chroniącej przed karami:	Przykład dokumentacji niechroniącej przed karami:
Polityka szkoleń HIPAA v2.1 (2026)	– Szkolimy co 12 miesięcy (brak analizy ryzyka i uzasadnienia)
– nowi pracownicy: szkolenie w ciągu 30 dni
– odnawianie: co 18 miesięcy (uzasadnienie: analiza ryzyka 2025 wykazała niski poziom zagrożenia)
– dodatkowe: po każdym phishingu/audycie (log z 3 incydentami w 2025)

Źródło: https://www.hhs.gov/

Zabezpieczenia administracyjne w Security Rule wymagają również opracowania i aktualizowania w zależności od sytuacji planów reagowania na incydenty. W tym kontekście niezwykle ważne jest opracowanie planu działania, który umożliwia pełne odzyskiwanie systemów.

Obecnie nie ma wskazanego maksymalnego czasu na tą czynność, ale propozycje opublikowane w NPRM wskazują na 72 godziny. Proponowane zabezpieczenia administracyjne wprowadzają obowiązek przeprowadzania corocznych testów penetracyjnych oraz skanów infrastruktury IT w celu wykrywania podatności, które mogłyby umożliwić nieautoryzowany dostęp.

Ad.2. Zabezpieczenia techniczne w ramach swojej jurysdykcji obejmują – jak sama nazwa wskazuje – elementy techniczne systemów przed różnego rodzaju negatywnymi działaniami, np.: atakami hakerskimi, przypadkowymi bądź celowymi wyciekami, niezamierzonymi błędami. Zabezpieczenia techniczne wymagają całorocznego wdrożenia, ciągłego monitoringu, a także odpowiedniej dokumentacji.

Zabezpieczenia techniczne tworzą coś w rodzaju tarczy, która chroni ePHI przed wyciekami i atakami. Efekt jej działania zapewnia spokój, zaufanie i bezpieczeństwo zarówno wśród pacjentów, jak i firm działających w branży zdrowotnej w USA.

Jednak działania takie wymagają znacznych inwestycji finansowych, organizacyjnych oraz dokumentacji. Ta druga jest niezwykle istotna podczas audytów, które są wykonywane w organizacji przez regulatora.

Ad.3. Zabezpieczenia fizyczne – regulacje te odnoszą się do zapewnienia ochrony sprzętu oraz lokum, w których on się znajduje. Każde pomieszczenie oraz każde urządzenie elektroniczne, które umożliwia dostęp do ePHI powinno być chronione i zabezpieczone przed dostępem osób nieuprawnionych. Ma to na celu zapobieżenie potencjalnym kopiowaniom danych, jak i ich kradzieży. To właśnie przywłaszczenie odpowiada za 70% kar nałożonych na organizacje przez OCR. Jak widać, jest to zdecydowana większość spośród której:

52% to kradzież niezaszyfrowanych laptopów,

28% to zgubione nośniki,

15% fizyczny dostęp w postaci otwartych pomieszczeń,

inne fizyczne luki.

Zabezpieczenia fizyczne opierają się na 4 standardach.

Lp.	Standard (§)	Opis praktyczny	Przykład wdrożenia
1	Facility Access Controls	Kontrola dostępu do serwerowni, pokojów IT, magazynów z dyskami	Karty magnetyczne + biometria, CCTV 24/7, logi wejść/wyjść
2	Workstation Use	Polityka użycia komputerów z PHI (laptopy lekarzy, stacje pielęgniarskie)	Zakaz USB, pełna szyfrowanie dysku (BitLocker), zakaz prywatnych emaili
3	Workstation Security	Fizyczna ochrona endpointów przed kradzieżą	Kensington lock na laptopy, szyfrowanie FDE (Full Disk Encryption)
4	Device & Media Controls	Zarządzanie nośnikami (dyski, pendrive’y, taśmy backup)	NIST 800-88 niszczenie HDD, audyt nośników wychodzących

Wdrożenie Security Rule

Źródło: https://pixabay.com/pl/illustrations/budowa-pracownik-kontrahent-3042638/

Wdrożenie Security Rule jest niezwykle ważnym elementem dostosowywania się organizacji do HIPAA. Stanowi on podstawowy element zapewniający bezpieczeństwo pracy z ePHI. Należy podejść do niego systematycznie, a niniejszy rozdział wskaże na niektóre praktyczne zagadnienia związane z tym procesem.

Jednym z zabezpieczeń administracyjnych jest organizacja szkoleń. Niezwykle istotną kwestią jest, kto im podlega oraz w jakiej częstotliwości.

Kiedy szkolenie jest obowiązkowe:

Rola developera	Szkolenie wymagane	Dlaczego?
Pisze kod aplikacji z PHI	TAK	PHI w kodzie = breach
Deployuje do produkcji	TAK	Dostęp do środowisk z PHI
Tylko DEV (fake data)	ZALECANE	Ryzyko pomyłki środowisk
Zero styczności z PHI	NIE	Poza scope HIPAA

Szkolenia kończą się testem i uzyskaniem ważnego przez 12 miesięcy certyfikatu. HIPPA nie definiuje jednego formatu, są to szkolenia. Jednak rekomendowany model oparty na dobrych praktykach jest następujący:

Teoria PHI (30 min) – co jest chronione, DEV/STAGING/PROD;

Phishing + malware (30 min) – rozpoznawanie maili z ransomware na przykład: „Wyniki MRI.exe”, social engineering;

Polityka bezpieczeństwa (30 min) – zasada czystego biurka, automatyczna blokada ekranu, raportowanie;

Test wiedzy (30 min) – 20 pytań, próg zdawalności to 85%.

RAZEM: 120 minut = 4 sesje x 30 minut

OCR (Office for Civil Rights) w ramach HHS podczas audytów skupia się między innymi na analizie ryzyka, a nie na liście zadań do odhaczenia. Audytorzy nie zapytają „ile razy szkoliliście personel?” ale „czy pokazujecie, że ryzyko personelu jest pod kontrolą?”. To obrazuje, że HIPAA dąży do tego, aby organizacje były zarządzane w sposób przemyślany i elastyczny, a nie sztywny. Dlatego właśnie mały gabinet może szkolić swój personel rzadziej niż duży szpital, jeśli tylko udokumentuje ryzyko.

Tabela z priorytetami zabezpieczenia technicznego wymaganego w Security Rule wraz z przykładowymi wdrożeniami:

Zabezpieczenie	Co oznacza	Przykłady wdrożenia	Częstotliwość / Kara za brak
Szyfrowanie (Encryption)	Dane w spoczynku (bazy, dyski) i transporcie (email, API) muszą być nieczytelne bez klucza. Minimum AES-256, TLS 1.3+.	AWS EBS szyfrowane KMS, HTTPS everywhere, PGP dla emaili z wynikami badań. Zero plaintext w logach!	Zawsze włączone. Kary: $50k+ za breach
Kontrola dostępu (Access Control)	Tylko upoważnieni wchodzą – unikalne ID, hasła, role (RBAC). Blokada po wylogowaniu.	Okta/Auth0 z MFA, auto-wylogowanie po 15 min, least privilege (developer nie widzi ePHI).	Codziennie. Audyt co 6 miesięcy
MFA (Multi-Factor Auth)	Dwa czynniki min. (hasło + apka/SMS/biometria) dla każdego logowania do ePHI.	Duo/Yubikey na VPN, Azure AD – nawet admini serwerów. Zero wyjątków.	Obowiązkowe wszędzie
Audyt logów (Audit Controls)	Loguj WSZYSTKO: kto, co, kiedy, jakie oglądał PHI. Odnośnie hardware i software.	ELK Stack/Splunk z retencją logów przez 6 lat, alerty na podejrzane zachowania (np. 10 logowań z nowego IP w 5 minut). UEBA do wychwytywania anomalii.	Logi co 90 dni audytowane
Integralność danych (Integrity)	Zmiany w PHI muszą być śledzone i chronione (hash/checksum).	Blockchain-like hash w bazach (np. MongoDB), anty-malware jak CrowdStrike.	Automatycznie + testy
Skan vulnerability & pentesty	Automatyczne skany słabości co 6 mies., pełne pentesty rocznie.	Nessus/OpenVAS + manual pentest (najlepiej wykonany przez firmę z zewnątrz). CVSS >7 fix w 30 dni.	Raz/dwa razy w roku
Segmentacja sieci	ePHI w izolowanych strefach (VLAN, firewall rules).	Zero-trust z Zscaler, mikrosegmentacja w chmurze (Azure NSG).	Mapa sieci co rok

Praktyczna pomoc we wdrożeniu (krok po kroku):

Analiza ryzyka (Risk Analysis) – wykonaj inwentaryzację wszystkich elementów na przykład: serwery, laptopy, chmury, API z danymi medycznymi. Stwórz mapę przepływu PHI – od pobrania próbki krwi do wydruku wyniku. Przykładowe narzędzia: Microsoft Compliance Manager (darmowy dla Azure) lub Excel z heatmapą zagrożeń (czerwone = krytyczne PHI). To podstawa §164.308(a)(1).

Umowy BAA z vendorami – należy podpisać Business Associate Agreements z vendorami (najpopularniejsi w USA, którzy współpracują ze szpitalami to: AWS, Azure, Splunk, Okta.) Należy zażądać od nich dowodów. Można wysłać do vendora e-maila o następującej treści:
„Temat: Weryfikacja BAA: żądanie dokumentacji technicznej
Szanowni Państwo,
w ramach naszego BAA prosimy o przesłanie:
1. zrzutu ekranu z konfiguracją MFA (Universal 2nd Factor enabled),
2. potwierdzenia szyfrowania dysków (AES-256 lub wyższe),
3. raportu z ostatniego skanu podatności (datowany <90 dni),
4. przykładowy audyt logów (anonimizowane dane PHI).
Dziękujemy za szybką odpowiedź w ciągu 5 dni roboczych.”
Bez podpisanego BAA nie pracuj z PHI – otrzymasz natychmiastową karę.
Ważne!!! Po 12 miesiącach BAA automatycznie wygasa, więc trzeba ponownie zweryfikować zgodność vendora z HIPPA.\

Plan reakcji na incydent (Incident Response) – musisz mieć przygotowaną procedurę na potencjalny wyciek danych:
– Powiadomienie HHS OCR w przeciągu 60 dni (w proponowanych zmianach, które jeszcze nie są obowiązujące, czas ten ma wynosić 24 godziny).
– Powiadomienie pacjentów w ciągu 60 dni w przypadku każdego wycieku.
– Powiadomienie OCR w ciągu 60 dni po nowym roku, jeśli wyciek dotyczy mniej niż 500 osób.
– Powiadomienie OCR i mediów, jeśli wyciek dotyczy ponad 5000 osób.
Wykonuj testy i ćwiczenia. Minimum raz na kwartał symuluj atak ransomware na serwer MRI.

Szkolenia + narzędzia dla informatyków. Wspomniałem już, że każda osoba mająca styczność z ePHI musi przejść obowiązkowe szkolenie. Dotyczy to także pracowników IT.

Przykłady praktycznych wdrożeń zabezpieczenia fizycznego z przykładowymi cenami:

Kategoria	Ryzyko	Wymaganie HIPAA	Wdrożenie	Koszt/rok
Serwerownia	Critical	Facility Access Controls	Dwuskładnikowe wejście: karta RFID + odcisk palca. CCTV z retencją 90 dni (nie 30 jak w biurze). Personel bezpieczeństwa 24/7 lub zdalny monitoring. Lista osób upoważnionych (tylko CISO + 2 admini).	$8k
Laptopy lekarzy	High Risk	Workstation Security	BitLocker AES-256 + 4-cyfrowy PIN przy starcie. Kensington lock w sali konferencyjnej. TrackR/AirTag w obudowie (znajdowanie skradzionego). Pre-boot authentication.	$3k
Niszczenie nośników	Zero Tolerance	Device & Media Controls	HDD z PHI → NIST 800-88 Method D3 (shredder przemysłowy). Pendrive → fizyczne zniszczenie + degausser. Taśm LTO → specjalistyczna firma z certyfikatem. Protokół dokumentujący zniszczenie nośników: waga, data, metoda, dwóch świadków.	$2k

Zastosowanie się do wymagań zawartych w zabezpieczeniach technicznych zapewnia bezpieczeństwo fizyczne w każdym aspekcie. Jak już powyżej o tym pisałem, nieprzestrzeganie tych zaleceń odpowiada za 70% kar nakładanych przez OCR. Ten fakt wskazuje, jak ważny jest to aspekt i właśnie z tego względu nie należy go ignorować.

Modernizacja Security Rule 2026: nadchodzące zmiany w obowiązkowych zabezpieczeniach

Źródło: https://pixabay.com/pl/illustrations/puzzle-planowanie-strategia-proces-1686920/

U.S. Department of Health and Human Services (HHS) w swoich propozycjach zamieszczonych w Notice of Proposed Rulemaking (NPRM) dąży do tego, aby większość specyfikacji była obowiązkowa. Zamierzają jedynie utrzymać kilka wyjątków na przykład dla małych podmiotów.

HIPAA Security Rule dzieli 42 specyfikacje wdrożeniowe na:

obowiązkowe (Required) – obowiązek wdrożenia wprost;

elastyczne (Addressable) – obowiązek oceny ryzyka i udokumentowania wyboru. Obecnie istnieje 21 pozycji obowiązkowych oraz 21 pozycji elastycznych. Jednakże w proponowanych zmianach większość wdrożeń, które obecnie są elastyczne, staje się obowiązkowa.

Poniższa tabela pokazuje 20 głównych standardów oraz proponowane zmiany:

Kategoria zabezpieczeń	Standard / specyfikacja	Obecnie (2026)	Po proponowanych zmianach
Administracyjne	Proces zarządzania bezpieczeństwem	Obowiązkowy	Obowiązkowy
	Analiza zagrożeń	Obowiązkowy	Obowiązkowy
	Zarządzanie ryzykami	Obowiązkowy	Obowiązkowy
	Polityka sankcji	Obowiązkowy	Obowiązkowy
	Przegląd aktywności systemów	Obowiązkowy	Obowiązkowy
	Wyznaczenie osoby odpowiedzialnej	Obowiązkowy	Obowiązkowy
	Zabezpieczenia personelu (uprawnienia)	Elastyczny	Obowiązkowy
	Szkolenia pracowników	Obowiązkowy	Obowiązkowy
Fizyczne	Kontrola dostępu do pomieszczeń	Obowiązkowy	Obowiązkowy
	Polityka użytkowania sprzętu	Obowiązkowy	Obowiązkowy
	Ochrona stanowisk pracy	Obowiązkowy	Obowiązkowy
	Kontrola urządzeń i nośników	Elastyczny	Obowiązkowy
Techniczne	Kontrola dostępu (unikalne ID)	Obowiązkowy	Obowiązkowy
	Procedura awaryjnego dostępu	Obowiązkowy	Obowiązkowy
	Automatyczne wylogowanie	Elastyczny	Obowiązkowy
	Szyfrowanie/deskryptowanie	Elastyczny	Obowiązkowy (spoczynek/transmisja)
	Mechanizmy audytu	Obowiązkowy	Obowiązkowy
	Integralność danych	Elastyczny	Obowiązkowy
	Uwierzytelnianie osób/encji	Obowiązkowy	Obowiązkowy (MFA)
	Bezpieczeństwo transmisji	Elastyczny	Obowiązkowy

Obecnie ze względu na kategorię zabezpieczeń podział wygląda następująco:

Administracyjne: 13 obowiązkowych i 8 elastycznych = 21

Fizyczne: 4 obowiązkowe i 4 elastyczne = 8

Techniczne: 4 obowiązkowe i 9 elastycznych = 13

Po wprowadzeniu proponowanych zmian 90% zabezpieczeń elastycznych stanie się obowiązkowymi. Jak widać, przyszłe zmiany idą zdecydowanie w kierunku zwiększenia ilości obowiązkowych wymagań i ograniczenia ilości addressable.

Działanie to wynika z dwóch powodów. Pierwszym z nich jest nadużywanie elastycznych działań przez organizacje. Podejmując takie, a nie inne decyzje kierowały się głównie ograniczeniem kosztownych i czasochłonnych inwestycji, a niekoniecznie bezpieczeństwem.

Drugim powodem jest konieczność ciągłego podnoszenia poziomu zabezpieczeń danych medycznych. Działania te mają na celu ograniczyć możliwość ich wycieków i zapewnić większe zaufanie pomiędzy wszystkimi uczestnikami sektora medycznego w USA.

Obowiązek zgłaszania incydentów (Breach Notification Rule)

Źródło: https://pixabay.com/pl/illustrations/etyka-chmura-s%c5%82%c3%b3w-kant-wiadomo%c5%9b%c4%87-947572/

Jednym z kluczowych elementów amerykańskiego prawa w ochronie zdrowia jest reakcja na wycieki danych medycznych. Zapis ten został wprowadzony w 2009 roku jako część rozszerzeń HIPAA. Przewiduje obowiązek informowania o poważnych incydentach przez podmioty systemu ochrony zdrowia oraz ubezpieczycieli. Takie działania minimalizują ryzyko oszustw medycznych czy też kradzieży tożsamości. Prawo to działa jak swoistego rodzaju system bezpieczeństwa, ponieważ brak reakcji na zdarzenie oznacza surowe konsekwencje.

Podstawowym pojęciem jest tutaj „breach”. Oznacza on nieautoryzowane pozyskanie, odczytanie, wykorzystanie lub ujawnienie elektronicznych danych zdrowotnych (ePHI), które może potencjalnie przyczynić się do wyrządzenia szkody dla prywatności danej osoby.

Jednak HHS definiuje to pojęcie znacznie szerzej: liczy się nie tylko kradzież laptopa z bazą pacjentów, ale też przypadkowe wysłanie wyników badania do złej osoby czy zhakowany serwer z historią leczenia.

W przypadku wycieków kluczowe znaczenie ma ilość poszkodowanych osób. Liczbą graniczną jest 500 poszkodowanych. Wycieki, które dotyczą mniej niż 500 osób, należy zarejestrować w wewnętrznym logu i przesłać zbiorczo do końca roku kalendarzowego plus 60 dni.

Jeśli incydent obejmie większą ilość osób, czyli ponad 500, organizacja ma dodatkowo obowiązek zgłosić sprawę do Biura Praw Obywatelskich (OCR) w Departamencie Zdrowia w ciągu 60 dni po jego stwierdzeniu.

Procedury po wycieku danych – jak informować pacjentów i media?

Źródło: https://pixabay.com/pl/photos/wyciek-danych-miniaturowe-figurki-3921445/

Po wycieku poszkodowani pacjenci muszą otrzymać informację o tym zdarzeniu. Forma jej dostarczenia jest dowolna: list polecony, email. Przesłana treść musi obowiązkowo zawierać opis incydentu, jakie dane wyciekły (np. diagnozy, numery PESEL-ów amerykańskich, wyniki badań), co firma robi, aby naprawić sytuację, oraz wskazówki postępowania dla ofiar (np. zamrożenie kredytu, zmiana haseł medycznych).

W przypadku wycieków danych, które dotyczą ponad 5000 osób, odpowiednia informacja musi zostać wysłana również do lokalnych mediów – gazet, TV w regionie zamieszkania ofiar. Dzięki temu osoby, które nie zaktualizowały swoich danych kontaktowych, mają możliwość uzyskania wiadomości o tym zdarzeniu. Dodatkowo, gdy brakuje aktualnych adresów dla ponad 10 poszkodowanych, podmiot, u którego doszło do wycieku, musi umieścić ogłoszenie na swojej stronie internetowej przez okres 90 dni.

Od zgłaszania breachy istnieje jednak pewien wyjątek. Dotyczy on danych, które są zabezpieczone. Jeśli ePHI chronione jest szyfrowaniem na odpowiednim poziomie, którym jest minimum AES-128 bitów (zalecane AES-256bitów) albo TLS 1.2+ dla transmisji bitów (zalecane TLS 1.3+ dla transmisji bitów), incydenty nie są kwalifikowane jako breache. W tym przypadku organizacja musi w przeciągu 30 dni przeprowadzić analizę ryzyka.

W niej należy dokonać realnej oceny, czy hakerzy naprawdę mają możliwość odczytania oraz użycia skradzionych danych. Należy również ocenić czy istnieje realne ryzyko szkody dla pacjentów (np. szantaży medycznych). Odpowiednia dokumentacja wykonanej oceny chroni wówczas organizację przed potencjalnymi karami. Jest to tzw. „safe harbor”. W praktyce około 80% potencjalnych wycieków kończy się takimi właśnie analizami, oszczędzając firmom milionów dolarów w grzywnach.

Na terenie USA w 2025 r. co 14 godzin dochodziło do dużego (ponad 500 pacjentów) naruszenia danych medycznych, co w skali roku dało 642 incydenty dotykające aż 57 milionów osób.

Gdy wyciek danych nastąpił u dostawcy usług IT firma ta również jest zobowiązana zgłosić ten fakt. Zgłasza go jednak nie do OCR, a do głównego podmiotu (na przykład szpitala), który obsługuje. W takim wypadku to właśnie główny podmiot podejmuje dalsze decyzje i bierze za nie odpowiedzialność przed HHS.

Oczywiście w umowie BAA może znaleźć się zapis stanowiący inaczej i wskazujący inną jednostkę, do której należy zgłosić zdarzenie.

Praktyczne kroki po wykryciu incydentu:

Zatrzymaj wyciek – odłącz system, zmień hasła, zlokalizuj dane.

Analiza w 30 dni – zespół ekspertów ocenia skalę i ryzyko szkody.

Powiadomienia (w zależności od skali wycieku) – pacjentów, HHS, mediów.

Działania naprawcze – audyt zabezpieczeń, szkolenia, aktualizacja polityk.

Raport wewnętrzny – log dla OCR i przygotowanie się na ewentualny pozew.

Przykład z praktyki: W lutym 2024 r. procesor płatności UnitedHealth Group padł ofiarą ransomware. Brak MFA na zdalnym dostępie pozwolił hakerom przez 9 dni eksploatować luki, dotykające danych aż 190 mln pacjentów. Firma podała w końcowym raporcie, że straty wynikające z tego incydentu wyniosły ją w sumie aż 3,09 miliarda dolarów.

Atak ten sparaliżował na kilka tygodni procesowanie płatności medycznych w USA, doprowadzając do licznych bankructw mniejszych przychodni i problemów z wydawaniem leków w aptekach. Ze względu na olbrzymi zasięg i skutki, OCR nie zakończyło jeszcze dochodzenia w tej sprawie.

Firmy IT z sektora healthcare powinny wyciągnąć z tego zdarzenia lekcję: MFA, segmentacja, logi SIEM to nie są opcje, a Security Rule. Jeden brak może spowodować setki milionów strat.

OCR nie nakłada kar tylko i wyłącznie za incydenty w postaci wycieków danych. Sankcjom tym podlegają tak samo problemy w postaci niedotrzymania terminów powiadomienia pacjentów, OCR lub mediów o incydencie, lub nawet niezgłoszenie go wcale.

W 2025 roku średnia kara za duży breach przekroczyła kwotę 2 mln USD. Dodatkowo do tego dochodzą koszty prawne oraz koszty audytów. Jednak dla organizacji najbardziej szkodliwa jest utrata reputacji. Przykładowo, po aferze z Anthem (wyciek 78 mln rekordów w 2015) firma straciła miliardy USD na wartości rynkowej.

Aby dostosować się do wymogów Breach Notification Rule, warto zainwestować w konkretne rozwiązania: systemy monitoringu logów (SIEM), gotowe szablony powiadomień dla pacjentów oraz ćwiczenia symulujące incydenty na szkoleniach. W branży medycznej takie środki to nie wydatek, lecz zabezpieczenie. Nie należy sobie zadawać pytania „czy”, ale „kiedy” nastąpi atak. Powszechnie wiadomo, że profilaktyka chroni zdecydowanie skuteczniej niż reakcja po fakcie.

Podsumowując, zasada powiadamiania o naruszeniach (Breach Notification Rule) pełni rolę mechanizmu ochronnego, który gwarantuje otwartość działania. W dobie gwałtownego wzrostu ataków ransomware zabezpiecza pacjentów i wymusza odpowiedzialność na organizacjach. Europejscy specjaliści od cyberbezpieczeństwa mogą tu czerpać wskazówki: w USA dane zdrowotne są chronione z równą powagą jak infrastruktura krytyczna.

Elektroniczne dane zdrowotne (ePHI): ochrona danych w chmurze

Źródło: https://pixabay.com/pl/illustrations/audio-d%c5%bawi%c4%99k-wz%c3%b3r-technologia-585399/

ePHI (electronic Protected Health Information ) jest podstawą całego elektronicznego systemu zdrowotnego w USA. Należą do niego wszelkie informacje zdrowotne dotyczące pacjenta, które są tworzone, przechowywane, wysyłane, odbierane i modyfikowane w wersji cyfrowej. Można je porównać do danych w wersji papierowej PHI:

Rodzaj	Forma	Przykłady	Ochrona
PHI	Papierowa + elektroniczna	Karta wypisu, historia chorób	Privacy Rule
ePHI	Wyłącznie cyfrowa	EHR, e-recepty, billing w Excelu	Security Rule

ePHI mogą być przechowywane w dowolnym formacie i w dowolnym miejscu. Mogą więc znajdować się w bazach danych, e-mailach, systemach EHR i EMR. Ze względu na swoją ważność i określenie ePHI jako danych krytycznych ich ochrona podlega pod Privacy Rule. Przestrzeganie obowiązków narzuconych przez nie, jest stanowczo weryfikowane podczas audytów.

Poziom	Dane	Przykład
Krytyczne	ePHI	EHR, billing Medicare
Wrażliwe	PHI papierowe	Karta wypisu
Zwykłe	De-identyfikowane	Anonimowe statystyki

ePHI zawiera zestaw 18 identyfikatorów określanych jako „identyfikatory Safe Harbor”, które umożliwiają powiązanie danych zdrowotnych z konkretną osobą. Pełna lista tych identyfikatorów znajduje się poniżej:

Lp.	Identyfikator	Opis
1	Imiona i nazwiska	Pełne imię, nazwisko, inicjały, pseudonimy
2	Dane adresowe	Ulica, miasto, kod pocztowy, hrabstwo, precinct
3	Elementy dat	Daty urodzin, wizyt, wypisu, śmierci – usuwa dzień i miesiąc, rok zostaje
4	Wiek >89 lat	Wszystkie osoby 90+ grupowane są jako „90 lub starsi”
5	Numery telefonów	Stacjonarne, komórkowe, domowe
6	Numery faksów	Numery urządzeń faksowych.
7	Adresy e-mai	Osobiste i służbowe adres
8	Numery Social Security (SSN)	9-cyfrowy numer identyfikacyjny Amerykanów
9	Numery rekordów medycznych	Szpitalne ID pacjenta, numer EHR
10	Numery planów zdrowotnych	Unikalne identyfikatory przypisane do polis ubezpieczenia zdrowotnego
11	Numery kont	Bankowe, billingowe, karty kredytowe.
12	Certyfikaty/licencje	Zawodowe (lekarz, pielęgniarka), stanow
13	Identyfikatory pojazdów	VIN, tablice rejestracyjne
14	Numery seryjne urządzeń	Defibrylatory, pompy insulinowe
15	Adresy IP i URL	Sieciowe identyfikatory, strony internetowe
16	Identyfikatory biometryczne	Odciski palców, skany siatkówki, głos
17	Zdjęcia twarzy/obrazy	Fotografie, MRI/CT z twarzą
18	Inne unikalne kody	Dowolne cechy identyfikujące osobę

Elektroniczne dane zdrowotne posiadają kilka specyficznych dla nich właściwości. To właśnie dzięki nim są one traktowane w sposób szczególny w przepisach HIPAA. Tak więc do głównych cech ePHI należą:

Podwójna wrażliwość – dzięki identyfikatorom umożliwiającym połączenie informacji osobowych z danymi medycznymi (przyjmowanymi lekami, diagnozami, historią chorób) są drogocennym zasobem informacyjnym.

Dynamiczność – dane nie są stałe. Są wciąż modyfikowane, aktualizowane i nadpisywane.

Ekspozycja IT – w związku z tym, że są przetwarzane w wielu systemach i środowiskach, w znacznym zakresie zwiększa się potencjalna powierzchnia ataku.

ePHI to nie są statyczne pliki, lecz żywy ekosystem danych medycznych wciąż płynący przez sieć IT – stąd Security Rule narzuca się ze swoimi wymogami MFA i szyfrowaniem.

Aby stwierdzić, że jakieś dane są ePHI wystarczy jakakolwiek informacja, która łączy osobę z jej stanem zdrowia. W tym celu wystarczy choćby jeden z 18 identyfikatorów w połączeniu z jej danymi zdrowotnymi. Te informacje wystarczają do zidentyfikowania konkretnej osoby, co automatycznie nadaje danym status ePHI podlegający ścisłym regulacjom HIPAA.

ePHI czasami z różnych powodów wymagają usunięcia. Dokonać tego należ w sposób bezpieczny i taki, który spowoduje, że dane staną się anonimowe. W tym celu HIPPA dopuszcza zastosowanie jednej z dwóch metod de-identyfikacji ePHI:

Safe Harbor jest zdecydowanie łatwiejsza. Polega na usunięciu wszystkich 18 identyfikatorów. Metoda ta jest idealna dla prostych przypadków, ale może nadmiernie redukować użyteczność danych. Wynika to z braku precyzyjnych dat, ponieważ podczas ich usuwania można zachować tylko i wyłącznie rok.

Expert Determination – jest to elastyczna metoda de-identyfikacji danych zdrowotnych. Kwalifikowany ekspert, opierając się na specjalistycznej wiedzy statystycznej i naukowej, ocenia ryzyko ponownej identyfikacji danych. Stosuje przy tym uznane metody analizy, aż do osiągnięcia poziomu ryzyka uznanego za „bardzo niski”. Dzięki temu nie trzeba usuwać wszystkich 18 identyfikatorów Safe Harbor, zachowując więcej użytecznych informacji, które mogą być wykorzystane do rozmaitych celów.

Aspekt	Safe Harbor	Expert Determination
Podejście	Usunięcie 18 elementów	Ocena ryzyka przez eksperta
Elastyczność	Sztywne reguły	Dopasowane do danych
Zastosowanie	Proste przypadki	Zaawansowane analizy (np. z datami)

Po dokonaniu de-identyfikacji dane stają się w pełni anonimowe. Dlatego też przestaje obowiązywać je restrykcyjna ochrona wynikająca z HIPAA. Dane takie mogą być użyteczne do wszelkiego rodzaju badań, analiz, AI/ML, publikacji.

W środowiskach chmurowych na przykład takich jak AWS, ochrona elektronicznych informacji zdrowotnych (ePHI) wymaga podpisania specjalnej umowy BAA z dostawcą. Służy ona do jasnego określenia ról w zabezpieczaniu danych. Kluczowe jest szyfrowanie przechowywanych plików za pomocą silnych algorytmów oraz podczas ich przesyłu. Niezwykle ważne jest także wieloskładnikowe uwierzytelnianie dostępu i ścisła kontrola uprawnień użytkowników.

Praktyczne kroki wdrożenia:

Wybieraj tylko i wyłącznie usługi, które są oznaczone jako zgodne z HIPAA (np. magazyny S3 na archiwa czy bazy RDS na aktywne bazy medyczne).

Monitoruj aktywność logami i izoluj sieci za pomocą wirtualnych sieci prywatnych.

Regularnie sprawdzaj i ewentualnie wprowadzaj zmiany w konfiguracji, aby uniknąć luk w zabezpieczeniach.

Ten model współdzielonej odpowiedzialności pozwala skalować przetwarzanie danych medycznych przy zachowaniu pełnej zgodności.

Security Risk Analysis (SRA) wg HIPAA Security Rule

Źródło: https://pixabay.com/pl/illustrations/ai-generowane-lekarz-medyczny-9268114/

Security Risk Analysis (SRA) stanowi rekomendowaną przez HHS coroczną procedurę analizy ryzyk, które są związane z elektronicznymi danymi zdrowotnymi (ePHI). Metodyka ta jest zgodna z wymogami HIPAA Security Rule. Głównie koncentruje się ona na wyprzedzającym wykrywaniu ukrytych słabości w systemach IT, takich jak serwery lokalne czy też chmury obliczeniowe. Działanie takie pozwala zapobiegać incydentom, np. atakom phishingowym lub wyciekom z niezaszyfrowanych baz danych.

W przeciwieństwie do pełnego audytu, SRA opiera się na ciągłej analizie ryzyka jednak bez sztywnych ram czasowych. W praktyce w branży healthcare wykonuje się ją raz w roku, dokumentując wyniki dla OCR. W praktyce sektora healthcare, analiza ryzyka jest przeprowadzana co roku, dokumentując wyniki dla OCR.

Główne kroki metodyki SRA obejmują inwentaryzację aktywów, identyfikację zagrożeń i ich ocenę pod kątem prawdopodobieństwa wystąpienia oraz wpływu na poufność, integralność i dostępność danych. Priorytetyzacja następuje za pomocą prostej matrycy, gdzie mnoży się wskaźniki ryzyka, wyróżniając te wymagające szybkiej reakcji, jak wdrożenie MFA czy aktualizacji patchy bezpieczeństwa. Kończy się rejestracją ryzyk z planami ich wyeliminowania. Dokument podsumowujący może mieć formę pdf-a, Excela, lub inną postać, którą można umieścić na platformie elektronicznej. Musi on być szybko dostępny podczas audytu OCR, dlatego nie zaleca się go tworzyć w formie papierowej, ponieważ może to być problematyczne.

Etapy Analizy Ryzyka (SRA):

Faza SRA	Zadania	Przykłady zagrożeń
Inwentaryzacja	Spis ePHI, przepływy danych, vendorzy	Nieznane aplikacje SaaS
Identyfikacja	Katalog phishingu, luk w chmurze	Ransomware na S3/RDS
Ocena	Prawdopodobieństwo × wpływ (CIA)	Utrata dostępu do EHR
Priorytetyzacja	Matryca ryzyka	Brak szyfrowania – wysoki priorytet
Dokumentacja	Rejestr z planami	BAA z dostawcami

Ogólny audyt zgodności z HIPAA Security Rule

Źródło: https://pixabay.com/pl/illustrations/rewizja-raport-weryfikacja-lupa-4576720/

Audyt zgodności z HIPAA to systematyczna weryfikacja zabezpieczeń elektronicznych danych zdrowotnych (ePHI), której ramy wyznacza Security Rule. Obejmuje ona trzy podstawowe obszary:

administracyjny (procedury i szkolenia personelu),

techniczny (szyfrowanie oraz logi dostępu),

fizyczny (kontrola pomieszczeń i wejść).

Podejście to wymaga sekwencyjnego wykonania wszystkich etapów, ponieważ pominięcie choćby jednego z nich obniża efektywność całości, ponieważ każdy z nich pełni ważną funkcję w wykrywaniu i neutralizacji zagrożeń.

Ta metodyka łączy w sobie elementy corocznego Security Risk Analysis (SRA) wg HHS z pełnym cyklem audytu, zapewniając pełną ochronę przed incydentami takimi jak phishing czy luki w chmurze (np. S3/RDS). W praktyce healthcare wciąż podkreśla się ciągłość zarządzania ryzykiem, które HIPAA traktuje jako proces permanentny – bez sztywnych ram czasowych czy szablonów. Integracja SRA z tym audytem pozwala organizacjom medycznym nie tylko spełniać wymogi OCR, ale też minimalizować kary poprzez proaktywne działania.

Weryfikacja trzech obszarów zabezpieczeń przechodzi w testy praktyczne: pentesty, skany podatności i symulacje naruszeń. Analizę luk należy porównać do wyników z §164.308(a)(8), który to wymaga okresowej oceny technicznej i nietechnicznej ePHI. Cała procedura kończy się raportem z rekomendacjami, planem wdrożeń i weryfikacją poprawek. Nie istnieje konieczność wykonania natychmiastowych testów po wdrożeniu poprawek. W praktyce wykonuje się je w terminie 30-90 dni przed kolejnym przeglądem.

Etapy audytu zgodności z elementami SRA:

Etap	Działania (synteza audytu + SRA)	Powiązanie z HIPAA/HHS
Przygotowanie	Wyznacz audytora, inwentaryzuj aktywa ePHI, data flows, BAA	Scope wg HHS SRA Tool
Ocena ryzyka	Identyfikuj zagrożenia (phishing, luki S3/RDS); oceń prawdopodobieństwo × wpływ	§164.308(a)(1)(ii)(A)
Weryfikacja kontroli	Administracyjne (szkolenia), fizyczne (dostęp), techniczne (MFA, szyfrowanie, logi)	Trzy safeguards
Testy praktyczne	Pentesty, skany luk, symulacje naruszeń	Vulnerability scans
Analiza luk	Porównaj z §164.308(a)(8) – ocena Ephi	NIST 800-66 Rev. 2
Raport i rekomendacje	Dokumentuj niezgodności, priorytetyzuj, plan remediacji	Risk register + plany.
Weryfikacja	Wdróż poprawki, powtórz testy (30-90 dni)	Follow-up coroczny

Przepisy ustawy zawarte w HIPAA nie narzucają sztywnej częstotliwości ani formatu oceny zagrożeń, a tylko ciągłe i regularne przeglądy. NIST SP 800-66 zaleca dokonywanie corocznej dokumentacji analizy ryzyka ePHI. Dlatego właśnie w sektorze medycznym standardem jest tworzenie corocznego raportu ryzyka, zawierającego opis zagrożeń, luk oraz wdrożonych środków łagodzących.

Coroczny Raport Ryzyka ePHI – praktyka i wymagania:

Element praktyki	Szczegóły w healthcare
Coroczny raport ryzyka	Analiza zagrożeń ePHI: zagrożenia (phishing), luki (brak szyfrowania), środki (MFA, BAA)
Format dokumentu	Elastyczny: Excel tabela, PDF z podpisem security officera, rejestry w narzędziach jak HITRUST
Częstotliwość	Rocznie lub po zmianach (nowa chmura, breach); weryfikacja w 30-90 dni
Dowody zgodności	Logi, screenshots, szkolenia – brak to 71% kar OCR

HITRUST CSF (Common Security Framework)

Źródło: https://pixabay.com/pl/photos/struktura-rusztowanie-budowa-2710841/

HITRUST CSF (Common Security Framework) jest to certyfikowalny framework bezpieczeństwa informacji, który dedykowany jest dla sektora healthcare. Łączy w sobie różne standardy (na przykład NIST, ISO i inne) z wymaganiami HIPAA Security Rule. Obejmuje 14 kategorii kontroli, zawierających aż 156 procedur (w pełnym HITRUST CSF).

Lista 14 kategorii kontrolnych:

Lp.	Kategoria Kontroli	Krótki Opis
1	Information Protection	Ochrona poufności i integralności danych
2	Access Control	Kontrola dostępu i uwierzytelnianie
3	Human Resources Security	Bezpieczeństwo zatrudnienia i szkoleń
4	Risk Management	Zarządzanie ryzykiem i analiza zagrożeń
5	Incident Management	Reagowanie na incydenty bezpieczeństwa
6	Physical Security	Ochrona fizyczna i środowiskowa
7	Operations Management	Bezpieczne operacje IT
8	Business Continuity	Ciągłość biznesowa i odzyskiwanie
9	Compliance	Zgodność z regulacjami prawnymi
10	Privacy Management	Zarządzanie prywatnością danych
11	Network Security	Bezpieczeństwo sieci i komunikacji
12	Platform Security	Zabezpieczenia infrastruktury i platform
13	Application Security	Bezpieczeństwo aplikacji i developmentu
14	Vendor Management	Zarządzanie ryzykiem dostawców

Obszary oceny grupują te kategorie w praktyczne bloki do audytu pokrywające pełen zakres bezpieczeństwa w healthcare.

Obszary Oceny HITRUST CSF:

Lp.	Obszar Oceny (Domain)	Krótki Opis
1	Information Protection	Ochrona danych ePHI i poufności
2	Access Control	Zarządzanie dostępem i uwierzytelnianiem
3	Human Resources Security	Bezpieczeństwo personelu i szkolenia
4	Risk Management	Identyfikacja i analiza ryzyk
5	Incident Management	Reakcja na incydenty i breache
6	Physical & Environmental Security	Ochrona fizyczna obiektów i infrastruktury
7	Operations Management	Bezpieczne operacje IT i maintenance
8	Business Continuity	Ciągłość działania i DRP
9	Compliance	Zgodność z regulacjami (HIPAA, NIST)
10	Privacy Management	Zarządzanie prywatnością danych
11	Network Security	Zabezpieczenia sieci i komunikacji
12	Platform & Infrastructure Security	Bezpieczeństwo serwerów i chmury
13	Application Security	Testy i hardening aplikacji
14	Vendor Management	Audyty i kontrakty z dostawcami
15	Configuration Management	Zarządzanie zmianami i konfiguracjami
16	Vulnerability Management	Skanowanie i łatanie luk
17	Audit Logging & Monitoring	Logi, audyty i SIEM
18	Education, Training & Awareness	Podnoszenie świadomości bezpieczeństwa
19	Third-Party Risk Management	Ryzyka zewnętrznych partnerów

HITRUST CSF charakteryzuje się specjalnym modelem Capability Maturity, który umożliwia nie tylko jednorazowe audyty, ale także ciągłą weryfikację. Służy do tego platforma myAssessment, dzięki której następuje automatyzacja audytów i raportów.

HITRUST CSF oferuje trzy poziomy walidacji:

samoocenę przez organizację,

ocenę certyfikowanego audytora,

pełną certyfikację (ważna przez okres 2 lat).

HITRUST CSF współpracuje z systemami klasy SIEM i UEBA. Dzięki temu wpływa na ułatwienie pracy, automatyzując wykrywanie podatności oraz testy phishingowe. Jest to rozwiązanie wprost skrojone pod potrzeby specjalistów do spraw bezpieczeństwa w placówkach medycznych.

Zalety HITRUST CSF w kontekście HIPAA:

Zaleta	Zastosowanie w HIPAA Compliance
Integracja norm	Łączy HIPAA z NIST 800-66 i ISO
Elastyczność	Od prostych testów po pełny certyfikat
Ciągły monitoring	ISCM z danymi na żywo w czasie
Ryzyko vendorów	Standaryzowane umowy eBAA

Porównanie z polskim porządkiem prawnym

Źródło: https://pixabay.com/pl/photos/strza%c5%82ka-drogowskaz-deska-2275730/

HIPAA znacząco różni się od polskich przepisów prawnych, gdzie dominuje RODO wsparte krajowymi ustawami. Oba systemy dążą do ochrony danych wrażliwych, szczególnie zdrowotnych, ale każde z nich na swój sposób.

Amerykańska ustawa HIPAA koncentruje się tylko na bardzo wąskim spektrum, konkretnie na informacjach medycznych, które są zawarte w ePHI. Tak więc dotyczą głównie wyników badań, diagnoz czy też historii leczenia. Obowiązuje swoim wpływem tylko organizacje takie jak szpitale, kliniki, ubezpieczycieli, a także ich podwykonawców.

W Polsce RODO obejmuje wszystkie dane osobowe. Informacje zdrowotne są traktowane jako kategoria szczególna, która wymaga wyraźnej zgody lub podstawy prawnej do tego, aby je przetwarzać. RODO jest uzupełniony innymi ustawami. Są to:

ustawa o Ochronie Danych Osobowych z 2018 r. (znowelizowana w 2023 roku, ale bez zmian merytorycznych);

ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta;

sektorowe przepisy o informatyzacji medycznej.

Taka obudowa prawna powoduje, że powstał znacznie bardziej zdecentralizowany, ale również kompleksowy system.

Pomimo tego, pomiędzy oboma aktami prawnymi istnieje wiele wspólnych elementów.

Podobieństwa pomiędzy oboma aktami prawnymi:

Obszar Bezpieczeństwa	HIPAA	RODO/Polska
Techniczne zabezpieczenia	§164.312 – szyfrowanie, logi, MFA	Art. 32 – środki bezpieczeństwa
Analiza zagrożeń	Security Risk Assessment (SRA.)	DPIA dla ryzyk wysokich (art. 35)
Współpraca z dostawcami	Business Associate Agreement (BAA)	Umowa powierzenia (art. 28)
Reakcja na incydenty	Zgłoszenie do OCR w 60 dni	Zgłoszenie do UODO w 72h
Świadomość personelu	Coroczne szkolenia HIPAA	Szkolenia z RODO i phishingu
Dokumentacja ryzyka	Coroczny raport ePHI z remediacją	Rejestr czynności + plany działań

Różnice pomiędzy nimi występują w zakresie podmiotowym oraz kar. HIPAA przyznaje znacznie mniej praw jednostkom. Jej główny zakres skupia się na dostosowaniu organizacji do obowiązujących przepisów. W przypadku notorycznych naruszeń kary mogą się sumować i osiągać znaczne wartości. W przypadku HIPAA nie ma czegoś takiego jak „prawo do zapomnienia” lub „prawo do sprostowania”.

RODO natomiast jest bardziej pro-obywatelskie. Dzięki przepisom zawartym w art. 15-22 znacząco wzmacnia pozycję obywatela w tym zakresie. Natomiast kary, które może nałożyć UODO mogą sięgnąć 20 mln EUR lub nawet aż 4% globalnego obrotu.

Polska wprowadziła również inne regulacje i mechanizmy. Należą do nich krajowe ramy bezpieczeństwa medycznego (MRBP), a także ustawa o krajowym systemie cyberbezpieczeństwa (KSC).

Ta druga narzuca podmiotom działającym w branży ochrony zdrowia w Polsce obowiązek współpracy z zespołem CSIRT (np. CSIRT GOV, który odpowiada między innymi za sektor służby zdrowia). Szpitale i przychodnie mają obowiązek szybkiego zgłaszania incydentów do zespołów CSIRT GOV, a dostawcy IT wspierają ich w wykrywaniu, analizie i usuwaniu incydentów cybernetycznych. Odróżnia to KSC od zapisów ujętych w HIPAA, gdzie brak jest tak konkretnych wymogów dotyczących incydentów i zespołów reagowania.

Różnica miedzy HIPAA a RODO i przepisami prawa w Polsce:

Aspekt	HIPAA (PHI/ePHI)	RODO (art. 12-23) + ustawa o prawach pacjenta
Dostęp do danych	Inspekcja i kopia dokumentacji medycznej (30 dni, max 60, opłata do 0,5 USD/str.)	Bezpłatny dostęp (1 mies.), kopia elektroniczna + prawo do dokumentacji medycznej (bezpłatnie, 30 dni)
Poprawka danych	Korekta błędów w dokumentacji medycznej (odmowa możliwa z uzasadnieniem)	Sprostowanie wszystkich danych osobowych + poprawka dokumentacji medycznej (natychmiast)
Usunięcie danych	Brak prawa do zapomnienia	Prawo do usunięcia (jeśli brak podstawy przetwarzania), ograniczone dla dokumentacji medycznej
Przenoszalność	Brak standardowego prawa	Dane w formacie maszynowym do innego podmiotu (art. 20 RODO)
Zgoda i odmowa	Zgoda tylko na ujawnienie poza leczeniem	Wyraźna zgoda na dane szczególne (art. 9), prawo do odmowy leczenia z poszanowaniem intymności
Informacja o naruszeniach	Powiadomienie w 60 dni (>500 osób do mediów)	72h do UODO + pacjent, jeśli wysokie ryzyko (art. 34), natychmiast przy zagrożeniu zdrowia
Tajemnica lekarska	Privacy Rule (45 CFR 164)	Art. 9 RODO + art. 40 ustawy o zawodach lekarza, sankcje karne
Skarga	OCR (HHS.gov), brak kar indywidualnych	UODO + Rzecznik Praw Pacjenta + sąd (do 20 mln EUR), bezpłatne wsparcie

Polskie firmy IT, które tworzą SaaS dla przychodni, napotykają złożone problemy dotyczące zgodności z regulacjami lokalnymi i międzynarodowymi. Dotyczy to szczególnie sytuacji przy offshoringu czy usługach chmurowych. Firmy te muszą rozwiązać problem posiadania podwójnych zgodności:

Polska (RODO i KSC): obowiązkowe rejestry czynności przetwarzania (RCP), dodatkowo DPIA przy wysokim ryzyku (jak dane zdrowotne). Musi istnieć pseudonimizacja jako zabezpieczenie (np. obrazy RTG). Incydenty do UODO muszą być zgłaszane w ciągu 72h. Duże wycieki powodują zaangażowanie się w sprawę Rzecznika Praw Pacjenta i NFZ.

USA (HIPAA): wymagane są podpisane kontrakty z podmiotami medycznymi Business Associate Agreement (BAA). Dla większych organizacji zalecany jest HITRUST CSF – jest to framework, który integruje ze sobą HIPAA, NIST i ISO 27001. Jego koszt waha się w granicach 50-120 tys. USD. Koszty te są to przeważnie opłaty dla niezależnej, certyfikowanej firmy audytorskiej oraz dostęp do platformy MyCSF.

W 2026 roku polskie firmy IT z branży medycznej coraz częściej posiadają podwójną certyfikację naraz – jedną dla Europy (RODO), drugą dla USA (zgodność z HIPAA, często potwierdzana certyfikatem HITRUST).

Wzrost eksportu usług polskiego IT healthcare wynika z dynamicznego rozwoju całego sektora IT/ICT – w latach 2022-2026 dynamika wzrostu eksportu przekroczyła 30% skumulowania (z ok. 60 mld PLN w 2022 r. do prognozowanych ponad 90 mld PLN w 2026 r.). To mocno napędza standard podwójnych zgodności: RODO w UE, HIPAA/HITRUST w USA.

Narzędzia takie jak XDR ułatwiają sprawę, ponieważ skany zabezpieczeń spełniają wymagania obu praw (np. wykrywanie luk w danych zdrowotnych).

HIPAA vs RODO: Kluczowe różnice w prawach pacjenta i karach finansowych

Źródło: https://pixabay.com/pl/photos/koty-kraty-popatrz-okno-1035988/

Kary, które zawarte są w obu aktach prawnych, motywują do działania. Jednak każdy z nich wpływa na rynek IT inaczej. W Polsce UODO ściga i karze głównie za brak przygotowania (71% kar w służbie zdrowia w 2024 r.). Natomiast amerykański OCR koncentruje się przede wszystkim na naprawach po wyciekach. Dlatego coroczne analizy ryzyka (SRA w USA, DPIA w UE) stanowią fundament działalności firm medycznych działających na styku tych dwóch jurysdykcji.

Podsumowując powyższe, polski system jest znacznie szerszy i bardziej obywatelski. Zapewniają to przepisy zawarte w RODO. Jest również mniej sektorowy niż HIPAA, dzięki czemu firmy IT zyskują elastyczność w UE. Jednakże, aby móc eksportować swoje usługi w sektorze zdrowotnym do USA, muszą podpisać BAA i przystosowywać się do HIPAA. Wydaje się, że pomimo wysokich kosztów jest to proces z pewnością opłacalny w dłuższym okresie.

Podsumowanie

Źródło: https://pixabay.com/pl/illustrations/postrzeganie-to%c5%bcsamo%c5%9b%c4%87-po%c5%82%c4%85czenie-9707760/

Zgodność z regulacjami HIPAA to w dzisiejszym środowisku informatycznym nie tylko obowiązek narzucony przez prawo dla podmiotów, które działają na rynku amerykańskim. Jest to także fundament zaufania w relacji lekarz-pacjent oraz partner biznesowy-klient. Analiza zmiany przepisów – od momentu ich powstania w 1996 roku, poprzez ustawę HITECH, aż po nadchodzące zmiany w Security Rule – pokazuje wyraźnie oczywisty kierunek zmian: zaostrzanie standardów ochrony danych ePHI w obliczu coraz bardziej wyrafinowanych cyberzagrożeń.

Dla naszych rodzimych firm z branży IT i placówek medycznych kluczem do sukcesu jest zrozumienie różnic między „obywatelskim” podejściem RODO a „sektorowym i proceduralnym” rygorem HIPAA. Aby skutecznie zarządzać bezpieczeństwem potrzeba dziś synergii: regularnego przeprowadzania analiz ryzyka (SRA), wdrażania zaawansowanych technologii ochrony (takich jak systemy XDR czy uwierzytelnianie wieloskładnikowe), a także dbałości o formalne aspekty współpracy, w tym kluczowe umowy BAA.

W erze gwałtownego wzrostu eksportu usług medycznych i technologicznych standard polegający na osiągnięciu „podwójnej zgodności” (RODO i HIPAA/HITRUST) staje się nową normą rynkową. Podmioty, które potrafią skutecznie połączyć te dwa systemy, nie tylko unikają wielomilionowych kar, ale przede wszystkim budują przewagę konkurencyjną. Zapewniają również najwyższy poziom bezpieczeństwa najbardziej wrażliwych informacji, jakimi są dane o zdrowiu i życiu pacjentów.

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Doceń naszą prace