Para pakar menegaskan bahwa jumlah ini hampir pasti akan meningkat setelah investigasi forensik selesai dan skala pelanggaran dapat dipastikan secara akurat.
Penyebab Utama Pelanggaran Data Kesehatan
Dominasi Insiden Peretasan dan TI
Peretasan dan insiden teknologi informasi lainnya mendominasi pelanggaran data Desember 2025, mencakup lebih dari 80 persen dari seluruh insiden yang dilaporkan. Insiden ini memengaruhi lebih dari 94 persen total individu terdampak bulan tersebut.
Rata-rata ukuran pelanggaran akibat peretasan mencapai hampir 10.000 individu, sementara median berada di kisaran 2.500 individu.
Akses Tidak Sah dan Email Phishing
Selain peretasan jaringan, terdapat delapan insiden akses atau pengungkapan tanpa izin, sebagian besar melibatkan akun email yang diretas melalui teknik phishing. Tidak ada insiden kehilangan perangkat fisik atau pembuangan data yang tidak semestinya yang dilaporkan pada bulan ini.
Entitas yang Paling Terdampak
Penyedia Layanan Kesehatan di Posisi Teratas
Penyedia layanan kesehatan menjadi entitas yang paling terdampak, melaporkan 29 dari 41 pelanggaran data Desember 2025. Perusahaan asuransi kesehatan dan rekan bisnis masing-masing melaporkan enam pelanggaran.
Dalam kasus pelanggaran di rekan bisnis, tanggung jawab pemberitahuan tetap berada pada entitas yang diatur oleh HIPAA, meskipun pelanggaran terjadi di pihak ketiga.
Distribusi Geografis Pelanggaran Data
Negara Bagian dengan Insiden Terbanyak
California mencatat jumlah pelanggaran tertinggi pada Desember 2025, sebagian besar terkait dengan insiden TriZetto. New York berada di posisi kedua, namun mencatat jumlah individu terdampak terbesar akibat pelanggaran Fieldtex Products.
Negara Bagian dengan Dampak Terbesar
Dalam hal jumlah individu terdampak, New York dan Texas menempati posisi teratas, diikuti Georgia dan California. Hal ini menunjukkan bahwa satu insiden besar dapat berdampak signifikan meski jumlah pelanggaran relatif sedikit.
Penegakan HIPAA Sepanjang Desember 2025
Denda dan Sanksi Finansial
OCR mengumumkan satu tindakan penegakan HIPAA pada Desember 2025, dengan Concentra, Inc. dikenai denda sebesar US$112.500 akibat pelanggaran hak akses pasien terhadap catatan medis.
Sepanjang 2025, OCR telah menyelesaikan 21 kasus penegakan HIPAA dengan total denda mencapai US$8,33 juta, menandakan intensitas pengawasan yang tetap tinggi meski jumlah pelanggaran menurun.
Peran Jaksa Agung Negara Bagian
Jaksa Agung New York juga menjatuhkan sanksi terhadap Orthopedics NY LLP dengan denda US$500.000, menegaskan bahwa penegakan aturan keamanan data tidak hanya bergantung pada pemerintah federal.
Kesimpulan: Penurunan Angka Bukan Alasan Lengah
Laporan pelanggaran data layanan kesehatan Desember 2025 memang menunjukkan penurunan signifikan, namun ancaman siber terhadap sektor kesehatan masih sangat nyata. Peretasan, ransomware, dan kebocoran data melalui pihak ketiga tetap menjadi risiko utama yang membutuhkan perhatian serius.
