Å bygge healthtech i 2026: HIPAA, FHIR og løsepengematematikken du ikke kan hoppe over

Ett tall setter innsatsen før du skriver en eneste kodelinje: et gjennomsnittlig datainnbrudd i helsesektoren koster nå rundt 10,22 millioner dollar, og helsesektoren har innehatt tittelen for de dyreste innbruddene i noen bransje fjorten år på rad. Det er ikke en marginal risiko du lapper på etter lansering. For alle som bygger programvare som berører pasientdata, er det selve tingen hele produktet til slutt bygges rundt.

Et timeplanleggingsverktøy og et verktøy for pasienttimebestilling ser nesten identiske ut i en demo. Samme kalender, samme bestillingsflyt, samme bekreftelses-e-post. Forskjellen ligger helt under panseret: hvem som kan se en journal, hvor den lagres, hvem du juridisk har lovet å beskytte den for, og hva som skjer den dagen noen prøver å stjele den. Ingenting av dette dukker opp i et skjermbilde, og alt sammen avgjør om produktet er klart til å sendes ut.

Tre ting former hva "bra" betyr i healthtech akkurat nå. HIPAAs Security Rule skrives om for første gang på over tjue år. Føderale interoperabilitetsfrister tvinger helsedata over på en felles API-standard. Og løsepengevirus har blitt ille nok til at myndighetene har sluttet å behandle et innbrudd som uflaks og begynt å behandle det som bevis. Hvis du planlegger en utvikling, behandle alle tre som designbegrensninger, ikke juridiske fotnoter du tar deg av senere. Den tidlige versjonen er langt billigere enn ettermonteringen.

Løsepengevirus sluttet å være noen andres problem

Omfanget er vanskelig å vifte bort. Siden 2009 har USA registrert mer enn 7 400 datainnbrudd i helsesektoren, som har berørt over 935 millioner journaler — flere ganger landets befolkning. Løsepengevirus står for en økende andel av det: det ligger bak rundt 28 prosent av de store helseinnbruddene, og den andelen blir stadig større. For et lite selskap som forvalter pasientdata, er ett vellykket angrep ikke en IT-hendelse. Det er potensielt slutten for selskapet.

Gründere har en tendens til å undervurdere hva som kommer etterpå. Når Office for Civil Rights åpner en etterforskning etter et innbrudd, er det første de ber om vanligvis ikke en teknisk tidslinje over angrepet. Det er risikoanalysen din — dokumentet som viser at du hadde identifisert hvor pasientdataene lå og hva som kunne gå galt med dem. En manglende eller utdatert en er bruddet som de fleste forlik faktisk bygges på. OCR avgjør et sted mellom femten og litt over tjue av disse i året, ofte knyttet til en løsepengehendelse, en fraværende risikoanalyse, eller en innsynsbegjæring noen lot ligge. Det gjennomsnittlige forliket i 2025 lå på rundt 1,2 millioner dollar.

Så et innbrudd fakturerer deg i lag: selve gjenopprettingen, det regulatoriske forliket på toppen, og kundetilliten som ikke kommer tilbake for noen pris. Og "vi var uheldige, vi ble hacket" er ikke lenger noe særlig forsvar. Det en etterforsker vil vite er om du hadde gjort det grunnleggende arbeidet for å se det komme.

HIPAA skrives om, og "valgfritt" er på vei ut

Det meste av sin levetid har HIPAAs Security Rule delt sikkerhetstiltakene sine i to bøtter: "påkrevd" og "adresserbart". I praksis leste mange team "adresserbart" som "valgfritt", og hoppet over ting som kryptering med en enlinjes begrunnelse. Omskrivingen som arbeider seg gjennom HHS — den første store overhalingen av regelen på mer enn to tiår — tetter det smutthullet. Forslaget skyver sikkerhetstiltak som pleide å være forhandlingsbare, inkludert kryptering av data i ro og under overføring, flerfaktorautentisering, og en faktisk oversikt over systemene som inneholder pasientdata, mot å bli rett og slett obligatoriske.

Hvis du bygger nå, er grepet opplagt: bygg som om de allerede er påkrevd, fordi reglene bare beveger seg i én retning. Ingen av dem er eksotiske. De er enkle å designe inn mens systemet er ungt og smertefulle å injisere inn i et levende system med pasientdata som allerede flyter gjennom det.

Det hjelper å være konkret om hva "HIPAA-kompatibel" i det hele tatt viser til, fordi uttrykket kastes rundt som et merke du kjøper. Det finnes ikke noe sertifikat. Det som finnes: et sett med administrative, fysiske og tekniske sikkerhetstiltak du kan vise at du har implementert, en risikoanalyse du holder oppdatert, og en signert business associate agreement med hver eksterne tjeneste som håndterer dataene for deg. Den siste feller flere tidlige team enn noe annet — analyseverktøyet, e-postleverandøren, feilsporeren, hver av dem er en leverandør som berører pasientdata, og hver av dem trenger en BAA eller så bør den ikke være i stacken.

Dataene dine må snakke FHIR

Den andre kraften som former om healthtech er interoperabilitet, og den beveger seg etter en kalender. CMS sin Interoperability and Prior Authorization-regel krever at berørte betalere — Medicare Advantage, Medicaid, CHIP, og planene som er koblet til dem — etablerer FHIR-baserte API-er, der de første bestemmelsene trer i kraft i januar 2026 og de sentrale API-kravene forfaller innen januar 2027. I april 2026 foreslo CMS å utvide den samme tilnærmingen til forhåndsgodkjenning av legemidler. Fristene fortsetter å komme, og standarden under dem alle er FHIR.

Du er kanskje ikke en betaler, så bokstaven i regelen binder kanskje ikke deg. Tyngdekraften gjør det fortsatt. Når de store systemene produktet ditt trenger å koble seg til alle eksponerer og konsumerer FHIR, blir en proprietær datamodell et oversettelsesproblem du har meldt deg på å løse for alltid. Teamene som designet skjemaet sitt rundt FHIR-ressurser fra starten integrerer på dager. Teamene som ikke gjorde det har en tendens til å oppdage det den uka en sykehuspartner spør hvordan de utveksler data.

Dette er det billigste stedet å være disiplinert tidlig. Å modellere en pasient, en time, eller en observasjon slik FHIR allerede definerer det koster deg nesten ingenting i starten og sparer deg for en migrasjon senere. Å finne opp din egen versjon føles raskere på dag én og fakturerer deg for det på dag fem hundre.

Hva dette betyr for hvordan du bygger

Tråden som binder alt dette sammen: i healthtech bor etterlevelsen i arkitekturen, og rekkefølgen du tar disse beslutningene i avgjør om de blir billige eller ruinerende. Noen ting er verdt å få riktig før den første ekte pasientjournalen eksisterer:

• Ikke bygg din egen kompatible infrastruktur. De store skyplattformene tilbyr HIPAA-kvalifiserte tjenester og vil signere en BAA. Å bygge sikker infrastruktur fra bunnen av er en måte å bruke et år på å finne opp på nytt det du kan leie.
• Design tilgang og revisjonslogging inn fra starten. Hvem som kan lese hvilken journal, og et spor over hvem som faktisk gjorde det, er trivielt å legge til tidlig og en omskriving å legge til sent.
• Sjekk hver leverandør for en BAA før du integrerer den. Hvis en tjeneste ikke vil signere en, får den ikke berøre pasientdata, uansett hvor praktisk den er.
• Behandle risikoanalysen som et levende dokument. Det er det første en myndighet ber om, så det bør ikke være noe du skriver uka før et innbrudd tvinger fram spørsmålet.

Tilkoblede enheter legger til sin egen eksponering. Markedet for internett-tilkoblet medisinsk maskinvare var allerede verdt rundt 47 milliarder dollar i 2023, og hver sensor, wearable, eller monitor som strømmer data inn i produktet ditt utvider flaten noen kan angripe. Hvis maskinvare er en del av planen, må sikkerhetsmodellen strekke seg helt ut til kanten, ikke stoppe ved serveren.

Jeg skal ikke late som om noe av dette er gratis. Å gjøre det ordentlig legger til tid og kostnad i en utvikling, og en gründer som haster med å validere en idé kjenner hver uke av det. Men kostnaden er stort sett forutsigbar, og en forutsigbar kostnad er en du kan planlegge rundt. Du kan budsjettere for HIPAA-kvalifisert infrastruktur, for en FHIR-formet datamodell, for en sikkerhetsgjennomgang. Det du ikke kan budsjettere for er den andre veien: et innbrudd som i snitt ligger godt inne i sjusifret beløp, en OCR-sak som lander oppå det, og kundene som stille forlater fordi et helseprodukt som lekket journalene deres er en vanskelig ting å tilgi. Mellom en kjent kostnad og en ukjent, er den kjente kostnaden et røverkjøp.