HIPAA atjauninājumi

2025.–2026. gada HIPAA atjauninājumi — ko Jūsu praksei nepieciešams zināt

HIPAA piedzīvo nozīmīgākās izmaiņas vairāk nekā desmit gadu laikā. Jauni drošības noteikumu mandāti, privātuma noteikumu atjauninājumi, NPP pārskatīšanas termiņi un pastiprināta izpilde. Lūk, kā sagatavoties.

Kritiskā laika līnija

2026. gada 16. februāris

Obligāti

NPP pārskatīšanas termiņš

Visām iesaistītajām struktūrām jāatjaunina savi privātuma prakses paziņojumi, lai izskaidrotu pacientu tiesības attiecībā uz reproduktīvās veselības un narkotiku lietošanas datu aizsardzību (no 2024. gada aprīļa privātuma noteikumu izmaiņām). Intake.Dental NPP veidnes jau ir atjauninātas šim termiņam.

2026. gada 16. februāris

Obligāti

42 CFR Part 2 pilnīga atbilstība

Narkotiku lietošanas traucējumu ierakstu noteikumu saskaņošana ar HIPAA sasniedz obligāto atbilstību ietekmētajām praksēm.

2026. gada vidus (paredzēts)

Paredzēts

Drošības noteikumu galīgā publikācija

Visplašākais drošības noteikumu atjauninājums kopš 2013. gada noteiks MFA visām ePHI sistēmām, šifrēšanu glabāšanā un pārsūtīšanā bez izņēmumiem, ikgadēju tehnoloģiju aktīvu inventarizāciju, pusotru gadu ievainojamības skenēšanu, ikgadējus iespiešanās testus, 72 stundu incidentu reakciju un tiešu atbilstības atbildību biznesa partneriem.

2026. gada beigas / 2027. gada sākums

Plānots

Atbilstības termiņš

Organizācijām būs 180–240 dienas pēc publikācijas, lai atbilstu jaunajiem drošības noteikumiem.

2025. gada izpildes konteksts

OCR tikai 2025. gadā piesprieda vairāk nekā $6,6 miljonus naudas sodus, ar atsevišķām sankcijām no $80 000 līdz $3 000 000. 3. fāzes revīzijas uzsāktas, mērķējot uz vairāk nekā 50 struktūrām. Nozares izmaksu aprēķini atbilstībai gaidāmajiem noteikumiem: $9 miljardi pirmajā gadā, $34 miljardi piecu gadu laikā.

Ko zobārstniecības praksēm jādara

Atjaunināt privātuma prakses paziņojumus līdz 2026. gada 16. februārim, lai izskaidrotu jauno reproduktīvās veselības un SUD aizsardzību

Ieviest daudzfaktoru autentifikāciju visiem kontiem, kas apstrādā ePHI

Šifrēt datus glabāšanā un pārsūtīšanā, izmantojot NIST atbilstošas metodes

Uzturēt tikai pievienojamus revīzijas žurnālus, reģistrējot katru piekļuvi PHI

Izpildīt un atjaunināt biznesa partneru līgumus ar katru piegādātāju un apakšuzņēmēju

Veikt ikgadējus ievainojamības novērtējumus un iespiešanās testus

Ko Intake.Dental nodrošina automātiski

Praksēm, kas izmanto Intake.Dental, nav manuāli jāizseko vairums tehnisko prasību — mēs tās nodrošinām pēc noklusējuma.

Iepriekš atjauninātas NPP veidnes (2026. gada februāra versija jau pieejama)

Divu līmeņu šifrēšana glabāšanā (AES-256-GCM + Glyph Cipher katrā kontā), TLS 1.3 pārsūtīšanā

MFA gatava infrastruktūra katram administratora kontam

Visaptveroša tikai pievienojama revīzijas žurnāla reģistrēšana katrai PHI piekļuvei

Bieži uzdotie jautājumi

Kas notiek, ja mēs nokavējam 2026. gada februāra termiņus?

Sodi pieaug. Jaunais drošības noteikums arī likvidē “adresējamo” aizsardzības pasākumu opciju, nozīmējot, ka visi tehniskie aizsardzības pasākumi kļūst obligāti — samazinot interpretācijas elastību salīdzinājumā ar pašreizējiem noteikumiem.

Vai šifrēšanas drošā osta joprojām ir spēkā?

Jā. Saskaņā ar 45 CFR § 164.402, pareizi šifrēts PHI var neaktivizēt pārkāpuma paziņojumu, ja šifrēšanas atslēgas netika apdraudētas. Katrs Intake.Dental konts tiek piegādāts ar divu līmeņu šifrēšanu (AES-256-GCM + Glyph Cipher), kas būtiski nostiprina šo drošās ostas aizsardzību.

Vai zobārstniecības praksēm, kas apstrādā narkotiku lietošanas ierakstus, nepieciešama īpaša atbilstība?

Jā. Praksēm, kas ārstē pacientus ar SUD vēsturi, jāsaskaņo uzņemšanas veidlapas un datu apstrāde ar vienotajiem 42 CFR Part 2 / HIPAA protokoliem līdz 2026. gada februārim. Intake.Dental veidlapu sagataves jau ir atjauninātas.

Kādi bija 2025. gada izpildes rādītāji?

OCR 2025. gadā piesprieda vairāk nekā $6,6 miljonus naudas sodos ar atsevišķām sankcijām no $80 000 līdz $3 000 000. 3. fāzes revīzijas mērķēja uz vairāk nekā 50 struktūrām. Biežākie pārkāpumi bija nepietiekami riska novērtējumi, izpirkuma programmatūras incidenti un vāji tehniskie aizsardzības pasākumi.