HIPAA ажурирања

2025–2026 HIPAA ажурирања — шта Ваша пракса треба да зна

HIPAA пролази кроз најзначајније промене у више од деценије. Нови мандати Правила о безбедности, ажурирања Правила о приватности, рокови за ревизију NPP и појачано спровођење. Ево како да се припремите.

Критична временска линија

16. фебруар 2026.

Обавезно

Рок за ревизију NPP

Сви покривени ентитети морају ажурирати своја Обавештења о праксама приватности да објасне права пацијената у вези са заштитом података о репродуктивном здрављу и употреби супстанци (из промена Правила о приватности из априла 2024.). Intake.Dental NPP шаблони су већ ажурирани за овај рок.

16. фебруар 2026.

Обавезно

42 CFR Part 2 потпуна усклађеност

Усклађивање правила о евиденцијама поремећаја употребе супстанци са HIPAA достиже обавезну усклађеност за погођене праксе.

Средина 2026. (очекивано)

Очекивано

Коначна објава Правила о безбедности

Најобухватније ажурирање Правила о безбедности од 2013. ће наметнути MFA за све ePHI системе, енкрипцију у мировању и у транзиту без изузетака, годишње инвентаре технолошких средстава, полугодишње скенирање рањивости, годишње тестирање пенетрације, 72-часовни одговор на инциденте и директну одговорност за усклађеност за пословне партнере.

Крај 2026. / Почетак 2027.

Пројектовано

Рок за усклађеност

Организације ће имати 180–240 дана након објаве да се ускладе са новим Правилом о безбедности.

Контекст спровођења 2025.

OCR је наметнуо преко $6,6 милиона казни само у 2025. години, са појединачним казнама у распону од $80.000 до $3.000.000. Ревизије фазе 3 покренуте циљајући 50+ ентитета. Индустријске процене трошкова за усклађеност са новим правилима: $9 милијарди прве године, $34 милијарде током пет година.

Шта стоматолошке праксе морају да ураде

Ажурирати Обавештења о праксама приватности до 16. фебруара 2026. да објасне нове заштите репродуктивног здравља и SUD

Имплементирати вишефакторску аутентификацију за све налоге који рукују ePHI

Енкриптовати податке у мировању и у транзиту користећи NIST-усклађене методе

Одржавати евиденције ревизије само за додавање које бележе сваки приступ PHI

Извршити и ажурирати Уговоре о пословном партнерству са сваким добављачем и подизвођачем

Спроводити годишње процене рањивости и тестирање пенетрације

Документовати процедуре одговора на инциденте усклађене са стандардом од 72 сата

Шта Intake.Dental обрађује аутоматски

Праксе на Intake.Dental не морају ручно да прате већину техничких захтева — ми их испоручујемо подразумевано.

Унапред ажурирани NPP шаблони (верзија фебруар 2026. већ доступна)

Двослојна енкрипција у мировању (AES-256-GCM + Glyph шифра на сваком налогу), TLS 1.3 у преносу

MFA-спремна инфраструктура за сваки административни налог

Свеобухватан ревизорски траг који логује сваки приступ PHI-у

Често постављана питања

Шта се дешава ако пропустимо рокове фебруара 2026?

Казне се повећавају. Ново Security Rule такође елиминише опцију „адресибилне” заштите, што значи да све техничке заштите постају обавезне — смањујући флексибилност интерпретације у поређењу са тренутним правилима.

Да ли и даље важи сигурна лука за енкрипцију?

Да. Према 45 CFR § 164.402, правилно енкриптовани PHI можда неће покренути обавештење о повреди ако кључеви за енкрипцију нису компромитовани. Сваки Intake.Dental налог долази са двослојном енкрипцијом (AES-256-GCM + Glyph шифра), што значајно јача ову одбрану сигурне луке.

Да ли стоматолошке праксе које обрађују записе о употреби супстанци треба посебна усклађеност?

Да. Праксе које лече пацијенте са SUD историјом морају ускладити формуларе за пријем и руковање подацима са ујединаченим 42 CFR Part 2 / HIPAA протоколима до фебруара 2026. Intake.Dental шаблони формулара су већ ажурирани.

Који су били бројеви спровођења за 2025?

OCR је наметнуо преко $6.6 милиона казни у 2025. години са појединачним казнама у распону од $80,000 до $3,000,000. Фаза 3 ревизија је циљала 50+ ентитета. Најчешће повреде биле су неадекватне процене ризика, инциденти са ransomware-ом и слабе техничке заштите.