Posodobitve HIPAA

Posodobitve HIPAA 2025–2026 — kaj mora vedeti Vaša ordinacija

HIPAA doživlja najpomembnejše spremembe v več kot desetletju. Novi mandati varnostnih pravil, posodobitve pravil o zasebnosti, roki za revizijo NPP in stopnjevanje izvajanja. Tukaj je, kako se pripraviti.

Kritični časovni načrt

16. februar 2026

Obvezno

Rok za revizijo NPP

Vse pokrite entitete morajo posodobiti svoja obvestila o praksah zasebnosti, da razložijo pravice pacientov glede zaščite podatkov o reproduktivnem zdravju in uporabi substanc (iz sprememb pravil o zasebnosti iz aprila 2024). Predloge NPP pri Intake.Dental so že posodobljene za ta rok.

16. februar 2026

Obvezno

Polna skladnost 42 CFR Part 2

Uskladitev pravil za evidence o motnjah zaradi uporabe substanc s HIPAA doseže obvezno skladnost za prizadete ordinacije.

Sredina 2026 (pričakovano)

Pričakovano

Končna objava varnostnih pravil

Najobsežnejša posodobitev varnostnih pravil od leta 2013 bo zahtevala MFA za vse sisteme ePHI, šifriranje v mirovanju in med prenosom brez izjem, letne inventure tehnoloških sredstev, polletna skeniranja ranljivosti, letno testiranje prodora, 72-urni odziv na incidente in neposredno odgovornost za skladnost za poslovne partnerje.

Konec 2026 / Začetek 2027

Predvideno

Rok skladnosti

Organizacije bodo imele 180–240 dni po objavi za skladnost z novimi varnostnimi pravili.

Kontekst izvajanja 2025

OCR je samo v letu 2025 naložil več kot 6,6 milijona USD glob, pri čemer so posamezne kazni znašale od 80.000 do 3.000.000 USD. Začeli so se revizijski pregledi faze 3, ki ciljajo na več kot 50 entitet. Ocene industrijskih stroškov za skladnost s prihajajočimi pravili: 9 milijard USD prvo leto, 34 milijard USD v petih letih.

Kaj morajo narediti zobne ordinacije

Posodobiti obvestila o praksah zasebnosti do 16. februarja 2026 za razlago novih zaščit reproduktivnega zdravja in SUD

Implementirati večfaktorsko avtentikacijo za vse račune, ki obdelujejo ePHI

Šifrirati podatke v mirovanju in med prenosom z metodami, skladnimi z NIST

Vzdrževati revizijske sledi samo za dodajanje, ki beležijo vsak dostop do PHI

Izvršiti in posodobiti pogodbe o poslovnem partnerstvu z vsakim ponudnikom in podizvajalcem

Izvajati letne ocene ranljivosti in testiranje prodora

Dokumentirati postopke odziva na incidente, usklajene s 72-urnim standardom

Kaj Intake.Dental samodejno ureja

Ordinacije na Intake.Dental ne potrebujejo ročnega sledenja večini tehničnih zahtev — zagotavljamo jih privzeto.

Vnaprej posodobljene predloge NPP (različica februar 2026 že aktivna)

Dvoplastno šifriranje v mirovanju (AES-256-GCM + Glyph Cipher na vsakem računu), TLS 1.3 pri prenosu

Infrastruktura, pripravljena za MFA, za vsak administratorski račun

Celovita revizijska sled, ki beleži vsak dostop do PHI (samo dodajanje)

Pogosto zastavljena vprašanja

Kaj se zgodi, če zamudimo roke februarja 2026?

Kazni naraščajo. Novo varnostno pravilo tudi odpravlja možnost „naslavljive“ zaščite, kar pomeni, da vse tehnične zaščite postanejo obvezne — to zmanjšuje prilagodljivost razlage v primerjavi s trenutnimi pravili.

Ali še vedno velja varna luka za šifriranje?

Da. Po 45 CFR § 164.402 pravilno šifrirani PHI morda ne sproži obvestila o kršitvi, če ključi za šifriranje niso bili ogroženi. Vsak račun Intake.Dental vključuje dvoplastno šifriranje (AES-256-GCM + Glyph Cipher), kar znatno krepi to obrambo varne luke.

Ali zobniške ordinacije, ki obravnavajo zapise o zlorabi substanc, potrebujejo posebno skladnost?

Da. Ordinacije, ki zdravijo paciente z zgodovino SUD, morajo uskladiti obrazce za sprejem in obdelavo podatkov z enotnimi protokoli 42 CFR Part 2 / HIPAA do februarja 2026. Predloge obrazcev Intake.Dental so že posodobljene.

Kakšni so bili podatki o izvrševanju za leto 2025?

OCR je v letu 2025 naložil za več kot $6,6 milijona glob, pri čemer so se posamezne kazni gibale od $80,000 do $3,000,000. Revizije faze 3 so ciljale na več kot 50 subjektov. Najpogostejše kršitve so bile neustrezne ocene tveganja, incidenti z izsiljevalsko programsko opremo in šibke tehnične zaščite.