Kemas Kini HIPAA

Kemas kini HIPAA 2025–2026 — apa yang perlu diketahui oleh praktis anda

HIPAA sedang mengalami perubahan paling ketara dalam lebih sedekad. Mandat Peraturan Keselamatan baharu, kemas kini Peraturan Privasi, tarikh akhir semakan NPP, dan penguatkuasaan yang meningkat. Inilah cara untuk bersedia.

Garis masa kritikal

16 Februari 2026

Wajib

Tarikh akhir semakan NPP

Semua entiti yang dilindungi mesti mengemaskini Notis Amalan Privasi mereka untuk menerangkan hak pesakit berkenaan perlindungan data kesihatan reproduktif dan penggunaan bahan (daripada perubahan Peraturan Privasi April 2024). Templat NPP Intake.Dental telah pun dikemaskini untuk tarikh akhir ini.

16 Februari 2026

Wajib

Pematuhan penuh 42 CFR Part 2

Penjajaran peraturan rekod gangguan penggunaan bahan dengan HIPAA mencapai pematuhan wajib untuk praktis yang terjejas.

Pertengahan 2026 (dijangka)

Dijangka

Penerbitan muktamad Peraturan Keselamatan

Kemas kini Peraturan Keselamatan paling menyeluruh sejak 2013 akan mewajibkan MFA untuk semua sistem ePHI, penyulitan semasa rehat dan transit tanpa pengecualian, inventori aset teknologi tahunan, imbasan kerentanan setiap enam bulan, ujian penembusan tahunan, tindak balas insiden 72 jam, dan liabiliti pematuhan langsung untuk rakan perniagaan.

Akhir 2026 / Awal 2027

Diunjur

Tarikh akhir pematuhan

Organisasi akan mempunyai 180–240 hari selepas penerbitan untuk mematuhi Peraturan Keselamatan baharu.

Konteks penguatkuasaan 2025

OCR mengenakan lebih $6.6 juta dalam denda pada tahun 2025 sahaja, dengan penalti tunggal antara $80,000 hingga $3,000,000. Audit Fasa 3 dilancarkan menyasarkan 50+ entiti. Anggaran kos industri untuk pematuhan dengan peraturan baharu: $9 bilion tahun pertama, $34 bilion dalam tempoh lima tahun.

Apa yang mesti dilakukan oleh praktis pergigian

Kemaskini Notis Amalan Privasi menjelang 16 Februari 2026 untuk menerangkan perlindungan kesihatan reproduktif dan SUD baharu

Laksanakan pengesahan berbilang faktor untuk semua akaun yang mengendalikan ePHI

Sulitkan data semasa rehat dan transit menggunakan kaedah patuh NIST

Kekalkan jejak audit tambah sahaja yang merekodkan setiap akses kepada PHI

Laksanakan dan kemaskini Perjanjian Rakan Perniagaan dengan setiap vendor dan subkontraktor

Jalankan penilaian kerentanan tahunan dan ujian penembusan

Dokumentasikan prosedur tindak balas insiden sejajar dengan standard 72 jam

Apa yang dikendalikan secara automatik oleh Intake.Dental

Praktis pada Intake.Dental tidak perlu menjejaki kebanyakan keperluan teknikal secara manual — kami menyediakannya secara lalai.

Templat NPP yang telah dikemaskini (versi Februari 2026 sudah aktif)

Penyulitan dwi-lapisan semasa rehat (AES-256-GCM + Glyph Cipher pada setiap akaun), TLS 1.3 dalam transit

Infrastruktur bersedia MFA untuk setiap akaun pentadbir

Jejak audit tambah sahaja komprehensif yang merekodkan setiap akses PHI

Soalan lazim

Apa yang berlaku jika kami terlepas tarikh akhir Februari 2026?

Penalti meningkat. Peraturan Keselamatan baharu juga menghapuskan pilihan perlindungan “boleh ditangani”, bermakna semua perlindungan teknikal menjadi wajib — mengurangkan fleksibiliti tafsiran berbanding peraturan semasa.

Adakah perlindungan selamat penyulitan masih terpakai?

Ya. Di bawah 45 CFR § 164.402, PHI yang disulitkan dengan betul mungkin tidak mencetuskan pemberitahuan pelanggaran jika kunci penyulitan tidak terjejas. Setiap akaun Intake.Dental dilengkapi dengan penyulitan dwi-lapisan (AES-256-GCM + Glyph Cipher), yang mengukuhkan pertahanan perlindungan selamat ini dengan ketara.

Adakah praktis pergigian yang mengendalikan rekod penggunaan bahan memerlukan pematuhan khas?

Ya. Praktis yang merawat pesakit dengan sejarah SUD mesti menyelaraskan borang intake dan pengendalian data dengan protokol bersepadu 42 CFR Part 2 / HIPAA menjelang Februari 2026. Templat borang Intake.Dental telah pun dikemaskini.

Apakah angka penguatkuasaan 2025?

OCR mengenakan lebih $6.6 juta dalam denda pada tahun 2025 dengan penalti tunggal antara $80,000 hingga $3,000,000. Audit Fasa 3 menyasarkan 50+ entiti. Pelanggaran paling biasa ialah penilaian risiko yang tidak mencukupi, insiden perisian tebusan, dan perlindungan teknikal yang lemah.