HIPAA frissítések

2025–2026 HIPAA frissítések — amit rendelőjének tudnia kell

A HIPAA több mint egy évtized legjelentősebb változásain megy keresztül. Új biztonsági szabályozási előírások, adatvédelmi szabályozási frissítések, NPP felülvizsgálati határidők és fokozódó jogérvényesítés. Íme, hogyan készüljön fel.

Kritikus ütemterv

2026. február 16.

Kötelező

NPP felülvizsgálati határidő

Minden fedett entitásnak frissítenie kell adatvédelmi gyakorlatairól szóló értesítéseit, hogy elmagyarázza a betegek jogait a reproduktív egészségügyi és kábítószer-használati adatok védelmével kapcsolatban (a 2024. áprilisi adatvédelmi szabályozási változásokból). Az Intake.Dental NPP sablonjai már frissítve vannak erre a határidőre.

2026. február 16.

Kötelező

42 CFR Part 2 teljes megfelelőség

A kábítószer-használati zavarok nyilvántartásaira vonatkozó szabályok HIPAA-val való összehangolása kötelező megfelelést ér el az érintett rendelők számára.

2026 közepe (várható)

Várható

Biztonsági szabályozás végleges közzététele

A 2013 óta legátfogóbb biztonsági szabályozási frissítés kötelezővé teszi az MFA-t minden ePHI rendszerhez, a titkosítást nyugalmi és átviteli állapotban kivételek nélkül, éves technológiai eszköz leltárokat, féléves sebezhetőségi vizsgálatokat, éves behatolási teszteket, 72 órás incidenskezelést, valamint közvetlen megfelelőségi felelősséget az üzleti társultaknak.

2026 vége / 2027 eleje

Tervezett

Megfelelőségi határidő

A szervezeteknek 180–240 napjuk lesz a közzétételt követően az új biztonsági szabályozásnak való megfelelésre.

2025-ös jogérvényesítési kontextus

Az OCR több mint 6,6 millió dollár bírságot szabott ki 2025-ben, egyedi büntetésekkel 80 000 és 3 000 000 dollár között. A 3. fázisú auditok elindultak, több mint 50 entitást célozva meg. Az iparági költségbecslések a beérkező szabályoknak való megfelelésre: 9 milliárd dollár az első évben, 34 milliárd dollár öt év alatt.

Mit kell tenniük a fogászati rendelőknek

Adatvédelmi gyakorlatokról szóló értesítések frissítése 2026. február 16-ig az új reproduktív egészségügyi és SUD védelmek magyarázatához

Többlépcsős hitelesítés bevezetése minden ePHI-t kezelő fiókhoz

Adatok titkosítása nyugalmi és átviteli állapotban NIST-kompatibilis módszerekkel

Csak-hozzáfűzéses auditnaplók vezetése, amelyek minden PHI-hoz való hozzáférést rögzítenek

Üzleti társulási megállapodások végrehajtása és frissítése minden szállítóval és alvállalkozóval

Éves sebezhetőségi értékelések és behatolási tesztek elvégzése

Mit kezel automatikusan az Intake.Dental

Az Intake.Dental-t használó rendelőknek nem kell manuálisan nyomon követniük a legtöbb technikai követelményt — alapértelmezetten szállítjuk őket.

Előre frissített NPP sablonok (2026. februári verzió már élő)

Kétrétegű titkosítás nyugalmi állapotban (AES-256-GCM + Glyph Cipher minden fiókon), TLS 1.3 átvitel közben

MFA-kész infrastruktúra minden adminisztrátori fiókhoz

Átfogó, csak hozzáfűzéses naplózási nyomvonal minden PHI hozzáférésnél

Gyakran ismételt kérdések

Mi történik, ha lekéssük a 2026. februári határidőket?

A büntetések eszkalálódnak. Az új Security Rule megszünteti az „címezhető” védintézkedési opciót is, vagyis minden technikai védintézkedés kötelezővé válik — csökkentve az értelmezési rugalmasságot a jelenlegi szabályokhoz képest.

A titkosítási safe harbor továbbra is érvényes?

Igen. A 45 CFR § 164.402 szerint a megfelelően titkosított PHI nem válthat ki incidens-bejelentést, ha a titkosítási kulcsok nem kerültek veszélybe. Minden Intake.Dental fiók kétrétegű titkosítással érkezik (AES-256-GCM + Glyph Cipher), ami jelentősen megerősíti ezt a safe harbor védelmet.

Szükséges-e különleges megfelelőség a szerhasználati rekordokat kezelő fogorvosi rendelőknek?

Igen. A SUD előzménnyel rendelkező betegeket kezelő rendelőknek az adatfelvételi űrlapokat és adatkezelést a 42 CFR Part 2 / HIPAA egységes protokollokkal kell összehangolniuk 2026 februárjáig. Az Intake.Dental űrlapsablonja már frissített.

Mik voltak a 2025-ös végrehajtási számok?

Az OCR több mint $6.6 millió bírságot szabott ki 2025-ben, egyes büntetések $80,000-től $3,000,000-ig terjedtek. A 3. fázisú auditok 50+ entitást céloztak meg. A leggyakoribb jogsértések az elégtelen kockázatértékelések, ransomware incidensek és gyenge technikai védintézkedések voltak.