HIPAA ažuriranja

2025–2026 HIPAA ažuriranja — što Vaša ordinacija treba znati

HIPAA prolazi kroz najznačajnije promjene u više od desetljeća. Novi Security Rule mandati, Privacy Rule ažuriranja, NPP rokovi za reviziju i pojačano provođenje. Evo kako se pripremiti.

Kritična vremenska crta

16. veljače 2026.

Obavezno

Rok za reviziju NPP

Svi pokriveni subjekti moraju ažurirati svoje Obavijesti o praksama privatnosti kako bi objasnili prava pacijenata vezano uz zaštitu podataka o reproduktivnom zdravlju i uporabi tvari (iz promjena Privacy Rule iz travnja 2024.). Intake.Dental NPP predlošci već su ažurirani za ovaj rok.

16. veljače 2026.

Obavezno

42 CFR Part 2 potpuna usklađenost

Usklađivanje pravila o zapisima o poremećajima uporabe tvari s HIPAA dostiže obaveznu usklađenost za pogođene ordinacije.

Sredina 2026. (očekivano)

Očekivano

Security Rule konačna objava

Najopsežnije Security Rule ažuriranje od 2013. godine će zahtijevati MFA za sve ePHI sustave, enkripciju u mirovanju i prijenosu bez iznimaka, godišnje inventare tehnološke imovine, polugodišnje skeniranje ranjivosti, godišnje testiranje prodiranja, 72-satni odgovor na incidente i izravnu odgovornost za usklađenost poslovnih suradnika.

Kraj 2026. / Početak 2027.

Projektirano

Rok usklađenosti

Organizacije će imati 180–240 dana nakon objave za usklađivanje s novim Security Rule.

Kontekst provođenja 2025.

OCR je izdao preko 6,6 milijuna dolara kazni samo u 2025., s pojedinačnim kaznama u rasponu od 80.000 do 3.000.000 dolara. Faza 3 revizija pokrenuta je ciljajući 50+ subjekata. Industrijske procjene troškova za usklađenost s nadolazećim pravilima: 9 milijardi dolara prvoj godini, 34 milijarde dolara tijekom pet godina.

Što dentalne ordinacije moraju učiniti

Ažurirati Obavijesti o praksama privatnosti do 16. veljače 2026. kako bi objasnili nove zaštite reproduktivnog zdravlja i SUD

Implementirati višefaktorsku autentifikaciju za sve račune koji rukuju ePHI

Enkriptirati podatke u mirovanju i prijenosu koristeći NIST-kompatibilne metode

Održavati dnevnike revizije koji bilježe svaki pristup PHI

Izvršiti i ažurirati Ugovore o poslovnom suradniku sa svakim dobavljačem i podugovarateljem

Provoditi godišnje procjene ranjivosti i testiranje prodiranja

Dokumentirati postupke odgovora na incidente usklađene sa 72-satnim standardom

Što Intake.Dental automatski rješava

Praksama koje koriste Intake.Dental nije potrebno ručno pratiti većinu tehničkih zahtjeva — isporučujemo ih standardno.

Unaprijed ažurirani NPP predlošci (verzija za veljačу 2026. već dostupna)

AES-256-GCM enkripcija u mirovanju, TLS 1.3 u prijenosu, opcionalni Glyph Cipher dodatak

MFA-spremna infrastruktura za svaki administratorski račun

Sveobuhvatni zapisnik revizije koji bilježi svaki pristup PHI podacima

Često postavljana pitanja

Što se događa ako propustimo rokove u veljači 2026.?

Kazne se povećavaju. Novo Pravilo sigurnosti također uklanja opciju “preporučenih” zaštitnih mjera, što znači da sve tehničke zaštitne mjere postaju obvezne — smanjujući fleksibilnost tumačenja u usporedbi s trenutnim pravilima.

Vrijedi li još uvijek zaštita u slučaju enkripcije?

Da. Prema 45 CFR § 164.402, pravilno enkriptirani PHI podaci možda neće pokrenuti obavijest o povredi ako ključevi za enkripciju nisu kompromitirani. Slojevita enkripcija (AES-256-GCM plus naš opcionalni Glyph Cipher dodatak) značajno jača ovu obranu.

Trebaju li dentalne prakse koje rukuju evidencijama o zlouporabi supstanci posebnu usklađenost?

Da. Prakse koje liječe pacijente s poviješću poremećaja uporabe supstanci moraju uskladiti obrasce za prijem i rukovanje podacima s ujedinjenijim protokolima 42 CFR Part 2 / HIPAA do veljače 2026. Predlošci obrazaca Intake.Dental već su ažurirani.

Koji su brojevi provedbe za 2025. godinu?

OCR je izrekao više od 6,6 milijuna dolara kazni u 2025. godini, s pojedinačnim kaznama u rasponu od 80.000 do 3.000.000 dolara. Revizije u fazi 3 ciljale su više od 50 subjekata. Najčešće povrede bile su neadekvatne procjene rizika, incidenti s ransomwareom i slabe tehničke zaštitne mjere.