HIPAA uppfærslur

HIPAA uppfærslur 2025–2026 — það sem starfsstöð ykkar þurfa að vita

HIPAA gengur í gegnum sínar umfangsmestustu breytingar í yfir áratug. Ný öryggisregluboð, uppfærslur á persónuverndarreglum, NPPendurskoðunarfrestir og aukin framfylgd. Hér er hvernig á að undirbúa sig.

Mikilvæg tímalína

16. febrúar 2026

Skylda

NPP endurskoðunarfrestur

Allar aðilar sem falla undir reglugerðina verða að uppfæra tilkynningar sínar um persónuverndarvenjur til að útskýra réttindi sjúklinga varðandi vernd gagna um æxlunarheilsu og efnaneyslu (frá persónuverndarreglubreytingum frá apríl 2024). NPP sniðmát Intake.Dental eru þegar uppfærð fyrir þennan frest.

16. febrúar 2026

Skylda

42 CFR Part 2 full samræmi

Samræming reglna um skrár um efnaneysluröskun við HIPAA nær skyldusamræmi fyrir starfsstöðvar sem þetta varðar.

Um mitt ár 2026 (væntanlegt)

Væntanlegt

Endanleg útgáfa öryggisreglna

Umfangsmesta uppfærsla öryggisreglna síðan 2013 mun gera MFA skyldu fyrir öll ePHI kerfi, dulkóðun við geymslu og flutning án undantekninga, árlegar tæknilegar eignaskrár, hálfsárs veikleikaskannanir, árlegar innbrotsrannsóknir, 72 klukkustunda atvikasvar og beina samræmisábyrgð viðskiptafélaga.

Seint á árinu 2026 / Snemma árs 2027

Áætlað

Samræmisfrestur

Stofnanir munu hafa 180–240 daga eftir útgáfu til að fara að nýju öryggisreglunum.

Framfylgdarsamhengi 2025

OCR lagði á yfir 6,6 milljónir dollara í sektir einungis árið 2025, þar sem stakar refsingar námu frá 80.000 til 3.000.000 dollara. Áfangi 3 úttektir hófust með áherslu á yfir 50 aðila. Iðnaðarkostnaðaráætlanir fyrir samræmi við komandi reglur: 9 milljarðar dollara fyrsta árið, 34 milljarðar dollara yfir fimm ár.

Það sem tannlæknastarfsstöðvar verða að gera

Uppfæra tilkynningar um persónuverndarvenjur fyrir 16. febrúar 2026 til að útskýra nýja vernd fyrir æxlunarheilsu og efnaneysluröskun

Innleiða fjölþátta auðkenningu fyrir alla reikninga sem meðhöndla ePHI

Dulkóða gögn við geymslu og flutning með NIST-samþykktum aðferðum

Viðhalda aðeins-viðbótar endurskoðunarslóðum sem skrá alla aðgang að PHI

Framkvæma og uppfæra viðskiptafélaga samninga við alla söluaðila og undirverktaka

Framkvæma árlegt veikleikamat og innbrotsrannsóknir

Skjalfesta atvikasvaraferli í samræmi við 72 klukkustunda staðalinn

Það sem Intake.Dental sér sjálfvirkt um

Starfsstöðvar á Intake.Dental þurfa ekki að fylgjast handvirkt með flestum tæknilegum kröfum — við sendum þær sjálfgefið.

Forupppfærð NPP sniðmát (útgáfa frá febrúar 2026 þegar í gangi)

Tvöfaldlags dulkóðun við geymslu (AES-256-GCM + Glyph Cipher á hverjum reikningi), TLS 1.3 við flutning

MFA-tilbúin grunngerð fyrir alla stjórnendareikninga

Alhliða aðeins-viðbótar endurskoðunarslóð sem skráir alla PHI aðgang

Algengar spurningar

Hvað gerist ef við missum af febrúar 2026 frestum?

Refsingar aukast. Nýju öryggisreglurnar útiloka einnig „ávarpaðan“ öryggisráðstafanavalkost, sem þýðir að allar tæknilegar öryggisráðstafanir verða skylda — sem dregur úr túlkunarsveigjanleika samanborið við núverandi reglur.

Gildir dulkóðunarhafnin enn?

Já. Samkvæmt 45 CFR § 164.402 gæti rétt dulkóðað PHI ekki kallað fram tilkynningu um brot ef dulkóðunarlyklarnir voru ekki í hættu. Sérhver Intake.Dental reikningur kemur með tvöfaldlags dulkóðun (AES-256-GCM + Glyph Cipher), sem styrkir þessa hafnarvörn verulega.

Þurfa tannlæknastarfsstöðvar sem meðhöndla gögn um efnaneyslu sérstakt samræmi?

Já. Starfsstöðvar sem meðhöndla sjúklinga með sögu um efnaneysluröskun verða að samræma móttökueyðublöð og gagnavinnslu við sameinaðar 42 CFR Part 2 / HIPAA samskiptareglur fyrir febrúar 2026. Eyðublaðasniðmát Intake.Dental eru þegar uppfærð.

Hverjar voru framfylgdartölur 2025?

OCR lagði á yfir 6,6 milljónir dollara í sektir árið 2025 þar sem stakar refsingar námu frá 80.000 til 3.000.000 dollara. Áfangi 3 úttektir beindu sjónum að yfir 50 aðilum. Algengustu brotin voru ófullnægjandi áhættumat, lausnarhugbúnaðaratvik og veikar tæknilegar öryggisráðstafanir.