HIPAA-uppdateringar

2025–2026 HIPAA-uppdateringar — vad din praktik behöver veta

HIPAA genomgår sina mest betydande förändringar på över ett decennium. Nya Security Rule-mandat, Privacy Rule-uppdateringar, NPP-revisionsdeadlines och eskalerande tillsyn. Här är hur du förbereder dig.

Kritisk tidslinje

16 februari 2026

Obligatorisk

NPP-revisionsdeadline

Alla covered entities måste uppdatera sina Notices of Privacy Practices för att förklara patienträttigheter avseende reproduktiv hälsa och missbruksdataskydd (från Privacy Rule-ändringarna i april 2024). Intake.Dentals NPP-mallar är redan uppdaterade för denna deadline.

16 februari 2026

Obligatorisk

42 CFR Part 2 full efterlevnad

Anpassning av regler för missbruksjournaler till HIPAA når obligatorisk efterlevnad för berörda praktiker.

Mitten av 2026 (förväntat)

Förväntad

Security Rule slutlig publicering

Den mest omfattande Security Rule-uppdateringen sedan 2013 kommer att kräva MFA för alla ePHI-system, kryptering vid lagring och överföring utan undantag, årliga inventeringar av teknik, tvååriga sårbarhetsskanningar, årliga penetrationstester, 72-timmars incidenthantering och direkt regelefterlevnadsansvar för business associates.

Sent 2026 / Tidigt 2027

Beräknad

Deadline för efterlevnad

Organisationer kommer att ha 180–240 dagar efter publicering för att följa den nya Security Rule.

2025 års tillsynskontext

OCR utdömde över 6,6 miljoner dollar i böter enbart under 2025, med enskilda straff från 80 000 till 3 000 000 dollar. Fas 3-revisioner lanserades med inriktning på 50+ enheter. Branschens kostnadsuppskattningar för efterlevnad av kommande regler: 9 miljarder dollar år ett, 34 miljarder dollar över fem år.

Vad tandvårdspraktiker måste göra

Uppdatera Notices of Privacy Practices senast den 16 februari 2026 för att förklara nya skydd för reproduktiv hälsa och SUD

Implementera multifaktorautentisering för alla konton som hanterar ePHI

Kryptera data vid lagring och överföring med NIST-kompatibla metoder

Upprätthålla append-only-granskningsloggar som loggar varje åtkomst till PHI

Teckna och uppdatera Business Associate Agreements med varje leverantör och underleverantör

Genomföra årliga sårbarhetsbedömningar och penetrationstester

Dokumentera incidenthanteringsprocedurer i linje med 72-timmarsstandarden

Vad Intake.Dental hanterar automatiskt

Praktiker som använder Intake.Dental behöver inte manuellt spåra de flesta tekniska kraven — vi levererar dem som standard.

Förhandsuppdaterade NPP-mallar (februari 2026-versionen redan live)

Dubbelskiktad kryptering i vila (AES-256-GCM + Glyph Cipher på varje konto), TLS 1.3 vid överföring

MFA-redo infrastruktur för varje adminkonto

Omfattande append-only granskningslogg som loggar varje PHI-åtkomst

Vanliga frågor

Vad händer om vi missar deadline:n i februari 2026?

Straffen ökar. Den nya Security Rule eliminerar även alternativet “adresserbara” skyddsåtgärder, vilket innebär att alla tekniska skyddsåtgärder blir obligatoriska — vilket minskar tolkningsflexibiliteten jämfört med nuvarande regler.

Gäller fortfarande safe harbor för kryptering?

Ja. Enligt 45 CFR § 164.402 kan korrekt krypterad PHI undgå krav på intrångsanmälan om krypteringsnycklarna inte har komprometterats. Skiktad kryptering (AES-256-GCM plus vårt valfria Glyph Cipher-tillägg) stärker detta försvar avsevärt.

Behöver tandläkarpraktiker som hanterar journaler om substansmissbruk särskild compliance?

Ja. Praktiker som behandlar patienter med SUD-historik måste anpassa intakeformulär och datahantering till de enhetliga 42 CFR Part 2 / HIPAA-protokollen senast februari 2026. Intake.Dentals formulärmallar är redan uppdaterade.

Vilka var 2025 års tillämpningssiffror?

OCR delade ut över 6,6 miljoner dollar i böter under 2025 med enskilda straff mellan 80 000 och 3 000 000 dollar. Fas 3-revisioner riktades mot 50+ enheter. De vanligaste överträdelserna var bristfälliga riskbedömningar, ransomware-incidenter och svaga tekniska skyddsåtgärder.