Aktualizácie HIPAA

Aktualizácie HIPAA 2025–2026 — čo potrebuje vedieť vaša praxe

HIPAA prechádza najvýznamnejšími zmenami za viac ako desaťročie. Nové mandáty Security Rule, aktualizácie Privacy Rule, termíny revízie NPP a zintenzívňujúce vynucovanie. Tu je návod, ako sa pripraviť.

Kritický harmonogram

16. februára 2026

Povinné

Termín revízie NPP

Všetky pokryté subjekty musia aktualizovať svoje oznámenia o postupoch ochrany súkromia, aby vysvetlili práva pacientov týkajúce sa ochrany údajov o reprodukčnom zdraví a užívaní návykových látok (zo zmien Privacy Rule z apríla 2024). Šablóny NPP Intake.Dental sú už aktualizované na tento termín.

16. februára 2026

Povinné

Plná zhoda s 42 CFR Part 2

Zosúladenie pravidiel pre záznamy o poruchách užívania návykových látok s HIPAA dosiahne povinnú zhodu pre dotknuté praxe.

Polovica 2026 (očakávané)

Očakávané

Konečná publikácia Security Rule

Najrozsiahlejšia aktualizácia Security Rule od roku 2013 bude nariaďovať MFA pre všetky systémy ePHI, šifrovanie v pokoji a v prenose bez výnimiek, ročné inventáre technologických aktív, polročné skenovanie zraniteľností, ročné penetračné testovanie, 72-hodinové reakcie na incidenty a priamu zodpovednosť za zhodu pre obchodných partnerov.

Koniec 2026 / Začiatok 2027

Predpokladané

Termín zhody

Organizácie budú mať 180–240 dní po publikácii na splnenie novej Security Rule.

Kontext vynucovania 2025

OCR uložil v roku 2025 samotnom pokuty vo výške viac ako 6,6 milióna $, pričom jednotlivé sankcie sa pohybovali od 80 000 $ do 3 000 000 $. Spustili sa audity fázy 3 zamerané na viac ako 50 subjektov. Odhadované náklady odvetvia na zhodu s prichádzajúcimi pravidlami: 9 miliárd $ prvý rok, 34 miliárd $ počas piatich rokov.

Čo musia urobiť zubné praxe

Aktualizovať oznámenia o postupoch ochrany súkromia do 16. februára 2026, aby vysvetľovali novú ochranu reprodukčného zdravia a SUD

Implementovať viacfaktorovú autentifikáciu pre všetky účty spracúvajúce ePHI

Šifrovať údaje v pokoji a v prenose pomocou metód kompatibilných s NIST

Udržiavať iba prípisné auditné záznamy protokolujúce každý prístup k PHI

Vyhotoviť a aktualizovať dohody o obchodnom partnerovi s každým dodávateľom a subdodávateľom

Vykonávať ročné hodnotenia zraniteľností a penetračné testovanie

Dokumentovať postupy reakcie na incidenty v súlade s 72-hodinovým štandardom

Čo Intake.Dental rieši automaticky

Ordinácie s Intake.Dental nemusia manuálne sledovať väčšinu technických požiadaviek — dodávame ich v základe.

Vopred aktualizované šablóny NPP (verzia február 2026 už aktívna)

Dvojvrstvové šifrovanie v pokoji (AES-256-GCM + Glyph Cipher v každom účte), TLS 1.3 pri prenose

MFA-pripravená infraštruktúra pre každý administrátorský účet

Komplexný auditný záznam len na pridávanie zaznamenávajúci každý prístup k PHI

Často kladené otázky

Čo sa stane, ak zmeškáme termíny február 2026?

Sankcie sa stupňujú. Nové bezpečnostné pravidlo tiež eliminuje možnosť „adresovateľného“ ochranného opatrenia, čo znamená, že všetky technické ochranné opatrenia sa stávajú povinnými — znižujúc flexibilitu výkladu v porovnaní so súčasnými pravidlami.

Platí stále bezpečný prístav šifrovania?

Áno. Podľa 45 CFR § 164.402 správne šifrované PHI nemusí spustiť oznamovanie porušenia, ak šifrovacie kľúče neboli kompromitované. Každý účet Intake.Dental obsahuje dvojvrstvové šifrovanie (AES-256-GCM + Glyph Cipher), čo výrazne posilňuje túto obranu bezpečného prístavu.

Potrebujú zubné ordinácie spracúvajúce záznamy o užívaní návykových látok špeciálne dodržiavanie predpisov?

Áno. Ordinácie liečiace pacientov s históriou SUD musia zosúladiť vstupné formuláre a spracovanie údajov s jednotnými protokolmi 42 CFR Part 2 / HIPAA do februára 2026. Šablóny formulárov Intake.Dental sú už aktualizované.

Aké boli čísla vynucovania za rok 2025?

OCR uložil v roku 2025 pokuty presahujúce $6,6 milióna, pričom jednotlivé sankcie sa pohybovali od $80 000 do $3 000 000. Audity fázy 3 sa zamerali na viac ako 50 subjektov. Najčastejšie porušenia boli nedostatočné posúdenia rizík, incidenty ransomvéru a slabé technické ochranné opatrenia.