Aktualizacje HIPAA

Aktualizacje HIPAA 2025–2026 — co Pana/Pani praktyka musi wiedzieć

HIPAA przechodzi najważniejsze zmiany od ponad dekady. Nowe mandaty Security Rule, aktualizacje Privacy Rule, terminy rewizji NPP i nasilające się egzekwowanie. Oto, jak się przygotować.

Kluczowy harmonogram

16 lutego 2026

Obowiązkowe

Termin rewizji NPP

Wszystkie objęte podmioty muszą zaktualizować swoje zawiadomienia o praktykach prywatności, aby wyjaśnić prawa pacjentów dotyczące ochrony danych o zdrowiu reprodukcyjnym i używaniu substancji (z kwietniowych zmian Privacy Rule z 2024 r.). Szablony NPP Intake.Dental są już zaktualizowane na ten termin.

16 lutego 2026

Obowiązkowe

Pełna zgodność z 42 CFR Part 2

Harmonizacja przepisów dotyczących dokumentacji zaburzeń używania substancji z HIPAA osiąga obowiązkową zgodność dla objętych praktyk.

Połowa 2026 (oczekiwane)

Oczekiwane

Ostateczna publikacja Security Rule

Najbardziej kompleksowa aktualizacja Security Rule od 2013 r. nałoży obowiązek MFA dla wszystkich systemów ePHI, szyfrowania w spoczynku i podczas transmisji bez wyjątków, rocznych inwentaryzacji zasobów technologicznych, półrocznych skanów podatności, rocznych testów penetracyjnych, 72-godzinnej reakcji na incydenty oraz bezpośredniej odpowiedzialności za zgodność dla współpracowników biznesowych.

Koniec 2026 / początek 2027

Prognozowane

Termin zgodności

Organizacje będą miały 180–240 dni po publikacji na dostosowanie się do nowego Security Rule.

Kontekst egzekwowania w 2025

OCR nałożyło ponad 6,6 miliona dolarów kar tylko w 2025 r., z pojedynczymi karami od 80 000 do 3 000 000 dolarów. Rozpoczęto audyty fazy 3 obejmujące ponad 50 podmiotów. Branżowe szacunki kosztów zgodności z nadchodzącymi przepisami: 9 miliardów dolarów w pierwszym roku, 34 miliardy dolarów w ciągu pięciu lat.

Co praktyki dentystyczne muszą zrobić

Zaktualizować zawiadomienia o praktykach prywatności do 16 lutego 2026 r., aby wyjaśnić nowe zabezpieczenia zdrowia reprodukcyjnego i SUD

Wdrożyć uwierzytelnianie wieloskładnikowe dla wszystkich kont obsługujących ePHI

Szyfrować dane w spoczynku i podczas transmisji przy użyciu metod zgodnych z NIST

Utrzymywać dzienniki audytu typu „append-only” rejestrujące każdy dostęp do PHI

Podpisywać i aktualizować umowy współpracownika biznesowego z każdym dostawcą i podwykonawcą

Przeprowadzać coroczne oceny podatności i testy penetracyjne

Co Intake.Dental obsługuje automatycznie

Praktyki korzystające z Intake.Dental nie muszą ręcznie śledzić większości wymogów technicznych — zapewniamy je domyślnie.

Zaktualizowane szablony NPP (wersja z lutego 2026 już dostępna)

Szyfrowanie AES-256-GCM w spoczynku, TLS 1.3 w transmisji, opcjonalny dodatek Glyph Cipher

Infrastruktura gotowa na MFA dla każdego konta administratora

Kompleksowy dziennik audytu typu append-only rejestrujący każdy dostęp do PHI

Najczęściej zadawane pytania

Co się stanie, jeśli nie dotrzymamy terminów z lutego 2026?

Kary będą narastać. Nowa Security Rule eliminuje również opcję zabezpieczeń „adresowalnych”, co oznacza, że wszystkie zabezpieczenia techniczne stają się obowiązkowe — zmniejszając elastyczność interpretacji w porównaniu z obecnymi przepisami.

Czy bezpieczna przystań szyfrowania nadal obowiązuje?

Tak. Zgodnie z 45 CFR § 164.402, prawidłowo zaszyfrowane PHI może nie wymagać powiadomienia o naruszeniu, jeśli klucze szyfrowania nie zostały naruszone. Wielowarstwowe szyfrowanie (AES-256-GCM plus nasz opcjonalny dodatek Glyph Cipher) znacząco wzmacnia tę ochronę.

Czy praktyki stomatologiczne obsługujące dokumentację dotyczącą uzależnień wymagają specjalnej zgodności?

Tak. Praktyki leczące pacjentów z historią SUD muszą dostosować formularze przyjęć i obsługę danych do ujednoliconych protokołów 42 CFR Part 2 / HIPAA do lutego 2026. Szablony formularzy Intake.Dental są już zaktualizowane.

Jakie były liczby egzekwowania w 2025 roku?

OCR nałożyło ponad 6,6 miliona dolarów kar w 2025 roku, z pojedynczymi karami od 80 000 do 3 000 000 dolarów. Audyty fazy 3 objęły ponad 50 podmiotów. Najczęstsze naruszenia dotyczyły niewystarczających ocen ryzyka, incydentów ransomware i słabych zabezpieczeń technicznych.