HIPAA ažuriranja

HIPAA ažuriranja 2025–2026 — šta Vaša praksa treba da zna

HIPAA prolazi kroz najznačajnije promjene u posljednjih više od decenije. Novi mandati Pravila o sigurnosti, ažuriranja Pravila o privatnosti, rokovi za reviziju NPP i pojačano sprovođenje. Evo kako se pripremiti.

Kritična vremenska linija

16. februar 2026.

Obavezno

Rok za reviziju NPP

Svi pokriveni subjekti moraju ažurirati svoje Obavijesti o praksama privatnosti kako bi objasnili prava pacijenata u pogledu zaštite podataka o reproduktivnom zdravlju i upotrebi supstanci (iz aprila 2024. izmjena Pravila o privatnosti). Intake.Dental NPP predlošci su već ažurirani za ovaj rok.

16. februar 2026.

Obavezno

Potpuna usklađenost sa 42 CFR Part 2

Usklađivanje pravila o evidenciji poremećaja upotrebe supstanci sa HIPAA dostiže obaveznu usklađenost za zahvaćene prakse.

Sredina 2026. (očekivano)

Očekivano

Konačna objava Pravila o sigurnosti

Najsveobuhvatnije ažuriranje Pravila o sigurnosti od 2013. će narediti MFA za sve ePHI sisteme, enkripciju u mirovanju i tokom prijenosa bez izuzetaka, godišnje inventare tehnoloških sredstava, polugodišnje skeniranje ranjivosti, godišnje testiranje penetracije, 72-satni odgovor na incidente i direktnu odgovornost za usklađenost za poslovne partnere.

Kasno 2026. / Rano 2027.

Planirano

Rok za usklađenost

Organizacije će imati 180–240 dana nakon objave da se usklade sa novim Pravilom o sigurnosti.

Kontekst sprovođenja 2025.

OCR je naložio preko 6,6 miliona dolara kazni samo u 2025. godini, sa pojedinačnim kaznama u rasponu od 80.000 do 3.000.000 dolara. Faza 3 revizija pokrenuta je ciljajući 50+ subjekata. Procjene troškova industrije za usklađenost sa nadolazećim pravilima: 9 milijardi dolara prva godina, 34 milijarde dolara tokom pet godina.

Šta stomatološke prakse moraju učiniti

Ažurirati Obavijesti o praksama privatnosti do 16. februara 2026. kako bi objasnile nove zaštite reproduktivnog zdravlja i SUD

Implementirati višefaktorsku autentifikaciju za sve naloge koji rukuju ePHI

Enkriptovati podatke u mirovanju i tokom prijenosa koristeći NIST-usklađene metode

Održavati revizorske tragove samo za dodavanje koji bilježe svaki pristup PHI

Izvršiti i ažurirati Sporazume o poslovnim partnerima sa svakim dobavljačem i podizvođačem

Provoditi godišnje procjene ranjivosti i testiranje penetracije

Šta Intake.Dental automatski rješava

Prakse na Intake.Dental ne moraju ručno pratiti većinu tehničkih zahtjeva — mi ih isporučujemo po defaultu.

Unaprijed ažurirani NPP predlošci (verzija februar 2026. već dostupna)

Dvostruka enkripcija u mirovanju (AES-256-GCM + Glyph Cipher na svakom nalogu), TLS 1.3 tokom prijenosa

MFA-spremna infrastruktura za svaki administratorski nalog

Sveobuhvatni revizorski trag samo za dodavanje koji bilježi svaki PHI pristup

Često postavljana pitanja

Šta se dešava ako propustimo rokove iz februara 2026.?

Kazne se pojačavaju. Novo Pravilo o sigurnosti također eliminiše opciju “adresabilne” zaštite, što znači da sve tehničke zaštite postaju obavezne — smanjujući fleksibilnost tumačenja u poređenju sa trenutnim pravilima.

Da li sigurna luka za enkripciju još uvijek važi?

Da. Prema 45 CFR § 164.402, pravilno enkriptovani PHI možda neće pokrenuti obavještenje o kršenju ako ključevi za enkripciju nisu bili kompromitovani. Svaki Intake.Dental nalog se isporučuje sa dvostrukom enkripcijom (AES-256-GCM + Glyph Cipher), što značajno jača ovu odbranu sigurne luke.

Da li stomatološke prakse koje rukuju evidencijama o upotrebi supstanci trebaju posebnu usklađenost?

Da. Prakse koje liječe pacijente sa SUD historijom moraju uskladiti obrasce prijema i rukovanje podacima sa ujedinjenim 42 CFR Part 2 / HIPAA protokolima do februara 2026. Intake.Dental predlošci obrazaca su već ažurirani.

Koji su bili brojevi sprovođenja za 2025.?

OCR je naložio preko 6,6 miliona dolara kazni u 2025. sa pojedinačnim kaznama u rasponu od 80.000 do 3.000.000 dolara. Faza 3 revizija ciljala je 50+ subjekata. Najčešće kršenja bila su neadekvatne procjene rizika, incidenti ransomware-a i slabe tehničke zaštite.