HIPAA-oppdateringer

HIPAA-oppdateringer 2025–2026 — hva din praksis trenger å vite

HIPAA gjennomgår sine mest betydelige endringer på over ti år. Nye Security Rule-krav, Privacy Rule-oppdateringer, NPP-revisjonsfrister og økt håndhevelse. Her er hvordan du forbereder deg.

Kritisk tidslinje

16. februar 2026

Obligatorisk

NPP-revisjonsfrist

Alle som er omfattet må oppdatere sine Notices of Privacy Practices for å forklare pasientrettigheter angående beskyttelse av data om reproduktiv helse og rusbruk (fra Privacy Rule-endringene i april 2024). Intake.Dental NPP-maler er allerede oppdatert for denne fristen.

16. februar 2026

Obligatorisk

42 CFR Part 2 full compliance

Tilpasning av regler for ruslidelsesjournal til HIPAA når obligatorisk compliance for berørte praksis.

Medio 2026 (forventet)

Forventet

Security Rule endelig publikasjon

Den mest omfattende Security Rule-oppdateringen siden 2013 vil kreve MFA for alle ePHI-systemer, kryptering i hvile og transit uten unntak, årlige teknologiressursinventarer, halvårlige sårbarhetsskann, årlig penetrasjonstesting, 72-timers hendelsesrespons og direkte compliance-ansvar for business associates.

Sent 2026 / tidlig 2027

Planlagt

Compliance-frist

Organisasjoner vil ha 180–240 dager etter publikasjon til å overholde den nye Security Rule.

2025 håndhevelseskontekst

OCR utstedte over $6,6 millioner i bøter bare i 2025, med enkeltstraffer fra $80 000 til $3 000 000. Fase 3-revisjoner ble lansert med mål om 50+ enheter. Bransjens kostnadsestimater for compliance med kommende regler: $9 milliarder år ett, $34 milliarder over fem år.

Hva tannlegepraksis må gjøre

Oppdatere Notices of Privacy Practices innen 16. februar 2026 for å forklare ny beskyttelse av reproduktiv helse og SUD

Implementere multifaktorautentisering for alle kontoer som håndterer ePHI

Kryptere data i hvile og transit ved bruk av NIST-kompatible metoder

Opprettholde append-only revisjonsspor som logger all tilgang til PHI

Utføre og oppdatere Business Associate Agreements med hver leverandør og underleverandør

Gjennomføre årlige sårbarhetsvurderinger og penetrasjonstesting

Dokumentere hendelsesresponsprosedyrer i tråd med 72-timersstandarden

Hva Intake.Dental håndterer automatisk

Praksis på Intake.Dental trenger ikke manuelt å spore de fleste tekniske krav — vi leverer dem som standard.

Forhåndsoppdaterte NPP-maler (februar 2026-versjon allerede tilgjengelig)

Dobbeltlags kryptering i hvile (AES-256-GCM + Glyph Cipher på hver konto), TLS 1.3 i transit

MFA-klar infrastruktur for hver administratorkonto

Omfattende append-only revisjonsspor som logger hver PHI-tilgang

Ofte stilte spørsmål

Hva skjer hvis vi går glipp av februar 2026-fristene?

Straffer eskalerer. Den nye Security Rule eliminerer også “adressable” sikringstiltaksalternativet, noe som betyr at alle tekniske sikringstiltak blir obligatoriske — dette reduserer tolkningsfleksibiliteten sammenlignet med gjeldende regler.

Gjelder fortsatt krypteringssikringshavnen?

Ja. Under 45 CFR § 164.402 kan riktig kryptert PHI ikke utløse bruddmelding hvis krypteringsnøklene ikke ble kompromittert. Lagdelt kryptering (AES-256-GCM pluss vår valgfrie Glyph Cipher-tillegg) styrker dette forsvaret betydelig.

Trenger tannlegepraksis som håndterer rusbruksjournaler spesiell compliance?

Ja. Praksis som behandler pasienter med SUD-historikk må tilpasse innsjekskjemaer og datahåndtering til de forenede 42 CFR Part 2 / HIPAA-protokollene innen februar 2026. Intake.Dental sine skjemamaler er allerede oppdatert.

Hva var håndhevelsestallene for 2025?

OCR utstedte over $6,6 millioner i bøter i 2025 med enkeltstraffer fra $80 000 til $3 000 000. Fase 3-revisjoner målrettet 50+ enheter. De vanligste bruddene var utilstrekkelige risikovurderinger, ransomware-hendelser og svake tekniske sikringstiltak.