HIPAA зазнає найбільш значних змін за понад десятиліття. Нові мандати Security Rule, оновлення Privacy Rule, терміни перегляду NPP та посилене правозастосування. Ось як підготуватися.
Усі покриті організації повинні оновити свої Повідомлення про практику конфіденційності, щоб пояснити права пацієнтів щодо захисту даних про репродуктивне здоров'я та вживання психоактивних речовин (відповідно до змін Privacy Rule від квітня 2024 року). Шаблони NPP від Intake.Dental вже оновлені для цього терміну.
Узгодження правил щодо записів про розлади вживання психоактивних речовин з HIPAA досягає обов'язкової відповідності для відповідних практик.
Найбільш масштабне оновлення Security Rule з 2013 року зробить обов'язковими MFA для всіх систем ePHI, шифрування у спокої та під час передачі без винятків, щорічні інвентаризації технологічних активів, двічі на рік сканування вразливостей, щорічне тестування на проникнення, 72-годинне реагування на інциденти та пряму відповідальність за комплаєнс для бізнес-партнерів.
Організації матимуть 180–240 днів після публікації для дотримання нового Security Rule.
OCR наклав понад 6,6 мільйона доларів США штрафів лише у 2025 році, з окремими штрафами від 80 000 до 3 000 000 доларів США. Запущено аудити Фази 3, спрямовані на понад 50 організацій. Галузеві оцінки витрат на дотримання майбутніх правил: 9 мільярдів доларів першого року, 34 мільярди доларів протягом п'яти років.
Практикам на Intake.Dental не потрібно вручну відстежувати більшість технічних вимог — ми постачаємо їх за замовчуванням.
Штрафи зростають. Новий Security Rule також усуває опцію “адресованих” заходів безпеки, роблячи всі технічні заходи обов'язковими — знижуючи гнучкість інтерпретації порівняно з поточними правилами.
Так. Відповідно до 45 CFR § 164.402, належним чином зашифрована PHI може не викликати повідомлення про порушення, якщо ключі шифрування не були скомпрометовані. Кожен обліковий запис Intake.Dental постачається з двошаровим шифруванням (AES-256-GCM + Glyph Cipher), що значно посилює цей захист безпечної гавані.
Так. Практики, які лікують пацієнтів з історією розладів, пов'язаних з вживанням психоактивних речовин, повинні узгодити форми реєстрації та обробку даних з уніфікованими протоколами 42 CFR Part 2 / HIPAA до лютого 2026. Шаблони форм Intake.Dental вже оновлено.
OCR наклав понад $6,6 мільйона штрафів у 2025 році з окремими штрафами від $80,000 до $3,000,000. Аудити фази 3 охопили понад 50 суб'єктів. Найпоширенішими порушеннями були неналежні оцінки ризиків, інциденти з програмами-вимагачами та слабкі технічні заходи безпеки.
Intake.Dental постачається з відповідністю HIPAA за замовчуванням — MFA, шифрування, аудиторські сліди, BAA і реагування на інциденти протягом 72 годин — усе вбудовано.
