Абнаўленні HIPAA

Абнаўленні HIPAA 2025–2026 — што павінна ведаць Ваша практыка

HIPAA праходзіць найбольш значныя змены за апошняе дзесяцігоддзе. Новыя патрабаванні Правіла бяспекі, абнаўленні Правіла прыватнасці, тэрміны перагляду NPP і ўзмацненне кантролю. Вось як падрыхтавацца.

Крытычныя тэрміны

16 лютага 2026 г.

Абавязкова

Тэрмін перагляду NPP

Усе суб'екты, якія падлягаюць рэгуляванню, павінны абнавіць свае Паведамленні аб практыках прыватнасці, каб растлумачыць правы пацыентаў адносна абароны даных аб рэпрадуктыўным здароўі і ўжыванні рэчываў (згодна са зменамі Правіла прыватнасці ад красавіка 2024 г.). Шаблоны NPP у Intake.Dental ужо абноўлены да гэтага тэрміну.

16 лютага 2026 г.

Абавязкова

Поўная адпаведнасць 42 CFR Part 2

Узгадненне правілаў уліку расстройстваў, звязаных з ужываннем рэчываў, з HIPAA дасягае абавязковай адпаведнасці для закранутых практык.

Сярэдзіна 2026 г. (чакаецца)

Чакаецца

Канчатковая публікацыя Правіла бяспекі

Найбольш маштабнае абнаўленне Правіла бяспекі з 2013 года зробіць абавязковым MFA для ўсіх сістэм ePHI, шыфраванне ў стане спакою і пры перадачы без выключэнняў, штогадовыя інвентарызацыі тэхналагічных актываў, паўгадовыя сканаванні ўразлівасцяў, штогадовае тэсціраванне на пранікненне, 72-гадзінны адказ на інцыдэнты і прамую адказнасць бізнес-партнёраў за адпаведнасць.

Канец 2026 г. / пачатак 2027 г.

Прагназуецца

Тэрмін адпаведнасці

Арганізацыі будуць мець 180–240 дзён пасля публікацыі для выканання новага Правіла бяспекі.

Кантэкст кантролю ў 2025 г.

OCR наклала больш за $6,6 мільёна штрафаў толькі ў 2025 годзе, з асобнымі санкцыямі ад $80 000 да $3 000 000. Стартавалі аўдыты Фазы 3, накіраваныя на 50+ суб'ектаў. Галіновыя ацэнкі выдаткаў на адпаведнасць новым правілам: $9 мільярдаў у першы год, $34 мільярды за пяць гадоў.

Што павінны зрабіць стаматалагічныя практыкі

Абнавіць Паведамленні аб практыках прыватнасці да 16 лютага 2026 г., каб растлумачыць новую абарону даных аб рэпрадуктыўным здароўі і расстройствах ужывання рэчываў

Уключыць шматфактарную аўтэнтыфікацыю для ўсіх уліковых запісаў, якія працуюць з ePHI

Шыфраваць даныя ў стане спакою і пры перадачы з выкарыстаннем метадаў, адпаведных NIST

Падтрымліваць журналы аўдыту толькі для дадання, якія фіксуюць кожны доступ да PHI

Выконваць і абнаўляць Пагадненні з бізнес-партнёрамі з кожным пастаўшчыком і субпадрадчыкам

Праводзіць штогадовыя ацэнкі ўразлівасцяў і тэсціраванне на пранікненне

Што Intake.Dental апрацоўвае аўтаматычна

Практыкам на Intake.Dental не трэба ўручную адсочваць большасць тэхнічных патрабаванняў — мы забяспечваем іх па змаўчанні.

Папярэдне абноўленыя шаблоны NPP (версія на люты 2026 г. ужо даступная)

Двухслаёвае шыфраванне ў стане спакою (AES-256-GCM + Glyph Cipher на кожным уліковым запісе), TLS 1.3 пры перадачы

Інфраструктура з падтрымкай MFA для кожнага адміністратарскага ўліковага запісу

Поўны журнал аўдыту толькі для дадання, які фіксуе кожны доступ да PHI

Частыя пытанні

Што адбудзецца, калі мы прапусцім тэрміны лютага 2026 г.?

Санкцыі ўзмацняюцца. Новае Правіла бяспекі таксама ліквідуе опцыю “адрасуемых” мер абароны, што робіць усе тэхнічныя меры абароны абавязковымі — зніжаючы гнуткасць інтэрпрэтацыі ў параўнанні з бягучымі правіламі.

Ці дзейнічае яшчэ бяспечная гавань шыфравання?

Так. Згодна з 45 CFR § 164.402, належным чынам зашыфраваны PHI можа не запускаць паведамленне аб уцечцы, калі ключы шыфравання не былі скампраметаваны. Кожны ўліковы запіс Intake.Dental пастаўляецца з двухслаёвым шыфраваннем (AES-256-GCM + Glyph Cipher), што значна ўмацоўвае гэту абарону бяспечнай гавані.

Ці патрэбная стаматалагічным практыкам, якія працуюць з запісамі аб ужыванні рэчываў, спецыяльная адпаведнасць?

Так. Практыкі, якія лечаць пацыентаў з гісторыяй расстройстваў ужывання рэчываў, павінны ўзгадніць формы ўліку і апрацоўку даных з аб'яднанымі пратаколамі 42 CFR Part 2 / HIPAA да лютага 2026 г. Шаблоны формаў Intake.Dental ужо абноўлены.

Якімі былі лікі кантролю ў 2025 г.?

OCR наклала больш за $6,6 мільёна штрафаў у 2025 годзе з асобнымі санкцыямі ад $80 000 да $3 000 000. Аўдыты Фазы 3 былі накіраваны на 50+ суб'ектаў. Найбольш распаўсюджанымі парушэннямі былі недастатковыя ацэнкі рызык, інцыдэнты з праграмамі-здзіральнікамі і слабыя тэхнічныя меры абароны.