Pembaruan HIPAA

Pembaruan HIPAA 2025–2026 — yang perlu diketahui praktik Anda

HIPAA mengalami perubahan paling signifikan dalam lebih dari satu dekade. Mandat Aturan Keamanan baru, pembaruan Aturan Privasi, tenggat waktu revisi NPP, dan penegakan yang meningkat. Inilah cara mempersiapkannya.

Garis waktu kritis

16 Februari 2026

Wajib

Tenggat waktu revisi NPP

Semua entitas yang tercakup harus memperbarui Pemberitahuan Praktik Privasi mereka untuk menjelaskan hak pasien terkait perlindungan data kesehatan reproduksi dan penggunaan zat (dari perubahan Aturan Privasi April 2024). Template NPP Intake.Dental telah diperbarui untuk tenggat waktu ini.

16 Februari 2026

Wajib

Kepatuhan penuh 42 CFR Part 2

Penyelarasan aturan catatan gangguan penggunaan zat dengan HIPAA mencapai kepatuhan wajib untuk praktik yang terpengaruh.

Pertengahan 2026 (diperkirakan)

Diperkirakan

Publikasi final Aturan Keamanan

Pembaruan Aturan Keamanan paling luas sejak 2013 akan mewajibkan MFA untuk semua sistem ePHI, enkripsi saat disimpan dan dalam transit tanpa pengecualian, inventaris aset teknologi tahunan, pemindaian kerentanan dua kali setahun, pengujian penetrasi tahunan, respons insiden 72 jam, dan tanggung jawab kepatuhan langsung untuk mitra bisnis.

Akhir 2026 / Awal 2027

Diproyeksikan

Tenggat waktu kepatuhan

Organisasi akan memiliki 180–240 hari pasca-publikasi untuk mematuhi Aturan Keamanan yang baru.

Konteks penegakan 2025

OCR memberikan denda lebih dari $6,6 juta pada tahun 2025 saja, dengan denda tunggal berkisar dari $80.000 hingga $3.000.000. Audit Fase 3 diluncurkan menargetkan 50+ entitas. Perkiraan biaya industri untuk kepatuhan dengan aturan yang akan datang: $9 miliar tahun pertama, $34 miliar selama lima tahun.

Yang harus dilakukan praktik gigi

Perbarui Pemberitahuan Praktik Privasi sebelum 16 Februari 2026 untuk menjelaskan perlindungan kesehatan reproduksi dan SUD yang baru

Terapkan autentikasi multi-faktor untuk semua akun yang menangani ePHI

Enkripsi data saat disimpan dan dalam transit menggunakan metode yang sesuai dengan NIST

Pertahankan jejak audit append-only yang mencatat setiap akses ke PHI

Jalankan dan perbarui Perjanjian Mitra Bisnis dengan setiap vendor dan subkontraktor

Lakukan penilaian kerentanan tahunan dan pengujian penetrasi

Dokumentasikan prosedur respons insiden yang selaras dengan standar 72 jam

Yang ditangani Intake.Dental secara otomatis

Praktik di Intake.Dental tidak perlu melacak sebagian besar persyaratan teknis secara manual — kami menyediakannya secara bawaan.

Template NPP yang telah diperbarui (versi Februari 2026 sudah aktif)

Enkripsi berlapis ganda saat disimpan (AES-256-GCM + Glyph Cipher di setiap akun), TLS 1.3 dalam transit

Infrastruktur siap-MFA untuk setiap akun admin

Jejak audit append-only komprehensif yang mencatat setiap akses PHI

Pertanyaan yang sering diajukan

Apa yang terjadi jika kami melewatkan tenggat waktu Februari 2026?

Denda meningkat. Aturan Keamanan baru juga menghilangkan opsi pengamanan “yang dapat ditangani”, yang berarti semua pengamanan teknis menjadi wajib — mengurangi fleksibilitas interpretasi dibandingkan aturan saat ini.

Apakah safe harbor enkripsi masih berlaku?

Ya. Berdasarkan 45 CFR § 164.402, PHI yang dienkripsi dengan benar mungkin tidak memicu notifikasi pelanggaran jika kunci enkripsi tidak disusupi. Setiap akun Intake.Dental dilengkapi dengan enkripsi berlapis ganda (AES-256-GCM + Glyph Cipher), yang memperkuat pertahanan safe harbor ini secara signifikan.

Apakah praktik gigi yang menangani catatan penggunaan zat memerlukan kepatuhan khusus?

Ya. Praktik yang merawat pasien dengan riwayat SUD harus menyelaraskan formulir intake dan penanganan data dengan protokol terpadu 42 CFR Part 2 / HIPAA pada Februari 2026. Template formulir Intake.Dental telah diperbarui.

Berapa angka penegakan tahun 2025?

OCR memberikan denda lebih dari $6,6 juta pada tahun 2025 dengan denda tunggal berkisar dari $80.000 hingga $3.000.000. Audit Fase 3 menargetkan 50+ entitas. Pelanggaran paling umum adalah penilaian risiko yang tidak memadai, insiden ransomware, dan pengamanan teknis yang lemah.