HIPAA更新

2025–2026年HIPAA更新——您的诊所需要了解的内容

HIPAA正在经历十多年来最重大的变革。新的安全规则强制要求、隐私规则更新、NPP修订截止日期以及不断升级的执法力度。以下是如何做好准备。

关键时间表

2026年2月16日

强制性

NPP修订截止日期

所有受保实体必须更新其隐私实践通知,以说明患者在生殖健康和药物滥用数据保护方面的权利(来自2024年4月的隐私规则变更)。Intake.Dental的NPP模板已针对此截止日期进行更新。

2026年2月16日

强制性

42 CFR第2部分完全合规

药物滥用障碍记录规则与HIPAA的协调对受影响的诊所达到强制合规要求。

2026年中期(预期)

预期

安全规则最终发布

自2013年以来最全面的安全规则更新将强制要求所有ePHI系统使用MFA多因素认证、无例外的静态和传输加密、年度技术资产清查、每半年漏洞扫描、年度渗透测试、72小时事件响应,以及业务伙伴的直接合规责任。

2026年末/2027年初

预计

合规截止日期

组织将在新安全规则发布后有180–240天的时间来实现合规。

2025年执法背景

仅在2025年,民权办公室(OCR)就征收了超过660万美元的罚款,单笔处罚金额从8万美元到300万美元不等。第三阶段审计已启动,目标锁定50多家机构。行业对即将出台规则的合规成本估算为:第一年90亿美元,五年内340亿美元。

牙科诊所必须采取的措施

在2026年2月16日前更新「隐私实践通知」,说明新的生殖健康和药物滥用障碍(SUD)保护措施

为所有处理电子受保护健康信息(ePHI)的账户实施多因素身份验证

使用符合NIST标准的方法对静态和传输中的数据进行加密

维护仅追加的审计日志,记录每次对受保护健康信息(PHI)的访问

与每个供应商和分包商签订并更新「商业伙伴协议」

每年进行漏洞评估和渗透测试

记录符合72小时标准的事件响应程序

维护最新的技术资产清单和网络拓扑图

Intake.Dental自动处理的内容

使用Intake.Dental的诊所无需手动跟踪大部分技术要求——我们默认提供这些功能。

预更新的隐私实践通知模板(2026年2月版本已上线)

静态数据采用AES-256-GCM加密,传输中采用TLS 1.3,可选Glyph Cipher附加组件

每个管理员账户均支持多因素身份验证的基础设施

全面的仅追加审计日志,记录每次PHI访问

与供应链中每个分包商维护的商业伙伴协议

常见问题

如果我们错过2026年2月的截止日期会怎样?

处罚会升级。新的「安全规则」还取消了「可处理」保障措施选项,这意味着所有技术保障措施都成为强制性的——与现行规则相比,减少了解释的灵活性。

加密安全港规则是否仍然适用?

是的。根据45 CFR § 164.402,如果加密密钥未被泄露,正确加密的PHI可能不会触发违规通知。分层加密(AES-256-GCM加上我们可选的Glyph Cipher附加组件)可显著增强这一防御能力。

处理药物滥用记录的牙科诊所是否需要特殊合规?

是的。治疗有药物滥用障碍史患者的诊所必须在2026年2月前将接诊表格和数据处理与统一的42 CFR Part 2 / HIPAA协议保持一致。Intake.Dental的表格模板已完成更新。

2025年的执法数据是什么?

民权办公室在2025年征收了超过660万美元的罚款,单笔处罚金额从8万美元到300万美元不等。第三阶段审计针对了50多家机构。最常见的违规行为是风险评估不足、勒索软件事件和技术保障措施薄弱。