HIPAA-opdateringer

2025–2026 HIPAA-opdateringer — hvad din praksis skal vide

HIPAA gennemgår sine mest omfattende ændringer i over et årti. Nye Security Rule-krav, Privacy Rule-opdateringer, NPP-revisionsdeadlines og skærpet håndhævelse. Her er, hvordan du gør dig klar.

Kritisk tidslinje

16. februar 2026

Obligatorisk

NPP-revisionsdeadline

Alle covered entities skal opdatere deres Notices of Privacy Practices for at forklare patientrettigheder vedrørende reproduktiv sundhed og beskyttelse af data om rusmiddelbrug (fra Privacy Rule-ændringerne i april 2024). Intake.Dental NPP-skabeloner er allerede opdateret til denne deadline.

16. februar 2026

Obligatorisk

42 CFR Part 2 fuld compliance

Tilpasning af regler for registreringer om rusmiddelmisbrug til HIPAA når obligatorisk compliance for berørte praksisser.

Midten af 2026 (forventet)

Forventet

Security Rule endelig offentliggørelse

Den mest omfattende Security Rule-opdatering siden 2013 vil kræve MFA for alle ePHI-systemer, kryptering at rest og in transit uden undtagelser, årlige teknologiske asset-opgørelser, halvårlige sårbarhedsscans, årlig penetrationstest, 72-timers incident response og direkte compliance-ansvar for business associates.

Sent 2026 / tidligt 2027

Projiceret

Compliance-deadline

Organisationer får 180–240 dage efter offentliggørelse til at overholde den nye Security Rule.

2025 håndhævelseskontekst

OCR udstedte over $6,6 millioner i bøder alene i 2025, med enkelte sanktioner fra $80.000 til $3.000.000. Fase 3-revisioner blev lanceret med 50+ enheder som mål. Branchens omkostningsestimater for compliance med de kommende regler: $9 milliarder år ét, $34 milliarder over fem år.

Hvad tandlægepraksisser skal gøre

Opdater Notices of Privacy Practices inden 16. februar 2026 for at forklare nye beskyttelser af reproduktiv sundhed og SUD

Implementer multi-faktor-autentificering for alle konti, der håndterer ePHI

Krypter data at rest og in transit ved hjælp af NIST-kompatible metoder

Vedligehold append-only audit trails, der logger hver adgang til PHI

Udfør og opdater Business Associate Agreements med hver leverandør og underleverandør

Udfør årlige sårbarhedsvurderinger og penetrationstest

Dokumenter incident response-procedurer tilpasset 72-timers-standarden

Hvad Intake.Dental håndterer automatisk

Praksisser på Intake.Dental behøver ikke manuelt at spore de fleste af de tekniske krav — vi leverer dem som standard.

Forhåndsopdaterede NPP-skabeloner (februar 2026-version allerede live)

Dobbeltlags-kryptering at rest (AES-256-GCM + Glyph Cipher på hver konto), TLS 1.3 in transit

MFA-klar infrastruktur for hver admin-konto

Omfattende append-only audit trail, der logger hver PHI-adgang

Ofte stillede spørgsmål

Hvad sker der, hvis vi misser februar 2026-deadlines?

Sanktioner eskalerer. Den nye Security Rule eliminerer også muligheden for “adresserbare” sikkerhedsforanstaltninger, hvilket betyder, at alle tekniske sikkerhedsforanstaltninger bliver obligatoriske — reducerer fortolkningsfleksibilitet sammenlignet med nuværende regler.

Gælder krypteringens safe harbor stadig?

Ja. Under 45 CFR § 164.402 udløser korrekt krypteret PHI muligvis ikke breach notification, hvis krypteringsnøglerne ikke blev kompromitteret. Lagdelt kryptering (AES-256-GCM plus vores valgfrie Glyph Cipher-tilføjelse) styrker dette forsvar betydeligt.

Skal tandlægepraksisser, der håndterer registreringer om rusmiddelbrug, have særlig compliance?

Ja. Praksisser, der behandler patienter med SUD-historik, skal tilpasse intakeformularer og datahåndtering med de samlede 42 CFR Part 2 / HIPAA-protokoller inden februar 2026. Intake.Dental's formularskabeloner er allerede opdateret.

Hvad var 2025-håndhævelsestallene?

OCR udstedte over $6,6 millioner i bøder i 2025 med enkelte sanktioner fra $80.000 til $3.000.000. Fase 3-revisioner målrettede 50+ enheder. De mest almindelige overtrædelser var utilstrækkelige risikovurderinger, ransomware-hændelser og svage tekniske sikkerhedsforanstaltninger.