HIPAA-päivitykset

2025–2026 HIPAA-päivitykset — mitä käytäntönne tulee tietää

HIPAA käy läpi merkittävimmät muutoksensa yli vuosikymmeneen. Uudet Security Rule -vaatimukset, Privacy Rule -päivitykset, NPP-uudistuksen määräajat ja kiristyvä valvonta. Näin valmistaudutte.

Kriittinen aikajana

16. helmikuuta 2026

Pakollinen

NPP-uudistuksen määräaika

Kaikkien säännösten alaisten toimijoiden on päivitettävä Notice of Privacy Practices -asiakirjansa selittämään potilaan oikeudet koskien lisääntymisterveyttä ja päihdehoidon tietosuojaa (huhtikuun 2024 Privacy Rule -muutoksista). Intake.Dental NPP -mallit on jo päivitetty tätä määräaikaa varten.

16. helmikuuta 2026

Pakollinen

42 CFR Part 2 täysi vaatimustenmukaisuus

Päihdehoidon potilastietojen sääntöjen yhdenmukaistaminen HIPAA:n kanssa saavuttaa pakollisen vaatimustenmukaisuuden asianomaisten käytäntöjen osalta.

Vuoden 2026 puoliväli (odotettu)

Odotettu

Security Rule lopullinen julkaisu

Laajin Security Rule -päivitys vuoden 2013 jälkeen edellyttää MFA:ta kaikille ePHI-järjestelmille, salauksen levossa ja siirrossa ilman poikkeuksia, vuosittaiset teknologiaomaisuusluettelot, puolivuotittaiset haavoittuvuusskannauset, vuosittaiset penetraatiotestaukset, 72 tunnin tapausvasteen ja suoran vaatimustenmukaisuusvastuun business associate -kumppaneille.

Loppuvuosi 2026 / alkuvuosi 2027

Arvioitu

Vaatimustenmukaisuuden määräaika

Organisaatioilla on 180–240 päivää julkaisun jälkeen noudattaa uutta Security Rule -säännöstöä.

Vuoden 2025 valvontakonteksti

OCR määräsi yksin vuonna 2025 yli 6,6 miljoonan dollarin sakot, yksittäisten rangaistusten vaihdellessa 80 000 dollarista 3 000 000 dollariin. Vaiheen 3 auditoinnit käynnistettiin kohdistuen yli 50 toimijaan. Alan kustannusarviot tulevien sääntöjen noudattamisesta: 9 miljardia dollaria ensimmäisenä vuotena, 34 miljardia dollaria viiden vuoden aikana.

Mitä hammashoitoloiden tulee tehdä

Päivittää Notice of Privacy Practices -asiakirjat 16. helmikuuta 2026 mennessä selittämään uudet lisääntymisterveyden ja SUD-suojat

Ottaa käyttöön monivaiheinen tunnistautuminen kaikille ePHI:ta käsitteleville tileille

Salata tiedot levossa ja siirrossa NIST-yhteensopivilla menetelmillä

Ylläpitää vain lisäystä sallivat auditointipolut, jotka kirjaavat jokaisen PHI:n käytön

Laatia ja päivittää Business Associate Agreement -sopimukset jokaisen toimittajan ja alihankkijan kanssa

Suorittaa vuosittaiset haavoittuvuusarvioinnit ja penetraatiotestaukset

Mitä Intake.Dental hoitaa automaattisesti

Intake.Dental-käytäntöjen ei tarvitse manuaalisesti seurata useimpia teknisiä vaatimuksia — toimitamme ne oletuksena.

Ennalta päivitetyt NPP-mallit (helmikuun 2026 versio jo käytettävissä)

Kaksitasoinen salaus levossa (AES-256-GCM + Glyph Cipher jokaisella tilillä), TLS 1.3 siirrossa

MFA-valmis infrastruktuuri jokaiselle ylläpitäjätilille

Kattava vain lisäystä salliva auditointipolku, joka kirjaa jokaisen PHI:n käytön

Usein kysytyt kysymykset

Mitä tapahtuu, jos ohitamme helmikuun 2026 määräajat?

Rangaistukset kovenevat. Uusi Security Rule myös poistaa “osoitettavissa olevan” suojatoimien vaihtoehdon, mikä tarkoittaa, että kaikista teknisistä suojatoimista tulee pakollisia — vähentäen tulkinnan joustavuutta nykyisiin sääntöihin verrattuna.

Soveltuuko salauksen safe harbor edelleen?

Kyllä. 45 CFR § 164.402 mukaan asianmukaisesti salattu PHI ei välttämättä laukaise tietomurtoa koskevaa ilmoitusvelvollisuutta, jos salausavaimia ei vaarannettu. Jokainen Intake.Dental-tili toimitetaan kaksitasoisella salauksella (AES-256-GCM + Glyph Cipher), mikä vahvistaa tätä safe harbor -suojaa merkittävästi.

Tarvitsevatko päihdetietoja käsittelevät hammashoitolat erityistä vaatimustenmukaisuutta?

Kyllä. SUD-historiaa omaavia potilaita hoitavien käytäntöjen on yhdenmukaistettava lomakkeensa ja tietojenkäsittelynsä yhtenäistettyjen 42 CFR Part 2 / HIPAA-protokollien kanssa helmikuuhun 2026 mennessä. Intake.Dental-lomakemallit on jo päivitetty.

Mitkä olivat vuoden 2025 valvontaluvut?

OCR määräsi vuonna 2025 yli 6,6 miljoonan dollarin sakot yksittäisten rangaistusten vaihdellessa 80 000 dollarista 3 000 000 dollariin. Vaiheen 3 auditoinnit kohdistuivat yli 50 toimijaan. Yleisimmät rikkomukset olivat riittämättömät riskiarvioinnit, ransomware-tapahtumat ja heikot tekniset suojatoimet.