Cập Nhật HIPAA

Cập nhật HIPAA 2025–2026 — những điều phòng khám của bạn cần biết

HIPAA đang trải qua những thay đổi quan trọng nhất trong hơn một thập kỷ. Yêu cầu bắt buộc mới về Quy Tắc Bảo Mật, cập nhật Quy Tắc Quyền Riêng Tư, thời hạn sửa đổi NPP, và tăng cường thực thi. Đây là cách chuẩn bị.

Lộ trình quan trọng

16 Tháng 2, 2026

Bắt buộc

Thời hạn sửa đổi NPP

Tất cả các đơn vị được bảo hiểm phải cập nhật Thông Báo Thực Hành Quyền Riêng Tư của họ để giải thích quyền của bệnh nhân về bảo vệ dữ liệu sức khỏe sinh sản và sử dụng chất gây nghiện (từ các thay đổi Quy Tắc Quyền Riêng Tư tháng 4/2024). Mẫu NPP của Intake.Dental đã được cập nhật cho thời hạn này.

16 Tháng 2, 2026

Bắt buộc

Tuân thủ đầy đủ 42 CFR Part 2

Sự phối hợp các quy tắc hồ sơ rối loạn sử dụng chất gây nghiện với HIPAA đạt mức tuân thủ bắt buộc đối với các phòng khám bị ảnh hưởng.

Giữa năm 2026 (dự kiến)

Dự kiến

Công bố cuối cùng Quy Tắc Bảo Mật

Bản cập nhật Quy Tắc Bảo Mật toàn diện nhất kể từ năm 2013 sẽ bắt buộc MFA cho tất cả hệ thống ePHI, mã hóa khi lưu trữ và truyền tải không có ngoại lệ, kiểm kê tài sản công nghệ hàng năm, quét lỗ hổng hai lần một năm, kiểm tra xâm nhập hàng năm, ứng phó sự cố trong 72 giờ, và trách nhiệm tuân thủ trực tiếp đối với các đối tác kinh doanh.

Cuối năm 2026 / Đầu năm 2027

Dự báo

Thời hạn tuân thủ

Các tổ chức sẽ có 180–240 ngày sau khi công bố để tuân thủ Quy Tắc Bảo Mật mới.

Bối cảnh thực thi năm 2025

OCR đã áp đặt hơn 6,6 triệu đô la tiền phạt chỉ riêng trong năm 2025, với các khoản phạt đơn lẻ dao động từ $80.000 đến $3.000.000. Kiểm toán Giai đoạn 3 đã khởi động nhắm vào hơn 50 đơn vị. Ước tính chi phí ngành để tuân thủ các quy định sắp tới: 9 tỷ đô la năm đầu tiên, 34 tỷ đô la trong năm năm.

Những gì phòng khám nha khoa phải làm

Cập nhật Thông Báo Thực Hành Quyền Riêng Tư trước ngày 16 Tháng 2, 2026 để giải thích các biện pháp bảo vệ mới về sức khỏe sinh sản và SUD

Triển khai xác thực đa yếu tố cho tất cả tài khoản xử lý ePHI

Mã hóa dữ liệu khi lưu trữ và truyền tải bằng các phương pháp tuân thủ NIST

Duy trì nhật ký kiểm toán chỉ ghi thêm ghi lại mọi truy cập vào PHI

Ký kết và cập nhật Thỏa Thuận Đối Tác Kinh Doanh với mọi nhà cung cấp và nhà thầu phụ

Tiến hành đánh giá lỗ hổng hàng năm và kiểm tra xâm nhập

Ghi chép các thủ tục ứng phó sự cố phù hợp với tiêu chuẩn 72 giờ

Những gì Intake.Dental xử lý tự động

Các phòng khám sử dụng Intake.Dental không cần phải theo dõi thủ công hầu hết các yêu cầu kỹ thuật — chúng tôi cung cấp sẵn theo mặc định.

Mẫu NPP đã cập nhật trước (phiên bản Tháng 2/2026 đã có sẵn)

Mã hóa AES-256-GCM khi lưu trữ, TLS 1.3 khi truyền tải, tùy chọn bổ sung Glyph Cipher

Cơ sở hạ tầng hỗ trợ MFA cho mọi tài khoản quản trị

Nhật ký kiểm toán chỉ ghi thêm toàn diện ghi lại mọi truy cập PHI

Câu hỏi thường gặp

Điều gì xảy ra nếu chúng tôi bỏ lỡ thời hạn tháng 2 năm 2026?

Các hình phạt sẽ gia tăng. Quy tắc Bảo mật mới cũng loại bỏ tùy chọn biện pháp bảo vệ 'có thể giải quyết', nghĩa là tất cả các biện pháp bảo vệ kỹ thuật trở thành bắt buộc — giảm tính linh hoạt trong cách diễn giải so với các quy định hiện hành.

Điều khoản miễn trừ về mã hóa có còn áp dụng không?

Có. Theo 45 CFR § 164.402, PHI được mã hóa đúng cách có thể không kích hoạt thông báo vi phạm nếu các khóa mã hóa không bị xâm phạm. Mã hóa nhiều lớp (AES-256-GCM cộng với tùy chọn bổ sung Glyph Cipher của chúng tôi) tăng cường đáng kể khả năng phòng thủ này.

Các phòng khám nha khoa xử lý hồ sơ sử dụng chất gây nghiện có cần tuân thủ đặc biệt không?

Có. Các phòng khám điều trị bệnh nhân có tiền sử SUD phải điều chỉnh các biểu mẫu tiếp nhận và xử lý dữ liệu theo giao thức 42 CFR Part 2 / HIPAA thống nhất trước tháng 2 năm 2026. Các mẫu biểu mẫu của Intake.Dental đã được cập nhật.

Số liệu thực thi năm 2025 như thế nào?

OCR đã áp dụng hơn 6,6 triệu đô la tiền phạt trong năm 2025 với các khoản phạt đơn lẻ từ 80.000 đến 3.000.000 đô la. Kiểm toán giai đoạn 3 nhắm mục tiêu hơn 50 tổ chức. Các vi phạm phổ biến nhất là đánh giá rủi ro không đầy đủ, sự cố ransomware và các biện pháp bảo vệ kỹ thuật yếu.