Aktualizace HIPAA

Aktualizace HIPAA 2025–2026 — co musí Vaše praxe vědět

HIPAA prochází nejvýznamnějšími změnami za více než dekádu. Nové mandáty Security Rule, aktualizace Privacy Rule, termíny revize NPP a zesílené vymáhání. Zde je návod, jak se připravit.

Kritická časová osa

16. února 2026

Povinné

Termín revize NPP

Všechny subjekty musí aktualizovat své Oznámení o postupech ochrany soukromí, aby vysvětlily práva pacientů týkající se ochrany dat o reprodukčním zdraví a užívání návykových látek (z dubnových změn Privacy Rule z roku 2024). Šablony NPP od Intake.Dental jsou již pro tento termín aktualizovány.

16. února 2026

Povinné

Plný soulad s 42 CFR Part 2

Sladění pravidel pro záznamy o poruchách užívání návykových látek s HIPAA dosahuje povinné shody pro dotčené praxe.

Polovina roku 2026 (očekáváno)

Očekávané

Finální publikace Security Rule

Nejrozsáhlejší aktualizace Security Rule od roku 2013 bude vyžadovat MFA pro všechny systémy ePHI, šifrování v klidu a při přenosu bez výjimek, roční inventury technologických aktiv, pololetní prověrky zranitelnosti, roční penetrační testování, 72hodinovou reakci na incidenty a přímou compliance odpovědnost pro obchodní partnery.

Konec roku 2026 / začátek roku 2027

Plánované

Termín compliance

Organizace budou mít 180–240 dnů po publikaci na splnění nových Security Rule.

Kontext vymáhání v roce 2025

OCR uložil pouze v roce 2025 pokuty přes 6,6 milionu dolarů, s jednotlivými pokutami v rozmezí od 80 000 do 3 000 000 dolarů. Byla zahájena fáze 3 auditů zaměřených na více než 50 subjektů. Průmyslové odhady nákladů na compliance s nadcházejícími pravidly: 9 miliard dolarů v prvním roce, 34 miliard dolarů za pět let.

Co musí zubní praxe udělat

Aktualizovat Oznámení o postupech ochrany soukromí do 16. února 2026, aby vysvětlovaly nové ochrany reprodukčního zdraví a SUD

Implementovat vícefaktorové ověřování pro všechny účty zpracovávající ePHI

Šifrovat data v klidu a při přenosu pomocí metod odpovídajících NIST

Udržovat pouze doplňující auditní záznamy zaznamenávající každý přístup k PHI

Uzavřít a aktualizovat smlouvy obchodních partnerů s každým dodavatelem a subdodavatelem

Provádět roční hodnocení zranitelnosti a penetrační testování

Dokumentovat postupy reakce na incidenty v souladu s 72hodinovým standardem

Co Intake.Dental zajišťuje automaticky

Praxe používající Intake.Dental nemusí ručně sledovat většinu technických požadavků — dodáváme je standardně.

Předaktualizované šablony NPP (verze únor 2026 již aktivní)

Šifrování AES-256-GCM v klidu, TLS 1.3 při přenosu, volitelný doplněk Glyph Cipher

Infrastruktura s podporou MFA pro každý administrátorský účet

Komplexní auditní záznam typu append-only zaznamenávající každý přístup k PHI

Často kladené otázky

Co se stane, pokud nestihneme termíny únor 2026?

Pokuty se zvyšují. Nové Security Rule také eliminuje možnost „adresovatelných“ opatření, což znamená, že všechna technická opatření se stávají povinná — snižuje se flexibilita výkladu oproti současným pravidlům.

Platí stále ochrana šifrování (encryption safe harbor)?

Ano. Podle 45 CFR § 164.402 nemusí správně šifrované PHI vyvolat oznamovací povinnost porušení, pokud nebyly kompromitovány šifrovací klíče. Vrstvené šifrování (AES-256-GCM plus náš volitelný doplněk Glyph Cipher) tuto ochranu výrazně posiluje.

Potřebují zubní praxe zpracovávající záznamy o užívání návykových látek zvláštní compliance?

Ano. Praxe léčící pacienty s anamnézou SUD musí sladit příjmové formuláře a zpracování dat s jednotnými protokoly 42 CFR Part 2 / HIPAA do února 2026. Šablony formulářů Intake.Dental jsou již aktualizovány.

Jaká byla čísla vymáhání v roce 2025?

OCR uložil v roce 2025 pokuty přes 6,6 milionu dolarů, jednotlivé sankce se pohybovaly od 80 000 do 3 000 000 dolarů. Audity fáze 3 cílily na 50+ subjektů. Nejčastější porušení zahrnovala nedostatečná hodnocení rizik, incidenty ransomware a slabá technická opatření.