HIPAA 更新

2025–2026 HIPAA 更新——您的診所必須知道的事

HIPAA 正經歷十多年來最重大的變革。新的安全規則強制要求、隱私規則更新、NPP 修訂期限，以及加強執法。以下教您如何做好準備。

重要時程

2026年2月16日

強制要求

隱私權實務通知修訂截止日期

所有受規範實體必須更新其隱私權實務通知,說明患者關於生殖健康和藥物濫用數據保護的權利(源自2024年4月的隱私規則變更)。Intake.Dental 隱私權實務通知範本已針對此截止日期完成更新。

2026年2月16日

強制要求

42 CFR Part 2 完全合規

藥物濫用障礙記錄規則與 HIPAA 的協調達到受影響診所的強制合規要求。

2026年中(預期)

預期實施

安全規則最終公布

自2013年以來最全面的安全規則更新將強制所有 ePHI 系統採用多重要素驗證、無例外的靜態和傳輸加密、年度技術資產清單、每半年漏洞掃描、年度滲透測試、72小時事件應變,以及商業夥伴的直接合規責任。

2026年底 / 2027年初

預計實施

合規截止日期

組織在新安全規則公布後將有180至240天的時間進行合規。

2025年執法背景

OCR 僅在2025年就開出超過660萬美元的罰款,單一罰款金額從8萬美元到300萬美元不等。第三階段稽核啟動,針對50多個實體。業界對即將到來規則的合規成本估計:第一年90億美元,五年內340億美元。

牙科診所必須採取的措施

在2026年2月16日前更新隱私權實務通知,說明新的生殖健康和藥物濫用障礙保護措施

為所有處理 ePHI 的帳戶實施多重要素驗證

使用符合 NIST 標準的方法對靜態和傳輸中的數據進行加密

維護僅附加稽核軌跡,記錄每次 PHI 存取

與每個供應商和分包商執行並更新商業夥伴協議

進行年度漏洞評估和滲透測試

記錄符合72小時標準的事件應變程序

維護最新的技術資產清單和網路地圖

Intake.Dental 自動處理的項目

使用 Intake.Dental 的診所無需手動追蹤大部分技術要求 — 我們預設提供這些功能。

預先更新的隱私權實務通知範本(2026年2月版本已上線)

靜態雙層加密(每個帳戶採用 AES-256-GCM + Glyph Cipher)、傳輸採用 TLS 1.3

每個管理員帳戶都具備 MFA 就緒基礎架構

全面的僅附加稽核軌跡,記錄每次 PHI 存取

與供應鏈中每個分處理商維護的商業夥伴協議

常見問題

如果我們錯過2026年2月的截止日期會怎樣?

罰則會升級。新的安全規則還消除了“可處理”保障選項,意味著所有技術保障措施都成為強制性的 — 與現行規則相比,減少了解釋的靈活性。

加密安全港條款是否仍然適用?

是的。根據 45 CFR § 164.402,如果加密金鑰未遭洩露,經過適當加密的 PHI 可能不會觸發洩露通知。每個 Intake.Dental 帳戶都配備雙層加密(AES-256-GCM + Glyph Cipher),這大幅強化了此安全港防禦。

處理藥物濫用記錄的牙科診所需要特殊合規嗎?

是的。治療有藥物濫用障礙病史患者的診所必須在2026年2月前將接診表格和數據處理與統一的 42 CFR Part 2 / HIPAA 協議對齊。Intake.Dental 的表格範本已完成更新。

2025年的執法數據是什麼?

OCR 在2025年開出超過660萬美元的罰款,單一罰款金額從8萬美元到300萬美元不等。第三階段稽核針對50多個實體。最常見的違規行為包括風險評估不足、勒索軟體事件和技術保障措施薄弱。