Aggiornamenti HIPAA

Aggiornamenti HIPAA 2025–2026 — cosa deve sapere il Suo studio

HIPAA sta subendo le modifiche più significative degli ultimi dieci anni. Nuovi mandati della Security Rule, aggiornamenti della Privacy Rule, scadenze di revisione NPP e applicazione in aumento. Ecco come prepararsi.

Cronologia critica

16 febbraio 2026

Obbligatorio

Scadenza revisione NPP

Tutte le entità coperte devono aggiornare le loro Notices of Privacy Practices per spiegare i diritti dei pazienti riguardo le protezioni dei dati sulla salute riproduttiva e l'uso di sostanze (dalle modifiche della Privacy Rule dell'aprile 2024). I modelli NPP di Intake.Dental sono già aggiornati per questa scadenza.

16 febbraio 2026

Obbligatorio

Conformità completa 42 CFR Part 2

L'allineamento delle regole sui documenti relativi ai disturbi da uso di sostanze con HIPAA raggiunge la conformità obbligatoria per gli studi interessati.

Metà 2026 (previsto)

Previsto

Pubblicazione finale della Security Rule

L'aggiornamento più completo della Security Rule dal 2013 renderà obbligatori: MFA per tutti i sistemi ePHI, crittografia a riposo e in transito senza eccezioni, inventari annuali delle risorse tecnologiche, scansioni di vulnerabilità semestrali, test di penetrazione annuali, risposta agli incidenti entro 72 ore e responsabilità diretta di conformità per i business associate.

Fine 2026 / Inizio 2027

Proiettato

Scadenza di conformità

Le organizzazioni avranno 180–240 giorni dopo la pubblicazione per conformarsi alla nuova Security Rule.

Contesto di applicazione 2025

OCR ha imposto oltre $6,6 milioni di multe solo nel 2025, con sanzioni singole comprese tra $80.000 e $3.000.000. Audit di Fase 3 lanciati rivolti a oltre 50 entità. Stime dei costi del settore per la conformità alle nuove regole: $9 miliardi nel primo anno, $34 miliardi in cinque anni.

Cosa devono fare gli studi odontoiatrici

Aggiornare le Notices of Privacy Practices entro il 16 febbraio 2026 per spiegare le nuove protezioni sulla salute riproduttiva e SUD

Implementare l'autenticazione a più fattori per tutti gli account che gestiscono ePHI

Crittografare i dati a riposo e in transito utilizzando metodi conformi a NIST

Mantenere audit trail append-only che registrano ogni accesso alle PHI

Eseguire e aggiornare Business Associate Agreement con ogni fornitore e subappaltatore

Condurre valutazioni annuali delle vulnerabilità e test di penetrazione

Cosa gestisce automaticamente Intake.Dental

Gli studi su Intake.Dental non devono monitorare manualmente la maggior parte dei requisiti tecnici: li forniamo di default.

Modelli NPP pre-aggiornati (versione febbraio 2026 già attiva)

Crittografia AES-256-GCM a riposo, TLS 1.3 in transito, componente aggiuntivo opzionale Glyph Cipher

Infrastruttura predisposta per MFA per ogni account amministratore

Registro di audit completo di sola aggiunta che traccia ogni accesso alle PHI

Domande frequenti

Cosa succede se non rispettiamo le scadenze di febbraio 2026?

Le sanzioni aumentano. La nuova Security Rule elimina anche l'opzione di salvaguardia “indirizzabile”, rendendo obbligatorie tutte le salvaguardie tecniche e riducendo la flessibilità di interpretazione rispetto alle norme attuali.

Il safe harbor sulla crittografia è ancora valido?

Sì. Secondo il 45 CFR § 164.402, le PHI correttamente crittografate potrebbero non attivare la notifica di violazione se le chiavi di crittografia non sono state compromesse. La crittografia a più livelli (AES-256-GCM più il nostro componente aggiuntivo opzionale Glyph Cipher) rafforza significativamente questa difesa.

Gli studi odontoiatrici che gestiscono cartelle sull'uso di sostanze necessitano di conformità speciale?

Sì. Gli studi che trattano pazienti con storia di SUD devono allineare i moduli di intake e la gestione dei dati con i protocolli unificati 42 CFR Part 2 / HIPAA entro febbraio 2026. I modelli di form di Intake.Dental sono già aggiornati.

Quali sono stati i numeri dell'applicazione normativa del 2025?

L'OCR ha comminato oltre 6,6 milioni di dollari di multe nel 2025 con sanzioni singole che vanno da $80.000 a $3.000.000. Gli audit di Fase 3 hanno preso di mira oltre 50 entità. Le violazioni più comuni sono state valutazioni del rischio inadeguate, incidenti ransomware e salvaguardie tecniche deboli.