การอัปเดต HIPAA

การอัปเดต HIPAA 2025–2026 — สิ่งที่คลินิกของคุณจำเป็นต้องทราบ

HIPAA กำลังเผชิญกับการเปลี่ยนแปลงที่สำคัญที่สุดในรอบกว่าทศวรรษ ข้อกำหนดใหม่ของกฎความปลอดภัย การอัปเดตกฎความเป็นส่วนตัว กำหนดเวลาการปรับปรุง NPP และการบังคับใช้ที่เพิ่มขึ้น นี่คือวิธีการเตรียมพร้อมครับ/ค่ะ

ไทม์ไลน์ที่สำคัญ

16 กุมภาพันธ์ 2569

บังคับ

กำหนดเวลาปรับปรุง NPP

หน่วยงานที่อยู่ภายใต้บังคับทั้งหมดต้องปรับปรุงประกาศแนวปฏิบัติด้านความเป็นส่วนตัว (Notices of Privacy Practices) เพื่ออธิบายสิทธิของผู้ป่วยเกี่ยวกับการคุ้มครองข้อมูลสุขภาพเจริญพันธุ์และการใช้สารเสพติด (จากการเปลี่ยนแปลง Privacy Rule เมื่อเดือนเมษายน 2024) เทมเพลต NPP ของ Intake.Dental ได้รับการปรับปรุงเรียบร้อยแล้วสำหรับกำหนดเวลานี้

16 กุมภาพันธ์ 2569

บังคับ

การปฏิบัติตาม 42 CFR Part 2 อย่างสมบูรณ์

การปรับเข้ากับกฎระเบียบเกี่ยวกับบันทึกการรักษาผู้ป่วยติดสารเสพติดกับ HIPAA ถึงวันบังคับใช้สำหรับคลินิกที่เกี่ยวข้อง

กลางปี 2569 (คาดการณ์)

คาดการณ์

การประกาศ Security Rule ฉบับสุดท้าย

การปรับปรุง Security Rule ครั้งใหญ่ที่สุดนับตั้งแต่ปี 2013 จะบังคับใช้ MFA สำหรับระบบ ePHI ทั้งหมด การเข้ารหัสข้อมูลทั้งขณะจัดเก็บและขณะส่งผ่านโดยไม่มีข้อยกเว้น รายการสินทรัพย์เทคโนโลยีประจำปี การสแกนช่องโหว่ทุก 6 เดือน การทดสอบการเจาะระบบประจำปี การตอบสนองเหตุการณ์ภายใน 72 ชั่วโมง และความรับผิดด้านการปฏิบัติตามกฎระเบียบโดยตรงสำหรับพันธมิตรทางธุรกิจ

ปลายปี 2569 / ต้นปี 2570

คาดว่า

กำหนดเวลาปฏิบัติตาม

องค์กรจะมีเวลา 180–240 วันหลังการประกาศเพื่อปฏิบัติตาม Security Rule ใหม่

บริบทการบังคับใช้ในปี 2568

OCR เรียกเก็บค่าปรับมากกว่า $6.6 ล้าน ในปี 2568 เพียงปีเดียว โดยมีค่าปรับแต่ละครั้งตั้งแต่ $80,000 ถึง $3,000,000 การตรวจสอบระยะที่ 3 เริ่มดำเนินการกับหน่วยงานมากกว่า 50 แห่ง ประมาณการต้นทุนของอุตสาหกรรมสำหรับการปฏิบัติตามกฎใหม่: $9 พันล้านในปีแรก $34 พันล้านในระยะเวลา 5 ปี

สิ่งที่คลินิกทันตกรรมต้องดำเนินการ

ปรับปรุงประกาศแนวปฏิบัติด้านความเป็นส่วนตัวภายใน 16 กุมภาพันธ์ 2569 เพื่ออธิบายการคุ้มครองข้อมูลสุขภาพเจริญพันธุ์และ SUD ใหม่

ใช้งานการยืนยันตัวตนแบบหลายปัจจัยสำหรับบัญชีทั้งหมดที่จัดการ ePHI

เข้ารหัสข้อมูลทั้งขณะจัดเก็บและขณะส่งผ่านโดยใช้วิธีการที่สอดคล้องกับ NIST

จัดเก็บบันทึกการตรวจสอบแบบเพิ่มเติมเท่านั้นที่บันทึกการเข้าถึง PHI ทุกครั้ง

จัดทำและปรับปรุงข้อตกลงพันธมิตรทางธุรกิจ (Business Associate Agreements) กับผู้ให้บริการและผู้รับเหมาช่วงทุกราย

ดำเนินการประเมินช่องโหว่และทดสอบการเจาะระบบประจำปี

จัดทำเอกสารขั้นตอนการตอบสนองเหตุการณ์ที่สอดคล้องกับมาตรฐาน 72 ชั่วโมง

สิ่งที่ Intake.Dental จัดการให้โดยอัตโนมัติ

คลินิกที่ใช้ Intake.Dental ไม่จำเป็นต้องติดตามข้อกำหนดทางเทคนิคส่วนใหญ่ด้วยตนเอง เราจัดเตรียมไว้ให้โดยค่าเริ่มต้น

เทมเพลต NPP ที่ปรับปรุงล่วงหน้า (เวอร์ชันกุมภาพันธ์ 2569 พร้อมใช้งานแล้ว)

การเข้ารหัสสองชั้นขณะจัดเก็บ (AES-256-GCM + Glyph Cipher ในทุกบัญชี), TLS 1.3 ขณะส่งผ่าน

โครงสร้างพื้นฐานที่รองรับ MFA สำหรับบัญชีผู้ดูแลระบบทุกบัญชี

บันทึกการตรวจสอบแบบเพิ่มเติมเท่านั้นที่ครอบคลุมการเข้าถึง PHI ทุกครั้ง

คำถามที่พบบ่อย

จะเกิดอะไรขึ้นหากพลาดกำหนดเวลาเดือนกุมภาพันธ์ 2569

โทษจะเพิ่มขึ้น Security Rule ใหม่ยังยกเลิกตัวเลือกมาตรการป้องกันแบบ “addressable” ทำให้มาตรการป้องกันทางเทคนิคทั้งหมดกลายเป็นข้อบังคับ ซึ่งลดความยืดหยุ่นในการตีความเมื่อเทียบกับกฎปัจจุบัน

การคุ้มครองด้วยการเข้ารหัสยังใช้ได้อยู่หรือไม่

ใช่ ภายใต้ 45 CFR § 164.402 ข้อมูล PHI ที่เข้ารหัสอย่างเหมาะสมอาจไม่ต้องแจ้งเหตุการละเมิดหากคีย์การเข้ารหัสไม่ถูกบุกรุก บัญชี Intake.Dental ทุกบัญชีมาพร้อมการเข้ารหัสสองชั้น (AES-256-GCM + Glyph Cipher) ซึ่งเสริมสร้างการป้องกันนี้อย่างมีนัยสำคัญ

คลินิกทันตกรรมที่จัดการบันทึกการใช้สารเสพติดต้องปฏิบัติตามข้อกำหนดพิเศษหรือไม่

ใช่ คลินิกที่รักษาผู้ป่วยที่มีประวัติ SUD ต้องปรับแบบฟอร์มรับข้อมูลและการจัดการข้อมูลให้สอดคล้องกับโปรโตคอล 42 CFR Part 2 / HIPAA แบบรวมภายใน 16 กุมภาพันธ์ 2569 เทมเพลตแบบฟอร์มของ Intake.Dental ได้รับการปรับปรุงเรียบร้อยแล้ว

ตัวเลขการบังคับใช้ในปี 2568 เป็นอย่างไร

OCR เรียกเก็บค่าปรับมากกว่า $6.6 ล้านในปี 2568 โดยมีค่าปรับแต่ละครั้งตั้งแต่ $80,000 ถึง $3,000,000 การตรวจสอบระยะที่ 3 มุ่งเป้าไปที่หน่วยงานมากกว่า 50 แห่ง การละเมิดที่พบบ่อยที่สุดคือการประเมินความเสี่ยงที่ไม่เพียงพอ เหตุการณ์แรนซัมแวร์ และมาตรการป้องกันทางเทคนิคที่อ่อนแอ