HIPAA-updates

HIPAA-updates 2025–2026 — wat uw praktijk moet weten

HIPAA ondergaat de meest ingrijpende wijzigingen in meer dan tien jaar. Nieuwe Security Rule verplichtingen, Privacy Rule updates, NPP-herzieningstermijnen en oplopende handhaving. Zo bereidt u zich voor.

Kritieke tijdlijn

16 februari 2026

Verplicht

NPP-herzieningstermijn

Alle covered entities moeten hun Notices of Privacy Practices bijwerken om patiëntenrechten met betrekking tot reproductieve gezondheid en bescherming van verslavingsgegevens toe te lichten (uit de Privacy Rule wijzigingen van april 2024). Intake.Dental NPP-sjablonen zijn al bijgewerkt voor deze deadline.

16 februari 2026

Verplicht

42 CFR Part 2 volledige naleving

Afstemming van regels voor verslavingszorgdossiers met HIPAA bereikt verplichte naleving voor getroffen praktijken.

Medio 2026 (verwacht)

Verwacht

Security Rule definitieve publicatie

De meest verstrekkende Security Rule update sinds 2013 maakt MFA verplicht voor alle ePHI-systemen, encryptie in rust en tijdens transport zonder uitzonderingen, jaarlijkse technology asset-inventarisaties, halfjaarlijkse kwetsbaarheidsscans, jaarlijkse penetratietests, 72-uurs incident response en directe compliance-aansprakelijkheid voor business associates.

Eind 2026 / Begin 2027

Gepland

Compliance-deadline

Organisaties krijgen 180–240 dagen na publicatie om te voldoen aan de nieuwe Security Rule.

Handhavingscontext 2025

OCR legde in 2025 alleen al meer dan $6,6 miljoen aan boetes op, met afzonderlijke sancties variërend van $80.000 tot $3.000.000. Fase 3-audits zijn gestart gericht op 50+ entiteiten. Sectorschattingen voor nalevingskosten van de aankomende regels: $9 miljard jaar één, $34 miljard over vijf jaar.

Wat tandartspraktijken moeten doen

Notices of Privacy Practices bijwerken vóór 16 februari 2026 om nieuwe bescherming van reproductieve gezondheid en SUD toe te lichten

Multi-factor authenticatie implementeren voor alle accounts die ePHI verwerken

Gegevens in rust en tijdens transport versleutelen met NIST-conforme methoden

Append-only audit trails bijhouden die elke toegang tot PHI registreren

Business Associate Agreements uitvoeren en bijwerken met elke leverancier en subcontractant

Jaarlijkse kwetsbaarheidsanalyses en penetratietests uitvoeren

Wat Intake.Dental automatisch regelt

Praktijken op Intake.Dental hoeven de meeste technische vereisten niet handmatig bij te houden — wij leveren ze standaard.

Vooraf bijgewerkte NPP-sjablonen (versie februari 2026 al actief)

AES-256-GCM-versleuteling in rust, TLS 1.3 tijdens overdracht, optionele Glyph Cipher-uitbreiding

MFA-klare infrastructuur voor elk beheerdersaccount

Uitgebreid append-only audittrail dat elke PHI-toegang registreert

Veelgestelde vragen

Wat gebeurt er als wij de deadlines van februari 2026 missen?

De boetes escaleren. De nieuwe Security Rule elimineert ook de “adresseerbare” beveiligingsoptie, waardoor alle technische beveiligingsmaatregelen verplicht worden — dit vermindert de interpretatieruimte vergeleken met de huidige regels.

Geldt de encryptie safe harbor nog steeds?

Ja. Volgens 45 CFR § 164.402 hoeft correct versleutelde PHI mogelijk geen melding van datalekken te activeren als de encryptiesleutels niet gecompromitteerd zijn. Gelaagde encryptie (AES-256-GCM plus onze optionele Glyph Cipher-uitbreiding) versterkt deze verdediging aanzienlijk.

Hebben tandartspraktijken die gegevens over middelenmisbruik verwerken speciale compliance nodig?

Ja. Praktijken die patiënten met SUD-voorgeschiedenis behandelen moeten intakeformulieren en gegevensverwerking afstemmen op de uniforme 42 CFR Part 2 / HIPAA-protocollen vóór februari 2026. De formuliersjablonen van Intake.Dental zijn al bijgewerkt.

Wat waren de handhavingscijfers van 2025?

OCR legde in 2025 meer dan $6,6 miljoen aan boetes op, met individuele sancties variërend van $80.000 tot $3.000.000. Fase 3-audits richtten zich op 50+ entiteiten. De meest voorkomende overtredingen waren ontoereikende risicobeoordelingen, ransomware-incidenten en zwakke technische beveiligingen.