HIPAA-Updates

HIPAA-Updates 2025–2026 – was Ihre Praxis wissen muss

HIPAA durchläuft seine bedeutendsten Änderungen seit über einem Jahrzehnt. Neue Security Rule-Mandate, Privacy Rule-Updates, NPP-Revisionsfristen und eskalierende Durchsetzung. So bereiten Sie sich vor.

Kritischer Zeitplan

16. Februar 2026

Verpflichtend

NPP-Revisionsfrist

Alle Covered Entities müssen ihre Datenschutzhinweise aktualisieren, um Patientenrechte bezüglich des Schutzes von reproduktiver Gesundheit und Suchtdaten zu erläutern (aus den Privacy Rule-Änderungen vom April 2024). Die NPP-Vorlagen von Intake.Dental sind bereits für diese Frist aktualisiert.

16. Februar 2026

Verpflichtend

42 CFR Part 2 vollständige Compliance

Die Angleichung der Vorschriften für Suchtbehandlungsaufzeichnungen an HIPAA erreicht für betroffene Praxen die verpflichtende Compliance.

Mitte 2026 (erwartet)

Erwartet

Security Rule endgültige Veröffentlichung

Das umfassendste Security Rule-Update seit 2013 macht MFA für alle ePHI-Systeme verpflichtend, Verschlüsselung im Ruhezustand und bei der Übertragung ohne Ausnahmen, jährliche Technologie-Asset-Inventare, halbjährliche Schwachstellen-Scans, jährliche Penetrationstests, 72-Stunden-Incident-Response und direkte Compliance-Haftung für Business Associates.

Ende 2026 / Anfang 2027

Prognostiziert

Compliance-Frist

Organisationen haben 180–240 Tage nach Veröffentlichung Zeit, um die neue Security Rule zu erfüllen.

Durchsetzungskontext 2025

OCR verhängte allein 2025 Geldstrafen in Höhe von über 6,6 Millionen US-Dollar, wobei einzelne Strafen zwischen 80.000 und 3.000.000 US-Dollar lagen. Phase-3-Audits wurden gestartet und zielen auf über 50 Einrichtungen ab. Branchenkostenschätzungen für die Compliance mit den kommenden Regeln: 9 Milliarden US-Dollar im ersten Jahr, 34 Milliarden US-Dollar über fünf Jahre.

Was Zahnarztpraxen tun müssen

Datenschutzhinweise bis zum 16. Februar 2026 aktualisieren, um neue Schutzmaßnahmen für reproduktive Gesundheit und SUD zu erläutern

Multi-Faktor-Authentifizierung für alle Konten implementieren, die ePHI verarbeiten

Daten im Ruhezustand und bei der Übertragung mit NIST-konformen Methoden verschlüsseln

Append-only-Audit-Trails führen, die jeden Zugriff auf PHI protokollieren

Business Associate Agreements mit jedem Anbieter und Subunternehmer ausführen und aktualisieren

Jährliche Schwachstellenbewertungen und Penetrationstests durchführen

Was Intake.Dental automatisch übernimmt

Praxen, die Intake.Dental nutzen, müssen die meisten technischen Anforderungen nicht manuell nachverfolgen – wir liefern sie standardmäßig mit.

Vorab aktualisierte NPP-Vorlagen (Version Februar 2026 bereits live)

AES-256-GCM-Verschlüsselung im Ruhezustand, TLS 1.3 bei der Übertragung, optionales Glyph Cipher Add-on

MFA-fähige Infrastruktur für jedes Admin-Konto

Umfassendes Append-only-Audit-Trail-Logging für jeden PHI-Zugriff

Häufig gestellte Fragen

Was passiert, wenn wir die Fristen im Februar 2026 verpassen?

Die Strafen steigen. Die neue Security Rule eliminiert außerdem die Option „adressierbare“ Schutzmaßnahmen, sodass alle technischen Schutzmaßnahmen verpflichtend werden – dies reduziert den Interpretationsspielraum im Vergleich zu den aktuellen Regeln.

Gilt der Verschlüsselungs-Safe-Harbor noch?

Ja. Gemäß 45 CFR § 164.402 muss ordnungsgemäß verschlüsselte PHI möglicherweise keine Datenschutzverletzungsmeldung auslösen, wenn die Verschlüsselungsschlüssel nicht kompromittiert wurden. Mehrschichtige Verschlüsselung (AES-256-GCM plus unser optionales Glyph Cipher Add-on) stärkt diese Verteidigung erheblich.

Benötigen Zahnarztpraxen, die Substanzmissbrauchsdaten verarbeiten, eine besondere Compliance?

Ja. Praxen, die Patienten mit SUD-Vorgeschichte behandeln, müssen Aufnahmeformulare und Datenverarbeitung bis Februar 2026 an die vereinheitlichten 42 CFR Part 2 / HIPAA-Protokolle anpassen. Die Formularvorlagen von Intake.Dental sind bereits aktualisiert.

Wie sahen die Durchsetzungszahlen 2025 aus?

OCR verhängte 2025 Bußgelder in Höhe von über 6,6 Millionen US-Dollar, wobei einzelne Strafen zwischen 80.000 und 3.000.000 US-Dollar lagen. Phase-3-Audits richteten sich gegen über 50 Einrichtungen. Die häufigsten Verstöße waren unzureichende Risikobewertungen, Ransomware-Vorfälle und schwache technische Schutzmaßnahmen.