В январе 2025 года вышла финальная версия обновлённого HIPAA Security Rule, и с мая 2026 года новые требования вступили в полную силу. OCR уже ссылается на них в соглашениях об урегулировании споров, а январский бюллетень OCR за 2026 год чётко дал понять: анализ рисков остаётся самым частым нарушением.
Главное изменение — шифрование ePHI стало обязательным. Раньше это была «адресуемая» опция, теперь документировать причины отказа нельзя. То же самое с MFA: многофакторная аутентификация требуется на всех системах, работающих с ePHI. Инциденты надо сообщать в течение 72 часов. Раз в год нужно проводить пентесты.
Ещё одно новшество — ежегодная верификация BAA. Мало просто хранить договор с бизнес-ассоциатом, нужно документально подтвердить сам факт проверки. Инвентаризация активов перестала быть формальностью. Теперь от организаций требуют актуальный и точный список каждой системы, касающейся ePHI. OCR прямо привязала риск от необновлённого ПО к полноте этого списка.
Правила стали жёстче по части документирования. Недостаточно иметь политику на бумаге — надо доказывать, что она работает, что персонал обучен, а уязвимости закрыты. Ежегодный Security Risk Analysis стал обязательным, а не «когда удобно».
Сроки такие: 60 дней на вступление в силу и 180 дней на полное соответствие. HHS оценила затраты первого года в 9 миллиардов долларов, за пять лет — в 34 миллиарда. CHIME и более ста организаций пытались оспорить правила, ссылаясь на непосильную нагрузку для сельских больниц, но HHS оставил майский дедлайн. Впрочем, OCR пообещала лояльнее относиться к тем, кто показывает добросовестные усилия и поэтапный план.
Самые частые ошибки: ждать финальной версии, а не готовиться заранее; считать комплаенс чисто технической задачей; недооценивать документацию; игнорировать compliance бизнес-ассоциатов; пытаться сделать всё сразу.