W 1996 roku Kongres Stanów Zjednoczonych uchwalił ustawę o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA), która zawiera przepisy dotyczące opieki zdrowotnej i ubezpieczenia. Część 1 ustawy HIPAA dotyczy ubezpieczenia zdrowotnego, podczas gdy część 2 reguluje prywatność pacjenta. Część 2 ustawy HIPAA wprowadziła poważne zmiany w administracji opieki zdrowotnej w USA i zmieniła sposób zarządzania dokumentacją medyczną pacjentów. Pracownicy służby zdrowia lub inne osoby, które nie przestrzegają któregokolwiek z tych przepisów, są winni naruszenia HIPAA, za co grozi zarówno sankcjami karnymi, jak i cywilnymi.
Część 2 ustawy HIPAA obejmuje trzy podstawowe dzierżawy praw pacjenta, podzielone na kategorie administracyjne, fizyczne i techniczne. Sekcja dotycząca praw administracyjnych wymaga od wszystkich organizacji opieki zdrowotnej wyznaczenia jednej osoby odpowiedzialnej za prywatność pacjentów i zapewnienia przestrzegania przepisów HIPAA. Ta kategoria obejmuje również szkolenia pracowników, interakcje ze stronami trzecimi, które mogą przeglądać dokumentację pacjentów, oraz zasady postępowania w przypadku naruszenia bezpieczeństwa. Firmy, które nie wyznaczą osoby do zarządzania wymaganiami HIPAA, mogą być winne naruszenia HIPAA i mogą podlegać karom. Każdy brak wdrożenia wymaganych zasad administracyjnych może stanowić dodatkowe naruszenie HIPAA.
Jeśli chodzi o wymagania fizyczne, organizacje opieki zdrowotnej muszą zapewnić bezpieczne blokady dla wszystkich akt pacjentów, aby uniknąć potencjalnego naruszenia HIPAA. Organizacje muszą przechowywać te pliki z dala od opinii publicznej i powinny zapewnić, że dostęp jest przyznawany tylko na podstawie niezbędnej wiedzy. Na przykład pracownik, który zagląda do plików, których nie musi widzieć, aby wykonywać swoją pracę, może być winny naruszenia HIPAA. Ta kategoria wymaga również od organizacji bezpiecznego i bezpiecznego usuwania plików, gdy nie są już potrzebne.
Aby uniknąć technicznego naruszenia HIPAA, organizacje muszą szyfrować wszystkie pliki komputerowe związane z dokumentacją medyczną pacjentów. Każdy musi wymagać hasła dostępu, a tylko ci pracownicy, którzy potrzebują dostępu, powinni zostać poinformowani o haśle. W niektórych przypadkach każdy pracownik musi otrzymać unikalne hasło, aby urzędnicy regulujący mogli określić, kto miał dostęp do określonych plików.
Kary za naruszenie HIPAA obejmują zarówno umyślne, jak i niezamierzone naruszenia, w tym te spowodowane zwykłym zaniedbaniem. Kary cywilne mogą wynieść nawet 1.5 miliona dolarów amerykańskich (USD) w ciągu jednego roku. Każde podstawowe naruszenie może grozić grzywną w wysokości do 25,000 10 USD, a za celowe nadużycie danych grozi kara więzienia do XNUMX lat. Kary mogą być jeszcze wyższe za wielokrotne naruszenia w określonym czasie.