Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 r., często określana jako HIPAA, to prawo Stanów Zjednoczonych określające pewne wymagania dotyczące uprawnień do opieki zdrowotnej, udostępniania informacji i bezpieczeństwa danych dotyczących zdrowia. Istnieją dwa główne rozdziały tego aktu, zwane „tytułami”. Tytuł I daje pewne gwarancje dotyczące dostępności ubezpieczenia zdrowotnego i zakazuje dyskryminacji przy wydawaniu usług ubezpieczenia zdrowotnego. W tytule II ustawa określa definicje „chronionych informacji zdrowotnych” i ustanawia zasady „uproszczenia administracji” dotyczące sposobu udostępniania i przechowywania tych informacji w Internecie oraz w elektronicznych bazach danych. Łącznie zasady uproszczenia administracji są znane jako zasada prywatności HIPAA.
Chociaż ustawa HIPAA została uchwalona w 1996 r., zasada prywatności HIPAA nie stała się prawem wykonawczym aż do 2003 r. Wymogi dotyczące ochrony danych i zgodności, których wymaga zasada prywatności HIPAA, są znaczące i dotyczą dużej liczby podmiotów. Wiele firm, szpitali i gabinetów lekarskich potrzebowało czasu na zaktualizowanie swoich systemów dokumentacji medycznej i planów bezpieczeństwa IT, aby spełnić liczne wymagania reguły.
Pod wieloma względami zasada prywatności HIPAA powstała z chęci zachęcania do korzystania z elektronicznych programów zdrowotnych. Cyfrowa dokumentacja medyczna, akta apteki i karty medyczne mogą znacznie zwiększyć skuteczność leczenia w wielu okolicznościach. Programy elektroniczne mogą zestawiać informacje w taki sposób, aby można było zauważyć zagrożenia, takie jak potencjalne skutki uboczne leków, a cała historia pacjenta może być łatwo przeglądana przez lekarzy prowadzących leczenie, bez względu na to, gdzie lekarze się znajdują. Pliki przechowywane w formacie elektronicznym niosą jednak ze sobą znacznie większe ryzyko niewłaściwego wykorzystania niż pliki papierowe. Pliki cyfrowe można łatwo manipulować lub przypadkowo udostępniać, co sprawia, że ryzyko naruszenia prywatności — a czasem nawet kradzieży danych i tożsamości — jest bardzo realną możliwością.
Prawo Stanów Zjednoczonych przyznaje osobom fizycznym prawo do prywatności informacji o stanie zdrowia. Prawo to obejmuje zarówno diagnozy i leczenie, jak i historię medyczną i statystyki rodzinne. Jednym z celów zasady prywatności HIPAA jest zintegrowanie tych praw do prywatności z rosnącą dziedziną e-zdrowia, aby zapewnić zachowanie prywatności bez względu na stopień zaawansowania technologii. Reguła określa obowiązki świadczeniodawców i innych podmiotów mających dostęp do informacji medycznych, a także wyjaśnia spektrum praw pacjentów i osób fizycznych.
Biuro Praw Obywatelskich Departamentu Zdrowia i Opieki Społecznej Stanów Zjednoczonych (HHS) egzekwuje zasadę prywatności HIPAA. To biuro HHS jest odpowiedzialne zarówno za odpowiadanie na indywidualne skargi, jak i za prowadzenie niezależnych dochodzeń. Ponieważ HIPAA jest prawem federalnym, dostrzeżone naruszenia są zazwyczaj kierowane do prawników z Departamentu Sprawiedliwości Stanów Zjednoczonych w celu dalszego dochodzenia i ścigania.