În 1996, Congresul Statelor Unite a promulgat Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPAA), care include prevederi privind îngrijirea sănătății și asigurările. Partea 1 a HIPAA se referă la acoperirea asigurării de sănătate, în timp ce partea 2 reglementează confidențialitatea pacientului. Partea 2 din Legea HIPAA a adus schimbări majore în administrarea asistenței medicale în SUA și a schimbat modul în care sunt gestionate dosarele de sănătate ale pacienților. Lucrătorii din domeniul sănătății sau alte persoane care nu respectă oricare dintre aceste legi se fac vinovate de o încălcare a HIPAA, care vine cu sancțiuni penale și civile.
Partea 2 din Legea HIPAA acoperă trei chiriași de bază ai drepturilor pacienților, împărțiți în categorii administrative, fizice și tehnice. Secțiunea privind drepturile administrative solicită tuturor organizațiilor de îngrijire a sănătății să desemneze o singură persoană care să se ocupe de confidențialitatea pacientului și să se asigure că reglementările HIPAA sunt respectate. Această categorie acoperă, de asemenea, instruirea angajaților, interacțiunile cu terțe părți care pot vizualiza înregistrările pacienților și politicile pentru gestionarea unei încălcări de securitate. Companiile care nu reușesc să desemneze o persoană care să gestioneze cerințele HIPAA se pot face vinovate de o încălcare a HIPAA și pot fi supuse sancțiunilor. Orice eșec în implementarea politicilor administrative necesare ar putea reprezenta o încălcare suplimentară a HIPAA.
În ceea ce privește cerințele fizice, organizațiile de îngrijire a sănătății trebuie să ofere încuietori securizate pentru toate fișierele pacienților, pentru a evita o potențială încălcare a HIPAA. Organizațiile trebuie să țină aceste fișiere departe de public și ar trebui să se asigure că accesul este acordat doar pe baza necesității de a cunoaște. De exemplu, un angajat care caută fișiere pe care nu trebuie să le vadă pentru a-și îndeplini munca ar putea fi vinovat de o încălcare a HIPAA. Această categorie cere, de asemenea, organizațiilor să elimine în siguranță și în siguranță fișierele atunci când acestea nu mai sunt necesare.
Pentru a evita o încălcare tehnică a HIPAA, organizațiile trebuie să cripteze toate fișierele computerului legate de dosarele de sănătate ale pacienților. Fiecare trebuie să solicite o parolă pentru acces și numai acei angajați care au nevoie de acces ar trebui informați despre parolă. În unele cazuri, fiecărui angajat trebuie să i se dea o parolă unică, astfel încât oficialii de reglementare să poată determina cine a accesat anumite fișiere.
Sancțiunile pentru încălcarea HIPAA acoperă atât încălcările intenționate, cât și cele neintenționate, inclusiv cele cauzate de neglijență simplă. Sancțiunile civile pot ajunge până la 1.5 milioane de dolari SUA (USD) într-un singur an. Fiecare încălcare de bază ar putea aduce amenzi penale de până la 25,000 USD, iar utilizarea greșită intenționată a înregistrărilor poate duce la o pedeapsă de închisoare de până la 10 ani. Sancțiunile pot fi și mai mari pentru încălcări multiple într-o anumită perioadă.