Το 1996, το Κογκρέσο των Ηνωμένων Πολιτειών θέσπισε τον Νόμο Φορητότητας και Λογοδοσίας Ασφάλισης Υγείας (HIPAA), ο οποίος περιλαμβάνει διατάξεις για την υγειονομική περίθαλψη και την ασφάλιση. Το Μέρος 1 του HIPAA αφορά την ασφαλιστική κάλυψη υγείας, ενώ το Μέρος 2 ρυθμίζει το απόρρητο των ασθενών. Το Μέρος 2 του νόμου HIPAA επέφερε σημαντικές αλλαγές στη διοίκηση της υγειονομικής περίθαλψης στις ΗΠΑ και άλλαξε τον τρόπο διαχείρισης των αρχείων υγείας των ασθενών. Οι εργαζόμενοι στον τομέα της υγειονομικής περίθαλψης ή άλλα άτομα που παραλείπουν να ακολουθήσουν κάποιον από αυτούς τους νόμους είναι ένοχοι παραβίασης της HIPAA, η οποία συνοδεύεται από ποινικές και αστικές κυρώσεις.
Το μέρος 2 του νόμου HIPAA καλύπτει τρεις βασικούς μισθωτές των δικαιωμάτων των ασθενών, κατανεμημένοι σε διοικητικές, φυσικές και τεχνικές κατηγορίες. Η ενότητα για τα διοικητικά δικαιώματα απαιτεί από όλους τους οργανισμούς υγειονομικής περίθαλψης να ορίσουν ένα μόνο άτομο που θα αναλάβει την προστασία της ιδιωτικής ζωής των ασθενών και θα διασφαλίσει ότι θα τηρηθούν οι κανονισμοί HIPAA. Αυτή η κατηγορία καλύπτει επίσης την εκπαίδευση των εργαζομένων, τις αλληλεπιδράσεις με τρίτα μέρη που ενδέχεται να βλέπουν αρχεία ασθενών και πολιτικές για τον χειρισμό παραβίασης ασφαλείας. Οι εταιρείες που αποτυγχάνουν να ορίσουν ένα άτομο για τη διαχείριση των απαιτήσεων HIPAA ενδέχεται να είναι ένοχες για παράβαση του HIPAA και θα υπόκεινται σε κυρώσεις. Οποιαδήποτε αποτυχία στην εφαρμογή των απαιτούμενων διοικητικών πολιτικών θα μπορούσε να αντιπροσωπεύει μια επιπλέον παραβίαση του HIPAA.
Όσον αφορά τις φυσικές απαιτήσεις, οι οργανισμοί υγειονομικής περίθαλψης πρέπει να παρέχουν ασφαλείς κλειδαριές για όλα τα αρχεία ασθενών, προκειμένου να αποφευχθεί πιθανή παραβίαση του HIPAA. Οι οργανισμοί πρέπει να κρατούν αυτά τα αρχεία μακριά από το κοινό και πρέπει να διασφαλίζουν ότι η πρόσβαση παρέχεται μόνο σε βάση ανάγκης-γνώσης. Για παράδειγμα, ένας υπάλληλος που καταγράφει αρχεία που δεν χρειάζεται να δει για να εκτελέσει τη δουλειά του μπορεί να είναι ένοχος για παράβαση του HIPAA. Αυτή η κατηγορία απαιτεί επίσης από τους οργανισμούς να διαθέτουν με ασφάλεια και ασφάλεια τα αρχεία όταν δεν είναι πλέον απαραίτητα.
Για να αποφευχθεί μια τεχνική παράβαση του HIPAA, οι οργανισμοί πρέπει να κρυπτογραφήσουν όλα τα αρχεία υπολογιστή που σχετίζονται με τα αρχεία υγείας του ασθενούς. Ο καθένας πρέπει να απαιτεί κωδικό πρόσβασης για πρόσβαση και μόνο όσοι εργαζόμενοι χρειάζονται πρόσβαση πρέπει να ενημερώνονται για τον κωδικό πρόσβασης. Σε ορισμένες περιπτώσεις, σε κάθε υπάλληλο πρέπει να δοθεί ένας μοναδικός κωδικός πρόσβασης, ώστε οι αρμόδιοι υπάλληλοι να μπορούν να καθορίσουν ποιος έχει πρόσβαση σε συγκεκριμένα αρχεία.
Οι ποινές για παραβίαση HIPAA καλύπτουν τόσο σκόπιμες όσο και ακούσιες παραβάσεις, συμπεριλαμβανομένων εκείνων που προκαλούνται από απλή παραμέληση. Οι αστικές κυρώσεις μπορεί να φτάσουν τα 1.5 εκατομμύρια δολάρια ΗΠΑ (USD) σε ένα μόνο έτος. Κάθε βασική παραβίαση θα μπορούσε να επιφέρει ποινικά πρόστιμα έως και 25,000 $ USD και η σκόπιμη κατάχρηση αρχείων επιφέρει ποινή φυλάκισης έως και 10 ετών. Οι κυρώσεις ενδέχεται να είναι ακόμη υψηλότερες για πολλαπλές παραβάσεις εντός συγκεκριμένης περιόδου.
SmartAsset.