1996 m. Jungtinių Valstijų Kongresas priėmė Sveikatos draudimo perkeliamumo ir atskaitomybės aktą (HIPAA), kuris apima sveikatos priežiūros ir draudimo nuostatas. 1 dalis HIPAA reglamentuoja sveikatos draudimą, o 2 dalis reglamentuoja pacientų privatumą. HIPAA įstatymo 2 dalis padarė didelių sveikatos priežiūros administravimo pokyčių JAV ir pakeitė pacientų sveikatos įrašų tvarkymo būdą. Sveikatos priežiūros darbuotojai ar kiti asmenys, nesilaikantys bet kurio iš šių įstatymų, yra kalti dėl HIPAA pažeidimo, už kurį gresia ir baudžiamosios, ir civilinės sankcijos.
HIPAA įstatymo 2 dalis apima tris pagrindinius pacientų teisių nuomininkus, suskirstytus į administracines, fizines ir technines kategorijas. Administracinių teisių skyriuje reikalaujama, kad visos sveikatos priežiūros organizacijos paskirtų vieną asmenį, atsakingą už paciento privatumą, ir užtikrinti, kad būtų laikomasi HIPAA taisyklių. Ši kategorija taip pat apima darbuotojų mokymą, bendravimą su trečiosiomis šalimis, kurios gali peržiūrėti pacientų įrašus, ir saugumo pažeidimo valdymo politiką. Įmonės, kurios nepaskiria asmens, kuris tvarkytų HIPAA reikalavimus, gali būti kaltos dėl HIPAA pažeidimo ir joms gali būti taikomos nuobaudos. Bet koks reikalingos administracinės politikos neįgyvendinimas gali būti papildomas HIPAA pažeidimas.
Kalbant apie fizinius reikalavimus, sveikatos priežiūros organizacijos turi užtikrinti saugius visų pacientų bylų užraktus, kad būtų išvengta galimo HIPAA pažeidimo. Organizacijos turi saugoti šiuos failus nuo visuomenės ir užtikrinti, kad prieiga būtų suteikta tik esant būtinybei žinoti. Pavyzdžiui, darbuotojas, kuris žvalgosi į failus, kurių jam nereikia matyti, kad galėtų atlikti savo darbą, gali būti kaltas dėl HIPAA pažeidimo. Ši kategorija taip pat reikalauja, kad organizacijos saugiai ir saugiai išmestų failus, kai jų nebereikia.
Kad išvengtų techninio HIPAA pažeidimo, organizacijos turi užšifruoti visus kompiuterinius failus, susijusius su pacientų sveikatos įrašais. Kiekvienas iš jų turi reikalauti slaptažodžio, kad galėtų pasiekti prieigą, ir tik tie darbuotojai, kuriems reikia prieigos, turėtų būti informuoti apie slaptažodį. Kai kuriais atvejais kiekvienam darbuotojui turi būti suteiktas unikalus slaptažodis, kad reguliuojantys pareigūnai galėtų nustatyti, kas pasiekė konkrečius failus.
Baudos už HIPAA pažeidimą apima ir tyčinius, ir netyčinius pažeidimus, įskaitant tuos, kuriuos sukelia paprastas aplaidumas. Civilinės bausmės gali siekti 1.5 milijono JAV dolerių (USD) per vienerius metus. Už kiekvieną pagrindinį pažeidimą gali būti baudžiama net 25,000 10 USD bauda, o už tyčinį piktnaudžiavimą įrašais gresia iki XNUMX metų kalėjimo. Už kelis pažeidimus per nurodytą laikotarpį baudos gali būti dar didesnės.