In den USA bezieht sich HIPAA-Datenschutzkonformität auf eine Reihe von Richtlinien, die 1996 erlassen wurden, um die privaten Gesundheitsdaten von US-Bürgern zu sichern und zu schützen. Diese Richtlinien sind in den Standards für den Datenschutz von individuell identifizierbaren Gesundheitsinformationen des Gesetzes zusammengefasst, auch bekannt als Datenschutzrichtlinie. Gemäß den HIPAA-Datenschutz-Compliance-Codes müssen Unternehmen, die die privaten Gesundheitsinformationsstandards der Regierung einhalten müssen, Gesundheitsdienstleister, Gesundheitspläne und Clearinghouses im Gesundheitswesen einhalten. Die Einhaltung ist sowohl für medizinische Einrichtungen als auch für andere Unternehmen, die möglicherweise mit privaten Gesundheitsinformationen umgehen, wie Adoptionsagenturen, Wohlfahrtsprogramme und Krankenkassen, freiwillig.
Die HIPAA-Datenschutzstandards schützen alle „individuell identifizierbaren Gesundheitsinformationen“. Dies sind alle Informationen, die privat sind und verwendet werden könnten, um jemanden zu identifizieren, wie z. B. der Name, die Adresse und die Sozialversicherungsnummer einer Person. Dies könnte auch als demografische Daten und Informationen in Bezug auf die Gesundheit und Krankengeschichte einer bestimmten Person klassifiziert werden.
Zu den Unternehmen, die den Richtlinien der Datenschutzrichtlinie unterliegen, gehören Krankenversicherungen, Gesundheitsdienstleister und Clearinghouses im Gesundheitswesen. Im Wesentlichen ist es Unternehmen, die der Datenschutzrichtlinie unterliegen, daran gehindert, die privaten Gesundheitsinformationen einer Person zu verwenden oder weiterzugeben, es sei denn, dies erfolgt zu einem von HIPAA als zulässig erachteten Zweck. Auch die Freigabe von Informationen bedarf der Zustimmung des Patienten.
Nicht alle Unternehmen mit medizinischem Bezug fallen unter die Richtlinien der Datenschutzrichtlinie. Das US-Gesundheitsministerium (HHS) hat eine Reihe von spezifischen Kriterien festgelegt, um zu ermitteln, welche Unternehmen die HIPAA-Datenschutz-Compliance-Regeln einhalten müssen. Gesundheitsdienstleister unterliegen beispielsweise nur dann der HIPAA-Datenschutzkonformität, wenn sie elektronische Informationen auf eine Weise übermitteln, die den HIPAA-Standards entspricht. Zu den Leistungserbringern im Gesundheitswesen zählen Einzelpraktiker wie Ärzte, Zahnärzte und Psychologen sowie Unternehmen wie Kliniken, Apotheken und Pflegeheime.
Krankenversicherungsträger, die die HIPAA-Datenschutz-Compliance-Regeln einhalten müssen, umfassen betriebliche Krankenversicherungen, Krankenversicherungen und HMOs. Auch staatliche Programme wie Medicare und Medicaid gehören zu dieser Gruppe. Zu den Clearingstellen im Gesundheitswesen, die zur Einhaltung verpflichtet sind, gehören alle Einrichtungen, die nicht standardmäßige Gesundheitsinformationen verarbeiten, die von Dritten erhalten wurden, wie z. B. Abrechnungsdienstleister und kommunale Gesundheitsinformationssysteme.
Wenn Unternehmen gegen die HIPAA-Datenschutzrichtlinien verstoßen, können sie für jeden Verstoß mit einer Geldstrafe von bis zu 11,000 US-Dollar (USD) belegt werden. Die Einhaltung wird vom HHS Office for Civil Rights (OCR) überwacht. Die OCR ist befugt, Überprüfungen durchzuführen, um die Einhaltung sicherzustellen, sowie Beschwerden über Datenschutzverletzungen zu untersuchen. Gemäß HIPAA behalten einzelne Staaten immer noch die Möglichkeit, strengere Datenschutzstandards für Einrichtungen des Gesundheitswesens aufzuerlegen.