Der Health Insurance Portability and Accountability Act von 1996, oft als HIPAA bezeichnet, ist ein US-amerikanisches Gesetz, das bestimmte Anforderungen an die Berechtigung zur Gesundheitsversorgung, den Informationsaustausch und die Sicherheit von Gesundheitsdaten festlegt. Es gibt zwei Hauptabschnitte des Gesetzes, die als „Titel“ bezeichnet werden. Titel I bietet bestimmte Garantien für die Verfügbarkeit von Krankenversicherungen und verbietet Diskriminierung bei der Erteilung von Krankenversicherungsleistungen. In Titel II enthält das Gesetz Definitionen von „geschützten Gesundheitsinformationen“ und legt Regeln für die „Verwaltungsvereinfachung“ fest, die sich darauf beziehen, wie diese Informationen online und in elektronischen Datenbanken weitergegeben und gespeichert werden können. Zusammenfassend werden die Regeln zur Vereinfachung der Verwaltung als HIPAA-Datenschutzregel bezeichnet.
Obwohl die HIPAA-Gesetzgebung im Jahr 1996 erlassen wurde, wurde die HIPAA-Datenschutzregel erst im Jahr 2003 geltendes Recht. Die Datenabschirmungs- und Compliance-Anforderungen, die die HIPAA-Datenschutzregel erfordert, sind erheblich und betreffen eine große Anzahl von Unternehmen. Viele Unternehmen, Krankenhäuser und Arztpraxen brauchten Zeit, um ihre Krankenaktensysteme und IT-Sicherheitspläne zu aktualisieren, um die vielen Vorgaben der Regel zu erfüllen.
In vielerlei Hinsicht wurde die HIPAA-Datenschutzregel aus dem Wunsch heraus geboren, die Nutzung elektronischer Gesundheitsprogramme zu fördern. Digitale Patientenakten, Apothekenakten und Krankenblätter können Behandlungen in vielen Fällen effizienter machen. Elektronische Programme können Informationen so zusammentragen, dass Gefahren wie mögliche Arzneimittelnebenwirkungen erkannt werden und die gesamte relevante Krankengeschichte eines Patienten von behandelnden Ärzten standortunabhängig eingesehen werden kann. In elektronischer Form gespeicherte Dateien bergen jedoch ein weitaus größeres Missbrauchsrisiko als Dateien in Papierform. Digitale Dateien können leicht manipuliert oder versehentlich weitergegeben werden, was das Risiko einer Verletzung der Privatsphäre – und manchmal sogar des Daten- und Identitätsdiebstahls – zu einer sehr realen Möglichkeit macht.
Das Gesetz der Vereinigten Staaten gewährt Einzelpersonen ein gesetzliches Recht auf Privatsphäre in Bezug auf individuelle Gesundheitsinformationen. Dieses Recht erstreckt sich auf Diagnosen und Behandlungen ebenso wie auf Anamnese- und Familienstatistiken. Eines der Ziele der HIPAA-Datenschutzregel besteht darin, diese Datenschutzrechte in den wachsenden Bereich der E-Health zu integrieren, um sicherzustellen, dass die Privatsphäre gewahrt bleibt, egal wie ausgereift die Technologie ist. Die Regel legt bestimmte Pflichten für Gesundheitsdienstleister und andere Einrichtungen fest, die auf medizinische Informationen zugreifen, und erläutert ein Spektrum von Rechten für Patienten und Einzelpersonen.
Das Office for Civil Rights des United States Department of Health and Human Services (HHS) setzt die HIPAA-Datenschutzregel durch. Dieses HHS-Büro ist sowohl für die Beantwortung individueller Beschwerden als auch für die Durchführung unabhängiger Untersuchungen verantwortlich. Da es sich bei HIPAA um ein Bundesgesetz handelt, werden wahrgenommene Verstöße in der Regel zur weiteren Untersuchung und strafrechtlichen Verfolgung an Anwälte des US-Justizministeriums verwiesen.