1996 verabschiedete der Kongress der Vereinigten Staaten den Health Insurance Portability and Accountability Act (HIPAA), der Bestimmungen zur Gesundheitsversorgung und Versicherung enthält. Teil 1 von HIPAA befasst sich mit dem Krankenversicherungsschutz, während Teil 2 die Privatsphäre der Patienten regelt. Teil 2 des HIPAA-Gesetzes führte zu großen Veränderungen in der Gesundheitsverwaltung in den USA und veränderte die Art und Weise, wie Patientenakten verwaltet werden. Beschäftigte im Gesundheitswesen oder andere Personen, die eines dieser Gesetze nicht befolgen, machen sich einer HIPAA-Verletzung schuldig, die sowohl straf- als auch zivilrechtlich verfolgt wird.
Teil 2 des HIPAA-Gesetzes behandelt drei grundlegende Patientenrechte, die in administrative, physische und technische Kategorien unterteilt sind. Der Abschnitt über administrative Rechte verlangt von allen Gesundheitsorganisationen, eine einzelne Person zu benennen, die sich um die Privatsphäre der Patienten kümmert und sicherzustellen, dass die HIPAA-Vorschriften befolgt werden. Diese Kategorie umfasst auch Mitarbeiterschulungen, Interaktionen mit Dritten, die Patientenakten einsehen können, und Richtlinien zum Umgang mit Sicherheitsverletzungen. Unternehmen, die keine Person für die Verwaltung der HIPAA-Anforderungen benennen, können sich eines HIPAA-Verstoßes schuldig machen und mit Sanktionen belegt werden. Jedes Versäumnis, die erforderlichen Verwaltungsrichtlinien zu implementieren, kann einen zusätzlichen HIPAA-Verstoß darstellen.
In Bezug auf die physischen Anforderungen müssen Gesundheitsorganisationen sichere Schlösser für alle Patientenakten bereitstellen, um eine potenzielle HIPAA-Verletzung zu vermeiden. Die Organisationen müssen diese Dateien von der Öffentlichkeit fernhalten und sollten sicherstellen, dass der Zugriff nur bei Bedarf gewährt wird. Ein Mitarbeiter, der beispielsweise in Dateien schnüffelt, die er für seine Arbeit nicht benötigt, kann sich eines HIPAA-Verstoßes schuldig machen. Diese Kategorie erfordert auch, dass Unternehmen Dateien sicher und sicher entsorgen, wenn sie nicht mehr benötigt werden.
Um einen technischen HIPAA-Verstoß zu vermeiden, müssen Unternehmen alle Computerdateien verschlüsseln, die sich auf die Patientenakten beziehen. Jeder muss ein Passwort für den Zugang verlangen, und nur die Mitarbeiter, die Zugang benötigen, sollten über das Passwort informiert werden. In einigen Fällen muss jedem Mitarbeiter ein eindeutiges Passwort zugewiesen werden, damit die Aufsichtsbehörden feststellen können, wer auf bestimmte Dateien zugegriffen hat.
Die Strafen für einen HIPAA-Verstoß umfassen sowohl vorsätzliche als auch unbeabsichtigte Verstöße, einschließlich solcher, die durch einfache Nachlässigkeit verursacht werden. Zivilstrafen können in einem einzigen Jahr bis zu 1.5 Millionen US-Dollar (USD) betragen. Jeder grundlegende Verstoß kann strafrechtliche Geldbußen von bis zu 25,000 USD nach sich ziehen, und der vorsätzliche Missbrauch von Aufzeichnungen führt zu einer Gefängnisstrafe von bis zu 10 Jahren. Bei mehreren Verstößen innerhalb eines bestimmten Zeitraums können die Strafen sogar noch höher ausfallen.