Pada tahun 1996, Kongres Amerika Serikat memberlakukan Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA), yang mencakup ketentuan tentang perawatan kesehatan dan asuransi. Bagian 1 HIPAA membahas cakupan asuransi kesehatan, sedangkan Bagian 2 mengatur privasi pasien. Bagian 2 dari Undang-Undang HIPAA membawa perubahan besar dalam administrasi perawatan kesehatan di AS, dan mengubah cara pengelolaan catatan kesehatan pasien. Pekerja perawatan kesehatan atau individu lain yang gagal mengikuti salah satu dari undang-undang ini bersalah atas pelanggaran HIPAA, yang disertai dengan hukuman pidana dan perdata.
Bagian 2 dari Undang-Undang HIPAA mencakup tiga penyewa dasar hak pasien, dipecah menjadi kategori administratif, fisik, dan teknis. Bagian tentang hak administratif mengharuskan semua organisasi perawatan kesehatan untuk menunjuk satu orang untuk bertanggung jawab atas privasi pasien, dan untuk memastikan bahwa peraturan HIPAA dipatuhi. Kategori ini juga mencakup pelatihan karyawan, interaksi dengan pihak ketiga yang mungkin melihat catatan pasien, dan kebijakan untuk menangani pelanggaran keamanan. Perusahaan yang gagal menunjuk individu untuk mengelola persyaratan HIPAA mungkin bersalah atas pelanggaran HIPAA, dan dapat dikenakan hukuman. Kegagalan untuk menerapkan kebijakan administratif yang diperlukan dapat menunjukkan pelanggaran HIPAA tambahan.
Dalam hal persyaratan fisik, organisasi perawatan kesehatan harus menyediakan kunci yang aman untuk semua file pasien untuk menghindari potensi pelanggaran HIPAA. Organisasi harus menyimpan file-file ini dari publik, dan harus memastikan bahwa akses hanya diberikan berdasarkan kebutuhan untuk mengetahui. Misalnya, seorang karyawan yang mengintip file yang tidak perlu dia lihat untuk melakukan pekerjaannya bisa bersalah atas pelanggaran HIPAA. Kategori ini juga mengharuskan organisasi untuk membuang file dengan aman dan aman saat tidak lagi diperlukan.
Untuk menghindari pelanggaran teknis HIPAA, organisasi harus mengenkripsi semua file komputer yang terkait dengan catatan kesehatan pasien. Masing-masing harus memerlukan kata sandi untuk akses, dan hanya karyawan yang membutuhkan akses yang harus diberi tahu tentang kata sandi tersebut. Dalam beberapa kasus, setiap karyawan harus diberi kata sandi unik sehingga pejabat pengatur dapat menentukan siapa yang mengakses file tertentu.
Sanksi atas pelanggaran HIPAA meliputi pelanggaran baik yang disengaja maupun tidak disengaja, termasuk yang disebabkan oleh kelalaian sederhana. Hukuman perdata bisa mencapai $1.5 juta Dolar AS (USD) dalam satu tahun. Setiap pelanggaran dasar dapat membawa denda pidana sebanyak $25,000 USD, dan penyalahgunaan catatan yang disengaja membawa hukuman penjara hingga 10 tahun. Hukuman mungkin lebih tinggi untuk beberapa pelanggaran dalam jangka waktu tertentu.