Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996, sering disebut sebagai HIPAA, adalah undang-undang Amerika Serikat yang menetapkan persyaratan tertentu untuk kelayakan perawatan kesehatan, berbagi informasi, dan keamanan data kesehatan. Ada dua bagian utama dari tindakan, yang disebut “judul.” Judul I memberikan jaminan tertentu tentang ketersediaan jaminan kesehatan, dan melarang diskriminasi dalam pemberian layanan jaminan kesehatan. Dalam Judul II, undang-undang tersebut menetapkan definisi “informasi kesehatan yang dilindungi,” dan menetapkan aturan “Penyederhanaan Administrasi” terkait dengan bagaimana informasi itu dapat dibagikan dan disimpan secara online dan dalam basis data elektronik. Secara kolektif, aturan Penyederhanaan Administrasi dikenal sebagai aturan privasi HIPAA.
Meskipun undang-undang HIPAA diberlakukan pada tahun 1996, aturan privasi HIPAA tidak menjadi undang-undang yang dapat ditindaklanjuti sampai tahun 2003. Perlindungan data dan persyaratan kepatuhan yang diperlukan aturan privasi HIPAA adalah signifikan, dan memengaruhi banyak entitas. Banyak perusahaan, rumah sakit, dan kantor dokter membutuhkan waktu untuk memperbarui sistem rekam medis dan rencana keamanan TI mereka untuk mematuhi banyak ketentuan aturan.
Dalam banyak hal, aturan privasi HIPAA lahir dari keinginan untuk mendorong penggunaan program kesehatan elektronik. Catatan kesehatan digital, file farmasi, dan grafik medis dapat membuat perawatan jauh lebih efisien dalam banyak keadaan. Program elektronik dapat mengumpulkan informasi sedemikian rupa sehingga bahaya seperti potensi efek samping obat dapat diketahui, dan semua riwayat pasien yang relevan dapat dengan mudah dilihat oleh dokter yang memberikan perawatan, di mana pun dokter tersebut berada. File yang disimpan dalam format elektronik membawa risiko penyalahgunaan yang jauh lebih besar daripada file hard copy. File digital dapat dengan mudah dimanipulasi atau dibagikan secara tidak sengaja, membuat risiko pelanggaran privasi — dan terkadang bahkan pencurian data dan identitas — menjadi kemungkinan yang sangat nyata.
Hukum Amerika Serikat memberikan individu hak hukum untuk privasi dalam informasi kesehatan individu. Hak ini mencakup diagnosis dan perawatan seperti halnya pada riwayat medis dan statistik keluarga. Salah satu tujuan dari aturan privasi HIPAA adalah untuk mengintegrasikan hak privasi tersebut ke dalam bidang e-health yang sedang berkembang, untuk memastikan bahwa privasi tetap terjaga tidak peduli seberapa canggih teknologinya. Aturan tersebut menetapkan kewajiban tertentu bagi penyedia layanan kesehatan dan entitas lain yang mengakses informasi medis, dan menjelaskan spektrum hak bagi pasien dan individu.
Kantor Hak Sipil Departemen Kesehatan dan Layanan Kemanusiaan Amerika Serikat (HHS) memberlakukan aturan privasi HIPAA. Kantor HHS itu bertanggung jawab untuk menanggapi keluhan individu, dan untuk melakukan penyelidikan independen. Karena HIPAA adalah undang-undang federal, pelanggaran yang dirasakan biasanya dirujuk ke pengacara di Departemen Kehakiman AS untuk penyelidikan dan penuntutan lebih lanjut.