Di AS, kepatuhan privasi HIPAA mengacu pada serangkaian kebijakan yang diberlakukan pada tahun 1996 yang mengamankan dan melindungi informasi kesehatan pribadi warga AS. Kebijakan tersebut dirangkum dalam Standar untuk Privasi Informasi Kesehatan yang Dapat Diidentifikasi Secara Individual, atau dikenal sebagai Aturan Privasi. Di bawah kode kepatuhan privasi HIPAA, entitas yang harus mematuhi standar informasi kesehatan swasta pemerintah termasuk penyedia layanan kesehatan, rencana kesehatan, dan clearinghouse perawatan kesehatan. Kepatuhan bersifat sukarela untuk fasilitas medis serta untuk bisnis lain yang mungkin menangani informasi kesehatan pribadi, seperti agen adopsi, program kesejahteraan, dan perusahaan asuransi kesehatan.
Standar kepatuhan privasi HIPAA melindungi semua “informasi kesehatan yang dapat diidentifikasi secara individual.” Ini adalah informasi apa pun yang bersifat pribadi dan dapat digunakan untuk mengidentifikasi seseorang, seperti nama, alamat, dan Nomor Jaminan Sosial seseorang. Ini juga dapat diklasifikasikan sebagai data dan informasi demografis yang berkaitan dengan kesehatan dan riwayat medis individu tertentu.
Entitas yang tunduk pada pedoman aturan privasi mencakup rencana kesehatan, penyedia layanan kesehatan, dan lembaga kliring layanan kesehatan. Pada dasarnya, entitas yang tunduk pada Aturan Privasi dilarang menggunakan atau membagikan informasi kesehatan pribadi individu kecuali untuk tujuan yang dianggap diizinkan oleh HIPAA. Pelepasan informasi juga memerlukan otorisasi dari pasien.
Tidak semua bisnis terkait medis termasuk dalam pedoman Aturan Privasi. Departemen Kesehatan dan Layanan Kemanusiaan (HHS) AS memiliki serangkaian kriteria khusus untuk mengidentifikasi bisnis mana yang harus mematuhi aturan kepatuhan privasi HIPAA. Penyedia layanan kesehatan, misalnya, hanya termasuk dalam kepatuhan privasi HIPAA jika mereka mengirimkan informasi elektronik dengan cara yang berada di bawah standar HIPAA. Penyedia layanan kesehatan termasuk praktisi individu, seperti dokter, dokter gigi dan psikolog, serta bisnis seperti klinik, apotek dan panti jompo.
Entitas rencana kesehatan yang harus mengikuti aturan kepatuhan privasi HIPAA mencakup rencana kesehatan perusahaan, perusahaan asuransi kesehatan, dan HMO. Program pemerintah seperti Medicare dan Medicaid juga termasuk dalam kelompok ini. Clearinghouse perawatan kesehatan yang harus dipatuhi mencakup entitas apa pun yang memproses informasi kesehatan tidak standar yang diterima dari pihak ketiga, seperti perusahaan layanan penagihan dan sistem informasi kesehatan masyarakat.
Jika bisnis ditemukan melanggar kebijakan kepatuhan privasi HIPAA, mereka dapat didenda hukuman perdata hingga $ 11,000 Dolar AS (USD) untuk setiap pelanggaran. Kepatuhan dipantau oleh Kantor HHS untuk Hak Sipil (OCR). OCR memiliki wewenang untuk melakukan tinjauan untuk memastikan kepatuhan serta menyelidiki keluhan pelanggaran privasi. Di bawah HIPAA, masing-masing negara bagian masih mempertahankan kemampuan untuk menerapkan standar privasi yang lebih ketat pada entitas perawatan kesehatan.