1996 antog den amerikanska kongressen Health Insurance Portability and Accountability Act (HIPAA), som innehåller bestämmelser om hälsovård och försäkring. Del 1 av HIPAA behandlar sjukförsäkringsskydd, medan del 2 reglerar patienternas integritet. Del 2 av HIPAA-lagen medförde stora förändringar i sjukvårdsadministrationen i USA och förändrade hur patientjournaler hanteras. Hälso- och sjukvårdspersonal eller andra individer som inte följer någon av dessa lagar gör sig skyldiga till en HIPAA-överträdelse, som kommer med både straffrättsliga och civilrättsliga påföljder.
Del 2 av HIPAA-lagen omfattar tre grundläggande hyresgäster av patienträttigheter, uppdelade i administrativa, fysiska och tekniska kategorier. Avsnittet om administrativa rättigheter kräver att alla hälso- och sjukvårdsorganisationer utser en enda individ att ta ansvar för patienternas integritet och att säkerställa att HIPAA-reglerna följs. Den här kategorin omfattar även utbildning av anställda, interaktioner med tredje part som kan se patientjournaler och policyer för hantering av ett säkerhetsintrång. Företag som misslyckas med att utse en individ att hantera HIPAA-kraven kan göra sig skyldiga till en HIPAA-överträdelse och kan bli föremål för påföljder. Varje misslyckande med att implementera de nödvändiga administrativa policyerna kan representera ytterligare ett HIPAA-brott.
När det gäller fysiska krav måste hälsovårdsorganisationer tillhandahålla säkra lås för alla patientfiler för att undvika en potentiell HIPAA-överträdelse. Organisationerna måste hålla dessa filer borta från allmänheten och bör se till att åtkomst endast beviljas på grund av att de behöver veta. Till exempel kan en anställd som snokar i filer som han inte behöver se för att utföra sitt jobb göra sig skyldig till en HIPAA-överträdelse. Denna kategori kräver också att organisationer på ett säkert och säkert sätt gör sig av med filer när de inte längre behövs.
För att undvika ett tekniskt HIPAA-brott måste organisationer kryptera alla datorfiler relaterade till patientjournaler. Var och en måste kräva ett lösenord för åtkomst, och endast de anställda som behöver åtkomst ska informeras om lösenordet. I vissa fall måste varje anställd ges ett unikt lösenord så att reglerande tjänstemän kan avgöra vem som har åtkomst till specifika filer.
Påföljder för en HIPAA-överträdelse omfattar både avsiktliga och oavsiktliga överträdelser, inklusive de som orsakas av enkel försummelse. Civilrättsliga påföljder kan vara så höga som 1.5 miljoner dollar (USD) på ett enda år. Varje grundläggande överträdelse kan medföra straffrättsliga böter på så mycket som $25,000 10 USD, och avsiktligt missbruk av register ger ett fängelsestraff på upp till XNUMX år. Påföljderna kan bli ännu högre för flera överträdelser inom en angiven period.