I USA hänvisar HIPAAs integritetsefterlevnad till en uppsättning policyer som antogs 1996 som säkrar och skyddar amerikanska medborgares privata hälsoinformation. Dessa policyer sammanfattas i lagens standarder för sekretess för individuellt identifierbar hälsoinformation, även känd som integritetsregeln. Enligt HIPAA:s integritetsefterlevnadskoder inkluderar enheter som måste följa regeringens privata hälsoinformationsstandarder vårdgivare, hälsoplaner och hälsovårdscentraler. Efterlevnad är frivillig för sjukvårdsinrättningar såväl som för andra företag som kan hantera privat hälsoinformation, såsom adoptionsbyråer, välfärdsprogram och sjukförsäkringsbolag.
HIPAA:s sekretessstandarder skyddar all ”individuellt identifierbar hälsoinformation.” Detta är all information som är privat och kan användas för att identifiera någon, till exempel en persons namn, adress och personnummer. Detta kan också klassificeras som demografisk data och information som rör en specifik individs hälsa och medicinska historia.
Enheter som omfattas av riktlinjerna i integritetsregeln inkluderar hälsoplaner, vårdgivare och vårdcentraler. I huvudsak är enheter som omfattas av integritetsregeln begränsade från att använda eller dela en individs privata hälsoinformation såvida det inte är för ett ändamål som anses tillåtet av HIPAA. Utlämnande av information kräver också tillstånd från patienten.
Inte alla medicinskt relaterade företag faller under riktlinjerna för sekretessregeln. US Department of Health and Human Services (HHS) har en specifik uppsättning kriterier för att identifiera vilka företag som behöver följa HIPAA:s sekretessregler. Sjukvårdsleverantörer faller till exempel bara under HIPAAs integritetsefterlevnad om de överför elektronisk information på ett sätt som faller under HIPAA:s standarder. Till vårdgivare hör enskilda läkare, såsom läkare, tandläkare och psykologer, såväl som företag som kliniker, apotek och äldreboenden.
Hälsoplansenheter som måste följa HIPAA:s regler för integritetsefterlevnad inkluderar företagshälsoplaner, sjukförsäkringsbolag och HMOs. Regeringsprogram som Medicare och Medicaid ingår också i denna grupp. Hälso- och sjukvårdens clearinghouses som måste följas inkluderar alla enheter som behandlar icke-standardiserad hälsoinformation som tas emot från en tredje part, såsom faktureringstjänstföretag och hälsoinformationssystem i samhället.
Om företag upptäcks i strid med HIPAA:s policy för integritetsefterlevnad, kan de dömas till böter på upp till $11,000 XNUMX US Dollars (USD) för varje överträdelse. Efterlevnaden övervakas av HHS Office for Civil Rights (OCR). OCR har befogenhet att genomföra granskningar för att säkerställa efterlevnad samt att undersöka klagomål om integritetsintrång. Enligt HIPAA behåller enskilda stater fortfarande möjligheten att införa strängare integritetsstandarder för hälso- och sjukvårdsenheter.