Health Insurance Portability and Accountability Act, eller HIPAA, var en lag som antogs av den amerikanska regeringen 1996. Den fyllde två huvudfunktioner: att ge större täckning och skydd till personer med sjukförsäkring genom sina arbetsgivare och att skapa mer integritetsskydd för journaler. Som sådan ses det allmänt som en del av konsumentskyddslagstiftningen utformad för att förhindra problem med sjukförsäkring och tillgång till journaler.
För de flesta konsumenter var den mest märkbara fördelen med Health Insurance Portability and Accountability Act ändringen av Employee Retirement Income and Securities Act (ERISA). Lagändringen behandlade redan existerande tillstånd, som är medicinska sjukdomar, sjukdomar eller tillstånd som en person redan har när han ansöker om försäkring. Tidigare begränsade vissa arbetsgivare och/eller försäkringsbolag människor från att omfattas av dessa redan existerande villkor under en lång period, eller till och med på obestämd tid. Till exempel kan en person med diabetes som ville registrera sig för anställdas hälsoplan på ett nytt jobb hindras från att få täckning enligt planen för sin diabetes, eftersom hon hade diabetes innan hon registrerade sig för planen.
Enligt nya regler som anges av Health Insurance Portability and Accountability Act, kan täckningen för det redan existerande tillståndet begränsas endast under en 12-månadersperiod. Om personen redan hade ett försäkringsskydd innan han skrev in sig i den nya sjukförsäkringen genom en befintlig försäkring som han köpt själv eller hade genom sin tidigare arbetsgivare, reduceras denna redan existerande täckningsbegränsning ytterligare beroende på hur länge han hade täckning. Även för personer utan tidigare täckning som inte registrerar sig i sin arbetsgivares plan förrän efter att den ordinarie tidsfristen har passerat (dvs. sena inskrivningar) den maximala tidsperioden som ett företag kan utesluta redan existerande villkor enligt ändringen av Health Insurance Portability and Accountability Act är 18 månader.
Health Insurance Portability and Accountability Act säkerställde också mer patientintegritet. Endast patienten kan få tillgång till sin journal enligt reglerna och försäkringsbolag, läkarmottagningar och andra som för journaler är skyldiga att vidta strikta åtgärder för att säkra informationen mot obehörig åtkomst. Detta inkluderar att utse en person att ansvara för säkerheten, begränsa tillgången till medicinska journaler och rapportera eventuella säkerhetsöverträdelser omedelbart. Särskilda bestämmelser infördes också för elektronisk lagring av journaler som föreskriver att datasäkerhetsåtgärder vidtas och att tillgången till de datorer på vilka journaler lagras strikt begränsas till endast behörig personal.