1996. godine Kongres Sjedinjenih Država donio je Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja (HIPAA), koji uključuje odredbe o zdravstvenoj skrbi i osiguranju. Dio 1 HIPAA bavi se zdravstvenim osiguranjem, dok dio 2 regulira privatnost pacijenata. Dio 2 Zakona o HIPAA donio je velike promjene u administraciji zdravstvene skrbi u SAD-u i promijenio način upravljanja zdravstvenim kartonima pacijenata. Zdravstveni radnici ili drugi pojedinci koji ne poštuju bilo koji od ovih zakona krivi su za kršenje HIPAA, što uključuje i kaznene i građanske kazne.
Dio 2 Zakona o HIPAA pokriva tri osnovna korisnika prava pacijenata, podijeljena u administrativne, fizičke i tehničke kategorije. Odjeljak o administrativnim pravima zahtijeva od svih zdravstvenih organizacija da odrede jednu osobu koja će preuzeti brigu o privatnosti pacijenata i osigurati poštivanje propisa HIPAA. Ova kategorija također pokriva obuku zaposlenika, interakcije s trećim stranama koje mogu pregledavati kartone pacijenata i pravila za postupanje u slučaju kršenja sigurnosti. Tvrtke koje ne odrede pojedinca za upravljanje zahtjevima HIPAA-e mogu biti krive za kršenje HIPAA-e i mogu biti podložne kaznama. Svaki neuspjeh u provedbi potrebnih administrativnih pravila mogao bi predstavljati dodatno kršenje HIPAA.
U pogledu fizičkih zahtjeva, zdravstvene organizacije moraju osigurati sigurne brave za sve dosjee pacijenata kako bi se izbjeglo potencijalno kršenje HIPAA. Organizacije te datoteke moraju držati podalje od javnosti i trebale bi osigurati da se pristup dopušta samo na temelju potrebe za informacijama. Na primjer, zaposlenik koji uhodi u datoteke koje ne mora vidjeti da bi obavljao svoj posao mogao bi biti kriv za kršenje HIPAA. Ova kategorija također zahtijeva od organizacija da sigurno i sigurno odlože datoteke kada više nisu potrebne.
Kako bi se izbjeglo tehničko kršenje HIPAA, organizacije moraju šifrirati sve računalne datoteke povezane sa zdravstvenim kartonima pacijenata. Svaki od njih mora zahtijevati lozinku za pristup, a samo oni zaposlenici kojima je potreban pristup trebaju biti obaviješteni o lozinki. U nekim slučajevima, svaki zaposlenik mora dobiti jedinstvenu lozinku kako bi nadležni službenici mogli odrediti tko je pristupio određenim datotekama.
Kazne za kršenje HIPAA pokrivaju i namjerna i nenamjerna kršenja, uključujući ona uzrokovana jednostavnim zanemarivanjem. Građanske kazne mogu biti visoke i do 1.5 milijuna američkih dolara (USD) u jednoj godini. Svako osnovno kršenje moglo bi donijeti kaznene kazne od čak 25,000 USD, a namjerna zloporaba evidencije nosi kaznu zatvora do 10 godina. Kazne mogu biti i veće za više kršenja unutar određenog razdoblja.