Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja iz 1996., koji se često naziva HIPAA, zakon je Sjedinjenih Država koji postavlja određene zahtjeve za ispunjavanje uvjeta za zdravstvenu zaštitu, dijeljenje informacija i sigurnost zdravstvenih podataka. Postoje dva glavna odjeljka zakona, nazvana “naslovi”. Naslov I. daje određena jamstva o dostupnosti zdravstvenog osiguranja i zabranjuje diskriminaciju pri izdavanju usluga zdravstvenog osiguranja. U naslovu II, zakon postavlja definicije „zaštićenih zdravstvenih informacija” i uspostavlja pravila „pojednostavljenja administracije” u vezi s načinom na koji se te informacije mogu dijeliti i pohranjivati online i u elektroničkim bazama podataka. Zajedno, pravila za pojednostavljenje administracije poznata su kao pravilo privatnosti HIPAA.
Iako je zakon HIPAA donesen 1996., pravilo o privatnosti HIPAA nije postalo primjenjivo do 2003. Zahtjevi zaštite podataka i usklađenosti koje zahtijeva pravilo o privatnosti HIPAA su značajni i utječu na veliki broj entiteta. Mnogim tvrtkama, bolnicama i liječničkim uredima bilo je potrebno vrijeme da ažuriraju svoje sustave medicinske dokumentacije i IT sigurnosne planove kako bi bili u skladu s brojnim odredbama pravila.
U mnogim aspektima, pravilo o privatnosti HIPAA rođeno je iz želje da se potakne korištenje elektroničkih zdravstvenih programa. Digitalni zdravstveni kartoni, ljekarnički dosjei i medicinske karte mogu učiniti liječenje mnogo učinkovitijim u mnogim okolnostima. Elektronički programi mogu usporediti informacije na takav način da se mogu primijetiti opasnosti poput potencijalnih nuspojava lijekova, a liječnici koji liječe mogu lako vidjeti svu relevantnu povijest pacijenta, bez obzira gdje se liječnici nalaze. Međutim, datoteke pohranjene u elektroničkom formatu nose daleko veći rizik od zlouporabe nego datoteke u tiskanom obliku. Digitalnim datotekama može se lako manipulirati ili ih se slučajno dijeliti, što rizik od invazije privatnosti – a ponekad čak i krađe podataka i identiteta – čini vrlo realnom mogućnošću.
Zakon Sjedinjenih Država pojedincima daje zakonsko pravo na privatnost u individualnim zdravstvenim informacijama. Ovo pravo se proteže na dijagnoze i tretmane koliko i na povijest bolesti i obiteljske statistike. Jedan od ciljeva pravila o privatnosti HIPAA je integrirati ta prava na privatnost u rastuće područje e-zdravlja, kako bi se osiguralo očuvanje privatnosti bez obzira na to koliko sofisticirana tehnologija postaje. Pravilo utvrđuje određene obveze za pružatelje zdravstvenih usluga i druge subjekte koji pristupaju medicinskim informacijama, te razjašnjava spektar prava za pacijente i pojedince.
Ured za građanska prava Ministarstva zdravstva i ljudskih usluga Sjedinjenih Država (HHS) provodi pravilo o privatnosti HIPAA. Taj ured HHS-a odgovoran je kako za odgovaranje na pojedinačne pritužbe, tako i za provođenje neovisnih istraga. Budući da je HIPAA savezni zakon, uočena kršenja obično se upućuju odvjetnicima Ministarstva pravosuđa SAD-a radi daljnje istrage i kaznenog progona.